Beheben von Problemen mit Anwendungsproxy und Fehlermeldungen
Stellen Sie zunächst sicher, dass die privaten Netzwerkconnectors ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Debuggen von Problemen mit privaten Netzwerkconnectors und Debuggen von Problemen mit Anwendungsproxyanwendungen.
Wenn beim Zugriff auf eine veröffentlichte Anwendung oder beim Veröffentlichen von Anwendungen Fehler auftreten, ermitteln Sie durch Überprüfung der folgenden Optionen, ob der Microsoft Entra-Anwendungsproxy ordnungsgemäß funktioniert:
- Öffnen Sie die Windows-Dienste-Konsole. Vergewissern Sie sich, dass der Dienst für den privaten Microsoft Entra-Netzwerkconnector aktiviert ist und ausgeführt wird. Sehen Sie sich die Seite mit den Eigenschaften des Anwendungsproxydiensts an, wie in der Abbildung gezeigt.
- Öffnen Sie die Ereignisanzeige, und suchen Sie unter Anwendungs- und Dienstprotokolle>Microsoft>Privates Microsoft Entra-Netzwerk>Connector>Admin nach Ereignissen, die sich auf private Netzwerkconnectors beziehen.
- Überprüfen Sie die detaillierten Protokolle. Aktivieren Sie Sitzungsprotokolle für den privaten Netzwerkconnector.
Die Seite wird nicht richtig gerendert.
Bei Ihnen treten Probleme mit dem Rendern der Anwendung oder einer fehlerhaften Funktionsweise auf, ohne dass Sie spezifische Fehlermeldungen erhalten. Dieses Problem tritt auf, wenn Sie den Artikelpfad veröffentlicht haben, für die Anwendung aber Inhalt erforderlich ist, der außerhalb des Pfads vorliegt.
Wenn Sie beispielsweise den Pfad https://yourapp/app
veröffentlichen, die Anwendung aber Bilder in https://yourapp/media
aufruft, werden sie nicht gerendert. Stellen Sie sicher, dass Sie die Anwendung mit dem Pfad der höchsten benötigten Ebene veröffentlichen, damit der gesamte relevante Inhalt einbezogen wird. In diesem Beispiel lautet er http://yourapp/
.
Zu lange Ladezeiten bei einer Anwendungsproxyanwendung
Anwendungen können funktionsfähig sein, aber eine lange Latenz aufweisen. Optimierungen der Netzwerktopologie können zu Verbesserungen bei der Geschwindigkeit führen. Eine Bewertung der unterschiedlichen Topologien finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Azure Active Directory-Anwendungsproxys.
Anwendungsseite für eine Anwendungsproxyanwendung nicht richtig angezeigt
Wenn Sie eine Anwendungsproxyanwendung veröffentlichen, können Sie beim Zugriff auf die Anwendung nur Seiten in Ihrem Stammordner öffnen. Wenn die Seite nicht ordnungsgemäß angezeigt wird, fehlen der internen Stamm-URL für die Anwendung möglicherweise einige Seitenressourcen. Um dies zu beheben, veröffentlichen Sie alle Ressourcen für die Seite als Teil Ihrer Anwendung.
Überprüfen Sie, ob fehlende Ressourcen das Problem sind. Öffnen Sie Ihre Netzwerkverfolgung, z. B. Fiddler oder F12-Tools in Microsoft Edge. Laden Sie die Seite, und suchen Sie nach 404-Fehlern. Diese Fehler geben an, dass die Seiten nicht gefunden werden können und dass sie veröffentlicht werden müssen.
Gehen wir z. B. davon aus, dass Sie eine Ausgabenanwendung veröffentlicht haben, die die interne URL http://myapps/expenses
verwendet. Die App verwendet jedoch das Stylesheet http://myapps/style.css
. In diesem Fall wird das Stylesheet nicht in der Anwendung veröffentlicht, sodass das Laden der Ausgabenanwendung einen 404
-Fehler beim Laden von style.css
auslöst. In diesem Beispiel wird das Problem durch eine Veröffentlichung der Anwendung mit der internen URL http://myapp/
behoben.
