Problemen met het installeren van de privénetwerkconnector oplossen
Microsoft Entra private network connector is een intern domeinonderdeel dat gebruikmaakt van uitgaande verbindingen om de connectiviteit tot stand te brengen van het beschikbare eindpunt in de cloud voor het interne domein. De connector wordt gebruikt door zowel Microsoft Entra-privétoegang als de Microsoft Entra-toepassingsproxy. In dit artikel wordt beschreven hoe u problemen met de installatie van de connector en de volgende functionaliteit kunt oplossen.
Algemene probleemgebieden met connectorinstallatie
Wanneer de installatie van een connector mislukt, ligt de hoofdoorzaak meestal in een van de volgende gebieden. Als voorloper van eventuele probleemoplossing moet u de connector opnieuw opstarten.
- Connectiviteit: voor een geslaagde installatie moet de nieuwe connector toekomstige vertrouwenseigenschappen registreren en instellen. Vertrouwen wordt tot stand gebracht door verbinding te maken met de cloudservice van de Microsoft Entra-toepassingsproxy.
- Vertrouwensinstelling: de nieuwe connector maakt een zelfondertekend certificaat en registreert zich bij de cloudservice.
- Verificatie van de beheerder : tijdens de installatie moet de gebruiker beheerdersreferenties opgeven om de connectorinstallatie te voltooien.
Notitie
De installatielogboeken van de connector vindt u in de %TEMP% map en kunnen u helpen aanvullende informatie te geven over wat een installatiefout veroorzaakt.
Controleer de verbinding met de cloudtoepassingsproxyservice en de aanmeldingspagina van Microsoft
Doelstelling: Controleer of de connectorcomputer verbinding kan maken met het registratie-eindpunt van de toepassingsproxy en de aanmeldingspagina van Microsoft.
Voer op de connectorserver een poorttest uit met telnet of een ander hulpprogramma voor poorttests om te controleren of de poorten 443 en 80 zijn geopend.
Controleer of de firewall of back-endproxy toegang heeft tot de vereiste domeinen en poorten; zie connectors configureren voor meer informatie.
Open een browsertabblad en voer het volgende in:
https://login.microsoftonline.com. Zorg ervoor dat u zich kunt aanmelden.
Verifieer de ondersteuning van certificaten voor machine- en backendcomponenten
Doelstelling: Controleer of de connectormachine, de back-endproxy en de firewall het certificaat dat door de connector is gemaakt, kan ondersteunen. Controleer ook of het certificaat geldig is.
Notitie
De connector probeert een SHA512 certificaat te maken dat wordt ondersteund door Transport Layer Security (TLS) 1.2. Als de computer of de back-endfirewall en proxy TLS 1.2 niet ondersteunen, mislukt de installatie.
Bekijk de vereisten:
Controleer of de machine TLS (Transport Layer Security) 1.2 ondersteunt: alle Windows-versies na 2012 R2 moeten TLS 1.2 ondersteunen. Als uw connectorcomputer afkomstig is van een versie van 2012 R2 of eerder, controleert u of de vereiste updates zijn geïnstalleerd.
Neem contact op met uw netwerkbeheerder en vraag om te verifiëren dat de backendproxy en firewall
SHA512uitgaand verkeer niet blokkeren.
Het clientcertificaat controleren:
Controleer de vingerafdruk van het huidige clientcertificaat. Het certificaatarchief is te vinden in %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
De mogelijke IsInUserStore-waarden zijn true en false. Een waarde van true betekent dat het certificaat automatisch wordt vernieuwd en opgeslagen in de persoonlijke container in het certificaatarchief van de netwerkservicegebruiker. Een waarde van false betekent dat het clientcertificaat wordt gemaakt tijdens de installatie of registratie die is geïnitieerd door Register-MicrosoftEntraPrivateNetworkConnector. Het certificaat wordt opgeslagen in de persoonlijke container in het certificaatarchief van de lokale computer.
