Problembehandlung bei der Konfiguration privater Endpunkte für Microsoft Purview-Konten
Dieser Leitfaden fasst bekannte Einschränkungen im Zusammenhang mit der Verwendung privater Endpunkte für Microsoft Purview zusammen und enthält eine Liste mit Schritten und Lösungen für die Behandlung einiger der häufigsten relevanten Probleme.
Hinweis
Der Microsoft Purview Data Catalog ändert seinen Namen in Microsoft Purview Unified Catalog. Alle Features bleiben unverändert. Die Namensänderung wird angezeigt, wenn die neue Microsoft Purview Data Governance-Benutzeroberfläche in Ihrer Region allgemein verfügbar ist. Überprüfen Sie den Namen in Ihrer Region.
Bekannte Einschränkungen
- Derzeit unterstützen wir keine privaten Erfassungsendpunkte, die mit Ihren AWS-Quellen funktionieren.
- Das Überprüfen mehrerer Azure-Quellen mithilfe der selbstgehosteten Integration Runtime wird nicht unterstützt.
- Die Verwendung von Azure Integration Runtime zum Überprüfen von Datenquellen hinter einem privaten Endpunkt wird nicht unterstützt.
- Die privaten Erfassungsendpunkte können über das Microsoft Purview-Governanceportal erstellt werden, das in den hier beschriebenen Schritten beschrieben wird. Sie können nicht über das Private Link Center erstellt werden.
- Das Erstellen eines DNS-Eintrags für private Erfassungsendpunkte innerhalb vorhandener Azure DNS-Zonen, während sich die Azure Privates DNS Zones in einem anderen Abonnement als die privaten Endpunkte befinden, wird über das Microsoft Purview-Governanceportal nicht unterstützt. Ein Eintrag kann manuell in den DNS-Zielzonen im anderen Abonnement hinzugefügt werden.
- Wenn Sie Ihren eigenen Event Hubs-Namespace konfigurieren oder einen verwalteten Event Hubs-Namespace aktivieren , nachdem Sie einen privaten Erfassungsendpunkt bereitgestellt haben, müssen Sie den privaten Erfassungsendpunkt erneut bereitstellen.
- Der computer mit der selbstgehosteten Integration Runtime muss im selben virtuellen Netzwerk oder in einem virtuellen Netzwerk mit Peering bereitgestellt werden, in dem das Microsoft Purview-Konto und die privaten Erfassungsendpunkte bereitgestellt werden.
- Informationen zu Einschränkungen im Zusammenhang mit Private Link Dienst finden Sie unter Azure Private Link Grenzwerte.
- Derzeit können Microsoft Purview-Instanzen, die das neue Microsoft Purview-Portal verwenden, nur private Erfassungsendpunkte verwenden.
Empfohlene Schritte zur Problembehandlung
Nachdem Sie private Endpunkte für Ihr Microsoft Purview-Konto bereitgestellt haben, überprüfen Sie Ihre Azure-Umgebung, um sicherzustellen, dass private Endpunktressourcen erfolgreich bereitgestellt werden. Je nach Szenario muss mindestens einer der folgenden privaten Azure-Endpunkte in Ihrem Azure-Abonnement bereitgestellt werden:
Privater Endpunkt Privater Endpunkt zugewiesen Beispiel Konto Microsoft Purview-Konto mypurview-private-account Portal Microsoft Purview-Konto mypurview-private-portal Ingestion Storage (Blob)* mypurview-ingestion-blob Ingestion Speicher (Warteschlange)* mypurview-ingestion-queue Ingestion Event Hubs-Namespace** mypurview-ingestion-namespace Hinweis
*Wenn Ihr Konto vor dem 15. Dezember 2023 erstellt wurde, wird der Endpunkt in Ihrem verwalteten Speicherkonto bereitgestellt. Wenn sie nach dem 10. November erstellt wurde (oder mit der API-Version 2023-05-01-preview bereitgestellt wurde), verweist sie auf den Erfassungsspeicher.
**Ihr Konto verfügt nur über einen zugeordneten Event Hubs-Namespace, wenn er für Kafka-Benachrichtigungen konfiguriert oder vor dem 15. Dezember 2022 erstellt wurde.
Wenn der private Endpunkt im Portal bereitgestellt wird, stellen Sie sicher, dass Sie auch den privaten Endpunkt des Kontos bereitstellen.
Wenn der private Endpunkt des Portals bereitgestellt ist und der Zugriff auf öffentliche Netzwerke in Ihrem Microsoft Purview-Konto auf Verweigern festgelegt ist, stellen Sie sicher, dass Sie das Microsoft Purview-Governanceportal über das interne Netzwerk starten.
