Solucionar problemas de instalação do conector de rede privada
O conector de rede privada Microsoft Entra é um componente de domínio interno que usa conexões de saída para estabelecer a conectividade do ponto de extremidade disponível na nuvem para o domínio interno. O conector é usado pelo Microsoft Entra Private Access e pelo proxy de aplicativo Microsoft Entra.
Áreas problemáticas gerais com a instalação do conector
Quando a instalação de um conector falha, a causa raiz é geralmente uma das seguintes áreas. Como precursor de qualquer solução de problemas, certifique-se de reiniciar o conector.
- Conectividade – para concluir uma instalação bem-sucedida, o novo conector precisa registrar e estabelecer propriedades de confiança futuras. A confiança é estabelecida conectando-se ao serviço de nuvem de proxy de aplicativo Microsoft Entra.
- Estabelecimento de confiança – o novo conector cria um certificado autoassinado e se registra no serviço de nuvem.
- Autenticação do administrador – durante a instalação, o usuário deve fornecer credenciais de administrador para concluir a instalação do conector.
Nota
Os logs de instalação do %TEMP%
conector podem ser encontrados na pasta e podem ajudar a fornecer informações adicionais sobre o que está causando uma falha de instalação.
Verificar a conectividade com o serviço de proxy de aplicativo na nuvem e a página de entrada da Microsoft
Objetivo: Verifique se a máquina conectora pode se conectar ao ponto de extremidade de registro de proxy de aplicativo e à página de entrada da Microsoft.
No servidor conector, execute um teste de porta usando telnet ou outra ferramenta de teste de porta para verificar se as portas 443 e 80 estão abertas.
Verifique se o Firewall ou proxy de back-end tem acesso aos domínios e portas necessários, consulte Configurar conectores.
Abra um separador do navegador e introduza:
https://login.microsoftonline.com
. Certifique-se de que consegue iniciar sessão.
Verificar o suporte de certificados de componentes de back-end e máquinas virtuais
Objetivo: Verifique se a máquina conectora, o proxy de back-end e o firewall podem suportar o certificado criado pelo conector. Além disso, verifique se o certificado é válido.
Nota
O conector tenta criar um SHA512
certificado que é suportado pelo Transport Layer Security (TLS) 1.2. Se a máquina ou o firewall e proxy de back-end não suportarem TLS 1.2, a instalação falhará.
Analise os pré-requisitos necessários:
Verifique se a máquina suporta Transport Layer Security (TLS) 1.2 – Todas as versões do Windows após 2012 R2 devem suportar TLS 1.2. Se a máquina conectora for de uma versão do 2012 R2 ou anterior, certifique-se de que as atualizações necessárias estão instaladas.
Entre em contato com o administrador da rede e peça para verificar se o proxy de back-end e o firewall não bloqueiam
SHA512
o tráfego de saída.
Para verificar o certificado do cliente:
Verifique a impressão digital do certificado do cliente atual. O armazenamento de certificados pode ser encontrado em %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml
.
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
Os possíveis valores IsInUserStore são true e false. Um valor true significa que o certificado é renovado automaticamente e armazenado no contêiner pessoal no armazenamento de certificados do usuário do Serviço de Rede. Um valor false significa que o certificado do cliente é criado durante a instalação ou o registro iniciado pelo Register-MicrosoftEntraPrivateNetworkConnector
. O certificado é armazenado no contêiner pessoal no armazenamento de certificados da máquina local.
Se o valor for true, siga estas etapas para verificar o certificado:
- Faça o download PsTools.zip.
- Extraia o PsExec do pacote e execute o cmd.exe psexec -i -u "nt authority\network service" a partir de um prompt de comando elevado.
- Execute certmgr.msc no prompt de comando recém-exibido.
- No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
- Localize o certificado emitido pela connectorregistrationca.msappproxy.net.
Se o valor for false, siga estas etapas para verificar o certificado:
- Execute certlm.msc.
- No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
- Localize o certificado emitido pela connectorregistrationca.msappproxy.net.
