Устранение неполадок при установке соединителя частной сети
Соединитель частной сети Microsoft Entra — это внутренний компонент домена, использующий исходящие подключения для установления подключения из облачной доступной конечной точки к внутреннему домену. Соединитель используется как для Microsoft Entra Private Access, так и для прокси приложения Microsoft Entra. В этой статье описывается устранение неполадок с установкой соединителя и последующими функциями.
Общие проблемы с установкой соединителя
При сбое установки соединителя первопричина обычно относится к одной из следующих областей. Прежде чем начинать устранение неполадок, не забудьте перезагрузить соединитель.
- Подключение — для успешной установки новому соединителю нужно зарегистрироваться и установить свойства доверия. Доверие устанавливается путем подключения к облачной службе прокси приложения Microsoft Entra.
- Установление отношений доверия — новый соединитель создает самозаверяющий сертификат и регистрируется в облачной службе.
- Проверка подлинности администратора — во время установки пользователь должен предоставить учетные данные администратора для завершения установки соединителя.
Примечание.
Журналы установки соединителя можно найти в %TEMP%
папке и предоставить дополнительные сведения о том, что вызывает сбой установки.
Проверка подключения к службе прокси-сервера облачных приложений и странице входа Майкрософт
Цель. Убедитесь, что компьютер соединителя может подключиться к конечной точке регистрации прокси приложения и странице входа Майкрософт.
На сервере соединителя с помощью telnet или другого средства тестирования портов выполните проверку и убедитесь, что открыты порты 443 и 80.
Убедитесь, что брандмауэр или серверный прокси-сервер имеет доступ к необходимым доменам и портам, настройте соединители.
Откройте вкладку браузера и введите:
https://login.microsoftonline.com
Убедитесь, что вы можете войти.
Проверка поддержки сертификатов машин и бэкенд-компонентов
Цель. Убедитесь, что компьютер соединителя, внутренний прокси-сервер и брандмауэр могут поддерживать сертификат, созданный соединителем. Кроме того, убедитесь, что сертификат действителен.
Примечание.
Соединитель пытается создать сертификат, поддерживаемый протоколом Transport Layer Security (TLS) 1.2. Если компьютер или серверный брандмауэр и прокси-сервер не поддерживают TLS 1.2, установка завершается ошибкой.
Проверьте соблюдение предварительных требований:
Убедитесь, что компьютер поддерживает протокол TLS 1.2. Все версии Windows после 2012 R2 должны поддерживать TLS 1.2. Если ваш коннектор работает на версии 2012 R2 или более ранней, убедитесь, что на нем установлены обязательные обновления.
Обратитесь к администратору сети и попросите убедиться, что серверный прокси-сервер и брандмауэр не блокируют
SHA512
исходящий трафик.
Чтобы проверить сертификат клиента, выполните следующие действия:
Проверьте отпечаток используемого сертификата клиента. Хранилище сертификатов можно найти в %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml
.
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
Параметр IsInUserStore может принимать значения true и false. Значение true означает, что сертификат автоматически обновляется и хранится в личном контейнере в хранилище сертификатов пользователя сетевой службы. Значение false означает, что сертификат клиента создается во время установки или регистрации, инициированной Register-MicrosoftEntraPrivateNetworkConnector
. Сертификат хранится в личном контейнере в хранилище сертификатов локального компьютера.
Если это значение равно true, выполните следующие действия для проверки сертификата:
- Скачайте PsTools.zip.
- Извлеките из этого пакета PsExec и выполните команду psexec-i-u "nt authority\network service" cmd.exe в командной строке с повышенными привилегиями.
- Запустите certmgr.msc в только что появившейся командной строке.
- В консоль управления разверните личный контейнер и выберите сертификаты.
- Найдите сертификат, выданный connectorregistrationca.msappproxy.net.
Если это значение равно false, выполните следующие действия для проверки сертификата:
- Запустите certlm.msc.
- В консоль управления разверните личный контейнер и выберите сертификаты.
- Найдите сертификат, выданный connectorregistrationca.msappproxy.net.
