排查安装专用网络连接器时出现的问题

Microsoft Entra 专用网络连接器是一个内部域组件,该组件使用出站连接来建立从云可用终结点到内部域的连接性。 连接器的使用方为 Microsoft Entra 专用访问和 Microsoft Entra 应用程序代理。

连接器安装的常规问题区域

如果连接器安装失败,根本原因通常是以下方面之一。 进行任何故障排除的前提是,请务必重新启动连接器。

  • 连接性 – 若要成功完成安装,新连接器需要注册并建立未来的信任属性。 可以通过连接到 Microsoft Entra 应用程序代理云服务来建立信任。
  • 信任建立 – 新连接器创建自签名证书并注册到云服务。
  • 管理员的身份验证 - 在安装过程中,用户必须提供管理员凭据才能完成连接器安装。

注意

连接器安装日志位于 %TEMP% 文件夹中,并可提供有关导致安装失败的原因的其他信息。

验证与云应用程序代理服务和 Microsoft 登录页的连接性

目标:验证连接器计算机是否可以连接到应用程序代理注册终结点和 Microsoft 登录页。

  1. 在连接器服务器上,使用 telnet 或其他端口测试工具运行端口测试,以验证端口 443 和 80 是否已打开。

  2. 验证防火墙或后端代理是否有权访问所需的域和端口,请参阅配置连接器

  3. 打开浏览器选项卡并输入 https://login.microsoftonline.com。 确保可以登录。

验证计算机和后端组件证书支持

目标:验证连接器计算机、后端代理和防火墙是否可以支持连接器创建的证书。 另外,请验证证书是否有效。

注意

连接器尝试创建由传输层安全性 (TLS) 1.2 支持的 SHA512 证书。 如果计算机或后端防火墙和代理不支持 TLS 1.2,安装会失败。

查看所需的先决条件:

  1. 验证计算机是否支持传输层安全性 (TLS) 1.2 – 2012 R2 之后的所有 Windows 版本都应支持 TLS 1.2。 如果连接器计算机为 2012 R2 版本或更早的版本,请确保安装所需的更新

  2. 联系网络管理员并要求验证后端代理和防火墙不会阻止 SHA512 传出流量。

验证客户端证书:

验证当前客户端证书的指纹。 可以在 %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml 中找到证书存储。

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

可能的 IsInUserStore 值为 true 和 false 。 如果值为 true,则表示证书自动续订,且存储在网络服务的用户证书存储中的个人容器中。 如果值为 false,表示客户端证书是在 Register-MicrosoftEntraPrivateNetworkConnector 发起的安装或注册期间创建。 该证书存储在本地计算机的证书存储的个人容器中。

如果值为 true,请按照以下步骤验证证书:

  1. 下载 PsTools.zip
  2. 从包中提取 PsExec,然后在提升的命令提示符下运行 psexec -i -u "nt authority\network service" cmd.exe。
  3. 在新出现的命令提示符下运行 certmgr.msc。
  4. 在管理控制台中,展开“个人”容器,然后选择“证书”。
  5. 找到 connectorregistrationca.msappproxy.net 颁发的证书。

如果值为 false,请按照以下步骤验证证书:

  1. 运行 certlm.msc。
  2. 在管理控制台中,展开“个人”容器,然后选择“证书”。
  3. 找到 connectorregistrationca.msappproxy.net 颁发的证书。

续订客户端证书:

如果连接器几个月未连接到服务,则其证书可能已过时。 证书续订失败会导致证书过期。 证书过期会导致连接器服务停止工作。 在连接器的管理日志中记录事件 1000:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

在这种情况下,请卸载并重新安装连接器以触发注册,也可以运行以下 PowerShell 命令:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

若要详细了解 Register-MicrosoftEntraPrivateNetworkConnector 命令,请参阅为 Microsoft Entra 专用网络连接器创建无人参与安装脚本

验证“admin”是否可用于安装连接器

目的:验证尝试安装连接器的用户是否是具有正确凭据的管理员。 目前,用户必须至少是应用程序管理员才能成功安装。

若要验证凭据是否正确:

连接到 https://login.microsoftonline.com 并使用相同的凭据。 确保登录成功。 可以通过转到“Microsoft Entra ID”->“用户和组”->“所有用户”来检查用户角色。

选择用户帐户,并在生成的菜单中选择“目录角色”。 验证所选角色是否为“应用程序管理员”。 如果按这些步骤操作无法访问任何页,则代表你不具有所需的角色。

连接器错误

如果注册在连接器向导安装期间失败,有两种方法可查看失败原因。 查看 Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" 下的事件日志,或运行以下 Windows PowerShell 命令:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

