Rozwiązywanie problemów z serwerem proxy aplikacji i problemów związanych z komunikatami o błędach
Najpierw upewnij się, że łączniki sieci prywatnej są poprawnie skonfigurowane. Aby uzyskać więcej informacji, zobacz Debugowanie problemów z łącznikiem sieci prywatnej i Debugowanie problemów z aplikacją serwera proxy aplikacji.
Jeśli wystąpią błędy podczas uzyskiwania dostępu do opublikowanej aplikacji lub publikowania aplikacji, sprawdź następujące opcje, aby sprawdzić, czy serwer proxy aplikacji usługi Microsoft Entra działa prawidłowo:
- Otwórz konsolę Usługi systemu Windows. Sprawdź, czy usługa łącznika sieci prywatnej firmy Microsoft Entra jest włączona i uruchomiona. Przyjrzyj się stronie właściwości usługi serwera proxy aplikacji, jak pokazano na obrazie.
- Otwórz Podgląd zdarzeń i poszukaj zdarzeń łącznika sieci prywatnej w dziennikach>aplikacji i usług Microsoft>Entra private network> Połączenie or> Administracja.
- Przejrzyj szczegółowe dzienniki. Włącz dzienniki sesji łącznika sieci prywatnej.
Strona nie jest poprawnie renderowana
Masz problemy z renderowaniem aplikacji lub działaniem niepoprawnie bez odbierania określonych komunikatów o błędach. Problem występuje, jeśli opublikowano ścieżkę artykułu, ale aplikacja wymaga zawartości, która istnieje poza tą ścieżką.
Jeśli na przykład opublikujesz ścieżkę https://yourapp/app
, ale aplikacja wywołuje obrazy w https://yourapp/media
programie , nie są one renderowane. Upewnij się, że aplikacja jest publikowana przy użyciu ścieżki najwyższego poziomu, która zawiera całą odpowiednią zawartość. W tym przykładzie będzie to http://yourapp/
.
Ładowanie aplikacji serwera proxy aplikacji trwa zbyt długo
Aplikacje mogą działać, ale mają duże opóźnienie. Poprawki topologii sieci mogą poprawić szybkość. Aby zapoznać się z oceną różnych topologii, zobacz dokument dotyczący zagadnień dotyczących sieci.
Strona aplikacji nie jest wyświetlana poprawnie dla aplikacji serwera proxy aplikacji
Podczas publikowania aplikacji serwera proxy aplikacji tylko strony w katalogu głównym są dostępne podczas uzyskiwania dostępu do aplikacji. Jeśli strona nie jest wyświetlana poprawnie, wewnętrzny adres URL katalogu głównego używany dla aplikacji może nie zawierać niektórych zasobów strony. Aby rozwiązać ten problem, opublikuj wszystkie zasoby dla strony w ramach aplikacji.
Sprawdź, czy brakuje zasobów jest problemem. Otwieranie monitora sieci, takiego jak Fiddler lub narzędzia F12 w przeglądarce Microsoft Edge. Załaduj stronę i poszukaj błędów 404. Błędy wskazują, że nie można odnaleźć stron i że należy je opublikować.
Załóżmy na przykład, że opublikowano aplikację wydatków przy użyciu wewnętrznego adresu URL http://myapps/expenses
, ale aplikacja używa arkusza http://myapps/style.css
stylów . Arkusz stylów nie został opublikowany w aplikacji, dlatego załadowanie aplikacji wydatków zgłasza 404
błąd podczas próby załadowania style.css
elementu . W tym przykładzie rozwiąż problem, publikując aplikację przy użyciu wewnętrznego adresu URL http://myapp/
.
Problemy z publikowaniem jako jedna aplikacja
Jeśli nie można opublikować wszystkich zasobów w tej samej aplikacji, musisz opublikować wiele aplikacji i włączyć połączenia między nimi.
W tym celu zalecamy użycie rozwiązania domen niestandardowych. Jednak to rozwiązanie wymaga posiadania certyfikatu dla domeny, a aplikacje używają w pełni kwalifikowanych nazw domen (FQDN). Aby uzyskać inne opcje, zobacz dokumentację rozwiązywania problemów z uszkodzonymi linkami.
Mogę przejść do mojej aplikacji, ale linki na stronie aplikacji nie działają.
Mam problem z łącznością z moją aplikacją
Nie wiem, jakie porty należy otworzyć dla mojej aplikacji.