Probleme mit der Veröffentlichung in einer einzelnen Anwendung
Wenn eine Veröffentlichung aller Ressourcen innerhalb derselben Anwendung nicht möglich ist, müssen Sie mehrere Anwendungen veröffentlichen und Links zwischen diesen aktivieren.
Zu diesem Zweck empfiehlt sich die Lösung Benutzerdefinierte Domänen. Diese Lösung erfordert jedoch, dass Sie das Zertifikat für Ihre Domäne besitzen und Ihre Anwendungen vollqualifizierte Domänennamen (FQDNs) verwenden. Weitere Optionen finden Sie in der Dokumentation zur Problembehandlung bei fehlerhaften Links.
Ich kann meine Anwendung aufrufen, aber die Links auf der Anwendungsseite funktionieren nicht.
Bei meiner Anwendung tritt ein Konnektivitätsproblem auf.
Ich weiß nicht, welche Ports ich für die Anwendung öffnen muss.
Ich habe ein Problem beim Konfigurieren des Microsoft Entra-Anwendungsproxys im Verwaltungsportal.
Ich weiß nicht, wie einmaliges Anmelden bei meiner Anwendungsproxyanwendung konfiguriert wird.
Beim Einrichten der Back-End-Authentifizierung für meine Anwendung treten Probleme auf.
Ich weiß nicht, wie die eingeschränkte Kerberos-Delegierung konfiguriert wird. Ich weiß nicht, wie meine Anwendung mit PingAccess konfiguriert wird.
Beim Anmelden bei meiner Anwendung treten Probleme auf.
Ich erhalte den Fehler Can't Access this Corporate Application
. Informationen zum Beheben dieses Problems finden Sie unter Timeoutfehler aufgrund eines ungültigen Gateways.
Ich habe ein Problem mit dem privaten Netzwerkconnector.
Ich habe Probleme bei der Installation des privaten Netzwerkconnectors.
Kerberos-Fehler
Diese Tabelle zeigt häufiger auftretende Fehler bei der Kerberos-Einrichtung und -Konfiguration und enthält Vorschläge zu deren Auflösung.
Fehler | Empfohlene Schritte |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Falls die Installation des Connectors nicht erfolgreich verläuft, stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist. 1. Öffnen Sie den Gruppenrichtlinien-Editor. 2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows PowerShell, und doppelklicken Sie auf Skriptausführung aktivieren. 3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Stellen Sie bei der Einstellung Aktiviert sicher, dass die Ausführungsrichtlinie unter „Optionen“ auf Lokale Skripts und remote signierte Skripts zulassen oder Alle Skripts zulassen festgelegt ist. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Dieser Fehler deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Back-End-Anwendungsserver oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Back-End-Server hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver korrekt konfiguriert sind. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Back-End-Anwendungsserver synchronisiert ist. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Es liegt ein Problem mit der Konfiguration des Sicherheitstokendiensts (Security Token Service, STS) vor. Korrigieren Sie die Anspruchskonfiguration des Benutzerprinzipalnamens (User Principal Name, UPN) im STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Dieses Ereignis deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Domänencontroller-Server oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Domänencontroller hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind, insbesondere die Konfiguration des Dienstprinzipalnamens (Service Principal Name, SPN). Stellen Sie sicher, dass der Domänencontroller eine Vertrauensstellung mit Microsoft Entra ID einrichtet. Beide müssen dieselbe Domäne verwenden. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Domänencontroller synchronisiert ist. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
Dieses Ereignis deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Domänencontroller-Server oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Domänencontroller hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind, insbesondere die SPN-Konfiguration. Stellen Sie sicher, dass der Domänencontroller eine Vertrauensstellung mit Microsoft Entra ID einrichtet. Beide müssen dieselbe Domäne verwenden. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Domänencontroller synchronisiert ist. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
Dieses Ereignis deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Back-End-Anwendungsserver oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Back-End-Server hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver korrekt konfiguriert sind. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Back-End-Anwendungsserver synchronisiert ist. Weitere Informationen finden Sie unter Problembehandlung von Konfigurationen der eingeschränkten Kerberos-Delegierung für Anwendungsproxy. |
Endbenutzerfehler
Diese Liste enthält Fehler, die bei Ihren Endbenutzern möglicherweise auftreten, wenn sie nicht erfolgreich auf die App zugreifen können.