Чтобы продлить срок действия сертификата клиента, выполните следующие действия.
Если соединитель не подключен к службе в течение нескольких месяцев, его сертификаты могут быть устаревшими. Сбой продления сертификата приводит к тому, что срок действия сертификата истечет. Истекший срок действия сертификата приводит к остановке работы службы соединителя. Событие 1000 регистрируется в журнале администратора соединителя:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
В этом случае удалите и переустановите соединитель для повторной регистрации или выполните следующие команды PowerShell:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Дополнительные сведения о команде Register-MicrosoftEntraPrivateNetworkConnector
см. в статье "Создание скрипта автоматической установки" для соединителя частной сети Microsoft Entra.
Убедитесь, что для установки соединителя используется учетная запись администратора
Цель: убедитесь, что пользователь, пытающийся установить соединитель, является администратором с подходящими учетными данными. В настоящее время пользователь должен быть по крайней мере администратором приложения для успешной установки.
Проверка правильности учетных данных:
Подключитесь к https://login.microsoftonline.com
и используйте те же учетные данные. Убедитесь, что вход выполнен успешно. Чтобы проверить роль пользователя, перейдите к Microsoft Entra ID ->Пользователи и группы ->Все пользователи.
Выберите учетную запись пользователя, а затем Роль каталога в результирующем меню. Убедитесь, что выбранная роль является администратором приложений. Если вы не сможете получить доступ к любой из страниц на этих шагах, у вас нет требуемой роли.
Примечание.
При установке соединителя вам будет предложено указать учетные данные администратора через всплывающее окно. Если всплывающее окно не отображается, убедитесь, что параметры браузера включают всплывающие окна и JavaScript. Во время следующей попытки установки вам будет предложено добавить сайты в надежные сайты. После добавления сайтов на надежные сайты повторно запустите установку.
Ошибки соединителя
Если регистрация завершается ошибкой во время установки помощника соединителя, существуют два способа просмотреть причину этой ошибки. Просмотрите журнал Windows Logs\Application (filter by Source = "Microsoft Entra private network connector"
событий или выполните следующую команду Windows PowerShell:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
Когда вы найдете ошибку соединителя из журнала событий, используйте эту таблицу распространенных ошибок, чтобы устранить проблему:
Ошибка | Рекомендуемые действия |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Если вы закрыли окно регистрации без входа в идентификатор Microsoft Entra ID, запустите мастер соединителя еще раз и зарегистрируйте соединитель. Если откроется окно регистрации, а затем немедленно закрывается без разрешения входа, вы получите ошибку. Эта ошибка возникает при возникновении ошибки сети в системе. Убедитесь, что вы можете подключиться из браузера к общедоступному веб-сайту и что порты открыты, как указано в настройках соединителей. |
Clear error is presented in the registration window. Cannot proceed |
Если отображается ошибка, а затем окно закрывается, вы ввели неправильное имя пользователя или пароль. Повторите попытку. |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
Вы пытаетесь выполнить вход с помощью учетной записи Майкрософт, а не домена, который является частью идентификатора организации в каталоге, к которому вы пытаетесь получить доступ. Администратор должен быть частью того же доменного имени, что и домен клиента. Например, если домен Microsoft Entra является contoso.com , администратор должен быть admin@contoso.com . |
Failed to retrieve the current execution policy for running PowerShell scripts. |
Если установка соединителя завершается ошибкой, убедитесь, что политика выполнения PowerShell не отключена. 1. Откройте редактор групповой политики. 2. Выберите Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Windows PowerShell и дважды щелкните пункт Включить выполнение сценариев. 3. Возможные значения политики выполнения: Не настроено и Включено. Если установлено значение Включено, убедитесь, что в разделе "Параметры" для параметра "Политика выполнения" установлено значение Разрешать локальные сценарии и удаленные подписанные сценарии или Разрешать все сценарии. |
Connector failed to download the configuration. |
