Condividi tramite


Risolvere i problemi di installazione del connettore di rete privata

Il connettore di rete privata Microsoft Entra è un componente di dominio interno che usa le connessioni in uscita per stabilire la connettività dall'endpoint disponibile nel cloud al dominio interno. Il connettore viene usato sia da Accesso Privato Microsoft Entra che dal proxy dell'applicazione Microsoft Entra. Questo articolo descrive come risolvere i problemi relativi all'installazione del connettore e alle funzionalità successive.

Aree problematiche generali con l'installazione del connettore

Quando l'installazione di un connettore non riesce, la causa radice è in genere una delle aree seguenti. Come precursore di qualsiasi risoluzione dei problemi, assicurarsi di riavviare il connettore.

  • Connettività: per completare un'installazione, è necessario che il nuovo connettore registri e definisca le future proprietà di attendibilità. L'attendibilità viene stabilita connettendosi al servizio cloud proxy dell'applicazione Microsoft Entra.
  • Definizione dell'attendibilità: il nuovo connettore crea un certificato autofirmato ed effettua la registrazione al servizio cloud.
  • Autenticazione dell'amministratore : durante l'installazione, l'utente deve fornire le credenziali di amministratore per completare l'installazione del connettore.

Nota

I log di installazione del %TEMP% connettore sono disponibili nella cartella e possono fornire informazioni aggiuntive su ciò che causa un errore di installazione.

Verificare la connettività al servizio proxy dell'applicazione cloud e alla pagina di accesso Microsoft

Obiettivo: verificare che il computer connettore possa connettersi all'endpoint di registrazione del proxy dell'applicazione e alla pagina di accesso Microsoft.

  1. Nel server connettore eseguire un test della porta usando telnet o un altro strumento di test delle porte per verificare che le porte 443 e 80 siano aperte.

  2. Verificare che il firewall o il proxy back-end abbia accesso ai domini e alle porte necessari, vedere Configurare i connettori.

  3. Aprire una scheda del browser e immettere: https://login.microsoftonline.com. Assicurarsi di poter accedere.

Verificare il supporto del certificato per la macchina e il componente del back-end

Obiettivo: verificare che il computer connettore, il proxy back-end e il firewall possano supportare il certificato creato dal connettore. Verificare anche che il certificato sia valido.

Nota

Il connettore tenta di creare un SHA512 certificato supportato da Transport Layer Security (TLS) 1.2. Se il computer o il firewall back-end e il proxy non supporta TLS 1.2, l'installazione non riesce.

Esaminare i prerequisiti necessari:

  1. Verificare che il computer supporti Transport Layer Security (TLS) 1.2: tutte le versioni di Windows successive alla versione 2012 R2 devono supportare TLS 1.2. Se la macchina connettore è di una versione 2012 R2 o precedente, assicurati che siano installati gli aggiornamenti necessari.

  2. Contattare l'amministratore di rete e chiedere di verificare che il proxy back-end e il firewall non blocchino SHA512 il traffico in uscita.

Per verificare il certificato client:

Verificare l'impronta digitale del certificato client corrente. L'archivio certificati è disponibile in %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

I valori possibili di IsInUserStore sono true e false. Un valore true indica che il certificato viene rinnovato automaticamente e archiviato nel contenitore personale nell'archivio certificati utente del servizio di rete. Un valore false indica che il certificato client viene creato durante l'installazione o la registrazione avviata da Register-MicrosoftEntraPrivateNetworkConnector. Il certificato viene archiviato nel contenitore personale nell'archivio certificati del computer locale.

Se il valore è true, seguire questa procedura per verificare il certificato:

  1. Scarica PsTools.zip.
  2. Estrarre PsExec dal pacchetto ed eseguire psexec -i -u "nt authority\network service" cmd.exe da un prompt dei comandi con privilegi elevati.
  3. Eseguire certmgr.msc nel prompt dei comandi appena visualizzato.
  4. Nella console di gestione espandere il contenitore Personale e selezionare Certificati.
  5. Individuare il certificato rilasciato da connectorregistrationca.msappproxy.net.

Se il valore è false, seguire questa procedura per verificare il certificato:

  1. Eseguire certlm.msc.
  2. Nella console di gestione espandere il contenitore Personale e selezionare Certificati.
  3. Individuare il certificato rilasciato da connectorregistrationca.msappproxy.net.

