Dela via

Felsöka problem med att installera den privata nätverksanslutningen

  • Artikel

Microsoft Entra Private Network Connector är en intern domänkomponent som använder utgående anslutningar för att upprätta anslutningen från den molntillgängliga slutpunkten till den interna domänen. Anslutningen används av både Microsoft Entra Private Access och Microsoft Entra applikationsproxy. Den här artikeln beskriver hur du felsöker problem med anslutningsprogrammets installation och efterföljande funktionalitet.

Allmänna problemområden med kontaktinstallation

När installationen av en kontakt misslyckas är rotorsaken vanligtvis ett av följande områden. Som en föregångare till all felsökning måste du starta om anslutningsappen.

  • Anslutning – för att slutföra en lyckad installation måste den nya kontakten registreras och upprätta framtida förtroendeinställningar. Förtroende upprättas genom anslutning till Microsoft Entra-programproxymolntjänsten.
  • Förtroendeetablering – den nya anslutningsappen skapar ett självsignerat certifikat och registrerar sig för molntjänsten.
  • Administratörens autentisering – under installationen måste användaren ange administratörsautentiseringsuppgifter för att slutföra installationen av anslutningsappen.

Anteckning

Installationsloggarna för anslutningsappen %TEMP% finns i mappen och kan ge ytterligare information om vad som orsakar ett installationsfel.

Verifiera anslutningen till molnprogramproxytjänsten och Microsofts inloggningssida

Mål: Kontrollera att anslutningsdatorn kan ansluta till slutpunkten för programproxyregistrering och Microsoft-inloggningssidan.

  1. På anslutningsservern kör du ett porttest med hjälp av telnet eller annat porttestverktyg för att kontrollera att portarna 443 och 80 är öppna.

  2. Kontrollera att brandväggen eller backendproxyservern har åtkomst till de nödvändiga domänerna och portarna, se konfigurera kontakter för mer information.

  3. Öppna en webbläsarflik och ange: https://login.microsoftonline.com. Kontrollera att du kan logga in.

Verifiera stöd för dator- och serverdelskomponentcertifikat

Mål: Kontrollera att anslutningsdatorn, serverdelsproxyn och brandväggen har stöd för certifikatet som skapats av anslutningsappen. Kontrollera också att certifikatet är giltigt.

Kommentar

Anslutningsappen försöker skapa ett SHA512 certifikat som stöds av TLS (Transport Layer Security) 1.2. Om datorn eller serverdelsbrandväggen och proxyn inte stöder TLS 1.2 misslyckas installationen.

Granska kraven som krävs:

  1. Kontrollera att datorn har stöd för TLS (Transport Layer Security) 1.2 – Alla Windows-versioner efter 2012 R2 bör ha stöd för TLS 1.2. Om anslutningsdatorn kommer från en version av 2012 R2 eller tidigare kontrollerar du att nödvändiga uppdateringar är installerade.

  2. Kontakta nätverksadministratören och be om att kontrollera att serverdelsproxyn och brandväggen inte blockerar SHA512 utgående trafik.

Så här verifierar du klientcertifikatet:

Kontrollera tumavtrycket för det aktuella klientcertifikatet. Certifikatarkivet finns i %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

De möjliga IsInUserStore-värdena är sanna och falska. Värdet true innebär att certifikatet förnyas automatiskt och lagras i den personliga containern i användarcertifikatarkivet för nätverkstjänsten. Värdet false innebär att klientcertifikatet skapas under installationen eller registreringen som initieras av Register-MicrosoftEntraPrivateNetworkConnector. Certifikatet lagras i den personliga containern i certifikatarkivet på den lokala datorn.

Om värdet är sant följer du dessa steg för att verifiera certifikatet:

  1. Ladda ned PsTools.zip.
  2. Extrahera PsExec från paketet och kör psexec -i -u "nt authority\network service" cmd.exe från en förhöjd kommandotolk.
  3. Kör certmgr.msc i kommandotolken som visades nyligen.
  4. I hanteringskonsolen expanderar du den personliga containern och väljer på Certifikat.
  5. Leta upp certifikatet som utfärdats av connectorregistrationca.msappproxy.net.

