Dela via


Felsöka problem med programproxy och felmeddelanden

Kontrollera först att de privata nätverksanslutningarna är korrekt konfigurerade. Mer information finns i Felsöka problem med konnektor för privata nätverk och Felsöka problem med applikationsproxy.

Om det uppstår fel vid åtkomst till ett publicerat program eller i publiceringsprogram kontrollerar du följande alternativ för att se om Microsoft Entra-programproxyn fungerar korrekt:

  • Öppna Windows Services-konsolen. Kontrollera att den privata Microsoft Entra-nätverksanslutningstjänsten är aktiverad och körs. Titta på egenskapssidan för programproxytjänsten som visas på bilden.
    fönstret Egenskaper för privat nätverksanslutning i Microsoft Entra
  • Öppna Händelselogg och leta efter händelser för privata nätverksanslutningar i Program- och tjänstloggar>Microsoft>Microsoft Entra privata nätverk>Connector>Admin.
  • Granska detaljerade loggar. Aktivera sessionsloggar för privata nätverksanslutningar.

Sidan återges inte korrekt

Du har problem med att programmet visas eller fungerar felaktigt utan att du får specifika felmeddelanden. Problemet uppstår om du publicerade artikelsökvägen, men programmet kräver innehåll som finns utanför den sökvägen.

Om du till exempel publicerar sökvägen https://yourapp/app men programmet anropar bilder i https://yourapp/mediaåterges de inte. Se till att du publicerar programmet med den sökväg på högsta nivå som du behöver för att inkludera allt relevant innehåll. I det här exemplet skulle det vara http://yourapp/.

Det tar för lång tid att läsa in en proxytillämpning

Program kan vara funktionella men få långa svarstider. Nätverkstopologijusteringar kan förbättra hastigheten. En utvärdering av olika topologier finns i dokumentet nätverksöverväganden.

Programsidan visas inte korrekt för ett programproxyprogram

När du publicerar en proxyapplikation är endast sidor under roten av applikationen tillgängliga vid åtkomst till applikationen. Om sidan inte visas korrekt kanske den interna rot-URL:en som används för programmet saknar vissa sidresurser. Lös problemet genom att publicera alla resurser för sidan som en del av din applikation.

Kontrollera om det är brist på resurser som är problemet. Öppna nätverksspåraren, till exempel Fiddler eller F12-verktyg i Microsoft Edge. Läs in sidan och leta efter 404-fel. Felen anger att sidorna inte kan hittas och att du behöver publicera dem.

Anta till exempel att du publicerade ett utgiftsprogram med hjälp av den interna URL:en http://myapps/expenses, men appen använder formatmallen http://myapps/style.css. Formatmallen publiceras inte i ditt program, så inläsning av utgiftsappen genererar ett 404 fel vid försök att läsa in style.css. I det här exemplet löser du problemet genom att publicera programmet med den interna URL:en http://myapp/.

Problem med att publicera som ett program

Om det inte går att publicera alla resurser i samma program måste du publicera flera program och aktivera länkar mellan dem.

För att göra detta rekommenderar vi att du använder lösningen med anpassade domäner och. Den här lösningen kräver dock att du äger certifikatet för din domän och att dina program använder fullständigt kvalificerade domännamn (FQDN). Andra alternativ finns i dokumentationen felsöka brutna länkar.

jag kan komma till mitt program, men länkarna på programsidan fungerar inte.

Jag har anslutningsproblem med mitt program

jag vet inte vilka portar som ska öppnas för mitt program.

Jag har problem med att konfigurera Microsoft Entra-programproxyn i administratörsportalen

jag vet inte hur jag konfigurerar enkel inloggning till mitt programproxyprogram.

Jag har problem med att konfigurera backend-autentisering till mitt program

Jag vet inte hur jag ska konfigurera Kerberos-begränsad delegering. jag vet inte hur jag konfigurerar mitt program med PingAccess.

Jag har problem när jag loggar in på mitt program

Jag får felet Can't Access this Corporate Application. Se Fel vid gateway-tidsgränsför att lösa problemet.

Jag har problem med den privata nätverksanslutningen

jag har problem med att installera den privata nätverksanslutningen.

Kerberos-fel

Den här tabellen beskriver de vanligaste felen som kommer från Kerberos-konfiguration och innehåller förslag på lösning.

Fel Rekommenderade steg
Failed to retrieve the current execution policy for running PowerShell scripts. Om installationen av anslutningsprogrammet misslyckas ska du kontrollera att PowerShell-körningsprincipen inte är inaktiverad.

