Partage via

Résoudre les problèmes d’installation du connecteur de réseau privé

  • Article

Le connecteur de réseau privé Microsoft Entra est un composant de domaine interne qui utilise des connexions sortantes pour établir la connectivité du point de terminaison disponible dans le cloud vers le domaine interne. Le connecteur est utilisé à la fois par l’Accès privé Microsoft Entra et le proxy d’application Microsoft Entra. Cet article explique comment résoudre les problèmes liés à l’installation du connecteur et aux fonctionnalités suivantes.

Problèmes généraux avec l’installation du connecteur

Lorsque l'installation d'un connecteur échoue, la cause racine est généralement liée à l'un des aspects suivants. Avant de tenter de résoudre le problème, redémarrez le connecteur.

  • Connectivité : pour une installation réussie, le nouveau connecteur doit s'enregistrer et établir les propriétés de confiance futures. La confiance est établie grâce à la connexion au service cloud du proxy d’application Microsoft Entra.
  • Établissement de l’approbation : le nouveau connecteur crée un certificat auto-signé et s’inscrit auprès du service cloud.
  • Authentification de l’administrateur : pendant l’installation, l’utilisateur doit fournir des informations d’identification d’administrateur pour terminer l’installation du connecteur.

Remarque

Les journaux d’installation du connecteur se trouvent dans le dossier %TEMP%et peuvent fournir des informations supplémentaires sur l’origine de l’échec de l’installation.

Vérifier la connectivité au service proxy d’applications cloud et à la page de connexion Microsoft

Objectif : vérifier que la machine du connecteur peut se connecter au point de terminaison d’inscription du proxy d’application et à la page de connexion Microsoft.

  1. Sur le serveur du connecteur, exécutez un test de port à l’aide de telnet ou autres outils de tests de port, pour vérifier que les ports 443 et 80 sont ouverts.

  2. Vérifiez que le pare-feu ou proxy de back-end a accès aux domaines et ports nécessaires. Consultez Configurer les connecteurs.

  3. Ouvrez un onglet de navigateur, puis entrez https://login.microsoftonline.com. Vérifiez que vous pouvez vous connecter.

Vérifier la prise en charge des certificats de l’ordinateur et des composants back-end

Objectif : vérifier que l’ordinateur connecteur, le pare-feu et le proxy principal peuvent prendre en charge le certificat créé par le connecteur. Vérifiez également la validité du certificat.

Remarque

Le connecteur tente de créer un certificat SHA512 pris en charge par le protocole TLS 1.2. Si l’ordinateur ou le pare-feu principal et le proxy ne prennent pas en charge TLS1.1.2, l’installation échoue.

Passez en revue les prérequis :

  1. Vérifiez que l’ordinateur prend en charge le protocole TLS 1.2 (toutes les versions de Windows supérieures à 2012 R2 doivent prendre en charge TLS 1.2). Si votre ordinateur connecteur dispose de la version 2012 R2 ou d’une version antérieure, vérifiez que les mises à jour requises sont installées.

  2. Contactez votre administrateur réseau et demandez-lui de vérifier que le proxy principal et le pare-feu ne bloquent le trafic sortant SHA512.

Pour vérifier le certificat client :

Vérifiez l’empreinte numérique du certificat client actuel. Le magasin de certificats est accessible sous %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Les valeurs IsInUserStore possibles sont true et false. Une valeur true signifie que le certificat est renouvelé automatiquement et stocké dans le conteneur personnel du magasin de certificats de l’utilisateur du service réseau. Une valeur false signifie que le certificat client est créé pendant l’installation ou l’inscription lancée par Register-MicrosoftEntraPrivateNetworkConnector. Le certificat est stocké dans le conteneur personnel du magasin de certificats de l’ordinateur local.

