Condividi tramite

Risolvere i problemi del proxy dell'applicazione e i messaggi di errore

  • Articolo

Verificare prima di tutto che i connettori di rete privata siano configurati correttamente. Per altre informazioni, vedere Risolvere i problemi relativi al connettore di rete privata e Risolvere i problemi dell'applicazione proxy.

Se si verificano errori durante l'accesso a un'applicazione pubblicata o nelle applicazioni di pubblicazione, controllare le opzioni seguenti per verificare se il proxy dell'applicazione Microsoft Entra funziona correttamente:

  • Aprire la console servizi Windows. Verificare che il connettore di rete privata Microsoft Entra servizio sia abilitato e in esecuzione. Esaminare la pagina delle proprietà del servizio proxy di applicazione, come illustrato nell'immagine.
    Screenshot della finestra delle proprietà del connettore di rete privata di Microsoft Entra
  • Aprire il Visualizzatore eventi e cercare gli eventi del connettore di rete privato nei log delle applicazioni e dei servizi >Microsoft>Microsoft Entra private network>Connector>Admin.
  • Esaminare i log dettagliati. Attivare i log di sessione del connettore di rete privata.

Il rendering della pagina non è corretto

Si verificano problemi con il rendering dell'applicazione o il funzionamento non corretto senza ricevere messaggi di errore specifici. Il problema si verifica se è stato pubblicato il percorso dell'articolo, ma l'applicazione richiede il contenuto presente all'esterno di tale percorso.

Ad esempio, se si pubblica il percorso https://yourapp/app ma l'applicazione chiama le immagini in https://yourapp/media, non ne viene eseguito il rendering. Assicurarsi di pubblicare l'applicazione utilizzando il percorso di livello più alto necessario per includere tutto il contenuto pertinente. In questo esempio sarebbe http://yourapp/.

Un'applicazione proxy impiega troppo tempo a caricarsi

Le applicazioni possono essere funzionali, ma riscontrano una latenza lunga. Le modifiche della topologia di rete possono apportare miglioramenti alla velocità. Per una valutazione di topologie diverse, vedere il documento considerazioni sulla rete.

La pagina dell'applicazione non viene visualizzata correttamente per un proxy applicativo.

Quando si pubblica un'app proxy dell'applicazione, solo le pagine sotto la tua radice sono accessibili quando si accede all'applicazione. Se la pagina non viene visualizzata correttamente, l'URL interno radice usato per l'applicazione potrebbe non avere alcune risorse di pagina. Per risolvere il problema, pubblicare tutte le le risorse per la pagina come parte dell'applicazione.

Verificare se le risorse mancanti sono il problema. Aprire il tracker di rete, come Fiddler, o gli strumenti F12 in Microsoft Edge. Carica la pagina e cerca errori 404. Gli errori indicano che non è possibile trovare le pagine e che è necessario pubblicarle.

Supponiamo, ad esempio, di aver pubblicato un'applicazione per le spese usando l'URL interno http://myapps/expenses, ma l'app fa uso del foglio di stile http://myapps/style.css. Il foglio di stile non è disponibile nell'applicazione, quindi il caricamento dell'app spese genera un errore 404 nel tentativo di caricare style.css. In questo esempio risolvere il problema pubblicando l'applicazione con l'URL interno http://myapp/.

Problemi di pubblicazione come un'unica applicazione

Se non è possibile pubblicare tutte le risorse all'interno della stessa applicazione, è necessario pubblicare più applicazioni e abilitare i collegamenti tra di essi.

A tale scopo, è consigliabile usare la soluzione domini personalizzati. Tuttavia, questa soluzione richiede che possiediate il certificato per il vostro dominio e che le vostre applicazioni utilizzino nomi di dominio completamente qualificati (FQDN). Per altre opzioni, vedere la documentazione relativa alla risoluzione dei problemi dei collegamenti interrotti.

è possibile accedere all'applicazione, ma i collegamenti nella pagina dell'applicazione non funzionano.

Si è verificato un problema di connettività con l'applicazione

Non so quali porte aprire per la mia applicazione.

Si è verificato un problema durante la configurazione del proxy dell'applicazione Microsoft Entra nel portale di amministrazione

non si sa come configurare l'accesso Single Sign-On all'applicazione proxy dell'applicazione.

Ho un problema a configurare l'autenticazione back-end nella mia applicazione.

Non so come configurare Kerberos delega vincolata. non si sa come configurare l'applicazione con PingAccess.

Si è verificato un problema durante l'accesso all'applicazione

Viene visualizzato l'errore Can't Access this Corporate Application. Per risolvere questo problema, vedere Errore di timeout del gateway non valido.

Si è verificato un problema con il connettore di rete privata

si verificano problemi durante l'installazione del connettore di rete privata.

Errori Kerberos

Questa tabella illustra gli errori più comuni provenienti dall'installazione e dalla configurazione Kerberos e include suggerimenti per la risoluzione.

Errore Passaggi consigliati
Failed to retrieve the current execution policy for running PowerShell scripts. Se l'installazione del connettore non riesce, verificare che i criteri di esecuzione di PowerShell non siano disabilitati.