Mam problem ze skonfigurowaniem serwera proxy aplikacji usługi Microsoft Entra w portalu administracyjnym
Nie wiem, jak skonfigurować logowanie jednokrotne do aplikacji opartej na serwerze proxy aplikacji.
Mam problem ze skonfigurowaniem uwierzytelniania zaplecza dla mojej aplikacji
Nie wiem, jak skonfigurować ograniczone delegowanie protokołu Kerberos. Nie wiem, jak skonfigurować moją aplikację za pomocą funkcji PingAccess.
Mam problem podczas logowania do mojej aplikacji
Otrzymuję błąd Can't Access this Corporate Application
. Aby rozwiązać ten problem, zobacz Błąd przekroczenia limitu czasu nieprawidłowej bramy.
Mam problem z łącznikiem sieci prywatnej
Mam problemy z instalowaniem łącznika sieci prywatnej.
Błędy protokołu Kerberos
W tej tabeli opisano bardziej typowe błędy pochodzące z konfiguracji i konfiguracji protokołu Kerberos oraz sugestie dotyczące rozwiązania.
Błąd | Zalecane czynności |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Jeśli instalacja łącznika nie powiedzie się, upewnij się, że zasady wykonywania programu PowerShell nie są wyłączone. 1. Otwórz Edytor zasad grupy. 2. Przejdź do pozycji Konfiguracja> komputera Administracja istracyjne Szablony składników>>systemu Windows Windows PowerShell i kliknij dwukrotnie pozycję Włącz wykonywanie skryptu. 3. Zasady wykonywania można ustawić na Wartość Nieskonfigurowane lub Włączone. Jeśli ustawiono wartość Włączone, upewnij się, że w obszarze Opcje zasady wykonywania są ustawione na zezwalanie na skrypty lokalne i skrypty podpisane zdalnie lub zezwalaj na wszystkie skrypty. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Ten błąd wskazuje nieprawidłową konfigurację między identyfikatorem Entra firmy Microsoft a serwerem aplikacji zaplecza lub problemem w konfiguracji godziny i daty na obu maszynach. Serwer zaplecza odrzucił bilet Protokołu Kerberos utworzony przez microsoft Entra ID. Sprawdź, czy identyfikator Entra firmy Microsoft i serwer aplikacji zaplecza są poprawnie skonfigurowane. Upewnij się, że konfiguracja godziny i daty w identyfikatorze Entra firmy Microsoft i serwerze aplikacji zaplecza są zsynchronizowane. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Wystąpił problem z konfiguracją usługi tokenu zabezpieczającego (STS). Napraw konfigurację oświadczenia głównej nazwy użytkownika (UPN) w usłudze STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
To zdarzenie wskazuje nieprawidłową konfigurację między identyfikatorem Entra firmy Microsoft a serwerem kontrolera domeny lub problemem w konfiguracji godziny i daty na obu maszynach. Kontroler domeny odrzucił bilet Protokołu Kerberos utworzony przez microsoft Entra ID. Sprawdź, czy identyfikator Entra firmy Microsoft i serwer aplikacji zaplecza są poprawnie skonfigurowane, zwłaszcza konfiguracja głównej nazwy usługi (SPN). Upewnij się, że kontroler domeny ustanawia relację zaufania z identyfikatorem Entra firmy Microsoft. Oba powinny używać tej samej domeny. Upewnij się, że konfiguracja godziny i daty w identyfikatorze Entra firmy Microsoft i kontrolerze domeny są zsynchronizowane. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
To zdarzenie wskazuje nieprawidłową konfigurację między identyfikatorem Entra firmy Microsoft a serwerem kontrolera domeny lub problemem w konfiguracji godziny i daty na obu maszynach. Kontroler domeny odrzucił bilet Protokołu Kerberos utworzony przez microsoft Entra ID. Sprawdź, czy identyfikator Entra firmy Microsoft i serwer aplikacji zaplecza są poprawnie skonfigurowane, zwłaszcza konfiguracja głównej nazwy usługi. Upewnij się, że kontroler domeny ustanawia relację zaufania z identyfikatorem Entra firmy Microsoft. Oba powinny używać tej samej domeny. Upewnij się, że konfiguracja godziny i daty w identyfikatorze Entra firmy Microsoft i kontrolerze domeny są zsynchronizowane. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
To zdarzenie wskazuje nieprawidłową konfigurację między identyfikatorem Entra firmy Microsoft a serwerem aplikacji zaplecza lub problemem w konfiguracji godziny i daty na obu maszynach. Serwer zaplecza odrzucił bilet Protokołu Kerberos utworzony przez microsoft Entra ID. Sprawdź, czy identyfikator Entra firmy Microsoft i serwer aplikacji zaplecza są poprawnie skonfigurowane. Upewnij się, że konfiguracja godziny i daty w identyfikatorze Entra firmy Microsoft i serwerze aplikacji zaplecza są zsynchronizowane. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z konfiguracjami ograniczonego delegowania protokołu Kerberos dla serwera proxy aplikacji. |
Błędy użytkownika końcowego
Ta lista obejmuje błędy, które użytkownicy końcowi mogą napotkać podczas próby uzyskania dostępu do aplikacji i niepowodzenia.