Si la valeur est true, procédez comme suit pour vérifier le certificat :

  1. Téléchargez PsTools.zip.
  2. Extrayez PsExec du package et exécutez psexec -i -u "nt authority\network service" cmd.exe à partir d’une invite de commandes avec élévation de privilèges.
  3. Exécutez certmgr.msc dans l’invite de commandes nouvellement apparue.
  4. Dans la console de gestion, développez le conteneur personnel, puis sélectionnez Certificats.
  5. Localisez le certificat émis par connectorregistrationca.msappproxy.net.

Si la valeur est false, procédez comme suit pour vérifier le certificat :

  1. Exécutez certlm.msc.
  2. Dans la console de gestion, développez le conteneur personnel, puis sélectionnez Certificats.
  3. Localisez le certificat émis par connectorregistrationca.msappproxy.net.

Pour renouveler le certificat client :

Si un connecteur n’est pas connecté au service pendant plusieurs mois, ses certificats ont peut-être expiré. L’échec du renouvellement du certificat aboutit à un certificat expiré. Le certificat expiré entraîne l’arrêt du service connecteur. L’événement 1000 est enregistré dans le journal d’administration du connecteur :

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Dans ce cas, désinstallez et réinstallez le connecteur pour déclencher l’inscription, ou exécutez les commandes PowerShell suivantes :

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Pour en savoir plus sur la commande Register-MicrosoftEntraPrivateNetworkConnector, consultez Créer un script d’installation sans assistance pour le connecteur de réseau privé Microsoft Entra.

Vérifiez que l'administrateur est utilisé pour installer le connecteur

Objectif : vérifier que l’utilisateur qui tente d’installer le connecteur est un administrateur disposant des informations d’identification correctes. Actuellement, l’utilisateur doit être au moins administrateur d’application pour que l’installation réussisse.

Pour vérifier que les informations d’identification sont correctes :

Connectez-vous à https://login.microsoftonline.com en utilisant les mêmes informations d’identification. Vérifiez que la connexion a réussi. Vous pouvez vérifier le rôle utilisateur en sélectionnant Microsoft Entra ID ->Utilisateurs et groupes - >Tous les utilisateurs.

Sélectionnez votre compte d’utilisateur, puis Rôle d’annuaire dans le menu qui s’affiche. Vérifiez que le rôle sélectionné est Administrateur d’application. Si vous ne pouvez accéder à aucune des pages de ces étapes, vous n’avez pas de rôle requis.

Remarque

Vous devez être invité à entrer vos informations d’identification d’administrateur pendant l’installation du connecteur via une fenêtre contextuelle. Si vous ne recevez pas de fenêtre contextuelle, vérifiez que les paramètres de votre navigateur activent les fenêtres contextuelles et JavaScript sont activés. Lors de la prochaine tentative d’installation, vous serez invité à ajouter des sites aux sites approuvés. Une fois les sites ajoutés aux sites approuvés, réexécutez l’installation.

Erreurs de connecteur

Si l’inscription échoue au cours de l’installation de l’assistant du connecteur, vous pouvez afficher la raison de l’échec de deux façons. Regardez dans le journal des événements sous Windows Logs\Application (filter by Source = "Microsoft Entra private network connector", ou exécutez la commande Windows PowerShell suivante :

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Une fois l’erreur de connecteur identifiée dans le journal des événements, reportez-vous à cette table d’erreurs courantes pour résoudre le problème :

Erreur Étapes recommandées
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Si vous avez fermé la fenêtre d’inscription sans vous connecter à Microsoft Entra ID, réexécutez l’Assistant du connecteur et enregistrez le connecteur.