Om värdet är falskt följer du dessa steg för att verifiera certifikatet:

  1. Kör certlm.msc.
  2. I hanteringskonsolen expanderar du den personliga containern och väljer på Certifikat.
  3. Leta upp certifikatet som utfärdats av connectorregistrationca.msappproxy.net.

Så här förnyar du klientcertifikatet:

Om en anslutning inte är kopplad till tjänsten på flera månader kan dess certifikat bli inaktuella. Felet med certifikatförnyelsen gör att certifikatet går ut. Det utgångna certifikatet gör att anslutningstjänsten slutar fungera. Händelsen 1000 registreras i anslutningsappens administratörslogg:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

I det här fallet avinstallerar och installerar du om anslutningsappen för att utlösa en registrering, eller så kan du köra följande PowerShell-kommandon:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Mer information om kommandot finns i Register-MicrosoftEntraPrivateNetworkConnector Skapa ett obevakat installationsskript för den privata Nätverksanslutningen i Microsoft Entra.

Kontrollera att administratören används för att installera kopplingen

Mål: Kontrollera att den användare som försöker installera anslutningsappen är en administratör med rätt autentiseringsuppgifter. För närvarande måste användaren vara minst programadministratör för att installationen ska lyckas.

Så här kontrollerar du att autentiseringsuppgifterna är korrekta:

Anslut till https://login.microsoftonline.com och använd samma autentiseringsuppgifter. Kontrollera att inloggningen lyckades. Du kan kontrollera användarrollen genom att gå till Microsoft Entra-ID>Användare och grupper –> Alla användare.

Välj ditt användarkonto och sedan Katalogroll i den resulterande menyn. Kontrollera att den valda rollen är programadministratör. Om du inte kan komma åt någon av sidorna i de här stegen har du inte den roll som krävs.

Anteckning

Du bör uppmanas att ange autentiseringsuppgifterna för administratören under installationen av anslutningsappen via ett popup-fönster. Om du inte får något popup-fönster kontrollerar du att webbläsarinställningarna aktiverar popup-fönster och att JavaScript är aktiverat. Under nästa installationsförsök uppmanas du att lägga till webbplatser på betrodda platser. När webbplatserna har lagts till på betrodda platser kör du installationen igen.

Anslutningsfel

Om registreringen misslyckas under installationen av anslutningsguiden finns det två sätt att visa orsaken till felet. Leta antingen i händelseloggen under Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" eller kör följande Windows PowerShell-kommando:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

När du hittar anslutningsfelet från händelseloggen använder du den här tabellen med vanliga fel för att lösa problemet:

Fel Rekommenderade åtgärder
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Om du stängde registreringsfönstret utan att logga in på Microsoft Entra-ID kör du anslutningsguiden igen och registrerar anslutningsappen.

Om registreringsfönstret öppnas och sedan omedelbart stängs utan att du kan logga in får du felet. Felet uppstår när det finns ett nätverksfel i systemet. Se till att du kan ansluta från en webbläsare till en offentlig webbplats och att portarna är öppna enligt beskrivningen i Konfigurera anslutningsappar.
Clear error is presented in the registration window. Cannot proceed Om du ser felet och fönstret stängs anger du fel användarnamn eller lösenord. Försök igen.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Du försöker logga in med ett Microsoft-konto och inte en domän som ingår i organisations-ID:t för den katalog som du försöker komma åt. Administratören måste vara en del av samma domännamn som klientdomänen. Om Microsoft Entra-domänen till exempel är contoso.com, ska administratören vara admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Om installationen av anslutningsappen misslyckas kontrollerar du att PowerShell-körningsprincipen inte är inaktiverad.