Aprire l'Editor Criteri di gruppo.
2. Passare a Configurazione computer >Modelli amministrativi>Componenti di Windows>windows PowerShell e fare doppio clic su Attiva esecuzione script.
3. I criteri di esecuzione possono essere impostati su Non configurato o Abilitato. Se impostato su Abilitato, assicurarsi che in Opzioni i criteri di esecuzione siano impostati su Consenti script locali e script firmati remoti o su Consenti tutti gli script.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Questo errore indica una configurazione non corretta tra Microsoft Entra ID e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel server applicazioni back-end siano sincronizzate.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Si è verificato un problema con la configurazione del servizio token di sicurezza( STS). Correggere la configurazione dell'attestazione Nome principale utente (UPN) nel Security Token Service.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni di back-end siano configurati correttamente, in particolare la configurazione del Nome Principale di Servizio (SPN). Assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Entrambi devono usare lo stesso dominio. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione del nome SPN. Assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Entrambi devono usare lo stesso dominio. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate.
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel server applicazioni back-end siano sincronizzate. Per altre informazioni, vedere Risolvere i problemi relativi alle configurazioni di delega vincolata Kerberos per il proxy dell'applicazione.

Errori dell'utente finale

Questo elenco illustra gli errori che gli utenti finali potrebbero riscontrare quando tentano di accedere all'app e hanno esito negativo.

Errore Passaggi consigliati
The website cannot display the page. L'utente riceve questo errore quando si tenta di accedere all'app pubblicata se l'applicazione è un'applicazione di autenticazione integrata di Windows ( IWA). Il nome SPN definito per l'applicazione non è corretto. Per le app IWA, verificare che lo SPN configurato per questa applicazione sia corretto.
The website cannot display the page. L'utente riceve questo errore quando si tenta di accedere all'app pubblicata se l'applicazione è un'applicazione OWA (Outlook Web Application). Il problema risulta da:
  • Il nome SPN definito per l'applicazione non è corretto. Assicurarsi che il nome SPN configurato per questa applicazione sia corretto.
  • L'utente che ha tentato di accedere all'applicazione usa un account Microsoft anziché l'account aziendale appropriato per l'accesso o l'utente è un utente guest. Assicurarsi che l'utente acceda usando un account aziendale che corrisponda al dominio dell'applicazione pubblicata. Gli utenti dell'account Microsoft e gli utenti guest non possono accedere alle applicazioni IWA.
  • L'utente che ha tentato di accedere all'applicazione non è correttamente definito per questa applicazione nella configurazione locale. Assicurarsi che l'utente disponga delle autorizzazioni appropriate definite per questa applicazione back-end nel computer locale.
    		•
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. L'utente riceve questo errore quando tenta di accedere all'app pubblicata se usano account Microsoft anziché il proprio account aziendale per accedere. Gli utenti guest visualizzano questo errore. Gli utenti e gli utenti guest dell'account Microsoft non possono accedere alle applicazioni IWA. Assicurarsi che l'utente acceda con il proprio account aziendale che corrisponde al dominio dell'applicazione pubblicata.

    È necessario assegnare l'utente per questa applicazione. Passare alla scheda applicazione e in Utenti e gruppiassegnare questo utente o gruppo di utenti a questa applicazione.
    This corporate app can’t be accessed right now. Please try again later… The connector timed out. L'utente riceve questo errore quando tenta di accedere all'app pubblicata se non è correttamente configurato per questa applicazione nell'ambiente locale. Assicurarsi che gli utenti dispongano delle autorizzazioni appropriate definite per questa applicazione back-end nel computer locale.
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. L'utente riceve questo errore quando tenta di accedere all'app pubblicata se non sono state assegnate in modo esplicito con una licenza Premium dall'amministratore del sottoscrittore. Passare alla scheda Active Directory Licenze del sottoscrittore e assicurarsi che a questo utente o gruppo di utenti sia assegnata una licenza Premium.
    A server with the specified host name could not be found. L'utente riceve questo errore quando si tenta di accedere all'app pubblicata se il dominio personalizzato dell'applicazione non è configurato correttamente. Controllare il certificato per il dominio e configurare correttamente il record DNS (Domain Name System). Per altre informazioni, vedere Uso di domini personalizzati in Microsoft Entra application proxy.
    Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. Il problema potrebbe essere un problema con l'accesso alle informazioni di autorizzazione. Per altre informazioni, vedere (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). In breve, aggiungere l'account del computer del connettore di rete privata al gruppo di dominio predefinito "Windows Authorization Access Group" per risolvere.
    InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. Il connettore protegge le connessioni in uscita agli endpoint del servizio cloud del proxy dell'applicazione di Microsoft Entra usando un certificato client. L'errore si verifica quando il certificato client non riesce a raggiungere l'endpoint. Ad esempio, un dispositivo di rete che esegue l'ispezione TLS (Transport Layer Security) o interrompe la connessione TLS. Evitare l'ispezione inline e la terminazione delle comunicazioni TLS in uscita. L'ispezione e la terminazione non devono verificarsi tra i connettori di rete privata Di Microsoft Entra e i servizi cloud proxy dell'applicazione Microsoft Entra.

    Vedere anche