Als de waarde true is, volgt u deze stappen om het certificaat te verifiëren:
- Download PsTools.zip.
- Pak PsExec uit het pakket en voer pesxec -i -u "nt authority\network service" cmd.exe uit vanaf een opdrachtprompt met verhoogde bevoegdheid.
- Voer certmgr.msc uit in de zojuist weergegeven opdrachtprompt.
- Vouw in de beheerconsole de persoonlijke container uit en selecteer certificaten.
- Zoek het certificaat dat is uitgegeven door connectorregistrationca.msappproxy.net.
Als de waarde false is, volgt u deze stappen om het certificaat te verifiëren:
- Voer certlm.msc uit.
- Vouw in de beheerconsole de persoonlijke container uit en selecteer certificaten.
- Zoek het certificaat dat is uitgegeven door connectorregistrationca.msappproxy.net.
Het clientcertificaat vernieuwen:
Als een connector gedurende enkele maanden niet is verbonden met de service, zijn de certificaten mogelijk verouderd. Als een certificaat niet kan worden vernieuwd, leidt dit tot een verlopen certificaat. Het verlopen certificaat zorgt ervoor dat de connectorservice niet meer werkt. De gebeurtenis 1000 wordt vastgelegd in het beheerlogboek van de connector:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
In dit geval verwijdert u de connector en installeert u deze opnieuw om de registratie te activeren. U kunt ook de volgende PowerShell-opdrachten uitvoeren:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Zie Register-MicrosoftEntraPrivateNetworkConnector voor meer informatie over de opdracht.
Controleren of de beheerder wordt gebruikt om de connector te installeren
Doelstelling: controleer of de gebruiker die de connector probeert te installeren, een beheerder is met de juiste referenties. Momenteel moet de gebruiker ten minste een toepassingsbeheerder zijn om de installatie te kunnen voltooien.
Om te controleren of de referenties juist zijn:
Maak verbinding met https://login.microsoftonline.com en gebruik dezelfde referenties. Zorg ervoor dat het aanmelden is geslaagd. U kunt de gebruikersrol controleren door naar Microsoft Entra ID ->Users and Groups ->All Users te gaan.
Selecteer uw gebruikersaccount en vervolgens Directory-rol in het resulterende menu. Controleer of de geselecteerde rol toepassingsbeheerder is. Als u tijdens deze stappen geen toegang hebt tot een van de pagina's, hebt u niet de vereiste rol.
Notitie
U wordt gevraagd om uw beheerdersreferenties tijdens de installatie van de connector via een pop-upvenster. Als u geen pop-upvenster ontvangt, moet u ervoor zorgen dat pop-ups in uw browserinstellingen zijn ingeschakeld en JavaScript is ingeschakeld. Tijdens de volgende installatiepoging wordt u gevraagd om sites toe te voegen aan vertrouwde sites. Nadat de sites zijn toegevoegd aan vertrouwde sites, voert u de installatie opnieuw uit.