Per rinnovare il certificato client:

Se un connettore non viene connesso al servizio per molti mesi, i relativi certificati potrebbero non essere più aggiornati. L'errore di rinnovo del certificato comporta un certificato scaduto. Il certificato scaduto causa l'interruzione del funzionamento del servizio connettore. L'evento 1000 viene registrato nel log di amministrazione del connettore:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

In questo caso, disinstallare e reinstallare il connettore per avviare la registrazione oppure è possibile eseguire i comandi di PowerShell seguenti:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Per altre informazioni sul Register-MicrosoftEntraPrivateNetworkConnector comando, vedere Creare uno script di installazione automatica per il connettore di rete privata Microsoft Entra.

Verificare che il connettore venga installato da un utente con il ruolo di amministratore

Obiettivo: verificare che l'utente che tenta di installare il connettore sia un amministratore con le credenziali corrette. Attualmente, l'utente deve essere almeno un amministratore dell'applicazione affinché l'installazione abbia esito positivo.

Per verificare che le credenziali siano corrette:

Connettersi a https://login.microsoftonline.com e usare le stesse credenziali. Controllare che l'accesso abbia esito positivo. È possibile controllare il ruolo utente passando a Microsoft Entra ID ->Utenti e gruppi ->Tutti gli utenti.

Seleziona il tuo account utente, quindi Ruolo della directory nel menu risultante. Verificare che il ruolo selezionato sia Amministratore applicazione. Se non è possibile accedere a una delle pagine descritte in questi passaggi, non si ha il ruolo richiesto.

Nota

Durante l'installazione del connettore dovrebbe essere richiesto di immettere le credenziali di amministratore tramite un popup. Se non si riceve un popup, assicurarsi che le impostazioni del browser abilitano i popup e JavaScript sia abilitato. Durante il tentativo di installazione successivo, verrà richiesto di aggiungere siti a siti attendibili. Dopo aver aggiunto i siti ai siti attendibili, eseguire nuovamente l'installazione.

Errori del connettore

Se la registrazione non riesce durante l'installazione guidata del connettore, esistono due modi per visualizzare il motivo dell'errore. Cercare nel registro eventi sotto Windows Logs\Application (filter by Source = "Microsoft Entra private network connector", oppure eseguire il seguente comando di Windows PowerShell:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Dopo aver individuato l'errore del connettore dal registro eventi, usare questa tabella di errori comuni per risolvere il problema:

Errore Procedure consigliate
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Se la finestra di registrazione è stata chiusa senza accedere a Microsoft Entra ID, eseguire di nuovo la procedura guidata del connettore e registrare il connettore.

Se si apre la finestra di registrazione e quindi si chiude immediatamente senza consentire l'accesso, viene visualizzato l'errore. L'errore si verifica quando si verifica un errore di rete nel sistema. Assicurarsi di potersi connettere da un browser a un sito Web pubblico e che le porte siano aperte come specificato nei connettori di configurazione.
Clear error is presented in the registration window. Cannot proceed Se viene visualizzato l'errore e quindi la finestra viene chiusa, è stato immesso il nome utente o la password non corretti. Riprovare.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Si sta cercando di effettuare l'accesso utilizzando un account Microsoft e non un dominio che fa parte dell'ID organizzativo della directory a cui si sta cercando di accedere. L'amministratore deve far parte dello stesso nome di dominio del dominio tenant. Ad esempio, se il dominio Microsoft Entra è contoso.com, l'amministratore deve essere admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Se l'installazione del connettore non riesce, assicurarsi che la politica di esecuzione di PowerShell non sia disabilitata.

