Поделиться через

Устранение неполадок прокси приложения и сообщений об ошибках

  • Статья

Сначала убедитесь, что соединители частной сети настроены правильно. Для получения дополнительной информации см. разделы Устранение проблем с соединителем частной сети и Устранение проблем с прокси-сервером приложения.

Если ошибки возникают при доступе к опубликованному приложению или при публикации приложений, проверьте, правильно ли работает прокси приложения Microsoft Entra.

  • Откройте консоль служб Windows. Убедитесь, что служба соединителя частной сети Microsoft Entra включена и запущена. Просмотрите страницу свойств службы прокси приложения, как показано на изображении.
    снимок экрана окна свойств соединителя частной сети Microsoft Entra
  • Откройте средство просмотра событий и найдите события соединителя частной сети в журналах приложений и служб >Microsoft>частной сети Microsoft Entra>Connector>Admin.
  • Просмотрите подробные логи. Включить ведение журналов сеансов соединителя частной сети.

Страница не отображается правильно

У вас возникли проблемы с отображением или работой приложения, но при этом вы не получаете конкретных сообщений об ошибках. Проблема возникает, если вы опубликовали путь статьи, но приложение требует содержимого, которое существует вне этого пути.

Например, если опубликовать путь https://yourapp/app, но приложение запрашивает изображения в https://yourapp/media, они не отображаются. Убедитесь, что приложение публикуется с помощью пути высокого уровня, необходимо включить все соответствующее содержимое. В этом примере значением будет http://yourapp/.

Загрузка прокси-приложения занимает слишком много времени

Приложения могут быть функциональными, но с длительной задержкой. Настройки сетевой топологии могут повысить скорость. Для оценки различных топологий см. документ о сетевых рекомендациях.

Страница не отображается правильно для прокси-сервера приложения.

При публикации приложения-прокси, только страницы в вашем корневом каталоге доступны для доступа к приложению. Если страница не отображается правильно, корневой внутренний URL-адрес, используемый для приложения, может пропустить некоторые ресурсы страницы. Чтобы устранить проблему, опубликуйте все ресурсы страницы как часть вашего приложения.

Убедитесь, что отсутствующие ресурсы являются проблемой. Открытие средства отслеживания сети, например Fiddler или F12 в Microsoft Edge. Загрузите страницу и найдите 404 ошибки. Ошибки указывают на то, что страницы не найдены, и их нужно опубликовать.

Например, предположим, что вы разместили приложение для учета расходов с помощью внутреннего URL-адреса http://myapps/expenses, но приложение использует таблицу стилей http://myapps/style.css. Таблица стилей не опубликована в приложении, поэтому загрузка приложения расходов вызывает ошибку 404 при попытке загрузить style.css. В этом примере устраните проблему путем публикации приложения с внутренним URL-адресом http://myapp/.

Проблемы с публикацией в виде одного приложения

Если невозможно опубликовать все ресурсы в одном приложении, необходимо опубликовать несколько приложений и включить связи между ними.

Для этого мы рекомендуем использовать решение для пользовательских доменов. Однако для этого решения требуется, чтобы вы владели сертификатом для вашего домена, а ваши приложения использовали полные доменные имена (FQDN). Дополнительные варианты см. в документации по неработающим ссылкам .

я могу добраться до приложения, но ссылки на странице приложения не работают.

У меня возникла проблема с подключением к приложению

я не знаю, какие порты открывать для приложения.

Возникла проблема с настройкой прокси приложения Microsoft Entra на портале администрирования

я не знаю, как настроить единый вход для Proxy приложения.

У меня возникла проблема с настройкой серверной проверки подлинности для приложения

Я не знаю, как настроить делегирование полномочий с ограничениями в Kerberos. я не знаю, как настроить приложение с помощью PingAccess.

У меня возникает проблема при входе в приложение

Я получаю ошибку Can't Access this Corporate Application. Чтобы устранить эту проблему, см. ошибку времени ожидания плохого шлюза .

У меня возникла проблема с соединителем частной сети

у меня возникли проблемы с установкой соединителя частной сети.

Ошибки Kerberos

В этой таблице рассматриваются более распространенные ошибки, поступающие из установки и настройки Kerberos, а также предложения по разрешению.

Ошибка Рекомендуемые шаги
Failed to retrieve the current execution policy for running PowerShell scripts. Если установка соединителя завершается ошибкой, убедитесь, что политика выполнения PowerShell не отключена.

