Compartir a través de


Solución de problemas al instalar el conector de red privada

El conector de red privada de Microsoft Entra es un componente de dominio interno que usa conexiones salientes para establecer la conectividad desde el punto de conexión disponible en la nube al dominio interno. El conector lo usa tanto el acceso privado de Microsoft Entra como el proxy de aplicaciones de Microsoft Entra.

Áreas problemáticas generales con la instalación del conector

Cuando se produce un error en la instalación de un conector, la causa principal suele pertenecer a una de las áreas siguientes. Como precursor de cualquier solución de problemas, asegúrese de reiniciar el conector.

  • Conectividad: para completar una instalación correcta, el nuevo conector necesita registrarse y establecer propiedades de confianza futuras. La confianza se establece mediante la conexión al servicio en la nube del proxy de aplicación de Microsoft Entra.
  • Establecimiento de confianza: el nuevo conector crea un certificado autofirmado y se registra en el servicio en la nube.
  • Autenticación del administrador: durante la instalación, el usuario debe proporcionar credenciales de administrador para completar la instalación del conector.

Nota:

Los registros de instalación del conector pueden encontrarse en la carpeta %TEMP%, y pueden ayudar a proporcionar información adicional sobre lo que provoca un error de instalación.

Comprobación de la conectividad con el servicio del proxy de aplicaciones en la nube y la página de inicio de sesión de Microsoft

Objetivo: compruebe que la máquina del conector puede conectarse al punto de conexión de registro del proxy de aplicación y a la página de inicio de sesión de Microsoft.

  1. En el servidor del conector, ejecute una prueba de puertos con telnet u otra herramienta para este fin y compruebe si los puertos 443 y 80 están abiertos.

  2. Compruebe que el proxy de firewall o back-end tiene acceso a los dominios y puertos necesarios, consulte Configurar conectores.

  3. Abra una pestaña del explorador y escriba https://login.microsoftonline.com. Asegúrese de iniciar sesión.

Comprobación de la compatibilidad con certificados de componente de back-end y máquina

Objetivo: compruebe que la máquina del conector, el proxy de back-end y el firewall admitan el certificado creado por el conector. Además, compruebe que el certificado es válido.

Nota:

El conector intenta crear un certificado SHA512 compatible con la seguridad de la capa de transporte (TLS) 1.2. Si la máquina o el firewall y el proxy de back-end no admiten TLS 1.2, la instalación producirá un error.

Revise los requisitos previos necesarios:

  1. Compruebe que la máquina sea compatible con la Seguridad de la capa de transporte 1.2: todas las versiones de Windows posteriores a 2012 R2 deberían admitir TLS 1.2. Si la máquina del conector es de la versión 2012 R2 o una anterior, asegúrese de que las actualizaciones necesarias estén instaladas.

  2. Póngase en contacto con el administrador de red y pida que compruebe que el proxy de back-end y el firewall no bloquean el tráfico saliente de SHA512.

Para comprobar el certificado de cliente:

compruebe la huella digital del certificado de cliente actual. El almacén de certificados se puede encontrar en %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Los valores de IsInUserStore posibles son true y false. Un valor de true significa que el certificado se renueva y almacena automáticamente en el contenedor personal en el almacén de certificados de usuario del servicio de red. Un valor de false significa que el certificado de cliente se creó durante la instalación o el registro que inició Register-MicrosoftEntraPrivateNetworkConnector. El certificado se almacena en el contenedor personal del almacén de certificados de la máquina local.

Si el valor es true, siga estos pasos para comprobar el certificado:

  1. Descargue PsTools.zip.
  2. Extraiga PsExec del paquete y ejecute psexec -i -u "nt authority\network service" cmd.exe desde un símbolo del sistema con privilegios elevados.
  3. Ejecute certmgr.msc en el símbolo del sistema recién aparecido.
  4. En la consola de administración, expanda el contenedor Personal y seleccione Certificados.
  5. Busque el certificado emitido por connectorregistrationca.msappproxy.net.

Si el valor es false, siga estos pasos para comprobar el certificado:

  1. Ejecute certlm.msc.
  2. En la consola de administración, expanda el contenedor Personal y seleccione Certificados.
  3. Busque el certificado emitido por connectorregistrationca.msappproxy.net.