Błąd | Zalecane czynności |
---|---|
The website cannot display the page. |
Użytkownik otrzymuje ten błąd podczas próby uzyskania dostępu do opublikowanej aplikacji, jeśli aplikacja jest aplikacją zintegrowanego uwierzytelniania systemu Windows (IWA). Zdefiniowana nazwa SPN dla tej aplikacji jest niepoprawna. W przypadku aplikacji IWA upewnij się, że nazwa SPN skonfigurowana dla tej aplikacji jest poprawna. |
The website cannot display the page. |
Użytkownik otrzymuje ten błąd podczas próby uzyskania dostępu do opublikowanej aplikacji, jeśli aplikacja jest aplikacją Outlook Web Application (OWA). Problem wynika z: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
Użytkownik otrzymuje ten błąd podczas próby uzyskania dostępu do opublikowanej aplikacji, jeśli używa kont Microsoft zamiast konta firmowego do logowania. Użytkownicy-goście otrzymują ten błąd. Użytkownicy i goście konta Microsoft nie mogą uzyskiwać dostępu do aplikacji IWA. Upewnij się, że użytkownik loguje się przy użyciu konta firmowego zgodnego z domeną opublikowanej aplikacji. Musisz przypisać użytkownika dla tej aplikacji. Przejdź do karty Aplikacja , a następnie w obszarze Użytkownicy i grupy przypisz tego użytkownika lub grupę użytkowników do tej aplikacji. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Użytkownik otrzymuje ten błąd podczas próby uzyskania dostępu do opublikowanej aplikacji, jeśli nie są one prawidłowo zdefiniowane dla tej aplikacji po stronie lokalnej. Upewnij się, że użytkownicy mają odpowiednie uprawnienia zdefiniowane dla tej aplikacji zaplecza na maszynie lokalnej. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Użytkownik otrzymuje ten błąd podczas próby uzyskania dostępu do opublikowanej aplikacji, jeśli nie zostały jawnie przypisane z licencją Premium przez administratora subskrybenta. Przejdź do karty Licencje usługi Active Directory subskrybenta i upewnij się, że ten użytkownik lub grupa użytkowników ma przypisaną licencję Premium. |
A server with the specified host name could not be found. |
Użytkownik otrzymuje ten błąd podczas próby uzyskania dostępu do opublikowanej aplikacji, jeśli domena niestandardowa aplikacji nie jest poprawnie skonfigurowana. Sprawdź certyfikat dla domeny i poprawnie skonfiguruj rekord systemu nazw domen (DNS). Aby uzyskać więcej informacji, zobacz Praca z domenami niestandardowymi na serwerze proxy aplikacji Firmy Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Problem może być problemem z dostępem do informacji o autoryzacji. Aby dowiedzieć się więcej, zobacz (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). W skrócie dodaj konto komputera łącznika sieci prywatnej do grupy domeny "Grupa dostępu autoryzacji systemu Windows", aby rozwiązać problem. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Łącznik zabezpiecza połączenia wychodzące z punktami końcowymi usługi w chmurze serwera proxy aplikacji firmy Microsoft przy użyciu certyfikatu klienta. Błąd występuje, gdy certyfikat klienta nie osiągnie punktu końcowego. Na przykład urządzenie sieciowe przeprowadzające inspekcję protokołu Transport Layer Security (TLS) lub przerywanie połączenia TLS. Unikaj wbudowanej inspekcji i kończenia wychodzącej komunikacji TLS. Inspekcja i kończenie działania nie mogą odbywać się między prywatnymi łącznikami sieci firmy Microsoft i usługami w chmurze serwera proxy aplikacji firmy Microsoft Entra. |