1. Öppna redigeraren för grupprincip.
2. Gå till >Administrativa mallar>Windows-komponenter>Windows PowerShell och dubbelklicka på Aktivera skriptkörning.
3. Körningsprincipen kan anges till antingen Inte konfigurerad eller Aktiverad. Om inställningen är Aktiverad kontrollerar du att under Alternativ är körningsprincipen inställd på Tillåt lokala skript och fjärrsignerade skript eller på Tillåt alla skript.
Connector failed to download the configuration. Anslutningsappens klientcertifikat, som används för autentisering, har upphört att gälla. Problemet uppstår om anslutningsappen är installerad bakom en proxyserver. I det här fallet kan anslutningsappen inte komma åt Internet och kan inte tillhandahålla program till fjärranvändare. Förnya förtroendet manuellt med hjälp av cmdleten Register-MicrosoftEntraPrivateNetworkConnector i Windows PowerShell. Om anslutningsappen finns bakom en proxyserver är det nödvändigt att bevilja internetåtkomst till anslutningsappens konton network services och local system. Att bevilja åtkomst uppnås genom att bevilja åtkomst till proxyn eller kringgå proxyn.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Det alias som du försöker logga in med är inte administratör för den här domänen. Anslutningen installeras alltid för den katalog som tillhör användarens domän. Kontrollera att det administratörskonto som du försöker logga in med har minst programadministratörsbehörighet till Microsoft Entra-klientorganisationen.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Anslutningsappen kan inte ansluta till molntjänsten för programproxy. Problemet uppstår om du har en brandväggsregel som blockerar anslutningen. Tillåt åtkomst till rätt portar och URL:er som anges i konfigurera anslutningsappar.

Flödesschema för anslutningsproblem

Det här flödesschemat vägleder dig genom stegen för att felsöka några av de vanligaste anslutningsproblemen. Mer information om varje steg finns i tabellen efter flödesschemat.

Flödesschema som visar steg för att felsöka en koppling.

Steg Åtgärd beskrivning
1 Hitta den anslutningsgrupp som tilldelats appen Du har förmodligen en anslutning installerad på flera servrar, i vilket fall anslutningarna ska tilldelas en anslutningsgrupp. Mer information om anslutningsgrupper finns i Förstå grupper för privata nätverksanslutningar i Microsoft Entra.
2 Installera anslutningsappen och tilldela en grupp Om du inte har en anslutning installerad kan du se konfigurera anslutningar).

Om anslutningsappen inte har tilldelats till en grupp kan du läsa Tilldela anslutningsappen till en grupp.

Om programmet inte har tilldelats till en anslutningsgrupp, se Tilldela programmet till en anslutningsgrupp.
3 Kör ett porttest på anslutningsservern På anslutningsservern kör du ett porttest med hjälp av telnet eller något annat porttestverktyg för att kontrollera om portarna är korrekt konfigurerade. Mer information finns i konfigurera anslutningsappar.
4 Konfigurera domäner och portar Konfigurera kontakter för kontakten. Vissa portar måste vara öppna och URL:er som servern måste kunna komma åt. Mer information finns i konfigurera anslutningsappar.
5 Kontrollera om en back-end-proxy används Kontrollera om anslutningarna använder proxyservrar i backend eller går runt dem. Mer information finns i Felsöka problem med anslutningsproxy och problem med tjänstanslutning.
6 Uppdatera inställningarna för anslutningen och uppdateringsprogrammet med proxyinformation för back-end. Om du använder en back-end proxy, kontrollera att anslutningen använder samma proxy. Mer information om hur du felsöker och konfigurerar anslutningsappar för att fungera med proxyservrar finns i Arbeta med befintliga lokala proxyservrar.
7 Läs in appens interna URL på anslutningsservern Läs in appens interna URL på anslutningsservern.
8 Kontrollera den interna nätverksanslutningen Det finns ett anslutningsproblem i ditt interna nätverk som det här felsökningsflödet inte kan diagnostisera. Programmet måste vara tillgängligt internt för att anslutningarna ska fungera. Du kan aktivera och visa anslutningshändelseloggar enligt beskrivningen i privata nätverksanslutningar.
9 Förläng timeout-värdet på backend-systemet Under Ytterligare inställningar för din applikation ändrar du inställningen Backend Application Timeout till Lång. Se Lägga till en lokal app i Microsoft Entra-ID.
10 Om problemen kvarstår kan du felsöka program. Felsöka applikationsproxyproblem.

Felsöka anslutningsfunktioner

Om installationen och registreringen av anslutningen lyckas, men du inte kan komma åt privata resurser, kontrollerar du följande.

