排查 Microsoft Purview 帐户的专用终结点配置问题
本指南汇总了与使用 Microsoft Purview 专用终结点相关的已知限制,并提供一系列步骤和解决方案,用于排查一些最常见的相关问题。
已知限制
- 我们目前不支持引入适用于 AWS 源的专用终结点。
- 不支持使用自承载集成运行时扫描 Azure 多个源。
- 不支持使用 Azure 集成运行时扫描专用终结点后面的数据源。
- 可以通过 此处步骤中所述的 Microsoft Purview 治理门户体验创建引入专用终结点。 无法从 专用链接 中心创建它们。
- Microsoft Purview 治理门户体验不支持在现有 Azure DNS 区域中创建用于引入专用终结点的 DNS 记录,而 Azure 专用 DNS 区域位于与专用终结点不同的订阅中。 可以在其他订阅的目标 DNS 区域中手动添加记录。
- 如果在部署引入专用终结点后 配置自己的事件中心命名空间 或 启用托管事件中心命名空间 ,则需要重新部署引入专用终结点。
- 自承载集成运行时计算机必须部署在同一虚拟网络或对等互连虚拟网络中,其中部署了 Microsoft Purview 帐户和引入专用终结点。
- 有关与专用链接服务相关的限制,请参阅Azure 专用链接限制。
- 目前,使用新 Microsoft Purview 门户Microsoft Purview 实例只能使用 引入专用终结点。
建议的故障排除步骤
为 Microsoft Purview 帐户部署专用终结点后,请查看 Azure 环境,确保已成功部署专用终结点资源。 根据你的方案,必须在 Azure 订阅中部署以下一个或多个 Azure 专用终结点:
专用终结点 分配到的专用终结点 示例 帐户 Microsoft Purview 帐户 mypurview-private-account 门户 Microsoft Purview 帐户 mypurview-private-portal 摄入 存储 (Blob) * mypurview-ingestion-blob 摄入 存储 (队列) * mypurview-ingestion-queue 摄入 事件中心命名空间** mypurview-ingestion-namespace 注意
*如果帐户是在 2023 年 12 月 15 日之前创建的,则终结点将部署到托管存储帐户。 如果它是在 11 月 10 日 (之后创建或使用 API 版本 2023-05-01-preview) 部署的,则它指向引入存储。
**如果帐户 是为 kafka 通知配置 或在 2022 年 12 月 15 日之前创建的,则只有关联的事件中心命名空间。
如果部署了门户专用终结点,请确保同时部署帐户专用终结点。
如果部署了门户专用终结点,并且公共网络访问在 Microsoft Purview 帐户中设置为拒绝,请确保从内部网络启动 Microsoft Purview 治理门户 。
- 若要验证名称解析是否正确,可以使用 NSlookup.exe 命令行工具来查询
web.purview.azure.com
。 结果必须返回属于门户专用终结点的专用 IP 地址。 - 若要验证网络连接,可以使用任何网络测试工具来测试终结点到
web.purview.azure.com
端口 443 的出站连接。 连接必须成功。
- 若要验证名称解析是否正确,可以使用 NSlookup.exe 命令行工具来查询
如果使用 Azure 专用 DNS区域,请确保部署了所需的 Azure DNS 区域,并且每个专用终结点都有 DNS (A) 记录。
测试从管理计算机到 Microsoft Purview 终结点和 purview Web URL 的网络连接和名称解析。 如果部署了帐户和门户专用终结点,则必须通过专用 IP 地址解析终结点。
Test-NetConnection -ComputerName web.purview.azure.com -Port 443
通过专用 IP 地址成功进行出站连接的示例:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
通过专用 IP 地址成功进行出站连接的示例:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
如果在 2021 年 8 月 18 日之后创建了 Microsoft Purview 帐户,请确保从 Microsoft下载中心下载并安装最新版本的自承载集成运行时。
从自承载集成运行时 VM,测试网络连接和名称解析Microsoft Purview 终结点。
从自承载集成运行时,通过端口 443 和专用 IP 地址测试网络连接和名称解析Microsoft Purview 托管资源(例如 Blob 队列)和辅助资源(如事件中心)。 (如果需要,请将托管存储帐户和事件中心命名空间替换为) 相应的资源名称。
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
通过专用 IP 地址成功出站连接到托管 Blob 存储的示例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