- Um die richtige Namensauflösung zu überprüfen, können Sie ein NSlookup.exe-Befehlszeilentool verwenden, um abzufragen
web.purview.azure.com
. Das Ergebnis muss eine private IP-Adresse zurückgeben, die zum privaten Endpunkt des Portals gehört. - Um die Netzwerkkonnektivität zu überprüfen, können Sie alle Netzwerktesttools verwenden, um die ausgehende Konnektivität mit
web.purview.azure.com
dem Endpunkt an Port 443 zu testen. Die Verbindung muss erfolgreich sein.
- Um die richtige Namensauflösung zu überprüfen, können Sie ein NSlookup.exe-Befehlszeilentool verwenden, um abzufragen
Wenn Azure Privates DNS Zones verwendet wird, stellen Sie sicher, dass die erforderlichen Azure DNS-Zonen bereitgestellt sind und für jeden privaten Endpunkt dns (A)-Eintrag vorhanden ist.
Testen Sie die Netzwerkkonnektivität und Namensauflösung vom Verwaltungscomputer zum Microsoft Purview-Endpunkt und zur Purview-Web-URL. Wenn private Endpunkte für Konten und Portal bereitgestellt werden, müssen die Endpunkte über private IP-Adressen aufgelöst werden.
Test-NetConnection -ComputerName web.purview.azure.com -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung über eine private IP-Adresse:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung über eine private IP-Adresse:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Wenn Sie Ihr Microsoft Purview-Konto nach dem 18. August 2021 erstellt haben, stellen Sie sicher, dass Sie die neueste Version der selbstgehosteten Integration Runtime aus dem Microsoft Download Center herunterladen und installieren.
Testen Sie von einer selbstgehosteten Integration Runtime-VM die Netzwerkkonnektivität und namensauflösung zum Microsoft Purview-Endpunkt.
Testen Sie von der selbstgehosteten Integration Runtime die Netzwerkkonnektivität und Namensauflösung für von Microsoft Purview verwaltete Ressourcen wie Blobwarteschlangen und sekundäre Ressourcen wie Event Hubs über Port 443 und private IP-Adressen. (Ersetzen Sie bei Bedarf das verwaltete Speicherkonto und den Event Hubs-Namespace durch die entsprechenden Ressourcennamen.)
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung mit verwaltetem Blobspeicher über eine private IP-Adresse:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung mit dem verwalteten Warteschlangenspeicher über eine private IP-Adresse:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
Beispiel für eine erfolgreiche ausgehende Verbindung mit dem Event Hubs-Namespace über eine private IP-Adresse:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Testen Sie aus dem Netzwerk, in dem sich die Datenquelle befindet, die Netzwerkkonnektivität und namensauflösung für den Microsoft Purview-Endpunkt und die Endpunkte für verwaltete oder konfigurierte Ressourcen.
Wenn sich Datenquellen im lokalen Netzwerk befinden, überprüfen Sie die Konfiguration der DNS-Weiterleitung. Testen Sie die Namensauflösung innerhalb desselben Netzwerks, in dem sich Datenquellen befinden, bis hin zur selbstgehosteten Integration Runtime, Microsoft Purview-Endpunkten und verwalteten oder konfigurierten Ressourcen. Es wird erwartet, dass eine gültige private IP-Adresse aus der DNS-Abfrage für jeden Endpunkt abgerufen wird.
Weitere Informationen finden Sie unter Virtuelle Netzwerkworkloads ohne benutzerdefinierten DNS-Server und lokale Workloads, die eine DNS-Weiterleitung in der DNS-Konfiguration für private Azure-Endpunkte verwenden.
Wenn Verwaltungscomputer und selbstgehostete Integration Runtime-VMs im lokalen Netzwerk bereitgestellt werden und Sie die DNS-Weiterleitung in Ihrer Umgebung eingerichtet haben, überprüfen Sie die DNS- und Netzwerkeinstellungen in Ihrer Umgebung.
Wenn der private Erfassungsendpunkt verwendet wird, stellen Sie sicher, dass die selbstgehostete Integration Runtime erfolgreich im Microsoft Purview-Konto registriert ist und sowohl innerhalb der selbstgehosteten Integration Runtime-VM als auch im Microsoft Purview-Governanceportal als ausgeführt angezeigt wird.
Häufige Fehler und Meldungen
Problem
Beim Ausführen einer Überprüfung kann die folgende Fehlermeldung angezeigt werden:
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
Ursache
Dies kann ein Hinweis auf Probleme im Zusammenhang mit der Konnektivität oder Namensauflösung zwischen dem virtuellen Computer, auf dem die selbstgehostete Integration Runtime ausgeführt wird, und dem verwalteten Speicherkonto von Microsoft Purview oder konfigurierten Event Hubs sein.