Срок действия сертификата клиента соединителя, который используется для проверки подлинности, истек. Проблема возникает, если у вас установлен соединитель за прокси-сервером. В этом случае соединитель не может получить доступ к Интернету и не может предоставлять приложения удаленным пользователям. Обновите отношение доверия вручную с помощью командлета Register-MicrosoftEntraPrivateNetworkConnector в Windows PowerShell. Если соединитель находится за прокси-сервером, необходимо предоставить доступ к Интернету учетным записям соединителя network services и local system . Предоставление доступа осуществляется путем предоставления доступа к прокси-серверу или обхода прокси-сервера. |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
Псевдоним, с которым вы пытаетесь войти, не является администратором в этом домене. Ваш соединитель всегда установлен для каталога, которому принадлежит домен пользователя. Убедитесь, что учетная запись администратора, с которым вы пытаетесь войти, имеет по крайней мере разрешения администратора приложений для клиента Microsoft Entra. |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
Соединитель не может подключиться к облачной службе прокси приложения. Проблема возникает, если у вас есть правило брандмауэра, блокирующее подключение. Разрешить доступ к правильным портам и URL-адресам, перечисленным в настройках соединителей. |
Блок-схема по вопросам с соединителем
На этой блок-схеме описана последовательность действий по отладке некоторых самых распространенных проблем с соединителями. Дополнительные сведения о каждом шаге см. в таблице после блок-схемы.
Этап | Действие | Описание |
---|---|---|
1 | Поиск группы соединителей, назначенной приложению | Возможно, у вас есть соединитель, установленный на нескольких серверах, в этом случае соединители должны быть назначены группе соединителей. Дополнительные сведения о группах соединителей см. в статье "Общие сведения о группах соединителей частной сети Microsoft Entra". |
2 | Установка соединителя и назначение группы | Если у вас нет установленного соединителя, ознакомьтесь со сведениями о настройке соединителей. Если соединитель не назначен группе, см. раздел Назначение соединителя группе. Если приложение не назначено группе соединителей, см. раздел Назначение приложения группе соединителей. |
3 | Запустите тест порта на сервере соединителя | На сервере соединителя запустите тест порта с помощью telnet или другого средства тестирования портов, чтобы проверить правильность настройки портов. Дополнительные сведения см. в статье о настройке соединителей. |
4 | Настройка доменов и портов | Настройте соединители для соединителя. Некоторые порты должны быть открыты, а сервер должен иметь доступ к определенным URL-адресам. Дополнительные сведения см. в разделе "Настройка соединителей". |
5 | Проверьте, используется ли прокси-сервер для бэкэнда. | Проверьте, используют ли коннекторы серверные прокси или обходят их. Подробные сведения см. в статье Устранение проблем с прокси-сервером коннектора и подключением к службе. |
6 | Обновление параметров соединителя и обновления с помощью сведений о прокси-сервере | Если серверный прокси-сервер используется, убедитесь, что соединитель использует тот же прокси-сервер. Дополнительные сведения об устранении неполадок и настройке соединителей для работы с прокси-серверами см. в статье Работа с существующими локальными прокси-серверами. |
7 | Загрузка внутреннего URL-адреса приложения на сервере соединителя | На сервере соединителя загрузите внутренний URL-адрес приложения. |
8 | Проверка подключения ко внутренней сети | В вашей внутренней сети возникла проблема с подключением, которую поток отладки не может диагностировать. Для работы соединителей приложение должно быть доступно внутри сети. Журналы событий соединителя можно включить и просмотреть, как описано в соединителях частной сети. |
9 | Увеличьте значение тайм-аута на серверной части | В дополнительных параметрах приложения измените значение параметра для времени ожидания серверного приложения на Long. См. статью "Добавление локального приложения в идентификатор Microsoft Entra". |
10 | Если проблемы сохраняются, отладьте приложения. | Отладка проблем с прокси-приложением. |
Устранение неполадок с функциональными возможностями соединителя
Если установка и регистрация соединителя успешно завершены, но вы не можете получить доступ к частным ресурсам, проверьте следующее.