1. Aprire l'Editor Criteri di gruppo.
2. Passare a Configurazione Computer>Modelli Amministrativi>Componenti di Windows>Windows PowerShell e fare doppio clic su Attiva l'esecuzione script.
3. I criteri di esecuzione possono essere impostati su Non configurato o Abilitato. Se l'impostazione è Abilitato, verificare che in Opzioni la voce Criteri di esecuzione sia impostata su Consenti script locali e script remoti firmati o su Consenti tutti gli script.
Connector failed to download the configuration. Il certificato client del connettore, usato per l'autenticazione, è scaduto. Il problema si verifica se il connettore è installato dietro un proxy. In questo caso, il connettore non può accedere a Internet e non è in grado di fornire applicazioni agli utenti remoti. Rinnovare manualmente l'attendibilità con il cmdlet Register-MicrosoftEntraPrivateNetworkConnector in Windows PowerShell. Se il connettore è dietro un proxy, è necessario concedere l'accesso a Internet agli account del connettore network services e local system. La concessione dell'accesso viene eseguita concedendo l'accesso a un proxy o bypassando il proxy.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' L'alias con cui si sta tentando di accedere non è un amministratore di questo dominio. Il connettore viene sempre installato per la directory proprietaria del dominio dell'utente. Assicurarsi che l'account amministratore con cui si sta tentando di accedere disponga almeno delle autorizzazioni di amministratore dell'applicazione per il tenant di Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Il connettore non è in grado di connettersi al servizio cloud del proxy dell'applicazione. Il problema si verifica se si dispone di una regola del firewall che blocca la connessione. Consentire l'accesso alle porte e agli URL corretti elencati in Configurare i connettori.

Diagramma di flusso per i problemi dei connettori

Questo diagramma di flusso illustra i passaggi per il debug di alcuni dei problemi più comuni del connettore. Per informazioni dettagliate su ogni passaggio, vedere la tabella che segue il diagramma di flusso.

Diagramma di flusso che mostra i passaggi per il debug di un connettore.

Passo Azione Descrizione
1 Trovare il gruppo di connettori assegnato all'app Probabilmente è installato un connettore in più server, nel qual caso i connettori devono essere assegnati a un gruppo di connettori. Per altre informazioni sui gruppi di connettori, vedere Informazioni sui gruppi connettori di rete privata di Microsoft Entra.
2 Installare il connettore e assegnare un gruppo Se non è installato un connettore, vedere Configurare i connettori.

Se il connettore non è assegnato a un gruppo, vedere Assegnare il connettore a un gruppo.

Se l'applicazione non è assegnata a un gruppo di connettori, vedere Assegnare l'applicazione a un gruppo di connettori.
3 Eseguire un test della porta nel server del connettore Nel server connettore eseguire un test di porta usando telnet o un altro strumento di test delle porte per verificare se le porte sono configurate correttamente. Per altre informazioni, vedere configurare i connettori.
4 Configurare i domini e le porte Configurare i connettori per il sistema collegante. Alcune porte devono essere aperte e gli URL a cui il server deve poter accedere. Per altre informazioni, vedere Configurare i connettori.
5 Controllare se è in uso un proxy back-end Verificare se i connettori utilizzano server proxy back-end o li aggirano. Per informazioni dettagliate, vedere Risolvere i problemi relativi al proxy del connettore e i problemi di connettività del servizio.
6 Aggiornare le impostazioni del connettore e del programma di aggiornamento con le informazioni sul proxy del back-end Se è in uso un proxy back-end, assicurarsi che il connettore stia utilizzando lo stesso proxy. Per informazioni dettagliate sulla risoluzione dei problemi e sulla configurazione dei connettori per l'uso con i server proxy, vedere Usare i server proxy locali esistenti.
7 Caricare l'URL interno dell'app nel server del connettore Sul server connettore, carica l'URL interno dell'app.
8 Controllare la connettività di rete interna Si è verificato un problema di connettività nella rete interna che questo flusso di debug non è in grado di diagnosticare. L'applicazione deve essere accessibile internamente per consentire il funzionamento dei connettori. È possibile abilitare e visualizzare i registri eventi del connettore come descritto in Connettori di rete privati.
9 Allunga il valore di timeout nel back-end Nelle Impostazioni aggiuntive per l'applicazione, modificare l'impostazione Timeout dell'applicazione back-end su Long. Consulta Aggiungere un'app locale a Microsoft Entra ID.
10 Se i problemi vengono mantenuti, eseguire il debug delle applicazioni. Risolvi i problemi del proxy applicativo.

Risoluzione dei problemi relativi alla funzionalità del connettore

Se l'installazione e la registrazione del connettore hanno esito positivo, ma non è possibile accedere alle risorse private, verificare quanto segue.