Para renovar o certificado do cliente:
Se um conector não estiver conectado ao serviço por vários meses, seus certificados podem estar desatualizados. A falha de renovação do certificado leva a um certificado expirado. O certificado expirado faz com que o serviço de conector pare de funcionar. O evento 1000 é registado no registo de administrador do conector:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
Neste caso, desinstale e instale novamente o conector para acionar o registo ou pode executar os comandos do PowerShell que se seguem:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Para saber mais sobre o Register-MicrosoftEntraPrivateNetworkConnector
comando, consulte Criar um script de instalação autônoma para o conector de rede privada do Microsoft Entra.
Verifique se admin é usado para instalar o conector
Objetivo: Verifique se o usuário que tenta instalar o conector é um administrador com credenciais corretas. Atualmente, o usuário deve ser pelo menos um administrador de aplicativo para que a instalação seja bem-sucedida.
Para verificar se as credenciais estão corretas:
Conecte-se e https://login.microsoftonline.com
use as mesmas credenciais. Certifique-se de que o início de sessão foi bem-sucedido. Você pode verificar a função de usuário indo para Microsoft Entra ID ->Usuários e Grupos ->Todos os Usuários.
Selecione sua conta de usuário e, em seguida , Função de diretório no menu resultante. Verifique se a função selecionada é Administrador de Aplicativos. Se não conseguir aceder a nenhuma das páginas ao longo destes passos, não tem a função necessária.
Erros do conector
Se o registro falhar durante a instalação do assistente de conector, há duas maneiras de exibir o motivo da falha. Procure no log de eventos em Windows Logs\Application (filter by Source = "Microsoft Entra private network connector"
, ou execute o seguinte comando do Windows PowerShell:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
Depois de encontrar o erro do conector no log de eventos, use esta tabela de erros comuns para resolver o problema:
Erro | Passos recomendados |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Se você fechou a janela de registro sem entrar no Microsoft Entra ID, execute o assistente de conector novamente e registre o conector. Se a janela de registro abrir e fechar imediatamente sem permitir que você faça login, você receberá o erro. O erro ocorre quando há um erro de rede no seu sistema. Verifique se você pode se conectar de um navegador a um site público e se as portas estão abertas conforme especificado em configurar conectores. |
Clear error is presented in the registration window. Cannot proceed |
Se vir o erro e, em seguida, a janela fechar, introduziu o nome de utilizador ou palavra-passe errados. Tente novamente. |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
Você está tentando entrar usando uma Conta da Microsoft e não um domínio que faz parte da ID da organização do diretório que você está tentando acessar. O administrador deve fazer parte do mesmo nome de domínio que o domínio do locatário. Por exemplo, se o domínio Microsoft Entra for contoso.com , o administrador deve ser admin@contoso.com . |
Failed to retrieve the current execution policy for running PowerShell scripts. |
Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada. 1. Abra o Editor de Política de Grupo. 2. Vá para Configuração do>Computador, Modelos Administrativos>, Componentes>do Windows, Windows PowerShell e clique duas vezes em Ativar Execução de Script. 3. A política de execução pode ser definida como Não Configurada ou Ativada. Se definido como Habilitado, verifique se em Opções, a Diretiva de Execução está definida como Permitir scripts locais e scripts assinados remotamente ou Permitir todos os scripts. |
Connector failed to download the configuration. |
O certificado de cliente do conector, que é usado para autenticação, expirou. O problema ocorre se você tiver o conector instalado atrás de um proxy. Nesse caso, o conector não pode acessar a Internet e não é capaz de fornecer aplicativos para usuários remotos. Renove a confiança manualmente usando o Register-MicrosoftEntraPrivateNetworkConnector cmdlet no Windows PowerShell. Se o seu conector estiver atrás de um proxy, é necessário conceder acesso à Internet para as contas network services do conector e local system . A concessão de acesso é realizada concedendo acesso ao proxy ou ignorando o proxy. |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
O alias com o qual está a tentar iniciar sessão não é um administrador neste domínio. Seu conector é sempre instalado para o diretório que possui o domínio do usuário. Certifique-se de que a conta de administrador com a qual está a tentar iniciar sessão tem, pelo menos, permissões de administrador de aplicações para o inquilino do Microsoft Entra. |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
O conector não consegue se conectar ao serviço de nuvem de proxy de aplicativo. O problema acontece se você tiver uma regra de firewall bloqueando a conexão. Permita o acesso às portas e URLs corretas listadas em configurar conectores. |
Fluxograma para problemas de conectores
Este fluxograma orienta você pelas etapas para depurar alguns dos problemas mais comuns do conector. Para obter detalhes sobre cada etapa, consulte a tabela a seguir ao fluxograma.
