針對應用程式 Proxy 問題和錯誤訊息進行疑難解答
首先,請確定已正確設定專用網連接器。 如需詳細資訊,請參閱 偵錯專用網連接器問題 和 偵錯應用程式 Proxy 應用程式問題。
如果在存取已發佈的應用程式或發佈應用程式中發生錯誤,請檢查下列選項,以查看Microsoft Entra 應用程式 Proxy 是否正常運作:
- 開啟 Windows 服務控制台。 確認 Microsoft Entra 專用網連接器 服務已啟用並執行。 查看應用程式 Proxy 服務屬性頁面,如下圖所示。
- 開啟事件查看器,並在 Applications and Services Logs 中尋找專用網連接器事件,>Microsoft>Microsoft Entra private network>Connector>Admin。
- 檢閱詳細的記錄。 開啟專用網連接器會話記錄。
頁面未正確轉譯
您的應用程式出現轉譯或運作不正確的問題,卻沒有收到特定的錯誤訊息。 如果您發布文章路徑,但應用程式需要存在於該路徑外部的內容,就會發生此問題。
例如,如果您發佈路徑 https://yourapp/app
,但應用程式會呼叫 https://yourapp/media
中的影像,則不會轉譯它們。 請務必使用您需要包含所有相關內容的最高層級路徑來發佈應用程式。 在這個範例中,它是 http://yourapp/
。
應用程式代理載入所需的時間太長
應用程式可以正常運作,但會有很長的延遲。 網路拓撲調整可以改善速度。 如需不同拓撲的評估,請參閱 網路考慮檔。
應用程式 Proxy 應用程式的應用程式頁面無法正確顯示
當您發佈應用程式代理時,只有根目錄下的所有頁面能在存取應用程式時被存取。 如果頁面未正確顯示,則應用程式所使用的根內部URL可能會遺漏某些頁面資源。 若要解決,請將 所有 頁面的資源發佈為應用程式的一部分。
確認遺漏的資源是否為問題。 在 Microsoft Edge 中開啟網路追蹤器,例如 Fiddler 或 F12 工具。 載入頁面,然後檢查是否有 404 錯誤。 錯誤表示找不到頁面,而且您需要發佈這些頁面。
例如,假設您使用內部 URL http://myapps/expenses
發行費用應用程式,但該應用程式會使用樣式表 http://myapps/style.css
。 樣式表未在您的應用程式中發佈,因此載入費用應用程式時會因嘗試載入 style.css
而拋出 404
錯誤。 在此範例中,發佈帶有內部 URL http://myapp/
的應用程式來解決問題。
將作為單一應用程式發行時的問題
如果無法發佈相同應用程式內的所有資源,您需要發佈多個應用程式,並啟用它們之間的連結。
若要這樣做,建議您使用 自定義網域 解決方案。 不過,此解決方案會要求您擁有網域的憑證,而且您的應用程式會使用完整功能變數名稱(FQDN)。 如需其他選項,請參閱 解決中斷連結的疑難解答文件。
我的應用程式發生連線問題
我在管理入口網站中設定 Microsoft Entra 應用程式 Proxy 時遇到問題
我不知道如何設定單一登入功能到我的應用程式 Proxy 應用程式。
我在設定應用程式的後端驗證時遇到問題
我不知道如何設定 Kerberos 限制委派。 我不知道如何使用 PingAccess設定應用程式。
登入應用程式時發生問題
我收到錯誤 Can't Access this Corporate Application
。 若要解決此問題,請參閱 閘道逾時錯誤。
我在使用私人網絡連接器時遇到了問題
我在安裝專用網連接器時遇到問題。
Kerberos 錯誤
下表涵蓋 Kerberos 設定和設定中較常見的錯誤,並包含解決建議。
錯誤 | 建議的步驟 |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果連接器安裝失敗,請檢查以確定PowerShell執行原則未停用。 1.開啟組策略編輯器。 2.移至 [計算機設定]>[系統管理範本]>Windows 元件>Windows PowerShell,然後按兩下 開啟腳本執行。 3. 執行原則可以設定為 未設定 或 已啟用。 如果設定為 Enabled,請確定在 [選項] 底下,[執行原則] 設定為 [允許本機腳本] 和 [遠端簽署腳稿] 或 [允許所有腳稿。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
此錯誤表示Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或兩部機器的時間和日期設定發生問題。 後端伺服器拒絕了 Microsoft Entra ID 所建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器。 請確定Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步處理。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
安全性令牌服務 (STS) 設定發生問題。 修正 STS 中的用戶主體名稱 (UPN) 宣告設定。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