  • gli errori di connettività del servizio cloud: il connettore potrebbe riscontrare problemi di connessione al servizio cloud Entra Private Access. Anche se lo stato del connettore nell'interfaccia di amministrazione di Microsoft Entra potrebbe essere attivo, il connettore potrebbe avere ancora problemi di connessione agli endpoint del servizio cloud. Rivolgersi al team di rete per verificare se sono presenti tentativi di connettività non riusciti dall'IP del connettore.
  • Errore nella convalida della catena di certificati: Questo errore appare nella registrazione avanzata del connettore quando la catena di certificati per un certificato del servizio di Accesso Sicuro Globale, ad esempio, *.msappproxy.net, non riesce a essere convalidata. Spesso ciò si verifica quando è configurato un server proxy in MicrosoftEntraPrivateNetworkConnectorService.exe.config, ma non è configurato anche un server proxy di sistema. È possibile impostare il proxy di sistema usando netsh winhttp set proxy address:port.
  • l'ispezione TLS è configurata: l'ispezione TLS non è supportata nel traffico del connettore di rete privata. Il tentativo di eseguire l'ispezione TLS su questo traffico interferisce con la capacità del connettore di connettersi al servizio Accesso sicuro globale e pertanto interferisce con la possibilità di gestire le richieste di accesso privato. Assicurarsi che i dispositivi di rete che consentano l'accesso a Internet al connettore di rete privata non eseguano l'ispezione TLS.
  • Esiste un server proxy tra il connettore e la risorsa: il connettore richiede connettività line-of-sight alla risorsa e non può funzionare se c'è un server proxy tra il connettore e la risorsa. Per verificare, testare la connettività dal connettore alla risorsa definita nell'applicazione Accesso sicuro globale, ad esempio condivisione file o server RDP, per assicurarsi che il connettore possa accedere alla risorsa. Se non è possibile connettersi alla risorsa dal server del connettore, sarà necessario risolvere il problema di connettività di rete tra il connettore e la risorsa che può includere la rilocazione del connettore in un percorso di rete con accesso linea di visualizzazione alla risorsa.

Abilitare la registrazione avanzata dei connettori

Se è possibile connettersi alla risorsa dal server ma non dal client Di accesso sicuro globale, potrebbero verificarsi altri problemi con il connettore. Per analizzare, abilitare la registrazione avanzata del connettore. A tale scopo, modificare il file MicrosoftEntraPrivateNetworkConnectorService.exe.config che si trova nella cartella di installazione del connettore (per impostazione predefinita, C:\Programmi\Connettore di rete privata Microsoft Entra). Individuare la seguente sezione nel file, rimuovere i simboli di commento che delimitano questa sezione e verificare che la cartella di riferimento esista.

Screenshot che mostra il file di configurazione prima delle modifiche necessarie.

Il contenuto del file dovrebbe essere simile al seguente:

Screenshot che mostra un esempio del file di configurazione finale previsto.

Dopo aver abilitato la registrazione, tentate di accedere alla risorsa dal client di accesso sicuro globale per riprodurre l'errore. Esaminare quindi il file di log per individuare gli errori.

Domande frequenti

Perché il connettore usa ancora una versione precedente e non viene aggiornato automaticamente alla versione più recente?

Ciò può essere dovuto al fatto che il servizio di aggiornamento non funziona correttamente oppure che non sono disponibili nuovi aggiornamenti da installare.

Il servizio di aggiornamento è integro se è in esecuzione e non sono presenti errori registrati nel registro eventi (registri applicazioni e servizi -> Microsoft -> Microsoft Entra private network -> Updater -> Admin).

Importante

Per l'aggiornamento automatico vengono rilasciate solo le versioni principali. È consigliabile aggiornare manualmente il connettore solo se necessario. Ad esempio, non è possibile attendere una versione principale perché è necessario risolvere un problema noto o si vuole usare una nuova funzionalità. Per altre informazioni sulle nuove versioni, il tipo di versione (download, aggiornamento automatico), correzioni di bug e nuove funzionalità, vedere Connettore di rete privata Microsoft Entra: Cronologia delle versioni.

Per aggiornare manualmente un connettore:

  • Scaricare la versione più recente del connettore, (Trovalo nell'interfaccia di amministrazione di Microsoft Entra in Global Secure Access>Connect>Connectors)
  • Il programma di installazione riavvia i servizi connettore di rete privata Microsoft Entra. In alcuni casi, può essere necessario un riavvio del server se il programma di installazione non riesce a sostituire tutti i file. Pertanto, è consigliabile chiudere tutte le applicazioni ,ovvero Visualizzatore eventi) prima di avviare l'aggiornamento.
  • Eseguire il programma di installazione. Il processo di aggiornamento è rapido e non richiede la fornitura di credenziali e il connettore non viene registrato nuovamente.