从事件日志找到连接器错误后,使用此常见错误表解决问题:

错误 建议的步骤
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' 如果关闭了注册窗口但没有登录到 Microsoft Entra ID,请再次运行连接器向导并注册连接器。

如果注册窗口打开后立即关闭,不允许你进行登录,则会看到此错误。 当系统上存在网络错误时,可能出现该错误。 确保可从浏览器连接到公共网站,并且端口以配置连接器中所指定的方式打开。
Clear error is presented in the registration window. Cannot proceed 如果看到此错误,然后窗口关闭,这意味着输入的用户名或密码错误。 重试。
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. 正尝试使用 Microsoft 帐户登录,而不是使用作为正尝试访问的目录组织 ID 一部分的域进行登录。 管理员必须是与租户域相同的域名的一部分。 例如,如果 Microsoft Entra 域为 contoso.com,则管理员应为 admin@contoso.com
Failed to retrieve the current execution policy for running PowerShell scripts. 如果连接器安装失败,请检查确保 PowerShell 执行策略未禁用。

1. 打开组策略编辑器。
2. 依次转到“计算机配置”>“管理模板”>“Windows 组件”>“Windows PowerShell”,并双击“打开脚本执行” 。
3. 可将执行策略设置为“未配置”或“已启用” 。 如果设置为“已启用”,请确保在“选项”下将“执行策略”设置为“允许本地脚本和远程签名脚本”或“允许所有脚本”
Connector failed to download the configuration. 用于身份验证的连接器客户端证书已过期。 如果你将连接器安装在代理后,则可能会发生此问题。 在此情况下,连接器无法访问 Internet,并且将无法向远程用户提供应用程序。 在 Windows PowerShell 中使用 Register-MicrosoftEntraPrivateNetworkConnector cmdlet 手动续订信任。 如果连接器在代理后,则必须向连接器帐户 network serviceslocal system 授予 Internet 访问权限。 授予访问权限是通过授予对代理的访问权限或绕过代理来完成的。
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' 尝试登录时所使用的别名不是此域上的管理员。 始终为拥有用户域的目录安装连接器。 确保尝试登录时所使用的管理员帐户至少具有 Microsoft Entra 租户的应用程序管理员权限。
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. 连接器无法连接到应用程序代理云服务。 如果存在阻止连接的防火墙规则,则可能会发生该问题。 允许访问配置连接器中列出的正确端口和 URL。

连接器问题的流程图

此流程图指导你完成调试某些更常见连接器问题的步骤。 有关每个步骤的详细信息,请参阅流程图后面的表。

显示调试连接器步骤的流程图。

步骤 操作 说明
1 查找分配给应用的连接器组 你可能在多台服务器上安装了连接器,在这种情况下,应将连接器分配给连接器组。 若要详细了解连接器组,请参阅了解 Microsoft Entra 专用网络连接器组
2 安装连接器并分配组 如果没有安装连接器,请参阅配置连接器

如果未将连接器分配给组,请参阅将连接器分配给组

如果未将应用程序分配到连接器组,请参阅将应用程序分配到连接器组
3 在连接器服务器上运行端口测试 在连接器服务器上,使用 telnet 或其他端口测试工具运行端口测试,检查端口配置是否正确。 若要了解详细信息,请参阅配置连接器
4 配置域和端口 为该连接器配置连接器。 某些端口必须打开,并且服务器必须能够访问的 URL。 有关详细信息,请参阅配置连接器
5 检查后端代理是否正在使用中 检查连接器是正在使用后端代理服务器还是绕过了这些服务器。 有关详细信息,请参阅排查连接器代理问题和服务连接问题
6 使用后端代理信息更新连接器和更新程序设置 如果正在使用后端代理,请确保连接器使用相同的代理。 有关故障排除和配置连接器以与代理服务器一起使用的详细信息,请参阅使用现有的本地代理服务器
7 在连接器服务器上加载应用的内部 URL 在连接器服务器上,加载应用的内部 URL。
8 检查内部网络连接 内部网络存在此调试流无法诊断的连接问题。 应用程序必须在内部进行访问,连接器才能工作。 可以按专用网络连接器中所述来启用和查看连接器事件日志。
9 延长后端的超时值 在应用程序的“其他设置”中,将“后端应用程序超时”设置更改为“长” 。 请参阅将本地应用添加到 Microsoft Entra ID
10 如果问题仍然存在,请调试应用程序。 调试应用程序代理应用程序问题

常见问题解答

为何我的连接器仍使用旧版本,而不自动升级到最新版本?