  • anslutningsfel för molntjänsten: Anslutningsappen kan ha problem med att ansluta till Entra Private Access-molntjänsten. Anslutningsappens status i administrationscentret för Microsoft Entra kan visas som Aktiv, men anslutningsappen kan fortfarande ha problem med att ansluta till molntjänstslutpunkterna. Kontakta nätverksteamet för att se om det finns misslyckade anslutningsförsök från anslutnings-IP-adressen.
  • Det gick inte att verifiera kedjan av certifikatfel: Det här felet visas i anslutningsappens avancerade loggning när certifikatkedjan för ett globalt certifikat för säker åtkomst som *.msappproxy.net inte kan verifieras. Detta inträffar ofta när det finns en proxyserver konfigurerad på MicrosoftEntraPrivateNetworkConnectorService.exe.config men det inte också finns en systemproxyserver konfigurerad. Du kan ange systemproxyn med netsh winhttp set proxy address:port.
  • TLS-inspektion har konfigurerats: TLS-inspektion stöds inte för trafik med privata nätverksanslutningar. Försök att utföra TLS-inspektion av den här trafiken stör anslutningsappens möjlighet att ansluta till den globala tjänsten för säker åtkomst och stör därför dess möjlighet att hantera privata åtkomstbegäranden. Se till att nätverksenheterna som tillåter Internetåtkomst till din privata nätverksanslutning inte utför TLS-inspektion.
  • proxyservern finns mellan anslutningsappen och resursen: Anslutningsappen kräver en siktlinjeanslutning till resursen och kan inte fungera om det finns en proxyserver mellan anslutningsappen och resursen. Bekräfta genom att testa anslutningen från anslutningsappen till den resurs som du har definierat i ditt globala program för säker åtkomst, till exempel filresurs eller RDP-server, för att säkerställa att anslutningsappen kan komma åt resursen. Om du inte kan ansluta till resursen från anslutningsservern måste du lösa problemet med nätverksanslutningen mellan anslutningsappen och resursen som kan innefatta att flytta anslutningsappen till en nätverksplats med åtkomst till resursen.

Aktivera avancerad loggning av connectorer

Om du kan ansluta till resursen från servern men inte från Global Secure Access-klienten kan det finnas andra problem med anslutningsappen. Aktivera avancerad anslutningsloggning för att undersöka. Det gör du genom att redigera filen MicrosoftEntraPrivateNetworkConnectorService.exe.config i anslutningsappens installationsmapp (som standard C:\Program Files\Microsoft Entra private network connector). Leta upp avsnittet nedan i filen, ta bort de kommentarsradsindikatorer som leder och följer det här avsnittet och bekräfta att den refererade mappen finns.

Skärmbild som visar konfigurationsfilen innan nödvändiga ändringar.

Filinnehållet bör se ut så här:

Skärmbild som visar ett exempel på den förväntade slutgiltiga konfigurationsfilen.

När du har aktiverat loggning försöker du komma åt resursen från global säker åtkomst-klienten för att återskapa felet. Granska sedan loggfilen efter fel.

Vanliga frågor och svar

Varför använder min anslutningsapp fortfarande en äldre version och uppgraderas inte automatiskt till den senaste versionen?

Detta kan bero på att uppdateringstjänsten inte fungerar korrekt eller om det inte finns några nya uppdateringar tillgängliga som tjänsten kan installera.

Uppdateringstjänsten är felfri om den körs och det inte finns några fel registrerade i händelseloggen (program- och tjänstloggar –> Microsoft –> Microsoft Entra privat nätverk –> Updater –> Admin).

Viktigt!

Endast större versioner släpps för automatisk uppgradering. Vi rekommenderar att du endast uppdaterar anslutningen manuellt om det är nödvändigt. Du kan till exempel inte vänta på en större version eftersom du måste åtgärda ett känt problem eller om du vill använda en ny funktion. Mer information om nya versioner, typen av version (nedladdning, automatisk uppgradering), felkorrigeringar och nya funktioner finns i Microsoft Entra private network connector: Versionshistorik.

Så här uppgraderar du en anslutning manuellt:

  • Ladda ned den senaste versionen av anslutningsappen. (Hitta den i administrationscentret för Microsoft Entra på Global säker åtkomst>Anslut>Anslutningar)
  • Installationsprogrammet startar om tjänsterna för privata Nätverksanslutningar i Microsoft Entra. I vissa fall kan det krävas en omstart av servern om installationsprogrammet inte kan ersätta alla filer. Därför rekommenderar vi att du stänger alla program (dvs. Loggboken) innan du startar uppgraderingen.
  • Kör installationsprogrammet. Uppgraderingsprocessen går snabbt och kräver inga autentiseringsuppgifter och anslutningsappen registreras inte på nytt.