Para renovar el certificado de cliente:

Si un conector no se conecta al servicio durante varios meses, puede que tenga los certificados caducados. El error de la renovación del certificado conduce a un certificado expirado. Un certificado caducado hace que el servicio del conector deje de funcionar. El evento 1000 se registra en el registro de administración del conector:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

En este caso, desinstale y vuelva a instalar el conector para desencadenar el registro, o bien puede ejecutar estos comandos de PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Para obtener más información sobre el comando Register-MicrosoftEntraPrivateNetworkConnector, consulte Crear un script de instalación desatendido para el conector de red privada de Microsoft Entra.

Comprobación de que se use el administrador para instalar el conector

Objetivo: compruebe que el usuario que intenta instalar el conector sea un administrador con las credenciales correctas. Actualmente, el usuario debe ser como mínimo administrador de aplicaciones para que la instalación se complete correctamente.

Para comprobar que las credenciales sean correctas:

Conéctese a https://login.microsoftonline.com y use las mismas credenciales. Asegúrese de que el inicio de sesión se haya realizado correctamente. Para comprobar el rol de usuario, vaya a Microsoft Entra ID ->Usuarios y grupos ->Todos los usuarios.

Seleccione su cuenta de usuario y Rol del directorio en el menú resultante. Compruebe que el rol seleccionado sea Administrador de aplicaciones. Si no puede acceder a alguna de las páginas en estos pasos, significa que no tiene el rol necesario.

Errores del conector

Si se produce un error en el registro durante la instalación del asistente para el conector, hay dos maneras de ver el motivo de dicho error. Busque en el registro de eventos en Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" o ejecute el siguiente comando de Windows PowerShell:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Una vez que encuentre el error del conector en el registro de eventos, use esta lista de errores comunes para resolver el problema:

Error Pasos recomendados
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Si cierra la ventana de registro sin iniciar sesión en Microsoft Entra ID, vuelva a ejecutar el asistente para conector y registre el conector.

Si se abre la ventana de registro y se cierra inmediatamente sin permitirle iniciar sesión, obtendrá el error. El error se produce cuando hay un error de red en el sistema. Asegúrese de que puede conectarse desde un explorador a un sitio web público y de que los puertos están abiertos como se especifica en Configurar conectores.
Clear error is presented in the registration window. Cannot proceed Si ve el error y luego se cierra la ventana, significa que escribió el nombre de usuario o contraseña incorrectos. Inténtelo de nuevo.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Intenta iniciar sesión con una cuenta Microsoft, no un dominio que forma parte del Id. de organización del directorio al que intenta acceder. El administrador debe formar parte del mismo nombre de dominio que el dominio de inquilino. Por ejemplo, si el dominio de Microsoft Entra es contoso.com, el administrador debe ser admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Si se produce un error en la instalación del conector, compruebe que la directiva de ejecución de PowerShell no está deshabilitada.

1. Abra el Editor de directivas de grupo.
2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Windows PowerShell y haga doble clic en Activar la ejecución de scripts.
3. La directiva de ejecución puede definirse como No configurado o Habilitado. Si elige Habilitado, asegúrese de que, en Opciones, en Directiva de ejecución se selecciona en Permitir scripts locales y scripts remotos firmados o en Permitir todos los scripts.
Connector failed to download the configuration. El certificado de cliente del conector, que se utiliza para la autenticación, ha expirado. El error ocurre si tiene instalado el conector detrás de un proxy. En este caso, el conector no puede acceder a Internet ni tampoco puede proporcionar aplicaciones a usuarios remotos. Renueve la confianza manualmente mediante el cmdlet Register-MicrosoftEntraPrivateNetworkConnector en Windows PowerShell. Si el conector está detrás de un proxy, es preciso otorgar acceso a Internet a las cuentas del conector network services y local system. La concesión de acceso se realiza otorgándole acceso al proxy u omitiéndolo.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' El alias con el que intenta iniciar sesión no es un administrador de este dominio. Su conector siempre está instalado para el directorio que posee el dominio del usuario. Asegúrese de que la cuenta de administrador con la que intenta iniciar sesión tiene, al menos, permisos de administrador de aplicaciones en el inquilino de Microsoft Entra ID.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. El conector no se puede conectar al servicio de nube de proxy de aplicación. El problema ocurre si hay una regla de firewall que bloquea la conexión. Permitir el acceso a los puertos y direcciones URL correctos listados en Configurar conectores.

