Problembehandlung bei der Konfiguration privater Endpunkte für Microsoft Purview-Konten
Dieser Leitfaden fasst bekannte Einschränkungen im Zusammenhang mit der Verwendung privater Endpunkte für Microsoft Purview zusammen und enthält eine Liste mit Schritten und Lösungen für die Behandlung einiger der häufigsten relevanten Probleme.
Bekannte Einschränkungen
- Derzeit unterstützen wir keine privaten Erfassungsendpunkte, die mit Ihren AWS-Quellen funktionieren.
- Das Überprüfen mehrerer Azure-Quellen mithilfe der selbstgehosteten Integration Runtime wird nicht unterstützt.
- Die Verwendung von Azure Integration Runtime zum Überprüfen von Datenquellen hinter einem privaten Endpunkt wird nicht unterstützt.
- Die privaten Erfassungsendpunkte können über das Microsoft Purview-Governanceportal erstellt werden, das in den hier beschriebenen Schritten beschrieben wird. Sie können nicht über das Private Link Center erstellt werden.
- Das Erstellen eines DNS-Eintrags für private Erfassungsendpunkte innerhalb vorhandener Azure DNS-Zonen, während sich die Azure Privates DNS Zones in einem anderen Abonnement als die privaten Endpunkte befinden, wird über das Microsoft Purview-Governanceportal nicht unterstützt. Ein Eintrag kann manuell in den DNS-Zielzonen im anderen Abonnement hinzugefügt werden.
- Wenn Sie nach der Bereitstellung eines privaten Erfassungsendpunkts einen verwalteten Event Hub aktivieren, müssen Sie den privaten Erfassungsendpunkt erneut bereitstellen.
- Der Computer mit der selbstgehosteten Integration Runtime muss im selben VNET oder in einem mittels Peering verknüpften VNET bereitgestellt werden, in dem das Microsoft Purview-Konto und private Erfassungsendpunkte bereitgestellt werden.
- Die Überprüfung eines mandantenübergreifenden Power BI-Mandanten mit einem privaten Endpunkt, der mit blockiertem öffentlichem Zugriff konfiguriert ist, wird derzeit nicht unterstützt.
- Informationen zu Einschränkungen im Zusammenhang mit Private Link Dienst finden Sie unter Azure Private Link Grenzwerte.
Empfohlene Schritte zur Problembehandlung
Nachdem Sie private Endpunkte für Ihr Microsoft Purview-Konto bereitgestellt haben, überprüfen Sie Ihre Azure-Umgebung, um sicherzustellen, dass private Endpunktressourcen erfolgreich bereitgestellt werden. Je nach Szenario muss mindestens einer der folgenden privaten Azure-Endpunkte in Ihrem Azure-Abonnement bereitgestellt werden:
Privater Endpunkt Privater Endpunkt zugewiesen Beispiel Konto Microsoft Purview-Konto mypurview-private-account Portal Microsoft Purview-Konto mypurview-private-portal Einnahme Verwaltetes Speicherkonto (Blob) mypurview-ingestion-blob Einnahme Verwaltetes Speicherkonto (Warteschlange) mypurview-ingestion-queue Einnahme Event Hubs-Namespace* mypurview-ingestion-namespace
Hinweis
*Event Hubs-Namespace wird nur benötigt, wenn er für Ihr Microsoft Purview-Konto konfiguriert wurde. Sie können die Kafka-Konfiguration unter Einstellungen auf der Seite Ihres Microsoft Purview-Kontos im Azure-Portal überprüfen.
Wenn der private Endpunkt im Portal bereitgestellt wird, stellen Sie sicher, dass Sie auch den privaten Endpunkt des Kontos bereitstellen.
Wenn der private Endpunkt des Portals bereitgestellt ist und der Zugriff auf öffentliche Netzwerke in Ihrem Microsoft Purview-Konto auf Verweigern festgelegt ist, stellen Sie sicher, dass Sie das Microsoft Purview-Governanceportal über das interne Netzwerk starten.
- Um die richtige Namensauflösung zu überprüfen, können Sie ein NSlookup.exe-Befehlszeilentool verwenden, um abzufragen
web.purview.azure.com
. Das Ergebnis muss eine private IP-Adresse zurückgeben, die zum privaten Endpunkt des Portals gehört. - Um die Netzwerkkonnektivität zu überprüfen, können Sie alle Netzwerktesttools verwenden, um die ausgehende Konnektivität mit
web.purview.azure.com
dem Endpunkt an Port 443 zu testen. Die Verbindung muss erfolgreich sein.