Connectorfouten
Als de registratie mislukt tijdens de installatie van de connectorwizard, zijn er twee manieren om de reden voor de fout te bekijken. Kijk in het gebeurtenislogboek onder Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" of voer de volgende Windows PowerShell-opdracht uit:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
Zodra u de connectorfout in het gebeurtenislogboek hebt gevonden, gebruikt u deze tabel met veelvoorkomende fouten om het probleem op te lossen:
| Fout | Aanbevolen stappen |
|---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Als u het registratievenster hebt gesloten zonder u aan te melden bij Microsoft Entra ID, voert u de wizard connector opnieuw uit en registreert u de connector. Als het registratievenster wordt geopend en vervolgens onmiddellijk wordt gesloten zonder dat u zich kunt aanmelden, krijgt u de foutmelding. De fout treedt op wanneer er een netwerkfout op uw systeem optreedt. Zorg ervoor dat u vanuit een browser verbinding kunt maken met een openbare website en dat de poorten zijn geopend zoals opgegeven in de configuratieconnectors. |
Clear error is presented in the registration window. Cannot proceed |
Als u de fout ziet en het venster wordt gesloten, hebt u de verkeerde gebruikersnaam of het verkeerde wachtwoord ingevoerd. Probeer het opnieuw. |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
U probeert zich aan te melden met een Microsoft-account en niet een domein dat deel uitmaakt van de organisatie-id van de directory waartoe u toegang probeert te krijgen. De beheerder moet deel uitmaken van dezelfde domeinnaam als het tenantdomein. Als het Microsoft Entra-domein bijvoorbeeld is contoso.com, moet de beheerder zijn admin@contoso.com. |
Failed to retrieve the current execution policy for running PowerShell scripts. |
Als de connectorinstallatie mislukt, controleert u of het PowerShell-uitvoeringsbeleid niet is uitgeschakeld. 1. Open de groepsbeleideditor. 2. Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Windows PowerShell en dubbelklik op Scriptuitvoering inschakelen. 3. Het uitvoeringsbeleid kan worden ingesteld op Niet geconfigureerd of Ingeschakeld. Als deze optie is ingesteld op Ingeschakeld, moet u ervoor zorgen dat onder Opties het Uitvoeringsbeleid is ingesteld op Lokale scripts en externe ondertekende scripts toestaan of op Alle scripts toestaan. |
Connector failed to download the configuration. |
Het clientcertificaat van de connector, dat wordt gebruikt voor verificatie, is verlopen. Het probleem treedt op als u de connector achter een proxy hebt geïnstalleerd. In dit geval heeft de connector geen toegang tot internet en kan de connector geen toepassingen bieden aan externe gebruikers. Vernieuw de vertrouwensrelatie handmatig met behulp van de cmdlet Register-MicrosoftEntraPrivateNetworkConnector in Windows PowerShell. Als uw connector zich achter een proxy bevindt, moet u internettoegang verlenen tot de connectoraccounts network services en local system. Het verlenen van toegang wordt bereikt door toegang te verlenen tot de proxy of de proxy te omzeilen. |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
De alias waarmee u zich probeert aan te melden, is geen beheerder in dit domein. Uw connector wordt altijd geïnstalleerd voor de directory die eigenaar is van het domein van een gebruiker. Zorg ervoor dat het beheerdersaccount waarmee u zich probeert aan te melden ten minste machtigingen van de toepassingsbeheerder heeft voor de Microsoft Entra-tenant. |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
De connector kan geen verbinding maken met de cloudservice voor de toepassingsproxy. Het probleem treedt op als u een firewallregel hebt die de verbinding blokkeert. Sta toegang toe tot de juiste poorten en URL's die worden vermeld in configureer connectors. |
Stroomdiagram voor connectorproblemen
Dit stroomdiagram leidt u door de stappen voor het oplossen van een aantal veelvoorkomende connectorproblemen. Zie de tabel na het stroomdiagram voor meer informatie over elke stap.
