Rozwiązywanie problemów z instalowaniem łącznika sieci prywatnej
Łącznik sieci prywatnej firmy Microsoft Entra to wewnętrzny składnik domeny, który używa połączeń wychodzących do ustanawiania łączności z dostępnego punktu końcowego w chmurze do domeny wewnętrznej. Łącznik jest używany zarówno przez serwer proxy aplikacji Dostęp Prywatny Microsoft Entra, jak i Microsoft Entra.
Ogólne obszary problemów z instalacją łącznika
W przypadku niepowodzenia instalacji łącznika główna przyczyna jest zwykle jedną z następujących obszarów. Jako prekursor wszelkich rozwiązywania problemów pamiętaj o ponownym uruchomieniu łącznika.
- Łączność — aby ukończyć pomyślną instalację, nowy łącznik musi zarejestrować i ustanowić przyszłe właściwości zaufania. Zaufanie jest ustanawiane przez nawiązanie połączenia z usługą w chmurze serwera proxy aplikacji firmy Microsoft.
- Trust Establishment — nowy łącznik tworzy certyfikat z podpisem własnym i rejestruje się w usłudze w chmurze.
- Uwierzytelnianie administratora — podczas instalacji użytkownik musi podać poświadczenia administratora, aby ukończyć instalację łącznika.
Uwaga
Dzienniki instalacji łącznika można znaleźć w folderze %TEMP%
i mogą pomóc w podaniu dodatkowych informacji na temat przyczyn niepowodzenia instalacji.
Weryfikowanie łączności z usługą serwera proxy aplikacji w chmurze i stroną logowania firmy Microsoft
Cel: Sprawdź, czy maszyna łącznika może nawiązać połączenie z punktem końcowym rejestracji serwera proxy aplikacji i stroną logowania firmy Microsoft.
Na serwerze łącznika uruchom test portu przy użyciu narzędzia telnet lub innego narzędzia do testowania portów, aby sprawdzić, czy porty 443 i 80 są otwarte.
Sprawdź, czy serwer proxy zapory lub zaplecza ma dostęp do wymaganych domen i portów, zobacz Konfigurowanie łączników.
Otwórz kartę przeglądarki i wprowadź:
https://login.microsoftonline.com
. Upewnij się, że możesz się zalogować.
Zweryfikuj obsługę certyfikatów składników maszyny i zaplecza
Cel: Sprawdź, czy maszyna łącznika, serwer proxy zaplecza i zapora mogą obsługiwać certyfikat utworzony przez łącznik. Sprawdź również, czy certyfikat jest prawidłowy.
Uwaga
Łącznik próbuje utworzyć SHA512
certyfikat obsługiwany przez protokół Transport Layer Security (TLS) 1.2. Jeśli maszyna lub zapora zaplecza i serwer proxy nie obsługują protokołu TLS 1.2, instalacja zakończy się niepowodzeniem.
Zapoznaj się z wymaganymi wymaganiami wstępnymi:
Sprawdź, czy maszyna obsługuje protokół Transport Layer Security (TLS) 1.2 — wszystkie wersje systemu Windows po 2012 R2 powinny obsługiwać protokół TLS 1.2. Jeśli maszyna łącznika pochodzi z wersji 2012 R2 lub wcześniejszej, upewnij się, że wymagane aktualizacje są zainstalowane.
Skontaktuj się z administratorem sieci i poproś o sprawdzenie, czy serwer proxy zaplecza i zapora nie blokują
SHA512
ruchu wychodzącego.
Aby sprawdzić certyfikat klienta:
Sprawdź odcisk palca bieżącego certyfikatu klienta. Magazyn certyfikatów można znaleźć w pliku %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml
.
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
Możliwe wartości IsInUserStore są prawdziwe i fałszywe. Wartość true oznacza, że certyfikat jest automatycznie odnawiany i przechowywany w kontenerze osobistym w magazynie certyfikatów użytkownika usługi sieciowej. Wartość false oznacza, że certyfikat klienta jest tworzony podczas instalacji lub rejestracji zainicjowanej przez Register-MicrosoftEntraPrivateNetworkConnector
program . Certyfikat jest przechowywany w kontenerze osobistym w magazynie certyfikatów komputera lokalnego.