- Um die richtige Namensauflösung zu überprüfen, können Sie ein NSlookup.exe-Befehlszeilentool verwenden, um abzufragen
Wenn Azure Privates DNS Zones verwendet wird, stellen Sie sicher, dass die erforderlichen Azure DNS-Zonen bereitgestellt sind und für jeden privaten Endpunkt dns (A)-Eintrag vorhanden ist.
Testen Sie die Netzwerkkonnektivität und Namensauflösung vom Verwaltungscomputer zum Microsoft Purview-Endpunkt und zur Purview-Web-URL. Wenn private Endpunkte für Konten und Portal bereitgestellt werden, müssen die Endpunkte über private IP-Adressen aufgelöst werden.
Test-NetConnection -ComputerName web.purview.azure.com -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung über eine private IP-Adresse:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung über eine private IP-Adresse:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Wenn Sie Ihr Microsoft Purview-Konto nach dem 18. August 2021 erstellt haben, stellen Sie sicher, dass Sie die neueste Version der selbstgehosteten Integration Runtime aus dem Microsoft Download Center herunterladen und installieren.
Testen Sie von einer selbstgehosteten Integration Runtime-VM die Netzwerkkonnektivität und namensauflösung zum Microsoft Purview-Endpunkt.
Testen Sie von der selbstgehosteten Integration Runtime die Netzwerkkonnektivität und Namensauflösung für von Microsoft Purview verwaltete Ressourcen wie Blobwarteschlangen und sekundäre Ressourcen wie Event Hubs über Port 443 und private IP-Adressen. (Ersetzen Sie das verwaltete Speicherkonto und den Event Hubs-Namespace durch die entsprechenden Ressourcennamen.)
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung mit verwaltetem Blobspeicher über eine private IP-Adresse:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung mit dem verwalteten Warteschlangenspeicher über eine private IP-Adresse:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung mit dem Event Hubs-Namespace über eine private IP-Adresse:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Testen Sie aus dem Netzwerk, in dem sich die Datenquelle befindet, die Netzwerkkonnektivität und namensauflösung für den Microsoft Purview-Endpunkt und die Endpunkte für verwaltete oder konfigurierte Ressourcen.
Wenn sich Datenquellen im lokalen Netzwerk befinden, überprüfen Sie die Konfiguration der DNS-Weiterleitung. Testen Sie die Namensauflösung innerhalb desselben Netzwerks, in dem sich Datenquellen befinden, bis hin zur selbstgehosteten Integration Runtime, Microsoft Purview-Endpunkten und verwalteten oder konfigurierten Ressourcen. Es wird erwartet, dass eine gültige private IP-Adresse aus der DNS-Abfrage für jeden Endpunkt abgerufen wird.
Weitere Informationen finden Sie unter Virtuelle Netzwerkworkloads ohne benutzerdefinierten DNS-Server und lokale Workloads, die eine DNS-Weiterleitung in der DNS-Konfiguration für private Azure-Endpunkte verwenden.
Wenn Verwaltungscomputer und selbstgehostete Integration Runtime-VMs im lokalen Netzwerk bereitgestellt werden und Sie die DNS-Weiterleitung in Ihrer Umgebung eingerichtet haben, überprüfen Sie die DNS- und Netzwerkeinstellungen in Ihrer Umgebung.
Wenn der private Erfassungsendpunkt verwendet wird, stellen Sie sicher, dass die selbstgehostete Integration Runtime erfolgreich im Microsoft Purview-Konto registriert ist und sowohl innerhalb der selbstgehosteten Integration Runtime-VM als auch im Microsoft Purview-Governanceportal als ausgeführt angezeigt wird.
Häufige Fehler und Meldungen
Problem
Beim Ausführen einer Überprüfung wird möglicherweise die folgende Fehlermeldung angezeigt:
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
Ursache
Dies kann ein Hinweis auf Probleme im Zusammenhang mit der Konnektivität oder Namensauflösung zwischen dem virtuellen Computer, auf dem die selbstgehostete Integration Runtime ausgeführt wird, und dem verwalteten Speicherkonto von Microsoft Purview oder konfigurierten Event Hubs sein.