| Stap | Actie | Beschrijving |
|---|---|---|
| 1 | De connectorgroep zoeken die is toegewezen aan de app | U hebt waarschijnlijk een connector geïnstalleerd op meerdere servers. In dat geval moeten de connectors worden toegewezen aan een connectorgroep. Zie Microsoft Entra privénetwerkconnectorgroepen begrijpen voor meer informatie over connectorgroepen. |
| 2 | De connector installeren en een groep toewijzen | Als u geen connector hebt geïnstalleerd, zie connectors configureren. Zie De connector toewijzen aan een groep als de connector niet is toegewezen aan een groep. Zie De toepassing toewijzen aan een connectorgroep als de toepassing niet is toegewezen aan een connectorgroep. |
| 3 | Een poorttest uitvoeren op de connectorserver | Voer op de connectorserver een poorttest uit met telnet of een ander testprogramma voor poorten om te controleren of poorten correct zijn geconfigureerd. Zie Connectors configureren voor meer informatie. |
| 4 | De domeinen en poorten configureren | Connectors voor de connector configureren. Bepaalde poorten moeten geopend zijn en URL's waartoe uw server toegang moet hebben. Zie Connectors configureren voor meer informatie. |
| 5 | Controleren of er een back-endproxy wordt gebruikt | Controleer of de connectors gebruikmaken van back-endproxyservers of deze omzeilen. Zie Problemen met connectorproxy's en serviceconnectiviteit oplossen voor meer informatie. |
| 6 | Werk de instellingen van de connector en updater bij met de proxy-informatie van de back-end. | Als een back-endproxy wordt gebruikt, moet u ervoor zorgen dat de connector dezelfde proxy gebruikt. Zie Werken met bestaande on-premises proxyservers voor meer informatie over probleemoplossing en het configureren van connectors om te werken met proxyservers. |
| 7 | De interne URL van de app op de connectorserver laden | Laad de interne URL van de app op de connectorserver. |
| 8 | Interne netwerkconnectiviteit controleren | Er is een verbindingsprobleem in uw interne netwerk dat niet kan worden gediagnosticeerd door dit foutopsporingsproces. De toepassing moet intern toegankelijk zijn om de connectors te laten werken. U kunt gebeurtenislogboeken van connectors inschakelen en weergeven zoals beschreven in connectors voor privénetwerken. |
| 9 | De time-outwaarde in de backend verlengen | Wijzig in de Aanvullende instellingen voor uw toepassing de Time-out instelling van de back-end toepassing naar Lang. Zie Een on-premises app toevoegen aan Microsoft Entra-id. |
| 10 | Als problemen zich blijven voordoen, kunt u fouten opsporen in toepassingen. | Problemen met de toepassingsproxy oplossen. |
Problemen met connectorfunctionaliteit oplossen
Als de installatie en registratie van de connector is geslaagd, maar u geen toegang hebt tot privébronnen, controleert u het volgende.
- cloudserviceverbindingsfouten: uw connector kan problemen ondervinden bij het maken van verbinding met de Entra Private Access-cloudservice. Hoewel de status van de connector in het Microsoft Entra-beheercentrum mogelijk wordt weergegeven als Actief, kan de connector nog steeds problemen ondervinden bij het maken van verbinding met de cloudservice-eindpunten. Neem contact op met uw netwerkteam om te zien of er mislukte verbindingspogingen zijn vanaf het IP-adres van de connector.
- Kan de certificaatketen niet valideren: deze fout wordt weergegeven in de geavanceerde logboekregistratie van de connector wanneer de certificaatketen voor een Global Secure Access-servicecertificaat, zoals *.msappproxy.net, niet kan worden gevalideerd. Dit gebeurt vaak wanneer er een proxyserver is geconfigureerd op MicrosoftEntraPrivateNetworkConnectorService.exe.config, maar er geen systeemproxyserver is geconfigureerd. U kunt de systeemproxy instellen met behulp van netsh winhttp set proxy address:port.
- TLS-inspectie is geconfigureerd: TLS-inspectie wordt niet ondersteund voor privénetwerkconnectorverkeer. Het uitvoeren van TLS-inspectie op dit verkeer interfereert met de mogelijkheid van de connector om verbinding te maken met de Global Secure Access-service en interfereert daarom met de mogelijkheid om privétoegangsaanvragen te verwerken. Zorg ervoor dat de netwerkapparaten die internettoegang tot uw privénetwerkconnector toestaan, geen TLS-inspectie uitvoeren.