Diagrama de flujo para los problemas de conectores

Este diagrama de flujo lo guía a través de los pasos para depurar algunos de los problemas más comunes con los conectores. Para más información sobre cada paso, consulte la tabla que aparece después del diagrama de flujo.

Diagrama de flujo que muestra los pasos para depurar un conector.

Paso Acción Descripción
1 Búsqueda del grupo de conectores asignado a la aplicación Probablemente tenga un conector instalado en varios servidores, en cuyo caso los conectores deben asignarse a un grupo de conectores. Para obtener más información sobre los grupos de conectores, consulte Descripción de los grupos de conectores de redes privadas de Microsoft Entra.
2 Instalación del conector y asignación de un grupo Si no tiene instalado un conector, consulte Configuración de conectores.

Si el conector no está asignado a un grupo, consulte sobre la asignación del conector a un grupo.

Si la aplicación no está asignada a un grupo de conectores, consulte sobre la asignación de la aplicación a un grupo de conectores.
3 Ejecución de una prueba de puertos en el servidor del conector En el servidor del conector, ejecute una prueba de puerto mediante telnet u otra herramienta de prueba de puertos para comprobar si los puertos están configurados correctamente. Para más información, consulte Configuración de conectores.
4 Configuración de dominios y puertos Configurar conectores para el conector. Ciertos puertos deben estar abiertos y URLs a las que el servidor debe poder acceder. Para más información, consulte Configuración de conectores.
5 Comprobación del uso de un proxy de back-end Compruebe si los conectores están usando servidores proxy de back-end o si los están omitiendo. Para detalles, consulte Solución de problemas del proxy del conector y de conectividad del servicio.
6 Actualice la configuración del conector y del actualizador con la información del proxy back-end Si un proxy back-end está en uso, asegúrese de que el conector usa el mismo proxy. Para más información sobre la solución de problemas y la configuración de los conectores para que trabajen con servidores proxy, consulte Trabajo con servidores proxy locales existentes.
7 Carga de la dirección URL interna de la aplicación en el servidor del conector En el servidor del conector, cargue la dirección URL interna de la aplicación.
8 Comprobación de la conectividad de red interna Hay un problema de conectividad en la red interna que este flujo de depuración no puede diagnosticar. Es necesario que se pueda acceder a la aplicación de manera interna para que los conectores funcionen. Puede habilitar y ver los registros de eventos del conector tal como se describe en Conectores de red privada.
9 Aumento del valor de tiempo de espera en back-end En la configuración adicional de la aplicación, cambie la configuración de Tiempo de espera de las aplicaciones de back-end a Long (Largo). Consulte Agregar de una aplicación local a Microsoft Entra ID.
10 Si los problemas persisten, depure las aplicaciones. Depuración de problemas con las aplicaciones de Application Proxy.

Preguntas más frecuentes

¿Por qué mi conector todavía usa una versión antigua y no se ha actualizado automáticamente a la versión más reciente?

Esto puede deberse a que el servicio del actualizador no funciona correctamente o a que no hay nuevas actualizaciones disponibles que el servicio pueda instalar.

El servicio de actualización es correcto si se está ejecutando y no hay ningún error registrado en el registro de eventos (Registros de aplicaciones y servicios -> Microsoft -> Red privada de Microsoft Entra -> Updater -> Administrador).

Importante

Solo se publican las versiones principales para la actualización automática. Se recomienda actualizar el conector manualmente solo si es necesario. Por ejemplo, no puede esperar a una versión principal, porque debe corregir un problema conocido o usar una característica nueva. Para más información sobre las nuevas versiones, el tipo de versión (descarga, actualización automática), correcciones de errores y nuevas características, consulte Conector de red privada de Microsoft Entra: Historial de lanzamiento de versiones.

Para actualizar manualmente un conector:

  • Descargue la versión más reciente del conector. (Encuéntrelo en el Centro de administración de Microsoft Entra en Acceso global seguro>Conexión>Conectores)
  • El instalador reinicia los servicios del conector de red privada de Microsoft Entra. En algunos casos, es posible que sea necesario reiniciar el servidor si el instalador no puede reemplazar todos los archivos. Por tanto, se recomienda cerrar todas las aplicaciones (es decir el Visor de eventos) antes de iniciar la actualización.
  • Ejecute al programa de instalación. El proceso de actualización es rápido y no es necesario proporcionar ninguna credencial y el conector no se volverá a registrar.