通过专用 IP 地址成功出站连接到托管队列存储的示例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
通过专用 IP 地址成功出站连接到事件中心命名空间的示例:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
从数据源所在的网络中,测试网络连接和名称解析,Microsoft Purview 终结点和托管或配置的资源终结点。
如果数据源位于本地网络中,请查看 DNS 转发器配置。 从数据源所在的同一网络中测试名称解析,以自承载集成运行时、Microsoft Purview 终结点以及托管或配置的资源。 它应从每个终结点的 DNS 查询中获取有效的专用 IP 地址。
有关详细信息,请参阅不使用自定义 DNS 服务器的虚拟网络工作负载和 Azure 专用终结点 DNS 配置中的使用 DNS 转发器方案的本地工作负载。
如果管理计算机和自承载集成运行时 VM 部署在本地网络中,并且已在环境中设置了 DNS 转发器,请验证环境中的 DNS 和网络设置。
如果使用引入专用终结点,请确保在 Microsoft Purview 帐户中成功注册自承载集成运行时,并在自承载集成运行时 VM 和 Microsoft Purview 治理门户中 显示为运行。
常见错误和消息
问题
运行扫描时,可能会收到以下错误消息:
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
原因
这可以指示与运行自承载集成运行时的 VM 与 purview 的托管存储帐户或配置的事件中心Microsoft之间的连接或名称解析相关的问题。
解决方案
验证运行 Self-Hosted Integration Runtime 的 VM 与 Microsoft Purview 托管 Blob 队列之间的名称解析是否成功,或者通过上述步骤 8 (端口 443 和专用 IP 地址配置的事件中心之间的名称解析是否成功。)
问题
运行新扫描时,可能会收到以下错误消息:
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
原因
这可以指示运行较旧版本的自承载集成运行时。 需要使用自承载集成运行时版本 5.9.7885.3 或更高版本。
解决方案
将自承载集成运行时升级到 5.9.7885.3。
问题
Microsoft部署专用终结点的 Purview 帐户在部署过程中失败,出现Azure Policy验证错误。
原因
此错误表明,Azure 订阅上可能存在现有的Azure Policy分配,阻止部署任何所需的 Azure 资源。
解决方案
查看现有的Azure Policy分配,并确保 Azure 订阅中允许部署以下 Azure 资源。
注意
根据你的方案,可能需要部署以下一种或多种 Azure 资源类型:
- Microsoft Purview (Microsoft.Purview/Accounts)
- 专用终结点 (Microsoft.Network/privateEndpoints)
- Microsoft.Network/privateDnsZones) (专用 DNS 区域
- 事件中心名称空间 (Microsoft.EventHub/namespaces)
- 存储帐户 (Microsoft.Storage/storageAccounts)
问题
无权访问此 Microsoft Purview 帐户。 此Microsoft Purview 帐户位于专用终结点后面。 从同一虚拟网络中的客户端访问帐户, (为 Microsoft Purview 帐户的专用终结点配置的虚拟网络) 。
原因
用户尝试从公共终结点或使用公共 网络访问 设置为 “拒绝”的Microsoft Purview 公共终结点连接到 Microsoft Purview。
解决方案
在这种情况下,若要打开 Microsoft Purview 治理门户,请使用部署在与 Microsoft Purview 治理门户专用终结点相同的虚拟网络中的计算机,或使用连接到允许混合连接的 CorpNet 的 VM。
问题
使用自承载集成运行时扫描 SQL Server 时,可能会收到以下错误消息:
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
原因
自承载集成运行时计算机已启用 FIPS 模式。 联邦信息处理标准 (FIPS) 定义了一组允许使用的加密算法。 在计算机上启用 FIPS 模式时,在某些情况下,调用进程所依赖的一些加密类会被阻止。
解决方案
在自承载集成服务器上禁用 FIPS 模式。
后续步骤
如果本文中未列出你的问题,或者你无法解决该问题,请访问以下渠道之一获取支持:
- 通过 Microsoft Q&A 获取专家的答案。
- 使用 @AzureSupport 进行连接。 此官方Microsoft Twitter 上的 Azure 资源有助于改善客户体验,方法是将 Azure 社区连接到正确的答案、支持和专家。
- 如果仍需要帮助,请转到Azure 支持站点,然后选择“提交支持请求”。