Fehlerbehebung
Überprüfen Sie, ob die Namensauflösung zwischen dem virtuellen Computer, auf dem die Self-Hosted Integration Runtime ausgeführt wird, und der verwalteten Microsoft Purview-Blobwarteschlange oder zwischen konfigurierten Event Hubs über Port 443 und privaten IP-Adressen (Schritt 8 oben) erfolgreich ist.
Problem
Beim Ausführen einer neuen Überprüfung wird möglicherweise die folgende Fehlermeldung angezeigt:
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
Ursache
Dies kann ein Hinweis auf die Ausführung einer älteren Version der selbstgehosteten Integration Runtime sein. Sie müssen die selbstgehostete Integration Runtime-Version 5.9.7885.3 oder höher verwenden.
Fehlerbehebung
Aktualisieren Sie die selbstgehostete Integration Runtime auf 5.9.7885.3.
Problem
Fehler beim Microsoft Purview-Konto mit bereitstellung eines privaten Endpunkts mit Azure Policy Validierungsfehler während der Bereitstellung.
Ursache
Dieser Fehler deutet darauf hin, dass in Ihrem Azure-Abonnement möglicherweise eine Azure Policy Zuweisung vorhanden ist, die die Bereitstellung der erforderlichen Azure-Ressourcen verhindert.
Fehlerbehebung
Überprüfen Sie Ihre vorhandenen Azure Policy Zuweisungen, und stellen Sie sicher, dass die Bereitstellung der folgenden Azure-Ressourcen in Ihrem Azure-Abonnement zulässig ist.
Hinweis
Abhängig von Ihrem Szenario müssen Sie möglicherweise einen oder mehrere der folgenden Azure-Ressourcentypen bereitstellen:
- Microsoft Purview (Microsoft.Purview/Accounts)
- Privater Endpunkt (Microsoft.Network/privateEndpoints)
- Privates DNS Zonen (Microsoft.Network/privateDnsZones)
- Event Hub-Namensraum (Microsoft.EventHub/namespaces)
- Speicherkonto (Microsoft.Storage/storageAccounts)
Problem
Nicht autorisiert für den Zugriff auf dieses Microsoft Purview-Konto. Dieses Microsoft Purview-Konto befindet sich hinter einem privaten Endpunkt. Greifen Sie auf das Konto von einem Client im selben virtuellen Netzwerk (VNet) zu, das für den privaten Endpunkt des Microsoft Purview-Kontos konfiguriert wurde.
Ursache
Der Benutzer versucht, von einem öffentlichen Endpunkt aus eine Verbindung mit Microsoft Purview herzustellen oder öffentliche Microsoft Purview-Endpunkte zu verwenden, bei denen öffentlicher Netzwerkzugriff auf Verweigern festgelegt ist.
Fehlerbehebung
Verwenden Sie in diesem Fall zum Öffnen des Microsoft Purview-Governanceportals entweder einen Computer, der im selben virtuellen Netzwerk wie der private Endpunkt des Microsoft Purview-Governanceportals bereitgestellt wird, oder einen virtuellen Computer, der mit Ihrem CorpNet verbunden ist, in dem Hybridkonnektivität zulässig ist.
Problem
Beim Überprüfen einer SQL Server-Instanz mit einer selbstgehosteten Integration Runtime wird möglicherweise die folgende Fehlermeldung angezeigt:
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
Ursache
Der selbstgehostete Integration Runtime-Computer hat den FIPS-Modus aktiviert. Federal Information Processing Standards (FIPS) definiert einen bestimmten Satz kryptografischer Algorithmen, die verwendet werden dürfen. Wenn der FIPS-Modus auf dem Computer aktiviert ist, werden einige kryptografische Klassen, von denen die aufgerufenen Prozesse abhängen, in einigen Szenarien blockiert.
Fehlerbehebung
Deaktivieren Sie den FIPS-Modus auf einem selbstgehosteten Integrationsserver.
Nächste Schritte
Wenn Ihr Problem in diesem Artikel nicht aufgeführt ist oder Sie es nicht beheben können, erhalten Sie Support über einen der folgenden Kanäle:
- Erhalten Sie Antworten von Experten über Microsoft Q&A.
- Stellen Sie eine Verbindung mit @AzureSupport her. Diese offizielle Microsoft Azure-Ressource auf Twitter trägt dazu bei, die Kundenerfahrung zu verbessern, indem sie die Azure-Community mit den richtigen Antworten, Support und Experten verbindet.
- Wenn Sie weiterhin Hilfe benötigen, wechseln Sie zur Azure-Support Website, und wählen Sie Supportanfrage senden aus.