Lösung
Überprüfen Sie, ob die Namensauflösung zwischen dem virtuellen Computer, auf dem die Self-Hosted Integration Runtime ausgeführt wird, und der verwalteten Microsoft Purview-Blobwarteschlange oder zwischen konfigurierten Event Hubs über Port 443 und privaten IP-Adressen (Schritt 8 oben) erfolgreich ist.
Problem
Beim Ausführen einer neuen Überprüfung wird möglicherweise die folgende Fehlermeldung angezeigt:
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
Ursache
Dies kann ein Hinweis auf die Ausführung einer älteren Version der selbstgehosteten Integration Runtime sein. Sie müssen die selbstgehostete Integration Runtime-Version 5.9.7885.3 oder höher verwenden.
Lösung
Aktualisieren Sie die selbstgehostete Integration Runtime auf 5.9.7885.3.
Problem
Fehler beim Microsoft Purview-Konto mit bereitstellung eines privaten Endpunkts mit Azure Policy Validierungsfehler während der Bereitstellung.
Ursache
Dieser Fehler deutet darauf hin, dass in Ihrem Azure-Abonnement möglicherweise eine Azure Policy Zuweisung vorhanden ist, die die Bereitstellung der erforderlichen Azure-Ressourcen verhindert.
Lösung
Überprüfen Sie Ihre vorhandenen Azure Policy Zuweisungen, und stellen Sie sicher, dass die Bereitstellung der folgenden Azure-Ressourcen in Ihrem Azure-Abonnement zulässig ist.
Hinweis
Abhängig von Ihrem Szenario müssen Sie möglicherweise einen oder mehrere der folgenden Azure-Ressourcentypen bereitstellen:
- Microsoft Purview (Microsoft.Purview/Accounts)
- Privater Endpunkt (Microsoft.Network/privateEndpoints)
- Privates DNS Zonen (Microsoft.Network/privateDnsZones)
- Event Hub-Namensraum (Microsoft.EventHub/namespaces)
- Speicherkonto (Microsoft.Storage/storageAccounts)
Problem
Nicht autorisiert für den Zugriff auf dieses Microsoft Purview-Konto. Dieses Microsoft Purview-Konto befindet sich hinter einem privaten Endpunkt. Greifen Sie auf das Konto von einem Client im selben virtuellen Netzwerk (virtuelles Netzwerk) zu, das für den privaten Endpunkt des Microsoft Purview-Kontos konfiguriert wurde.
Ursache
Der Benutzer versucht, von einem öffentlichen Endpunkt aus eine Verbindung mit Microsoft Purview herzustellen oder öffentliche Microsoft Purview-Endpunkte zu verwenden, bei denen öffentlicher Netzwerkzugriff auf Verweigern festgelegt ist.
Lösung
Verwenden Sie in diesem Fall zum Öffnen des Microsoft Purview-Governanceportals entweder einen Computer, der im selben virtuellen Netzwerk wie der private Endpunkt des Microsoft Purview-Governanceportals bereitgestellt wird, oder einen virtuellen Computer, der mit Ihrem CorpNet verbunden ist, in dem Hybridkonnektivität zulässig ist.
Problem
Sie können die folgende Fehlermeldung erhalten, wenn Sie eine SQL Server-Instanz mithilfe einer selbstgehosteten Integration Runtime überprüfen:
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
Ursache
Der selbstgehostete Integration Runtime-Computer hat den FIPS-Modus aktiviert. Federal Information Processing Standards (FIPS) definiert einen bestimmten Satz kryptografischer Algorithmen, die verwendet werden dürfen. Wenn der FIPS-Modus auf dem Computer aktiviert ist, werden einige kryptografische Klassen, von denen die aufgerufenen Prozesse abhängen, in einigen Szenarien blockiert.
Lösung
Deaktivieren Sie den FIPS-Modus auf einem selbstgehosteten Integrationsserver.
Nächste Schritte
Wenn Ihr Problem in diesem Artikel nicht aufgeführt ist oder Sie es nicht beheben können, erhalten Sie Support über einen der folgenden Kanäle:
- Erhalten Sie Antworten von Experten über Microsoft Q&A.
- Stellen Sie eine Verbindung mit @AzureSupport her. Diese offizielle Microsoft Azure-Ressource auf Twitter trägt dazu bei, die Kundenerfahrung zu verbessern, indem sie die Azure-Community mit den richtigen Antworten, Support und Experten verbindet.
- Wenn Sie weiterhin Hilfe benötigen, wechseln Sie zur Azure-Support Website, und wählen Sie Supportanfrage senden aus.