Jeśli wartość ma wartość true, wykonaj następujące kroki, aby zweryfikować certyfikat:
- Pobierz PsTools.zip.
- Wyodrębnij narzędzie PsExec z pakietu i uruchom polecenie psexec -i -u "nt authority\network service" cmd.exe z wiersza polecenia z podwyższonym poziomem uprawnień.
- Uruchom polecenie certmgr.msc w nowo wyświetlonym wierszu polecenia.
- W konsoli zarządzania rozwiń kontener Osobisty i wybierz pozycję Certyfikaty.
- Znajdź certyfikat wystawiony przez connectorregistrationca.msappproxy.net.
Jeśli wartość ma wartość false, wykonaj następujące kroki, aby zweryfikować certyfikat:
- Uruchom polecenie certlm.msc.
- W konsoli zarządzania rozwiń kontener Osobisty i wybierz pozycję Certyfikaty.
- Znajdź certyfikat wystawiony przez connectorregistrationca.msappproxy.net.
Aby odnowić certyfikat klienta:
Jeśli łącznik nie jest połączony z usługą przez kilka miesięcy, jego certyfikaty mogą być nieaktualne. Niepowodzenie odnowienia certyfikatu prowadzi do wygaśnięcia certyfikatu. Wygasły certyfikat powoduje, że usługa łącznika przestanie działać. Zdarzenie 1000 jest rejestrowane w dzienniku administratora łącznika:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
W takim przypadku odinstaluj i ponownie zainstaluj łącznik, aby wyzwolić rejestrację, lub uruchom następujące polecenia programu PowerShell:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Aby dowiedzieć się więcej o poleceniu, zobacz Create an unattended installation script for the Microsoft Entra private network connector (Tworzenie skryptu Register-MicrosoftEntraPrivateNetworkConnector
instalacji nienadzorowanej dla łącznika sieci prywatnej firmy Microsoft Entra).
Sprawdzanie, czy administrator jest używany do instalowania łącznika
Cel: Sprawdź, czy użytkownik, który próbuje zainstalować łącznik, jest administratorem z poprawnymi poświadczeniami. Obecnie użytkownik musi być co najmniej administratorem aplikacji, aby instalacja powiodła się.
Aby sprawdzić, czy poświadczenia są poprawne:
Nawiąż połączenie z https://login.microsoftonline.com
tymi samymi poświadczeniami i użyj ich. Upewnij się, że logowanie zakończyło się pomyślnie. Rolę użytkownika możesz sprawdzić, przechodząc do pozycji Microsoft Entra ID —> Użytkownicy i grupy —> Wszyscy użytkownicy.
Wybierz konto użytkownika, a następnie pozycję Rola katalogu w wyświetlonym menu. Sprawdź, czy wybrana rola to Administrator aplikacji. Jeśli nie możesz uzyskać dostępu do żadnej ze stron opisanych w tych krokach, nie masz wymaganej roli.
Błędy łącznika
Jeśli rejestracja nie powiedzie się podczas instalacji kreatora łącznika, istnieją dwa sposoby wyświetlania przyczyny awarii. Wyszukaj w dzienniku zdarzeń w obszarze Windows Logs\Application (filter by Source = "Microsoft Entra private network connector"
lub uruchom następujące polecenie programu Windows PowerShell:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
Po znalezieniu błędu łącznika z dziennika zdarzeń użyj tej tabeli typowych błędów, aby rozwiązać problem:
Błąd | Zalecane czynności |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Jeśli okno rejestracji zostało zamknięte bez logowania się do identyfikatora Entra firmy Microsoft, uruchom kreatora łącznika ponownie i zarejestruj łącznik. Jeśli zostanie otwarte okno rejestracji, a następnie natychmiast zostanie zamknięte bez zezwolenia na zalogowanie się, zostanie wyświetlony błąd. Błąd występuje, gdy w systemie występuje błąd sieci. Upewnij się, że możesz nawiązać połączenie z przeglądarki z publiczną witryną internetową i że porty są otwarte zgodnie z opisem w temacie Konfigurowanie łączników. |
Clear error is presented in the registration window. Cannot proceed |
Jeśli zostanie wyświetlony błąd, a następnie okno zostanie zamknięte, wprowadzono nieprawidłową nazwę użytkownika lub hasło. Spróbuj ponownie. |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
Próbujesz zalogować się przy użyciu konta Microsoft, a nie domeny będącej częścią identyfikatora organizacji katalogu, do którego próbujesz uzyskać dostęp. Administrator musi być częścią tej samej nazwy domeny co domena dzierżawy. Jeśli na przykład domena Microsoft Entra to contoso.com , administrator powinien mieć wartość admin@contoso.com . |
Failed to retrieve the current execution policy for running PowerShell scripts. |
Jeśli instalacja łącznika nie powiedzie się, upewnij się, że zasady wykonywania programu PowerShell nie są wyłączone. 1. Otwórz Edytor zasad grupy. 2. Przejdź do pozycji Konfiguracja>komputera Szablony>administracyjne Składniki>systemu Windows Windows PowerShell i kliknij dwukrotnie pozycję Włącz wykonywanie skryptu. 3. Zasady wykonywania można ustawić na Wartość Nieskonfigurowane lub Włączone. Jeśli ustawiono wartość Włączone, upewnij się, że w obszarze Opcje zasady wykonywania są ustawione na zezwalanie na skrypty lokalne i skrypty podpisane zdalnie lub zezwalaj na wszystkie skrypty. |
Connector failed to download the configuration. |
Certyfikat klienta łącznika, który jest używany do uwierzytelniania, wygasł. Ten problem występuje, jeśli łącznik jest zainstalowany za serwerem proxy. W takim przypadku łącznik nie może uzyskać dostępu do Internetu i nie może udostępniać aplikacji użytkownikom zdalnym. Odnów zaufanie ręcznie przy użyciu Register-MicrosoftEntraPrivateNetworkConnector polecenia cmdlet w programie Windows PowerShell. Jeśli łącznik znajduje się za serwerem proxy, należy udzielić dostępu do Internetu do kont network services łącznika i local system . Udzielanie dostępu jest realizowane, udzielając dostępu do serwera proxy lub przekazując serwer proxy. |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
Alias, za pomocą którego próbujesz się zalogować, nie jest administratorem w tej domenie. Łącznik jest zawsze instalowany dla katalogu, który jest właścicielem domeny użytkownika. Upewnij się, że konto administratora, za pomocą którego próbujesz się zalogować, ma co najmniej uprawnienia administratora aplikacji do dzierżawy usługi Microsoft Entra. |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
Łącznik nie może nawiązać połączenia z usługą w chmurze serwera proxy aplikacji. Problem występuje, jeśli masz regułę zapory blokującą połączenie. Zezwalaj na dostęp do odpowiednich portów i adresów URL wymienionych w temacie Konfigurowanie łączników. |
Schemat blokowy rozwiązywania problemów z łącznikiem
Ten schemat blokowy przeprowadzi Cię przez kroki debugowania niektórych typowych problemów z łącznikiem. Aby uzyskać szczegółowe informacje na temat każdego kroku, zobacz tabelę poniżej schematu blokowego.