- сбои подключения к облачной службе: у соединителя могут возникнуть проблемы с подключением к облачной службе Entra Private Access. Хотя состояние соединителя в Центре администрирования Microsoft Entra может показаться активным, соединитель может по-прежнему иметь проблемы с подключением к конечным точкам облачной службы. Обратитесь к вашей сетевой команде, чтобы узнать, не были ли неудачными попытки подключения с IP-адреса соединителя.
- Не удалось проверить цепочку ошибок сертификата: эта ошибка отображается в расширенном журнале соединителя, если цепочка сертификатов для сертификата службы глобального безопасного доступа, например *.msappproxy.net не будет проверена. Часто это происходит, если на MicrosoftEntraPrivateNetworkConnectorService.exe.config настроен прокси-сервер, но не настроен системный прокси-сервер. Вы можете задать системный прокси-сервер с помощью netsh winhttp set proxy address:port.
- проверка TLS настроена: проверка TLS не поддерживается в трафике соединителя частной сети. Попытка выполнить инспекцию TLS на этом трафике затрудняет возможность соединителя подключаться к Глобальной службе безопасного доступа и, следовательно, затрудняет обработку запросов на частный доступ. Убедитесь, что сетевые устройства, разрешающие доступ к Интернету к соединителю частной сети, не выполняют проверку TLS.
- Прокси-сервер находится между соединителем и ресурсом. Соединителю требуется прямая видимость для подключения к ресурсу, и он не может функционировать, если между ним и ресурсом находится прокси-сервер. Чтобы подтвердить, проверьте подключение от соединителя к ресурсу, определенному в приложении Глобального безопасного доступа, например общей папке или сервере RDP, чтобы убедиться, что соединитель может получить доступ к ресурсу. Если вы не можете подключиться к ресурсу с сервера соединителя, необходимо устранить проблему сетевого подключения между соединителем и ресурсом, который может включать перемещение соединителя в сетевое расположение с прямой доступом к ресурсу.
Включение расширенного ведения журнала соединителей
Если вы можете подключиться к ресурсу с сервера, но не из клиента Глобального безопасного доступа, могут возникнуть другие проблемы с соединителем. Чтобы изучить, включите расширенное ведение журнала соединителей. Для этого измените файл MicrosoftEntraPrivateNetworkConnectorService.exe.config, расположенный в папке установки соединителя (по умолчанию — C:\Program Files\Microsoft Entra private network connector). Найдите приведенный ниже раздел в файле, удалите индикаторы строки комментариев, которые приводят и следят за этим разделом, и убедитесь, что указанная папка существует.
Содержимое файла должно выглядеть следующим образом:
После включения ведения журнала попытайтесь получить доступ к ресурсу из клиента Глобального безопасного доступа для того чтобы воспроизвести ошибку. Затем просмотрите файл журнала на ошибки.
Часто задаваемые вопросы
Почему соединитель по-прежнему использует старую версию и не обновляется до последней версии?
Это может быть вызвано неправильной работой службы обновления или отсутствием новых обновлений, которые может установить служба.
Служба обновления находится в исправном состоянии, если она запущена и в журнале событий не записано ошибок (журналы приложений и служб —> Microsoft —> частная сеть Microsoft Entra —> Updater —> Admin).
Внимание
Автоматическое обновление применяется только для основных версий. Рекомендуется обновлять соединитель вручную, только если это необходимо. Например, вы не можете ожидать выпуска основной версии, так как необходимо устранить известную проблему или использовать новую функцию. Дополнительные сведения о новых выпусках, тип выпуска (скачивание, автоматическое обновление), исправления ошибок и новые функции см. в разделе " Соединитель частной сети Microsoft Entra: журнал выпусков версий".
Чтобы вручную обновить соединитель, выполните следующие действия.
- Скачайте последнюю версию соединителя. (Найдите его в Центре администрирования Microsoft Entra в Global Secure Access>Connect>Соединители)
- Установщик перезапускает службы соединителя частной сети Microsoft Entra. В некоторых случаях может потребоваться перезагрузка сервера, если установщик не может заменить все файлы. Поэтому перед началом обновления рекомендуется закрыть все приложения (то есть Просмотр событий).