Kan privata nätverksanslutningstjänster köras i en annan användarkontext än standardtjänsten?

Nej, det här scenariot stöds inte. Standardinställningarna är:

  • Anslutningsprogram för privata Microsoft Entra-nätverk – WAPCSvc – Nätverkstjänst
  • Microsoft Entra privat nätverksanslutningsuppdaterare – WAPCUpdaterSvc – NT Authority\System

Kan en gästanvändare med en aktiv administratörsrolltilldelning registrera anslutningsappen för (gäst)-klientorganisationen?

Nej, för närvarande är detta inte möjligt. Registreringsförsöket görs alltid på användarens hemklient.

Min back-end-applikation är placerad på flera webbservrar och kräver sessionbeständighet (stickiness) för användare. Hur kan jag uppnå sessionsbeständighet?

Rekommendationer finns i Hög tillgänglighet och belastningsutjämning för dina privata nätverksanslutningar och program.

Stöds TLS-avslutning (TLS/HTTPS-inspektion eller acceleration) för trafik från anslutningsservrarna till Azure?

Den privata nätverksanslutningen utför certifikatbaserad autentisering till Azure. TLS-avslutning (TLS/HTTPS-inspektion eller acceleration) bryter den här autentiseringsmetoden och stöds inte. Trafik från anslutningsappen till Azure måste kringgå alla enheter som utför TLS-avslutning.

Krävs TLS 1.2 för alla anslutningar?

Ja. För att tillhandahålla förstklassig kryptering till våra kunder begränsar programproxytjänsten åtkomsten till endast TLS 1.2-protokoll. Ändringarna har successivt rullats ut och börjar gälla sedan den 31 augusti 2019. Kontrollera att alla kombinationer av klient-server och webbläsarserver har uppdaterats för att använda TLS 1.2 för att upprätthålla anslutningen till programproxytjänsten. Dessa inkluderar klienter som dina användare använder för att komma åt program som publicerats via programproxy. Se Förbereda för TLS 1.2 i Office 365 för användbara referenser och resurser.

Kan jag placera en forward-proxy-enhet mellan anslutningsserver(arna) och back-end-applikationsservern?

Det här scenariot stöds från anslutningsappen version 1.5.1526.0 för Microsoft Entra-programproxy, men stöds inte för Microsoft Entra Private Access. Mer information om det här stödet för App Proxy finns i Arbeta med befintliga lokala proxyservrar.

Ska jag skapa ett dedikerat konto för att registrera anslutningsappen med Microsoft Entra-programproxy?

Det finns ingen anledning att skapa ett dedikerat konto. Alla konton med rollen Programadministratör fungerar. De autentiseringsuppgifter som angavs under installationen används inte efter registreringsprocessen. I stället utfärdas ett certifikat till anslutningen, som används för autentisering fortsättningsvis.

Hur kan jag övervaka prestanda för den privata Nätverksanslutningen för Microsoft Entra?

Det finns prestandaräknare som installeras tillsammans med anslutningsappen. För att se dem:

  1. Välj Start, skriv "Perfmon" och tryck på RETUR.
  2. Välj Prestandaövervakaren och klicka på den gröna + ikonen.
  3. Lägg till de Microsoft Entra-konnektorer för privata nätverk du vill övervaka.

Måste det privata Microsoft Entra-nätverksanslutningsnätverket finnas i samma undernät som resursen?

Anslutningsappen måste inte finnas i samma undernät. Den behöver dock namnuppslagning (DNS, värdfilen) till resursen och nödvändig nätverksuppkoppling (routning till resursen, öppna portar på resursen och så vidare). Rekommendationer finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.

Varför visas anslutningsappen fortfarande i administrationscentret för Microsoft Entra när jag har avinstallerat anslutningsappen från servern?

När en anslutning körs förblir den aktiv medan den är ansluten till tjänsten. Avinstallerade eller oanvända anslutningsappar taggas som inaktiva och tas bort efter 10 dagars inaktivitet från administrationscentret för Microsoft Entra. Det går inte att ta bort den inaktiva anslutningsappen manuellt från administrationscentret för Microsoft Entra.

Nästa steg