¿Los servicios del conector de red privada pueden ejecutarse en un contexto de usuario diferente al predeterminado?

No, este escenario no se admite. La configuración predeterminada es la siguiente:

  • Conector de red privada de Microsoft Entra - WAPCSvc - Servicio de red
  • Actualizador del conector de red privada de Microsoft Entra - WAPCUpdaterSvc - NT Authority\System

¿Puede un usuario invitado con una asignación de roles de administrador activo registrar el conector para el inquilino (invitado)?

No, actualmente no es posible. El intento de registro siempre se realiza en el inquilino principal del usuario.

La aplicación de back-end se hospeda en varios servidores web y requiere la persistencia de la sesión de usuario (permanencia). ¿Cómo puedo conseguir la persistencia de la sesión?

Para obtener recomendaciones, vea Alta disponibilidad y equilibrio de carga de los conectores y aplicaciones de red privada.

¿Se admite la terminación TLS (inspección o aceleración de TLS/HTTPS) en el tráfico desde los servidores de conector a Azure?

El conector de red privada realiza la autenticación basada en certificados en Azure. Asimismo, la terminación TLS (inspección o aceleración de TLS/HTTPS) interrumpe este método de autenticación y no se admite. El tráfico del conector a Azure debe omitir todos los dispositivos que realicen la terminación TLS.

¿Se requiere TLS 1.2 para todas las conexiones?

Sí. Para proporcionar el mejor cifrado a nuestros clientes, el servicio del proxy de aplicación solo permite el acceso a los protocolos TLS 1.2. Estos cambios se han implementado gradualmente y han entrado definitivamente en vigor el 31 de agosto de 2019. Asegúrese de que todas las combinaciones de cliente-servidor y explorador-servidor están actualizadas para usar TLS 1.2 para mantener la conexión al servicio del proxy de aplicación. Entre ellos, los clientes que los usuarios utilizan para tener acceso a las aplicaciones publicadas a través del proxy de aplicación. Vea Preparación para usar TLS 1.2 en Office 365 para obtener referencias y recursos útiles.

¿Puedo colocar un dispositivo proxy de reenvío entre los servidores del conector y el servidor de aplicaciones back-end?

Sí, este escenario se admite a partir de la versión del conector 1.5.1526.0. Consulte Trabajo con servidores proxy locales existentes.

¿Debo crear una cuenta dedicada para registrar el conector con el proxy de aplicación de Microsoft Entra?

No hay ninguna razón para crear una cuenta dedicada. Cualquier cuenta con el rol Administrador de aplicaciones funciona. Recuerde que las credenciales especificadas durante la instalación no se usan después del proceso de registro. En su lugar, se emite un certificado para el conector, que se usa para la autenticación a partir de ese punto.

¿Cómo puedo supervisar el rendimiento del conector de red privada de Microsoft Entra?

Hay contadores del monitor de rendimiento que se instalan junto con el conector. Para verlos haga lo siguiente:

  1. Seleccione Start (Inicio), escriba "Perfmon" y presione ENTRAR.
  2. Seleccione el monitor de rendimiento y haga clic en el icono verde +.
  3. Agregue el conector de red privada de Microsoft Entra contadores que desea supervisar.

¿El conector de red privada de Microsoft Entra debe estar en la misma subred que el recurso?

No es necesario que el conector esté en la misma subred. Sin embargo, este necesita tener la resolución de nombres (DNS, archivo de hosts) en el recurso y la conectividad de red necesaria (enrutamiento al recurso, puertos abiertos en el recurso, etc.). Para obtener más información, consulte Consideraciones sobre la topología de red al utilizar el proxy de aplicación de Microsoft Entra.

¿Por qué el conector se sigue mostrando en el Centro de administración Microsoft Entra después de haberlo desinstalado del servidor?

Cuando hay un conector en ejecución, este permanece activo tal y como se conecta al servicio. Los conectores que no se han instalado o utilizado se etiquetan como inactivos y se quitan del portal a los diez días de inactividad. No hay ninguna manera de quitar manualmente el conector inactivo del centro de administración de Microsoft Entra.

Pasos siguientes