1. Öppna gruppolicyredigeraren.
2. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Windows PowerShell och dubbelklicka på Aktivera skriptkörning.
3. Körningsprincipen kan anges till antingen Inte Konfigurerad eller Aktiverad. Om inställningen är inställd på Aktiveradkontrollerar du att under Alternativ är körningsprincipen inställd på antingen Tillåt lokala skript och fjärrsignerade skript eller Tillåt alla skript.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Det här felet anger felaktig konfiguration mellan Microsoft Entra-ID och serverdelsprogramservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. Backend-servern avvisade Kerberos-biljetten som skapats av Microsoft Entra ID. Kontrollera att Microsoft Entra ID och applikationsservern är korrekt konfigurerade. Kontrollera att tids- och datumkonfigurationen på Microsoft Entra-ID:t och serverdelsprogramservern är synkroniserade.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Det finns ett problem med STS-konfigurationen (Security Token Service). Åtgärda upn-anspråkskonfigurationen (User Principal Name) i STS.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Den här händelsen anger felaktig konfiguration mellan Microsoft Entra-ID och domänkontrollantservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. Domänkontrollanten nekade Kerberos-biljetten som skapats av Microsoft Entra-ID. Kontrollera att Microsoft Entra-ID och serverdelsprogramservern är korrekt konfigurerade, särskilt SPN-konfigurationen (Service Principal Name). Kontrollera att domänkontrollanten upprättar förtroende med Microsoft Entra-ID. Båda bör använda samma domän. Kontrollera att tids- och datumkonfigurationen för Microsoft Entra-ID:t och domänkontrollanten är synkroniserade.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Den här händelsen anger felaktig konfiguration mellan Microsoft Entra-ID och domänkontrollantservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. Domänkontrollanten avvisade Kerberos-biljett skapad av Microsoft Entra ID. Kontrollera att Microsoft Entra-ID och serverdelsprogramservern är korrekt konfigurerade, särskilt SPN-konfigurationen. Kontrollera att domänkontrollanten upprättar förtroende med Microsoft Entra-ID. Båda bör använda samma domän. Kontrollera att tids- och datumkonfigurationen för Microsoft Entra-ID:t och domänkontrollanten är synkroniserade.
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Den här händelsen anger felaktig konfiguration mellan Microsoft Entra-ID och serverdelsprogramservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. Bakgrundsservern nekade Kerberos-biljetten som skapats av Microsoft Entra ID. Kontrollera att Microsoft Entra ID och backendservern är korrekt konfigurerade. Kontrollera att tids- och datumkonfigurationen på Microsoft Entra-ID:t och serverdelsprogramservern är synkroniserade. För mer information, se Felsökning av Kerberos-begränsade delegeringskonfigurationer för programproxy.

Slutanvändarfel

Den här listan beskriver fel som slutanvändarna kan stöta på när de försöker komma åt appen och misslyckas.

Fel Rekommenderade steg
The website cannot display the page. Användaren får det här felet när han eller hon försöker komma åt appen som du publicerade om programmet är ett IWA-program (Integrated Windows Authentication). Det definierade SPN:t för det här programmet är felaktigt. För IWA-appar kontrollerar du att DET SPN som konfigurerats för det här programmet är korrekt.
The website cannot display the page. Användaren får det här felet när han eller hon försöker komma åt appen som du publicerade om programmet är ett OWA-program (Outlook Web Application). Problemet beror på:
  • Det definierade SPN:t för det här programmet är felaktigt. Kontrollera att DET SPN som konfigurerats för det här programmet är korrekt.
  • Den användare som försökte komma åt programmet använder ett Microsoft-konto i stället för rätt företagskonto för att logga in, eller så är användaren gästanvändare. Kontrollera att användaren loggar in med sitt företagskonto som matchar domänen för det publicerade programmet. Microsoft-kontoanvändare och gäst kan inte komma åt IWA-program.
  • Den användare som försökte komma åt programmet har inte definierats korrekt för det här programmet på den lokala sidan. Kontrollera att användaren har rätt behörigheter enligt definitionen för det här serverdelsprogrammet på den lokala datorn.
  • This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. Användaren får det här felet när han eller hon försöker komma åt appen som du publicerade om de använder Microsoft-konton i stället för företagets konto för att logga in. Gästanvändare får det här felet. Användare och gäster med Microsoft-konto kan inte komma åt IWA-program. Kontrollera att användaren loggar in med sitt företagskonto som matchar domänen för det publicerade programmet.

    Du måste tilldela användaren till det här programmet. Gå till fliken program och under Användare och gruppertilldelar du den här användar- eller användargruppen till det här programmet.
    This corporate app can’t be accessed right now. Please try again later… The connector timed out. Användaren får det här felet när han eller hon försöker komma åt appen som du publicerade om de inte har definierats korrekt för det här programmet på den lokala sidan. Kontrollera att användarna har rätt behörigheter enligt definitionen för det här serverdelsprogrammet på den lokala datorn.
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. Användaren får det här felet när han eller hon försöker komma åt appen som du publicerade om de inte uttryckligen tilldelades en Premium-licens av prenumerantens administratör. Gå till fliken Active Directory Licenser och se till att den här användar- eller användargruppen har tilldelats en Premium-licens.
    A server with the specified host name could not be found. Användaren får det här felet när han eller hon försöker komma åt appen som du publicerade om programmets anpassade domän inte är korrekt konfigurerad. Kontrollera certifikatet för domänen och konfigurera DNS-posten (Domain Name System) korrekt. Mer information finns i Arbeta med anpassade domäner i Microsoft Entra-programproxy.
    Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. Problemet kan vara ett problem med åtkomst till auktoriseringsinformation. Mer information finns i (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Kortfattat, lägg till det privata nätverksanslutningsdatorkontot i den inbyggda domängruppen "Windows Authorization Access Group" för att lösa problemet.
    InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. Anslutningsappen skyddar utgående anslutningar till molntjänstslutpunkterna för Microsoft Entra-programproxy med hjälp av ett klientcertifikat. Felet uppstår när klientcertifikatet inte når slutpunkten. Till exempel en nätverksenhet som utför TLS-inspektion (Transport Layer Security) eller bryter TLS-anslutningen. Undvik intern inspektion och avslutning av utgående TLS-kommunikation. Inspektion och avslutning får inte ske mellan privata Microsoft Entra-nätverksanslutningar och Molntjänster för Microsoft Entra-programproxy.

    Se även