- Proxyserver bestaat tussen connector en resource: De connector vereist een vrije zichtlijnverbinding met de bron en kan niet functioneren als er een proxyserver tussen de connector en de bron is. Ter bevestiging test u de connectiviteit van de connector met de resource die u hebt gedefinieerd in uw Global Secure Access-toepassing, zoals bestandsshare of RDP-server, om ervoor te zorgen dat de connector toegang heeft tot de resource. Als u geen verbinding kunt maken met de resource vanaf de connectorserver, moet u het probleem met de netwerkverbinding tussen de connector en de resource oplossen, waaronder het verplaatsen van de connector naar een netwerklocatie met toegang tot de resource.
Geavanceerde logboekregistratie van connectors inschakelen
Als u verbinding kunt maken met de resource vanaf de server, maar niet vanuit de Global Secure Access-client, zijn er mogelijk andere problemen met de connector. Schakel geavanceerde logboekregistratie van connectors in om dit te onderzoeken. Hiervoor bewerkt u het bestand MicrosoftEntraPrivateNetworkConnectorService.exe.config in de connectorinstallatiemap (standaard C:\Program Files\Microsoft Entra private network connector). Zoek de onderstaande sectie in het bestand, verwijder de opmerkingen aan het begin en einde van deze sectie en controleer of de map waarnaar wordt verwezen bestaat.
De bestandsinhoud moet er als volgt uitzien:
Nadat u logboekregistratie hebt ingeschakeld, probeert u toegang te krijgen tot de resource van de Global Secure Access-client om de fout te reproduceren. Controleer vervolgens het logboekbestand op fouten.
Veelgestelde vragen
Waarom gebruikt mijn connector nog steeds een oudere versie en wordt deze niet automatisch bijgewerkt naar de nieuwste versie?
Dit kan worden veroorzaakt doordat de updater-service niet goed werkt of als er geen nieuwe updates beschikbaar zijn die door de service kunnen worden geïnstalleerd.
De updaterservice functioneert correct als deze wordt uitgevoerd en er geen fouten zijn vastgelegd in het gebeurtenislogboek (Logboeken applicaties en services -> Microsoft -> Microsoft Entra private netwerk -> Updater -> Beheer).
Belangrijk
Alleen primaire versies worden uitgebracht voor automatische upgrade. U wordt aangeraden de connector alleen handmatig bij te werken als dit nodig is. U kunt bijvoorbeeld niet wachten op een grote release, omdat u een bekend probleem moet oplossen of u een nieuwe functie wilt gebruiken. Voor meer informatie over nieuwe releases, het type release (downloaden, automatisch upgraden), opgeloste fouten en nieuwe functies, zie Microsoft Entra private network connector: Versie releasegeschiedenis.
Een connector handmatig bijwerken:
- Download de nieuwste versie van de connector. (Zoek het in het Microsoft Entra-beheercentrum onder Wereldwijde Secure Access>Verbinding>Verbinders)
- Het installatieprogramma start de microsoft Entra Private Network Connector-services opnieuw op. In sommige gevallen kan een herstart van de server vereist zijn als het installatieprogramma niet alle bestanden kan vervangen. Daarom raden we u aan alle toepassingen (dat wil zeggen, Logboeken) te sluiten voordat u de upgrade start.
- Voer het installatieprogramma uit. Het upgradeproces is snel en vereist geen referenties en de connector wordt niet opnieuw geregistreerd.
Kunnen privénetwerkconnectorservices worden uitgevoerd in een andere gebruikerscontext dan de standaardcontext?
Nee, dit scenario wordt niet ondersteund. De standaardinstellingen zijn:
- Microsoft Entra private netwerkconnector - WAPCSvc - Netwerkservice
- Updater voor de Microsoft Entra-privénetwerkconnector - WAPCUpdaterSvc - NT Authority\System
Kan een gastgebruiker met een actieve beheerdersroltoewijzing de connector registreren voor de (gast)-tenant?
Nee, dit is momenteel niet mogelijk. De registratiepoging wordt altijd uitgevoerd op de thuistenant van de gebruiker.