I servizi del connettore di rete privata possono essere eseguiti in un contesto utente diverso da quello predefinito?

No, questo scenario non è supportato. Le impostazioni predefinite sono le seguenti:

  • Connettore di rete privata Microsoft Entra - WAPCSvc - Servizio di rete
  • Microsoft Entra aggiornamento connettore di rete privata - WAPCUpdaterSvc - NT Authority\System

Un utente ospite con un ruolo di amministratore attivo assegnato può registrare il connettore per il tenant (ospite)?

No, attualmente non è possibile. Il tentativo di registrazione viene sempre eseguito nel tenant principale dell'utente.

L'applicazione back-end è ospitata in più server Web e richiede la persistenza della sessione utente. Come si ottiene la persistenza della sessione?

Per consigli, vedere Disponibilità elevata e bilanciamento del carico dei connettori e delle applicazioni di rete privata.

La terminazione TLS (ispezione o accelerazione TLS/HTTPS) sul traffico dai server del connettore ad Azure è supportata?

Il connettore di rete privata esegue l'autenticazione basata su certificati in Azure. La terminazione di TLS (ispezione o accelerazione TLS/HTTPS) invalida questo metodo di autenticazione e non è supportata. Il traffico dal connettore ad Azure deve ignorare tutti i dispositivi che eseguono la terminazione TLS.

TLS 1.2 è necessario per tutte le connessioni?

Sì. Per fornire la crittografia migliore ai clienti, il servizio proxy dell'applicazione limita l'accesso solo ai protocolli TLS 1.2. Queste modifiche sono state implementate gradualmente e sono effettive a partire dal 31 agosto 2019. Assicurarsi che tutte le combinazioni client-server e browser-server vengano aggiornate per usare TLS 1.2 per mantenere la connessione al servizio proxy dell'applicazione. Questi includono i client usati dagli utenti per accedere alle applicazioni pubblicate tramite il proxy dell'applicazione. Vedere Preparazione per l'uso di TLS 1.2 in Office 365 per riferimenti e risorse utili.

È possibile posizionare un dispositivo proxy di inoltro tra i server del connettore e il server applicazioni back-end?

Questo scenario è supportato a partire dal connettore versione 1.5.1526.0 per il proxy dell'applicazione Microsoft Entra, ma non è supportato per Microsoft Entra Private Access. Consulta Usare i server proxy locali esistenti per informazioni su questo supporto per App Proxy.

È necessario creare un account dedicato per registrare il connettore con il proxy dell'applicazione Microsoft Entra?

Non esiste alcun motivo per creare un account dedicato. Qualsiasi account con il ruolo Di amministratore dell'applicazione funziona. Le credenziali immesse durante l'installazione non vengono usate dopo il processo di registrazione. Al contrario, al connettore viene rilasciato un certificato, che viene usato per l'autenticazione da quel momento in poi.

Come è possibile monitorare le prestazioni del connettore di rete privata Microsoft Entra?

Sono disponibili contatori del Monitor Prestazioni che vengono installati insieme al connettore. Per visualizzarli:

  1. Selezionare Start, digitare "Perfmon" e premere INVIO.
  2. Selezionare Performance Monitor e fare clic sull'icona + verde.
  3. Aggiungi i contatori del connettore di rete privata Microsoft Entra che desideri monitorare.

Il connettore di rete privata Microsoft Entra deve trovarsi nella stessa subnet della risorsa?

Non è necessario che il connettore si trovi nella stessa subnet. Tuttavia, richiede la risoluzione dei nomi di dominio (DNS, file hosts) per la risorsa e la connettività di rete necessaria (instradamento verso la risorsa, porte aperte sulla risorsa, e così via). Per consigli, vedere Considerazioni sulla topologia di rete quando si usa il proxy dell'applicazione Microsoft Entra.

Perché il connettore viene ancora visualizzato nell'interfaccia di amministrazione di Microsoft Entra dopo aver disinstallato il connettore dal server?

Quando un connettore è in esecuzione, rimane attivo quando si connette al servizio. I connettori disinstallati o inutilizzati vengono contrassegnati come inattivi e vengono rimossi dopo 10 giorni di inattività dall'interfaccia di amministrazione di Microsoft Entra. Non è possibile rimuovere manualmente il connettore Inattivo dall'interfaccia di amministrazione di Microsoft Entra.

Passaggi successivi