原因可能是更新服务未正常工作,或者没有新的更新可供该服务安装。

如果更新服务正在运行,并且事件日志(“应用程序和服务日志”->“Microsoft”->“Microsoft Entra 专用网络”->“更新服务”->“管理员”)中未记录任何错误,则表示该服务运行正常。

重要

只会发布主版本供自动升级。 建议仅在必要时手动更新连接器。 例如,不能等待主要版本,因为你必须修复已知问题或想要使用新功能。 有关新发行版、发布类型(下载、自动升级)、bug 修复和新功能的详细信息,请参阅 Microsoft Entra 专用网络连接器:版本发布历史记录

若要手动升级连接器:

  • 下载最新版本的连接器。 (可以在 Microsoft Entra 管理中心的“全球安全访问”>“连接”>“连接器”下找到它)
  • 安装程序将重启 Microsoft Entra 专用网络连接器服务。 在某些情况下,如果安装程序无法替换所有文件,则可能需要重新启动服务器。 因此,建议在开始升级之前关闭所有应用程序(例如事件查看器)。
  • 运行安装程序。 升级过程很快就能完成,且不需要提供任何凭据,连接器不会重新注册。

专用网络连接器服务是否可以在非默认的用户上下文中运行?

不可以,不支持这种方案。 默认设置为:

  • Microsoft Entra 专用网络连接器 - WAPCSvc - 网络服务
  • Microsoft Entra 专用网络连接器更新服务 - WAPCUpdaterSvc - NT Authority\System

具有活跃管理员角色分配的来宾用户是否可以为(来宾)租户注册连接器?

目前无法做到这一点。 注册尝试始终在用户的主租户上进行。

我的后端应用程序托管在多个 Web 服务器上,需要用户会话持久性(粘性)。 如何实现会话持久性?

有关建议,请参阅专用网络连接器和应用程序的高可用性与负载均衡

是否支持对从连接器服务器到 Azure 的流量执行 TLS 终止(TLS/HTTPS 检查或加速)?

专用网络连接器对 Azure 执行基于证书的身份验证。 TLS 终止(TLS/HTTPS 检查或加速)会破坏这种身份验证方法,因此不受支持。 从连接器到 Azure 的流量必须绕过任何正在执行 TLS 终止的设备。

是否需要对所有连接使用 TLS 1.2?

是的。 为了向我们的客户提供一流的加密,应用程序代理服务将访问限制为仅允许使用 TLS 1.2 协议。 这些更改已自 2019 年 8 月 31 日起逐步推出并生效。 请确保将所有客户端-服务器和浏览器-服务器组合更新为使用 TLS 1.2,以便保持连接到应用程序代理服务。 这包括用户用来访问那些通过应用程序代理发布的应用程序的客户端。 请查看如何为 Office 365 中的 TLS 1.2 做准备,了解有用的参考和资源。

是否可以在连接器服务器与后端应用程序服务器之间放置转发代理设备?

可以,从连接器版本 1.5.1526.0 开始支持此方案。 请参阅使用现有的本地代理服务器

是否应创建一个专用帐户来向 Microsoft Entra 应用程序代理注册连接器?

没有理由创建专用帐户。 可以使用任何具有应用程序管理员角色的帐户。 注册过程完成后,不会使用安装期间输入的凭据, 而会向连接器颁发一个证书,此后,该证书将用于身份验证。

如何监视 Microsoft Entra 专用网络连接器的性能?

将连同连接器一起安装一些性能监视器计数器。 查看管理共享:

  1. 选择“开始”,键入“性能”并按 Enter。
  2. 选择“性能监视器”,然后单击绿色的 + 图标。
  3. 添加要监视的“Microsoft Entra 专用网络连接器”计数器。

Microsoft Entra 专用网络连接器是否必须位于资源所在的同一子网中?

连接器不需要位于同一子网中。 但是,它需要对资源进行名称解析(DNS、hosts 文件),并建立必要的网络连接(路由到资源、在资源上打开端口等)。 有关建议,请参阅使用 Microsoft Entra 应用程序代理时的网络拓扑注意事项

为什么从服务器卸载连接器后,连接器仍会显示在 Microsoft Entra 管理中心内?

当连接器运行时,它会在连接到服务时保持活动状态。 已卸载或未使用的连接器会标记为非活动状态,并会在保持这种状态 10 天后从门户中移除。 无法从 Microsoft Entra 管理中心手动移除非活动连接器。

后续步骤