Partilhar via

Solucionar problemas de proxy de aplicativo e mensagens de erro

  • Artigo

Primeiro, verifique se os conectores de rede privada estão configurados corretamente. Para obter mais informações, consulte Depurar problemas do conector de rede privada e Depurar problemas da aplicação proxy de aplicação.

Se ocorrerem erros no acesso a um aplicativo publicado ou em aplicativos de publicação, verifique as seguintes opções para ver se o proxy de aplicativo do Microsoft Entra está funcionando corretamente:

  • Abra o console de Serviços do Windows. Verifique se o serviço de conector de rede privada do Microsoft Entra está habilitado e em execução. Observe a página de propriedades do serviço de proxy de aplicativo, conforme mostrado na imagem.
    janela de propriedades do conector de rede privada do Microsoft Entra, captura de tela
  • Abra o Visualizador de Eventos e procure eventos de conector de rede privada em Logs de Aplicativos e Serviços>Microsoft>Microsoft Entra rede privada>Conector>Admin.
  • Revise os logs detalhados. Ative os logs de sessão do conector de rede privada.

A página não é processada corretamente

Você tem problemas com a renderização ou o funcionamento incorreto do aplicativo sem receber mensagens de erro específicas. O problema ocorre se você publicou o caminho do artigo, mas o aplicativo requer conteúdo que existe fora desse caminho.

Por exemplo, se você publicar o caminho https://yourapp/app mas o aplicativo chamar imagens em https://yourapp/media, elas não serão renderizadas. Certifique-se de publicar o aplicativo usando o caminho de nível mais alto necessário para incluir todo o conteúdo relevante. Neste exemplo, seria http://yourapp/.

Uma aplicação proxy demora muito tempo a carregar

Os aplicativos podem ser funcionais, mas apresentam uma longa latência. Os ajustes de topologia de rede podem melhorar a velocidade. Para obter uma avaliação de topologias diferentes, consulte o documento de considerações de rede .

A página da aplicação não é exibida corretamente para um proxy de aplicação

Quando você publica um aplicativo proxy de aplicativo, somente as páginas sob sua raiz são acessíveis ao acessar o aplicativo. Se a página não estiver sendo exibida corretamente, a URL interna raiz usada para o aplicativo pode estar faltando alguns recursos da página. Para resolver, publique todos os recursos da página como parte da sua aplicação.

Verifique se o problema é a falta de recursos. Abrir o rastreador de rede, como o Fiddler ou as ferramentas F12 no Microsoft Edge. Carregue a página e procure por erros 404. Os erros indicam que as páginas não podem ser encontradas e que você precisa publicá-las.

Como exemplo, suponha que você publicou um aplicativo de despesas usando a URL interna http://myapps/expenses, mas o aplicativo usa a folha de estilo http://myapps/style.css. A folha de estilo não é publicada na sua aplicação, portanto, carregar a aplicação de despesas lança um erro 404 ao tentar carregar style.css. Neste exemplo, resolva o problema publicando o aplicativo com a URL interna http://myapp/.

Problemas com a publicação como um único aplicativo

Se não for possível publicar todos os recursos no mesmo aplicativo, você precisará publicar vários aplicativos e habilitar links entre eles.

Para fazer isso, recomendamos usar a solução de domínios personalizados . No entanto, essa solução requer que você possua o certificado para seu domínio e seus aplicativos usem FQDNs (nomes de domínio totalmente qualificados). Para outras opções, veja a documentação para solucionar problemas de links quebrados.

Posso aceder à minha aplicação, mas as ligações na página da aplicação não funcionam.

Estou a ter um problema de conectividade com a minha aplicação

Não sei que portas abrir para a minha aplicação.

Estou tendo um problema para configurar o proxy do aplicativo Microsoft Entra no portal de administração

Não sei como configurar o logon único para meu aplicativo Proxy.

Estou tendo um problema para configurar a autenticação de back-end para meu aplicativo

Não sei como configurar a Delegação Restrita Kerberos. Não sei como configurar meu aplicativo com o PingAccess.

Estou com um problema ao fazer login na minha aplicação.

Recebo o erro Can't Access this Corporate Application. Para resolver esse problema, consulte Erro de tempo limite de gateway incorreto.

Estou a ter um problema com o conector de rede privada

Tenho problemas para instalar o conector de rede privada.

Erros do Kerberos

Esta tabela aborda os erros mais comuns provenientes da instalação e configuração do Kerberos e inclui sugestões de resolução.

Erro Passos recomendados
Failed to retrieve the current execution policy for running PowerShell scripts. Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada.