Passo | Ação | Descrição |
---|---|---|
5 | Localizar o grupo de conectores atribuído ao aplicativo | Você provavelmente tem um conector instalado em vários servidores, caso em que os conectores devem ser atribuídos a um grupo de conectores. Para saber mais sobre grupos de conectores, consulte Compreender os grupos de conectores de rede privada do Microsoft Entra. |
2 | Instalar o conector e atribuir um grupo | Se você não tiver um conector instalado, consulte Configurar conectores). Se o conector não estiver atribuído a um grupo, consulte Atribuir o conector a um grupo. Se o aplicativo não estiver atribuído a um grupo de conectores, consulte Atribuir o aplicativo a um grupo de conectores. |
3 | Executar um teste de porta no servidor conector | No servidor conector, execute um teste de porta usando telnet ou outra ferramenta de teste de porta para verificar se as portas estão configuradas corretamente. Para saber mais, consulte Configurar conectores. |
4 | Configurar os domínios e portas | Configure conectores para o conector. Certas portas devem estar abertas e URLs que seu servidor deve ser capaz de acessar. Para obter mais informações, consulte Configurar conectores. |
5 | Verifique se um proxy back-end está em uso | Verifique se os conectores estão usando servidores proxy back-end ou ignorando-os. Para obter detalhes, consulte Solucionar problemas de proxy de conector e problemas de conectividade de serviço. |
6 | Atualize as configurações do conector e do atualizador com as informações de proxy de back-end | Se um proxy back-end estiver em uso, verifique se o conector está usando o mesmo proxy. Para obter detalhes sobre como solucionar problemas e configurar conectores para trabalhar com servidores proxy, consulte Trabalhar com servidores proxy locais existentes. |
7 | Carregue a URL interna do aplicativo no servidor do conector | No servidor do conector, carregue a URL interna do aplicativo. |
8 | Verificar a conectividade de rede interna | Há um problema de conectividade em sua rede interna que esse fluxo de depuração não consegue diagnosticar. O aplicativo deve ser acessível internamente para que os conectores funcionem. Você pode habilitar e exibir logs de eventos do conector conforme descrito em conectores de rede privada. |
9 | Aumentar o valor de tempo limite no back-end | Nas Configurações adicionais do seu aplicativo, altere a configuração Tempo limite do aplicativo de back-end para Longo. Consulte Adicionar um aplicativo local à ID do Microsoft Entra. |
10 | Se os problemas persistirem, depure aplicativos. | Depurar problemas de aplicativo proxy de aplicativo. |
Perguntas mais frequentes
Por que meu conector ainda está usando uma versão mais antiga e não é atualizado automaticamente para a versão mais recente?
Isso pode ser devido ao serviço atualizador não funcionar corretamente ou se não houver novas atualizações disponíveis que o serviço possa instalar.
O serviço atualizador estará íntegro se estiver em execução e não houver erros registrados no log de eventos (logs de Aplicativos e Serviços -> Microsoft -> Microsoft Entra private network -> Updater -> Admin).
Importante
Apenas as versões principais são lançadas para atualização automática. Recomendamos atualizar o conector manualmente apenas se for necessário. Por exemplo, você não pode esperar por uma versão principal, porque você deve corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo de versão (download, atualização automática), correções de bugs e novos recursos, consulte Microsoft Entra private network connector: Version release history.
Para atualizar manualmente um conector:
- Faça o download da versão mais recente do conector. (Encontre-o no centro de administração do Microsoft Entra em Conectores Global Secure Access>Connect>)
- O instalador reinicia os serviços de conector de rede privada do Microsoft Entra. Em alguns casos, uma reinicialização do servidor pode ser necessária se o instalador não puder substituir todos os arquivos. Portanto, recomendamos fechar todos os aplicativos (ou seja, o Visualizador de Eventos) antes de iniciar a atualização.