- Запустите установщик. Процесс обновления выполняется быстро и не требует предоставления учетных данных, и соединитель не регистрируется повторно.
Могут ли службы соединителей частной сети выполняться в другом контексте пользователя, отличном от стандартного?
Нет, этот сценарий не поддерживается. Параметры по умолчанию:
- Соединитель частной сети Microsoft Entra — WAPCSvc — служба сети
- Служба обновления соединителя частной сети Microsoft Entra — WAPCUpdaterSvc — NT Authority\System
Может ли гостевой пользователь с активным назначением роли администратора зарегистрировать коннектор для (гостевого) арендатора?
Нет, в настоящее время это невозможно. Попытка регистрации всегда выполняется в домашнем клиенте пользователя.
Мое серверное приложение размещается на нескольких веб-серверах и требует сохранения пользовательского сеанса ("закрепления"). Как можно добиться сохранения сеанса?
Рекомендации см. в разделе "Высокая доступность" и балансировка нагрузки соединителей и приложений частной сети.
Поддерживается ли прерывание TLS (проверка или ускорение TLS/HTTPS) на трафике с серверов соединителей в Azure?
Соединитель частной сети выполняет проверку подлинности на основе сертификатов в Azure. Прерывание TLS (проверка или ускорение TLS/HTTPS) нарушает работу этого метода проверки подлинности и не поддерживается. Трафик из соединителя в Azure должен обходить любые устройства, выполняющие завершение TLS.
Требуется ли TLS 1.2 для всех подключений?
Да. Чтобы обеспечить лучшее шифрование в классе для наших клиентов, служба прокси приложения ограничивает доступ только к протоколам TLS 1.2. Эти изменения внедрялись поэтапно и окончательно вступили в силу 31 августа 2019 г. Убедитесь, что все сочетания сервера клиента и браузера обновляются, чтобы использовать TLS 1.2 для поддержания подключения к службе прокси приложения. К ним относятся клиенты, используемые для доступа к приложениям, опубликованным через прокси приложений. Полезные ссылки и ресурсы см. в статье Подготовка к использованию TLS 1.2 в Office 365.
Можно ли разместить прокси-сервер между серверами соединителей и сервером приложений?
Этот сценарий поддерживается начиная с версии коннектора 1.5.1526.0 для Microsoft Entra Application Proxy, но не поддерживается для частного доступа Microsoft Entra. См. "Работу с существующими локальными прокси-серверами" для получения информации о поддержке App Proxy.
Следует ли создать выделенную учетную запись для регистрации соединителя с помощью прокси приложения Microsoft Entra?
Нет оснований для создания выделенной учетной записи. Любая учетная запись с ролью администратора приложений работает. Учетные данные, указанные во время установки, не используются после процесса регистрации. Вместо этого соединителю выдается сертификат, который используется для проверки подлинности с этого момента.
Как отслеживать производительность соединителя частной сети Microsoft Entra?
Существуют счетчики монитора производительности, которые устанавливаются вместе с соединителем. Чтобы просмотреть их:
- Выберите Пуск, введите "Perfmon" и нажмите клавишу ВВОД.
- Выберите Системный монитор и щелкните зеленый значок +.
- Добавьте счетчики частной сети Microsoft Entra, которые вы хотите отслеживать.
Должен ли соединитель частной сети Microsoft Entra находиться в той же подсети, что и ресурс?
Соединитель не обязательно должен находиться в той же подсети. Однако для ресурса требуется разрешение имен (DNS, файл узлов) и необходимое сетевое подключение (маршрутизация к ресурсу, портам, открытым в ресурсе и т. д.). Рекомендации см. в рекомендациях по топологии сети при использовании прокси приложения Microsoft Entra.
Почему соединитель по-прежнему отображается в Центре администрирования Microsoft Entra после удаления соединителя с сервера?
Когда соединитель работает, он остается активным, пока подключается к службе. Удаленные или неиспользуемые соединители помечены как неактивные и удаляются через 10 дней бездействия из Центра администрирования Microsoft Entra. Не удается удалить неактивный соединитель вручную из Центра администрирования Microsoft Entra.