Si la fenêtre d’inscription s’ouvre puis se ferme immédiatement sans vous permettre de vous connecter, vous allez recevoir une erreur. L’erreur se produit lorsqu’il existe une erreur de réseau sur votre système. Vérifiez que vous pouvez vous connecter à partir d’un navigateur à un site web public et que les ports sont ouverts, comme spécifié dans Configurer les connecteurs.
Clear error is presented in the registration window. Cannot proceed Si l’erreur se produit et que la fenêtre se ferme, cela signifie que vous avez saisi un nom d’utilisateur ou un mot de passe incorrect. Réessayez.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Vous tentez de vous connecter avec un compte Microsoft et non un domaine qui fait partie de l’ID d’organisation de l’annuaire auquel vous tentez d’accéder. L’administrateur doit faire partie du même nom du domaine que le domaine du locataire. Par exemple, si le domaine Microsoft Entra est contoso.com, l’administrateur doit être admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. En cas d’échec de l’installation du connecteur, vérifiez que la stratégie d’exécution de PowerShell n’est pas désactivée.

1. Ouvrez l’Éditeur de stratégie de groupe.
2. Accédez à Configuration ordinateur>Modèles d’administration>Composants Windows>Windows PowerShell et double-cliquez sur Activer l’exécution des scripts.
3. Cette stratégie d’exécution peut être définie sur Non configuré ou Activé. Si elle est définie sur Activé, vérifiez que sous Options, la stratégie d’exécution est définie sur Autoriser les scripts locaux et les scripts signés distants ou sur Autoriser tous les scripts.
Connector failed to download the configuration. Le certificat client du connecteur, qui est utilisé pour l’authentification, est expiré. Le problème se produit si le connecteur est installé derrière un proxy. Dans ce cas, le connecteur ne peut pas accéder à Internet et n’est pas en mesure de fournir des applications aux utilisateurs distants. Renouvelez l’approbation manuellement à l’aide de l’applet de commande Register-MicrosoftEntraPrivateNetworkConnector dans Windows PowerShell. Si votre connecteur se trouve derrière un proxy, il est nécessaire d’accorder à Internet l’accès aux comptes de connecteur network services et local system. L’octroi de l’accès est effectué en lui accordant l’accès au proxy ou en contournant le proxy.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' L’alias avec lequel vous essayez de vous connecter n’est pas un administrateur sur ce domaine. Votre connecteur est toujours installé pour l’annuaire qui détient le domaine de l’utilisateur. Assurez-vous que le compte d’administrateur avec lequel vous essayez de vous connecter possède au moins les autorisations d’administrateur d’application pour le client Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Le connecteur ne peut pas se connecter au service cloud de proxy d’application. Le problème se produit si vous avez une règle de pare-feu qui bloque la connexion. Autorisez l’accès aux ports et URL appropriés listés dans Configurer les connecteurs.

Organigramme des problèmes de connecteur

Cet organigramme vous guide à travers les étapes de débogage des problèmes de connecteur plus courants. Pour plus d’informations sur chaque étape, consultez le tableau suivant l’organigramme.

Organigramme montrant les étapes de débogage d’un connecteur.

Étape Action Description
1 Recherchez le groupe de connecteurs attribué à l’application Vous avez probablement un connecteur installé sur plusieurs serveurs, auquel cas les connecteurs doivent être attribués à un groupe de connecteurs. Pour en savoir plus sur les groupes de connecteurs, consultez Présentation des groupes de connecteurs de réseau privé Microsoft Entra.
2 Installez le connecteur et attribuez-lui un groupe Si vous n’avez pas de connecteur installé, consultez Configurer les connecteurs.

Si le connecteur n’est pas attribué à un groupe, consultezAttribuer le connecteur à un groupe.