Fehler | Empfohlene Schritte |
---|---|
The website cannot display the page. |
Ihr Benutzer erhält diesen Fehler, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, sofern es sich um eine IWA-Anwendung (Integrierte Windows-Authentifizierung) handelt. Der definierte SPN für diese Anwendung ist falsch. Stellen Sie für IWA-Apps sicher, dass für diese Anwendung der richtige SPN konfiguriert ist. |
The website cannot display the page. |
Ihr Benutzer erhält diesen Fehler, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, sofern es sich um eine OWA-Anwendung (Outlook-Webanwendung) handelt. Das Problem entsteht aus folgenden Gründen: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
Ihr Benutzer erhält diese Fehlermeldung, wenn er versucht, auf die von Ihnen veröffentlichte App zuzugreifen, wenn er Microsoft-Konten anstelle seines Unternehmenskontos zur Anmeldung verwendet. Gastbenutzer erhalten diesen Fehler. Microsoft-Kontobenutzer und Gäste können nicht auf IWA-Anwendungen zugreifen. Vergewissern Sie sich, dass Benutzer sich mithilfe ihres Unternehmenskontos anmelden, das der Domäne der veröffentlichten Anwendung entspricht. Sie müssen den Benutzer für diese Anwendung zuweisen. Wechseln Sie zur Registerkarte Anwendung, und weisen Sie unter Benutzer und Gruppen diesen Benutzer oder die Benutzergruppe dieser Anwendung zu. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Ihr Benutzer erhält diese Fehlermeldung, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, wenn er nicht ordnungsgemäß für diese Anwendung auf der lokalen Seite definiert ist. Stellen Sie sicher, dass die Benutzer über die entsprechenden Berechtigungen verfügen, wie für diese Back-End-Anwendung auf dem lokalen Computer definiert. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Ihr Benutzer erhält diese Fehlermeldung, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, wenn ihm vom Administrator des Abonnenten nicht ausdrücklich eine Premium-Lizenz zugewiesen wurde. Wechseln Sie zur Active Directory-Registerkarte Lizenzen des Abonnenten, und stellen Sie sicher, dass diesem Benutzer oder dieser Benutzergruppe eine Premium-Lizenz zugewiesen ist. |
A server with the specified host name could not be found. |
Ihr Benutzer erhält diesen Fehler, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, wenn die benutzerdefinierte Domäne der Anwendung nicht korrekt konfiguriert ist. Überprüfen Sie das Zertifikat für die Domäne, und konfigurieren Sie den DNS-Eintrag (Domain Name System) korrekt. Weitere Informationen finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Microsoft Entra-Anwendungsproxy. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Das Problem könnte mit dem Zugriff auf Autorisierungsinformationen zusammenhängen. Weitere Informationen finden Sie unter (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Kurz gesagt: Fügen Sie das Computerkonto des privaten Netzwerk-Connectors zur Gruppe „Windows-Autorisierungszugriffsgruppe“ hinzu, um das Problem zu beheben. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Der Connector sichert ausgehende Verbindungen mit den Microsoft Entra-Anwendungsproxy-Clouddienstendpunkten mithilfe eines Clientzertifikats. Der Fehler tritt auf, wenn das Clientzertifikat den Endpunkt nicht erreicht. Ein Beispiel wäre ein Netzwerkgerät, das eine TLS-Überprüfung (Transport Layer Security) durchführt oder die TLS-Verbindung unterbricht. Vermeiden Sie die Inlineüberprüfung und das Beenden ausgehender TLS-Kommunikation. Das Überprüfen und Beenden darf nicht zwischen privaten Microsoft Entra-Netzwerkconnectors und Clouddiensten des Microsoft Entra-Anwendungsproxys geschehen. |