1. Откройте редактор групповой политики.
2. Перейдите в раздел Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Windows PowerShell и дважды щелкните Включить выполнение скриптов.
3. Для политики выполнения можно задать значение Не настроено или Включено. Если задано значение Включено, убедитесь, что в разделе "Параметры" для политики выполнения задано значение Разрешить локальные скрипты и удаленные подписанные скрипты или Разрешить все скрипты.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Эта ошибка указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером приложений бекенда, или на проблему в настройках времени и даты на обоих компьютерах. Сервер обратной стороны отказался принять тикет Kerberos, созданный Microsoft Entra ID. Убедитесь, что Microsoft Entra ID и сервер прикладных программ на стороне сервера настроены правильно. Убедитесь, что конфигурация времени и даты на идентификаторе Microsoft Entra и сервере серверного приложения синхронизируются.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Возникла проблема с конфигурацией службы маркеров безопасности (STS). Исправьте конфигурацию утверждения о учетной записи пользователя (UPN) в STS.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером контроллера домена или проблемой в конфигурации даты и времени на обоих компьютерах. Контроллер домена отклонил билет Kerberos, созданный Microsoft Entra ID. Убедитесь, что идентификатор Microsoft Entra ID и сервер прикладных программ настроены правильно, особенно конфигурация имени основного участника службы (SPN). Убедитесь, что контроллер домена устанавливает доверительные отношения с Microsoft Entra ID. Оба должны использовать один и тот же домен. Убедитесь, что конфигурация времени и даты в идентификаторе Microsoft Entra и контроллере домена синхронизируются.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером контроллера домена или проблемой в конфигурации даты и времени на обоих компьютерах. Контроллер домена отказал в тикете Kerberos, созданном системой Microsoft Entra ID. Убедитесь, что Microsoft Entra ID и сервер заднего плана приложения настроены правильно, особенно конфигурация SPN. Убедитесь, что контроллер домена устанавливает доверие с Microsoft Entra ID. Оба должны использовать один и тот же домен. Убедитесь, что конфигурация времени и даты в идентификаторе Microsoft Entra и контроллере домена синхронизируются.
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Это событие указывает на неправильную конфигурацию между Microsoft Entra ID и сервером приложений бэкенда, или на проблему в конфигурации даты и времени на обоих компьютерах. Сервер отказался от билета Kerberos, созданного Microsoft Entra ID. Убедитесь, что Microsoft Entra ID и сервер приложений бекэнда настроены правильно. Убедитесь, что конфигурация времени и даты на идентификаторе Microsoft Entra и сервере серверного приложения синхронизируются. Дополнительные сведения см. в разделе Устранение неполадок конфигураций ограниченного делегирования Kerberos для прокси приложения.

Ошибки конечных пользователей

В этом списке рассматриваются ошибки, с которыми конечные пользователи могут столкнуться при попытке получить доступ к приложению и в случае неудачи.

Ошибка Рекомендуемые шаги
The website cannot display the page. Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если приложение является приложением встроенной проверки подлинности Windows (IWA). Определенный SPN для этого приложения неверен. Для приложений IWA убедитесь, что SPN, настроенное для этого приложения, корректно задано.
The website cannot display the page. Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если приложение является приложением Outlook Web Application (OWA). Проблема возникает из-за:
  • Заданное SPN для этого приложения неверно. Убедитесь, что сконфигурированный SPN для этого приложения является правильным.
  • Пользователь, который пытался получить доступ к приложению, использует учетную запись Майкрософт, а не соответствующую корпоративную учетную запись для входа, или пользователь является гостевым пользователем. Убедитесь, что пользователь входит в систему с помощью своей корпоративной учетной записи, которая соответствует домену опубликованного приложения. Пользователи учетной записи Майкрософт и гостевые пользователи не могут получить доступ к приложениям IWA.
  • Пользователь, который пытался получить доступ к приложению, неправильно определен для этого приложения на локальной стороне. Убедитесь, что у этого пользователя есть необходимые разрешения, определенные для этого серверного приложения на локальном компьютере.
    		•
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если они используют учетные записи Майкрософт вместо своей корпоративной учетной записи для входа. Гостевые пользователи получают эту ошибку. Пользователи и гости учетной записи Майкрософт не могут получить доступ к приложениям IWA. Убедитесь, что пользователь входит в систему с помощью своей корпоративной учетной записи, которая соответствует домену опубликованного приложения.

    Для этого приложения необходимо назначить пользователя. Перейдите на вкладку приложения и в разделе Пользователи и группы, назначьте этого пользователя или группу пользователей этому приложению.
    This corporate app can’t be accessed right now. Please try again later… The connector timed out. Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если он не определен должным образом для этого приложения на локальной стороне. Убедитесь, что у пользователей есть необходимые разрешения, определенные для этого серверного приложения на локальном компьютере.
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. Пользователь получает эту ошибку при попытке доступа к приложению, которое вы опубликовали, если администратор подписчика не назначил ему лицензию Premium. Перейдите на вкладку "Лицензии" в каталоге Active Directory подписчика и убедитесь, что этому пользователю или группе пользователей назначена лицензия Premium.
    A server with the specified host name could not be found. Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если личный домен приложения настроен неправильно. Проверьте сертификат для домена и правильно настройте запись системы доменных имен (DNS). Дополнительные сведения см. в разделе Работа с пользовательскими доменами в прокси-сервере приложения Microsoft Entra.
    Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. Проблема может быть проблемой с доступом к сведениям о авторизации. Дополнительные сведения см. в разделе (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Вкратце, добавьте учетную запись машины с частным сетевым соединителем во встроенную группу домена "Windows Authorization Access Group" для решения этой проблемы.
    InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. Соединитель защищает исходящие подключения к конечным точкам облачной службы прокси приложения Microsoft Entra с помощью сертификата клиента. Ошибка возникает, когда сертификат клиента не достигнет конечной точки. Например, сетевое устройство, выполняющее проверку протокола TLS или перехват соединения TLS. Избегайте инспекции в реальном времени и прерывания исходящих подключений TLS. Проверка и завершение не должны происходить между соединителями частной сети Microsoft Entra и облачными службами прокси приложения Microsoft Entra.

    См. также