Krok | Akcja | opis |
---|---|---|
1 | Znajdowanie grupy łączników przypisanej do aplikacji | Prawdopodobnie masz zainstalowany łącznik na wielu serwerach, w tym przypadku łączniki powinny być przypisane do grupy łączników. Aby dowiedzieć się więcej o grupach łączników, zobacz Omówienie grup łączników sieci prywatnej firmy Microsoft Entra. |
2 | Instalowanie łącznika i przypisywanie grupy | Jeśli nie masz zainstalowanego łącznika, zobacz Konfigurowanie łączników). Jeśli łącznik nie jest przypisany do grupy, zobacz Przypisywanie łącznika do grupy. Jeśli aplikacja nie jest przypisana do grupy łączników, zobacz Przypisywanie aplikacji do grupy łączników. |
3 | Uruchamianie testu portu na serwerze łącznika | Na serwerze łącznika uruchom test portu przy użyciu narzędzia telnet lub innego narzędzia do testowania portów, aby sprawdzić, czy porty są poprawnie skonfigurowane. Aby dowiedzieć się więcej, zobacz konfigurowanie łączników. |
100 | Konfigurowanie domen i portów | Konfigurowanie łączników dla łącznika. Niektóre porty muszą być otwarte i adresy URL, do których serwer musi mieć dostęp. Aby uzyskać więcej informacji, zobacz konfigurowanie łączników. |
5 | Sprawdzanie, czy używany jest serwer proxy zaplecza | Sprawdź, czy łączniki używają serwerów proxy zaplecza, czy pomijają je. Aby uzyskać szczegółowe informacje, zobacz Rozwiązywanie problemów z serwerem proxy łącznika i problemy z łącznością z usługą. |
6 | Aktualizowanie ustawień łącznika i aktualizatora przy użyciu informacji o serwerze proxy zaplecza | Jeśli używany jest serwer proxy zaplecza, upewnij się, że łącznik używa tego samego serwera proxy. Aby uzyskać szczegółowe informacje na temat rozwiązywania problemów i konfigurowania łączników do pracy z serwerami proxy, zobacz Praca z istniejącymi lokalnymi serwerami proxy. |
7 | Ładowanie wewnętrznego adresu URL aplikacji na serwerze łącznika | Na serwerze łącznika załaduj wewnętrzny adres URL aplikacji. |
8 | Sprawdzanie łączności sieci wewnętrznej | W sieci wewnętrznej występuje problem z łącznością, którego ten przepływ debugowania nie może zdiagnozować. Aplikacja musi być dostępna wewnętrznie, aby łączniki działały. Dzienniki zdarzeń łącznika można włączyć i wyświetlić zgodnie z opisem w temacie Prywatne łączniki sieciowe. |
9 | Wydłużenie wartości limitu czasu na zapleczu | W obszarze Dodatkowe ustawienia aplikacji zmień ustawienie Limit czasu aplikacji zaplecza na Długi. Zobacz Dodawanie aplikacji lokalnej do identyfikatora Entra firmy Microsoft. |
10 | Jeśli problemy będą się powtarzać, debuguj aplikacje. | Debugowanie problemów z aplikacją serwera proxy aplikacji. |
Często zadawane pytania
Dlaczego mój łącznik nadal używa starszej wersji i nie jest automatycznie uaktualniany do najnowszej wersji?
Może to być spowodowane tym, że usługa aktualizatora nie działa poprawnie lub jeśli nie ma dostępnych nowych aktualizacji, które usługa może zainstalować.
Usługa aktualizatora jest w dobrej kondycji, jeśli jest uruchomiona i nie ma żadnych błędów zarejestrowanych w dzienniku zdarzeń (dzienniki aplikacji i usług —> Microsoft —> Microsoft Entra private network — Updater —>> Admin).
Ważne
Tylko wersje główne są wydawane na potrzeby automatycznego uaktualniania. Zalecamy ręczne aktualizowanie łącznika tylko wtedy, gdy jest to konieczne. Na przykład nie można poczekać na wydanie główne, ponieważ musisz rozwiązać znany problem lub użyć nowej funkcji. Aby uzyskać więcej informacji na temat nowych wersji, typu wydania (pobieranie, automatyczne uaktualnianie), poprawki błędów i nowe funkcje, zobacz Microsoft Entra private network connector: Historia wersji.
Aby ręcznie uaktualnić łącznik:
- Pobierz najnowszą wersję łącznika. (Znajdź go w centrum administracyjnym firmy Microsoft Entra w witrynie Łączniki Global Secure Access>Connect>)
- Instalator ponownie uruchamia usługi łącznika sieci prywatnej firmy Microsoft. W niektórych przypadkach może być wymagane ponowne uruchomienie serwera, jeśli instalator nie może zastąpić wszystkich plików. Dlatego zalecamy zamknięcie wszystkich aplikacji (czyli Podgląd zdarzeń) przed rozpoczęciem uaktualniania.
- Uruchom instalatora. Proces uaktualniania jest szybki i nie wymaga podania poświadczeń, a łącznik nie jest ponownie zarejestrowany.
Czy usługi łącznika sieci prywatnej mogą być uruchamiane w innym kontekście użytkownika niż domyślne?
Nie, ten scenariusz nie jest obsługiwany. Ustawienia domyślne to:
- Łącznik sieci prywatnej firmy Microsoft — WAPCSvc — usługa sieciowa
- Microsoft Entra private network connector Updater — WAPCUpdaterSvc — NT Authority\System
Czy użytkownik-gość z aktywnym przypisaniem roli administratora może zarejestrować łącznik dla dzierżawy (gościa)?