此事件指出Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器,特別是服務主體名稱 (SPN) 組態。 請確定域控制器會使用 Microsoft Entra 識別碼建立信任。 兩者都應該使用相同的網域。 請確定Microsoft Entra ID 和域控制器上的時間和日期組態已同步。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
此事件指出Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器,特別是SPN組態。 請確定域控制器會使用 Microsoft Entra 識別碼建立信任。 兩者都應該使用相同的網域。 請確定Microsoft Entra ID 和域控制器上的時間和日期組態已同步。 |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
此事件指出Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或兩部機器的時間和日期設定發生問題。 後端伺服器拒絕了 Microsoft Entra ID 所建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器。 請確定Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步處理。 如需詳細資訊,請參閱針對應用程式 Proxy 的 Kerberos 限制委派組態進行疑難解答。 |
終端用戶錯誤
此清單涵蓋使用者嘗試存取應用程式並失敗時可能會遇到的錯誤。
錯誤 | 建議的步驟 |
---|---|
The website cannot display the page. |
如果應用程式是整合式 Windows 驗證 (IWA) 應用程式,則使用者嘗試存取您發佈的應用程式時,會收到此錯誤。 此應用程式的已定義SPN不正確。 針對 IWA 應用程式,請確定為此應用程式設定的 SPN 正確。 |
The website cannot display the page. |
您的使用者在嘗試存取您發佈的應用程式時,如果該應用程式是 Outlook Web 應用程式(OWA),會收到此錯誤。 問題產生於: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
當使用者嘗試存取您發佈的應用程式時,如果使用者使用 Microsoft 帳戶,而不是其公司帳戶登入,則會收到此錯誤。 來賓使用者會收到此錯誤。 Microsoft帳戶用戶和來賓無法存取 IWA 應用程式。 請確定使用者使用符合已發行應用程式網域的公司帳戶登入。 您必須為此應用程式指派使用者。 移至 [應用程式] 索引標籤,然後在 [使用者和群組]下,將此使用者或使用者群組指派給此應用程式。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
當使用者嘗試存取您發佈的應用程式時,如果使用者未在內部部署端正確定義此應用程式,則會收到此錯誤。 請確定您的使用者具有內部部署電腦上此後端應用程式所定義的適當許可權。 |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
如果使用者未由訂閱者系統管理員明確指派 Premium 授權,則嘗試存取您發佈的應用程式時,會收到此錯誤。 移至訂閱者的 Active Directory 授權 索引標籤,並確定此使用者或使用者群組已獲指派 Premium 授權。 |
A server with the specified host name could not be found. |
當使用者嘗試存取您發佈的應用程式時,如果使用者的自定義網域未正確設定,就會收到此錯誤。 檢查網域的憑證,並正確設定域名系統 (DNS) 記錄。 如需詳細資訊,請參閱 在 Microsoft Entra 應用程式 Proxy中使用自定義網域。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
問題可能是存取授權資訊時發生問題。 若要深入瞭解,請參閱 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)。 簡言之,將專用網連接器計算機帳戶新增至「Windows 授權存取群組」內建網域群組以解析。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
連接器會使用客戶端憑證保護Microsoft Entra 應用程式 Proxy 雲端服務端點的輸出連線。 用戶端憑證無法連線到端點時,就會發生錯誤。 例如,執行傳輸層安全性 (TLS) 檢查或中斷 TLS 連線的網路裝置。 避免內嵌檢查和終止輸出 TLS 通訊。 Microsoft Entra 專用網連接器和Microsoft Entra 應用程式 Proxy 雲端服務之間,不得進行檢查和終止。 |