Si l’application n’est pas attribuée à un groupe de connecteurs, consultez Attribuer l’application à un groupe de connecteurs.
3 Exécutez un test de port sur le serveur du connecteur Sur le serveur du connecteur, exécutez un test de port avec telnet ou un autre outil de test de port pour vérifier que les ports sont correctement configurés. Pour plus d’informations, consultez Configurer les connecteurs.
4 Configurez les domaines et les ports Configurer les connecteurs pour le connecteur. Certains ports doivent être ouverts, et votre serveur doit être en mesure d’accéder à certains URL. Pour plus d’informations, consultez Configurer les connecteurs.
5 Vérifiez si un proxy de serveur principal est en cours d’utilisation Vérifiez si les connecteurs utilisent des serveurs proxy principaux ou les ignorent. Pour en savoir plus, consultez Résoudre les problèmes courants de proxy de connecteur et de connectivité du service.
6 Mettre à jour les paramètres du connecteur et du programme de mise à jour avec les informations du proxy back-end Si un proxy back-end est en cours d’utilisation, vérifiez que le connecteur utilise le même proxy. Pour plus d’informations sur le dépannage et la configuration des connecteurs pour les utiliser avec des serveurs proxy, consultez Travailler avec des serveurs proxy locaux existants.
7 Chargez l’URL interne de l’application sur le serveur du connecteur Sur le serveur de connecteur, chargez l’URL interne de l’application.
8 Vérifiez la connectivité de réseau interne Votre réseau interne est soumis à un problème de connectivité que cette procédure de débogage ne peut pas diagnostiquer. L’application doit être accessible en interne pour que les connecteurs puissent fonctionner. Vous pouvez activer et voir les journaux des événements du connecteur, comme décrit dans les connecteurs de réseau privé.
9 Augmentez la valeur du délai d’attente sur le serveur principal Dans les Paramètres supplémentaires de votre application, définissez la valeur du champ Expiration de l’application principale sur Long. Consultez Ajouter une application locale à Microsoft Entra ID.
10 Si les problèmes persistent, déboguez les applications. Déboguer les problèmes d’application du proxy d’application.

Résolution des problèmes liés aux fonctionnalités du connecteur

Si l’installation et l’inscription du connecteur réussissent, mais que vous ne parvenez pas à accéder aux ressources privées, vérifiez ce qui suit.

  • échecs de connectivité du service cloud: votre connecteur peut rencontrer des problèmes de connexion au service cloud Entra Private Access. Même si l’état du connecteur sur le Centre d’administration Microsoft Entra peut s’afficher comme Actif, le connecteur peut encore rencontrer des problèmes de connexion aux points de terminaison de service cloud. Contactez votre équipe réseau pour voir s’il existe des tentatives de connectivité ayant échoué à partir de l’adresse IP du connecteur.
  • Échec de la validation de la chaîne de certificats: Cette erreur apparaît dans la journalisation avancée du connecteur lorsque la chaîne de certificats d’un certificat de service Global Secure Access tel que *.msappproxy.net échoue à être validée. Cela se produit souvent lorsqu’un serveur proxy est configuré sur MicrosoftEntraPrivateNetworkConnectorService.exe.config, mais qu’il n’existe pas non plus de serveur proxy système configuré. Vous pouvez définir le proxy système à l’aide de netsh winhttp set proxy address :port.
  • L’inspection TLS est configurée : l’inspection TLS n’est pas prise en charge sur le trafic du connecteur de réseau privé. La tentative d’inspection TLS sur ce trafic interfère avec la capacité du connecteur à se connecter au service Global Secure Access et interfère donc avec sa capacité à traiter les demandes d’accès privé. Vérifiez que les appareils réseau autorisant l’accès à Internet à votre connecteur de réseau privé n’effectuent pas d’inspection TLS.
  • serveur proxy existe entre le connecteur et la ressource: le connecteur nécessite une connectivité de ligne de vue à la ressource et ne peut pas fonctionner s’il existe un serveur proxy entre le connecteur et la ressource. Pour confirmer, testez la connectivité du connecteur à la ressource que vous avez définie dans votre application Global Secure Access, telle que le partage de fichiers ou le serveur RDP, pour vous assurer que le connecteur peut accéder à la ressource. Si vous ne pouvez pas vous connecter à la ressource à partir du serveur de connecteur, vous devez résoudre le problème de connectivité réseau entre le connecteur et la ressource qui peut inclure le déplacement du connecteur vers un emplacement réseau avec un accès en ligne de vue à la ressource.