- Execute o instalador. O processo de atualização é rápido e não requer o fornecimento de credenciais e o conector não é registrado novamente.
Os serviços de conector de rede privada podem ser executados em um contexto de usuário diferente do padrão?
Não, este cenário não é suportado. As configurações padrão são:
- Conector de rede privada Microsoft Entra - WAPCSvc - Serviço de Rede
- Microsoft Entra conector de rede privada Updater - WAPCUpdaterSvc - NT Authority\System
Um usuário convidado com uma atribuição de função de administrador ativa pode registrar o conector para o locatário (convidado)?
Não, atualmente, isso não é possível. A tentativa de registo é sempre feita no inquilino da casa do utilizador.
Meu aplicativo back-end está hospedado em vários servidores Web e requer persistência da sessão do usuário (aderência). Como posso conseguir a persistência da sessão?
Para obter recomendações, consulte Alta disponibilidade e balanceamento de carga de seus conectores e aplicativos de rede privada.
A terminação TLS (Aceleração ou inspeção TLS/HTTPS) no tráfego dos servidores do conector para o Azure é suportada?
O conector de rede privada executa a autenticação baseada em certificado no Azure. A terminação TLS (inspeção ou aceleração TLS/HTTPS) quebra esse método de autenticação e não é suportada. O tráfego do conector para o Azure deve ignorar todos os dispositivos que estão executando a Terminação TLS.
O TLS 1.2 é preciso para todas as ligações?
Sim. Para fornecer a melhor criptografia da categoria para nossos clientes, o serviço de proxy de aplicativo limita o acesso apenas aos protocolos TLS 1.2. Estas alterações foram gradualmente implementadas e entraram em vigor desde 31 de agosto de 2019. Certifique-se de que todas as combinações cliente-servidor e navegador-servidor sejam atualizadas para usar o TLS 1.2 para manter a conexão com o serviço de proxy de aplicativo. Isso inclui clientes que seus usuários estão usando para acessar aplicativos publicados por meio do proxy de aplicativo. Consulte Preparando-se para TLS 1.2 no Office 365 para obter referências e recursos úteis.
Posso colocar um dispositivo proxy de encaminhamento entre o(s) servidor(es) conector(es) e o servidor de aplicativos back-end?
Sim, este cenário é suportado a partir da versão do conector 1.5.1526.0. Consulte Trabalhar com servidores proxy locais existentes.
Devo criar uma conta dedicada para registrar o conector com o proxy do aplicativo Microsoft Entra?
Não há razão para criar uma conta dedicada. Qualquer conta com a função de Administrador de Aplicativos funciona. As credenciais inseridas durante a instalação não são usadas após o processo de registro. Em vez disso, um certificado é emitido para o conector, que é usado para autenticação a partir desse ponto.
Como posso monitorar o desempenho do conector de rede privada Microsoft Entra?
Existem contadores do Monitor de Desempenho que são instalados juntamente com o conector. Para os visualizar:
- Selecione Iniciar, digite "Perfmon" e pressione ENTER.
- Selecione Monitor de desempenho e clique no ícone verde + .
- Adicione os contadores do conector de rede privada Microsoft Entra que você deseja monitorar.
O conector de rede privada Microsoft Entra tem de estar na mesma sub-rede que o recurso?
O conector não precisa estar na mesma sub-rede. No entanto, ele precisa de resolução de nome (DNS, arquivo hosts) para o recurso e a conectividade de rede necessária (roteamento para o recurso, portas abertas no recurso e assim por diante). Para obter recomendações, consulte Considerações sobre topologia de rede ao usar o proxy de aplicativo Microsoft Entra.
Por que o conector ainda está sendo exibido no centro de administração do Microsoft Entra depois que eu desinstalei o conector do servidor?
Quando um conector está em execução, ele permanece ativo à medida que se conecta ao serviço. Os conectores não instalados ou não utilizados são marcados como inativos e são removidos do portal após 10 dias de inatividade. Não é possível remover o conector Inativo manualmente do centro de administração do Microsoft Entra.