1. Abra o Editor de Política de Grupo.
2. Vá para Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows PowerShell e clique duas vezes Ativar Execução de Script.
3. A política de execução pode ser definida como Não Configurado ou Ativado. Se estiver definido como Enabled, certifique-se de que, em Opções, a Política de Execução está definida como Permitir scripts locais e scripts assinados remotos ou Permitir todos os scripts.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Esse erro indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor de aplicativos de back-end ou um problema na configuração de data e hora em ambas as máquinas. O servidor back-end recusou o tíquete Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente. Verifique se a configuração de data e hora na ID do Microsoft Entra e no servidor de aplicativos de back-end estão sincronizadas.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Há um problema com a configuração do Serviço de Token de Segurança (STS). Corrija a configuração da declaração UPN (Nome Principal do Usuário) no STS.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Esse evento indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambas as máquinas. O controlador de domínio recusou o ticket Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente, especialmente a configuração do SPN (Nome da Entidade de Serviço). Verifique se o controlador de domínio estabelece confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Verifique se a configuração de data e hora na ID do Microsoft Entra e no controlador de domínio estão sincronizadas.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Esse evento indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambas as máquinas. O controlador de domínio recusou o bilhete Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente, especialmente a configuração do SPN. Verifique se o controlador de domínio estabelece confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Certifique-se de que a configuração de hora e data na ID do Microsoft Entra e no controlador de domínio estão sincronizadas.
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Esse evento indica configuração incorreta entre o Microsoft Entra ID e o servidor de aplicativos back-end ou um problema na configuração de data e hora em ambas as máquinas. O servidor de back-end rejeitou o bilhete Kerberos gerado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente. Verifique se a configuração de data e hora na ID do Microsoft Entra e no servidor de aplicativos de back-end estão sincronizadas. Para mais informações, consulte Resolução de problemas nas configurações de delegação restrita do Kerberos para proxy de aplicativo.

Erros do utilizador final

Esta lista abrange os erros que os utilizadores finais podem encontrar quando tentam aceder à aplicação e falham.

Erro Passos recomendados
The website cannot display the page. O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se o aplicativo for um aplicativo de Autenticação Integrada do Windows (IWA). O SPN definido para esta aplicação está incorreto. Para aplicativos IWA, verifique se o SPN configurado para este aplicativo está correto.
The website cannot display the page. O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se o aplicativo for um aplicativo do Outlook Web Application (OWA). A questão resulta de:
  • O SPN definido para esta aplicação está incorreto. Verifique se o SPN configurado para este aplicativo está correto.
  • O usuário que tentou acessar o aplicativo está usando uma conta da Microsoft em vez da conta corporativa adequada para entrar, ou o usuário é um usuário convidado. Verifique se o usuário entra usando sua conta corporativa que corresponde ao domínio do aplicativo publicado. Os utilizadores e convidados da Conta Microsoft não podem aceder a aplicações IWA.
  • O utilizador que tentou aceder à aplicação não está devidamente definido para esta aplicação no lado local interno. Verifique se esse usuário tem as permissões adequadas, conforme definido para esse aplicativo de back-end na máquina local.
    		•
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. O utilizador recebe este erro quando tenta aceder à aplicação que publicou se utilizar contas Microsoft em vez da respetiva conta empresarial para iniciar sessão. Os usuários convidados recebem esse erro. Os utilizadores e convidados da Conta Microsoft não podem aceder a aplicações IWA. Verifique se o usuário entra usando sua conta corporativa que corresponde ao domínio do aplicativo publicado.

    Você deve atribuir o usuário para este aplicativo. Vá para a guia Aplicação e, em Utilizadores e Grupos, atribua este utilizador ou grupo de utilizadores a esta aplicação.
    This corporate app can’t be accessed right now. Please try again later… The connector timed out. O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se eles não estiverem definidos corretamente para esse aplicativo no lado local. Verifique se os usuários têm as permissões adequadas, conforme definido para esse aplicativo de back-end na máquina local.
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se não tiver sido explicitamente atribuído com uma licença Premium pelo administrador do assinante. Aceda ao separador Licenças do Active Directory do subscritor e certifique-se de que este utilizador ou grupo de utilizadores está associado a uma licença Premium.
    A server with the specified host name could not be found. O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se o domínio personalizado do aplicativo não estiver configurado corretamente. Verifique o certificado para o domínio e configure o registro DNS (Sistema de Nomes de Domínio) corretamente. Para obter mais informações, consulte Trabalhando com domínios personalizados no proxy de aplicativo do Microsoft Entra.
    Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. O problema pode ser um problema com o acesso às informações de autorização. Para saber mais, consulte (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Em resumo, adicione a conta da máquina do conector de rede privada ao grupo de domínio incorporado "Grupo de Acesso de Autorização do Windows" para resolver o problema.
    InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. O conector protege as conexões de saída para os endpoints do serviço de proxy de aplicação em nuvem do Microsoft Entra usando um certificado de cliente. O erro ocorre quando o certificado do cliente não consegue chegar ao ponto de extremidade. Por exemplo, um dispositivo de rede executando inspeção de Segurança da Camada de Transporte (TLS) ou interrompendo a ligação TLS. Evite a inspeção direta e a interrupção das comunicações TLS de saída. A inspeção e a interrupção não devem acontecer entre os conectores de rede privada do Microsoft Entra e os serviços de proxy de aplicativo na nuvem do Microsoft Entra.

    Ver também