Activer la journalisation avancée des connecteurs

Si vous pouvez vous connecter à la ressource à partir du serveur, mais pas à partir du client Accès sécurisé global, il peut y avoir d’autres problèmes avec le connecteur. Pour examiner, activez la journalisation avancée des connecteurs. Pour ce faire, modifiez le fichier MicrosoftEntraPrivateNetworkConnectorService.exe.config situé dans le dossier d’installation du connecteur (par défaut, C :\Program Files\Microsoft Entra private network connector). Recherchez la section ci-dessous dans le fichier, supprimez les indicateurs de ligne de commentaire qui mènent et suivent cette section, puis vérifiez que le dossier référencé existe.

Capture d’écran montrant le fichier de configuration avant les modifications requises.

Le contenu du fichier doit se présenter comme suit :

Capture d’écran montrant un exemple du fichier de configuration final attendu.

Une fois la journalisation activée, essayez d’accéder à la ressource à partir du client Global Secure Access pour reproduire l’erreur. Ensuite, passez en revue le fichier journal pour connaître les erreurs.

Questions fréquemment posées

Pourquoi mon connecteur utilise-t-il toujours une version ancienne et n'est-il pas automatiquement mis à niveau vers la dernière version ?

Le service de mise à jour ne fonctionne peut-être pas correctement, ou bien aucune nouvelle mise à jour n'est disponible.

Le service de mise à jour est sain s’il fonctionne et qu’aucune erreur n’est enregistrée dans le journal des événements (Applications and Services logs – >Microsoft –> Réseau privé Microsoft Entra –> Updater –> Administrateur(-trice)).

Important

Seules les versions principales sont disponibles pour la mise à niveau automatique. Nous vous recommandons de mettre à jour votre connecteur manuellement uniquement si nécessaire. Par exemple, vous ne pouvez pas attendre une mise en production majeure parce que vous devez résoudre un problème connu ou utiliser une nouvelle fonctionnalité. Si vous souhaitez en savoir plus sur les nouvelles versions, le type de version (téléchargement, mise à niveau automatique), les correctifs de bogues et les nouvelles fonctionnalités, veuillez consulter la rubrique Connecteur de réseau privé Microsoft Entra : historique de publication des versions.

Pour procéder à la mise à niveau manuelle d'un connecteur :

  • Téléchargez la dernière version du connecteur. (Recherchez-le dans le Centre d’administration Microsoft Entra à l’adresse Accès global sécurisé>Se connecter>Connecteurs)
  • Le programme d’installation redémarre les services de connecteur de réseau privé Microsoft Entra. Dans certains cas, un redémarrage du serveur peut être nécessaire si le programme d'installation ne peut pas remplacer tous les fichiers. Par conséquent, nous vous recommandons de fermer toutes les applications via l’observateur d’événements avant de lancer la mise à niveau.
  • Exécutez le programme d’installation. Le processus de mise à niveau est rapide, ne nécessite aucune information d’identification, et le connecteur n’est pas réinscrit.

Les services de connecteur de réseau privé peuvent-ils s’exécuter dans un contexte utilisateur différent de celui par défaut ?

Non, ce scénario n’est pas pris en charge. Les paramètres par défaut sont :

  • Connecteur de réseau privé Microsoft Entra - WAPCSvc - Service réseau
  • Mise à jour du connecteur de réseau privé Microsoft Entra - WAPCUpdaterSvc - NT Authority\System

Un utilisateur invité disposant d’une attribution de rôle Administrateur actif peut-il inscrire le connecteur pour le locataire (invité) ?

Non, ce n’est pas possible actuellement. La tentative d’inscription est toujours effectuée sur le locataire de base de l’utilisateur.