Mijn back-endtoepassing wordt gehost op meerdere webservers en vereist persistentie van gebruikerssessies (stickiness). Hoe kan ik sessiepersistentie bereiken?
Zie voor aanbevelingen hoge beschikbaarheid en taakverdeling van uw privénetwerkconnectors en -toepassingen.
Wordt TLS-beëindiging (TLS/HTTPS-inspectie of -versnelling) ondersteund voor verkeer van de connectorservers naar Azure?
De privénetwerkconnector voert verificatie op basis van certificaten uit naar Azure. TLS-beëindiging (TLS/HTTPS-inspectie of -versnelling) onderbreekt deze verificatiemethode en wordt niet ondersteund. Verkeer van de connector naar Azure moet alle apparaten die TLS-beëindiging uitvoeren, overslaan.
Is TLS 1.2 vereist voor alle verbindingen?
Ja. Om de beste versleuteling te bieden aan onze klanten, beperkt de toepassingsproxyservice de toegang tot alleen TLS 1.2-protocollen. Deze wijzigingen zijn geleidelijk aan geïmplementeerd en van kracht sinds 31 augustus 2019. Zorg ervoor dat alle combinaties van clientservers en browserservers zijn bijgewerkt om TLS 1.2 te gebruiken om verbinding met de toepassingsproxyservice te onderhouden. Dit zijn clients die uw gebruikers gebruiken voor toegang tot toepassingen die zijn gepubliceerd via de toepassingsproxy. Zie Voorbereiden voor TLS 1.2 in Office 365 voor handige naslaginformatie en bronnen.
Kan ik een doorstuurproxyapparaat plaatsen tussen de connectorserver(s) en de back-endtoepassingsserver?
Dit scenario wordt ondersteund vanaf de connectorversie 1.5.1526.0 voor de Microsoft Entra-toepassingsproxy, maar wordt niet ondersteund voor Microsoft Entra Private Access. Zie Werken met bestaande on-premises proxyservers voor informatie over deze ondersteuning voor App Proxy.
Moet ik een speciaal account maken om de connector te registreren bij de Microsoft Entra-toepassingsproxy?
Er is geen reden om een toegewezen account te maken. Elk account met de rol Toepassingsbeheerder kan worden gebruikt. De referenties die tijdens de installatie zijn ingevoerd, worden niet gebruikt na het registratieproces. In plaats daarvan wordt een certificaat uitgegeven aan de connector, dat vanaf dat moment wordt gebruikt voor verificatie.
Hoe kan ik de prestaties van de Microsoft Entra-privénetwerkconnector bewaken?
Er zijn prestatiemeters die samen met de connector worden geïnstalleerd. Als u deze wilt weergeven:
- Selecteer Start, typ 'Perfmon' en druk op Enter.
- Selecteer Prestatiemeter en klik op het groene + pictogram.
- Voeg de Microsoft Entra Private Network Connector-tellers toe die u wilt monitoren.
Moet de Microsoft Entra-privénetwerkconnector zich in hetzelfde subnet bevinden als de resource?
De connector hoeft zich niet in hetzelfde subnet te bevinden. Er is echter naamomzetting (DNS, hosts-bestand) nodig voor de resource en de benodigde netwerkconnectiviteit (routering naar de resource, poorten geopend op de resource, enzovoort). Zie overwegingen voor netwerktopologie bij het gebruik van de Microsoft Entra-toepassingsproxy voor aanbevelingen.
Waarom wordt de connector nog steeds weergegeven in het Microsoft Entra-beheercentrum nadat ik de connector van de server heb verwijderd?
Wanneer een connector actief is, blijft deze operationeel terwijl hij verbinding maakt met de diensten. Verwijderde of ongebruikte connectors worden gemarkeerd als inactief en worden na 10 dagen inactiviteit verwijderd uit het Microsoft Entra-beheercentrum. U kunt de inactieve connector niet handmatig verwijderen uit het Microsoft Entra-beheercentrum.