Nie, obecnie nie jest to możliwe. Próba rejestracji jest zawsze podejmowana w dzierżawie głównej użytkownika.
Moja aplikacja zaplecza jest hostowana na wielu serwerach internetowych i wymaga trwałości sesji użytkownika (stickiness). Jak mogę osiągnąć trwałość sesji?
Aby uzyskać zalecenia, zobacz Wysoka dostępność i równoważenie obciążenia prywatnych łączników sieciowych i aplikacji.
Czy jest obsługiwane zakończenie protokołu TLS (inspekcja lub przyspieszanie protokołu TLS/HTTPS) dla ruchu z serwerów łącznika do platformy Azure?
Łącznik sieci prywatnej wykonuje uwierzytelnianie oparte na certyfikatach na platformie Azure. Kończenie żądań PROTOKOŁU TLS (inspekcja protokołu TLS/HTTPS lub przyspieszanie) powoduje przerwanie tej metody uwierzytelniania i nie jest obsługiwane. Ruch z łącznika do platformy Azure musi pominąć wszystkie urządzenia, które wykonują kończenie żądań protokołu TLS.
Czy protokół TLS 1.2 jest wymagany dla wszystkich połączeń?
Tak. Aby zapewnić najlepsze w swojej klasie szyfrowanie dla naszych klientów, usługa serwera proxy aplikacji ogranicza dostęp tylko do protokołów TLS 1.2. Zmiany te zostały stopniowo wprowadzone i skuteczne od 31 sierpnia 2019 r. Upewnij się, że wszystkie kombinacje client-server i browser-server zostały zaktualizowane, aby używać protokołu TLS 1.2 do obsługi połączenia z usługą serwera proxy aplikacji. Należą do nich klienci, których użytkownicy używają do uzyskiwania dostępu do aplikacji opublikowanych za pośrednictwem serwera proxy aplikacji. Zobacz Przygotowywanie do protokołu TLS 1.2 w usłudze Office 365 , aby uzyskać przydatne odwołania i zasoby.
Czy mogę umieścić urządzenie proxy do przodu między serwerami łączników i serwerem aplikacji zaplecza?
Tak, ten scenariusz jest obsługiwany od wersji 1.5.1526.0 łącznika. Zobacz Praca z istniejącymi lokalnymi serwerami proxy.
Czy należy utworzyć dedykowane konto w celu zarejestrowania łącznika za pomocą serwera proxy aplikacji Firmy Microsoft Entra?
Nie ma powodu, aby utworzyć dedykowane konto. Każde konto z rolą Administrator aplikacji działa. Poświadczenia wprowadzone podczas instalacji nie są używane po procesie rejestracji. Zamiast tego certyfikat jest wystawiany łącznikowi, który jest używany do uwierzytelniania od tego momentu.
Jak mogę monitorować wydajność łącznika sieci prywatnej firmy Microsoft Entra?
Istnieją liczniki monitora wydajności, które są instalowane razem z łącznikiem. Aby je wyświetlić:
- Wybierz pozycję Start, wpisz "Perfmon" i naciśnij ENTER.
- Wybierz monitor wydajności i kliknij zieloną + ikonę.
- Dodaj liczniki łącznika sieci prywatnej firmy Microsoft Entra, które chcesz monitorować.
Czy łącznik sieci prywatnej firmy Microsoft Entra musi znajdować się w tej samej podsieci co zasób?
Łącznik nie musi znajdować się w tej samej podsieci. Jednak wymaga rozpoznawania nazw (DNS, pliku hostów) do zasobu i niezbędnej łączności sieciowej (routingu do zasobu, portów otwartych w zasobie itd.). Aby uzyskać zalecenia, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.
Dlaczego łącznik nadal jest wyświetlany w centrum administracyjnym firmy Microsoft Entra po odinstalowaniu łącznika z serwera?
Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Odinstalowane lub nieużywane łączniki są oznaczane jako nieaktywne i usuwane po upływie 10 dni braku aktywności z portalu. Nie ma możliwości ręcznego usunięcia nieaktywnego łącznika z centrum administracyjnego firmy Microsoft Entra.