Mon application back-end est hébergée sur plusieurs serveurs web et exige une persistance de la session utilisateur (adhérence). Comment puis-je obtenir la persistance de session ?

Pour obtenir des recommandations, consultez haute disponibilité et équilibrage de charge de vos connecteurs et applications de réseau privé.

La terminaison TLS (inspection ou accélération TLS/HTTPS) sur le trafic entre les serveurs du connecteur et Azure est-elle prise en charge ?

Le connecteur de réseau privé effectue l’authentification basée sur des certificats sur Azure. La terminaison TLS (inspection ou accélération TLS/HTTPS) interrompt cette méthode d’authentification et n’est pas prise en charge. Le trafic entre le connecteur et Azure doit ignorer tous les appareils qui effectuent un arrêt TLS.

TLS 1.2 est-il requis pour toutes les connexions ?

Oui. Pour offrir le meilleur chiffrement à nos clients, le service proxy d’application limite l’accès aux seuls protocoles TLS 1.2. Ces changements ont été progressivement déployés et sont en vigueur depuis le 31 août 2019. Vérifiez que toutes vos combinaisons client-serveur et navigateur-serveur sont mises à jour pour utiliser TLS 1.2 afin de maintenir la connexion au service proxy d’application. Cela comprend notamment les clients que vos utilisateurs utilisent pour accéder aux applications publiées par le biais du proxy d’application. Pour accéder à des ressources et des références utiles, consultez Préparation à l’utilisation de TLS 1.2 dans Office 365.

Puis-je placer un appareil proxy de transfert entre le ou les serveurs du connecteur et le serveur d’applications back-end ?

Ce scénario est pris en charge à partir du connecteur version 1.5.1526.0 pour le proxy d’application Microsoft Entra, mais n’est pas pris en charge pour Microsoft Entra Private Access. Pour plus d’informations sur cette prise en charge du proxy d’application, consultez Utiliser des serveurs proxy locaux existants.

Dois-je créer un compte dédié pour inscrire le connecteur auprès du proxy d’application Microsoft Entra ?

Il n’y a aucune raison de créer un compte dédié. Tout compte avec le rôle Administrateur d’application fonctionne. Les informations d’identification entrées pendant l’installation ne sont pas utilisées après le processus d’inscription. En revanche, un certificat est émis pour le connecteur, puis utilisé à des fins d’authentification par la suite.

Comment puis-je surveiller les performances du connecteur de réseau privé Microsoft Entra ?

Des compteurs Moniteur de performance sont installés avec le connecteur. Pour les voir :

  1. Sélectionnez Démarrer, tapez « Perfmon », puis appuyez sur Entrée.
  2. Sélectionnez Analyseur de performances, puis cliquez sur l’icône + verte.
  3. Ajoutez les compteurs du connecteur réseau privé Microsoft Entra que vous souhaitez surveiller.

Le connecteur de réseau privé Microsoft Entra doit-il se trouver sur le même sous-réseau que la ressource ?

Le connecteur ne doit pas obligatoirement se trouver sur le même sous-réseau. En revanche, il a besoin d’une résolution de noms (DNS, fichier hosts) pour la ressource et de la connectivité réseau appropriée (routage vers la ressource, ports ouverts sur la ressource, etc.). Pour obtenir les recommandations correspondantes, consultez les considérations sur la topologie du réseau lors de l’utilisation du proxy d’application Microsoft Entra.

Pourquoi le connecteur s'affiche-t-il toujours dans le centre d'administration Microsoft Entra après que j’ai désinstallé le connecteur du serveur ?

Lorsqu’un connecteur est en cours d’exécution, il reste actif dans la mesure où il se connecte au service. Les connecteurs désinstallés ou inutilisés sont marqués comme inactifs et supprimés après 10 jours d’inactivité du Centre d’administration Microsoft Entra. Il n’existe aucun moyen de supprimer manuellement le connecteur inactif du centre d’administration Microsoft Entra.

Étapes suivantes