Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje kroky, které můžete provést při řešení problémů a chybových zpráv v proxy aplikací Microsoft Entra.
Než začnete
První věc, kterou je potřeba zkontrolovat, je konektor. Informace o ladění privátního síťového konektoru najdete v tématu Ladění problémů s privátním síťovým konektorem. Pokud stále máte problémy s připojením k aplikaci, vraťte se k tomuto článku a vyřešte aplikaci.
Pokud se uživateli při přístupu k aplikaci nebo jeho publikování zobrazí chyba, pomocí následujícího postupu ověřte, že proxy aplikace Microsoft Entra funguje správně:
Otevřete konzolu služeb systému Windows. Ověřte, že je služba Microsoft Entra privátního síťového konektoru aktivní a fungující. Podívejte se na stránku vlastností služby proxy aplikací.
Otevřete Prohlížeč událostí. Přejděte do> aplikací a služeb>>> Admin a zkontrolujte události privátního síťového konektoru.
Projděte si podrobné protokoly. Zjistěte, jak zapnout protokoly relací privátního síťového konektoru.
Chyby konfigurace aplikace
V následujících částech najdete běžné problémy s konfigurací a navrhovaná řešení.
Aplikace se nevykresluje správně
Máte problémy s vykreslováním aplikace nebo nesprávně funguje, ale nezobrazí se žádná konkrétní chybová zpráva.
K tomuto problému dochází v případě, že aplikace vyžaduje obsah, který existuje mimo cestu, kterou jste použili k publikování aplikace.
Pokud například publikujete cestu https://yourapp/app, ale aplikace odkazuje na obrázky, které jsou umístěné v https://yourapp/mediaaplikaci, obrázky se v aplikaci nezobrazí.
Ujistěte se, že aplikaci publikujete pomocí cesty nejvyšší úrovně, kterou potřebujete zahrnout do všech odkazovaných obsahu a souborů. V příkladu je tato úroveň http://yourapp/.
Ověřte, že chybějící prostředky způsobily problém:
- Otevřete sledování sítě, například pomocí nástroje Fiddler nebo nástroje pro vývojáře v prohlížeči (vyberte F12 v Internet Exploreru nebo Microsoft Edge).
- Načtěte stránku.
- Vyhledejte chyby s ID 404.
Chyba 404 značí, že se stránky nedají najít a že je potřebujete publikovat.
Načtení aplikace trvá příliš dlouho
Aplikace můžou být funkční, ale mají dlouhou latenci.
Pokud chcete zvýšit rychlost aplikace, můžete v topologii sítě provádět změny. Projděte si důležité informace o síti.
Problém s publikováním v jedné aplikaci
Pokud nemůžete publikovat všechny prostředky ve stejné aplikaci, publikujte více aplikací a nastavte mezi nimi propojení. V tomto scénáři doporučujeme používat vlastní domény. Toto řešení však vyžaduje, abyste vlastní certifikát pro svoji doménu a aby vaše aplikace používaly plně kvalifikované názvy domén (FQDN). V případě jiných možností řešte potíže s nefunkčními odkazy.
Problém s nastavením připojení pro aplikaci
Pro příčiny a navrhovaná řešení viz Porty, které je třeba otevřít pro aplikaci proxy.
Problém s konfigurací proxy aplikace Microsoft Entra na portálu pro správu
Příčiny a navrhovaná řešení najdete viz část Jednotného přihlašování v aplikacích proxy.
Problém s nastavením back-endového ověřování pro aplikaci
Příčiny a navrhovaná řešení najdete v těchto článcích:
- Řešení potíží s omezenou delegací protokolu Kerberos
- Jednotné přihlašování pomocí proxy aplikací a PingAccess
Nejde se přihlásit k aplikaci
Pokud se zobrazí chyba This corporate app can’t be accessed a nemůžete se přihlásit k aplikaci, došlo k chybě konfigurace. Navrhovaná řešení najdete v tématu Řešení chybných chyb časového limitu brány.
Chyby konektoru privátní sítě
Příčiny a navrhovaná řešení najdete v tématu Instalace privátního síťového konektoru.
Chyby protokolu Kerberos
Následující tabulka popisuje častější chyby a jejich řešení v nastavení a konfiguraci protokolu Kerberos:
| Chyba | Vysvětlení a kroky k provedení |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Pokud se instalace konektoru nezdaří, zkontrolujte, jestli nejsou zakázané zásady spouštění PowerShellu. 1. Otevřete Editor zásad skupiny. 2. Přejděte do Konfigurace počítače>Šablony pro správu>Součásti Windows>Windows PowerShell a poklepejte na Zapnout spouštění skriptů. 3. Zásady spouštění lze nastavit na Nenakonfigurováno nebo Povoleno. Pokud je zásada nastavená na Povoleno, ujistěte se, že v části Možnosti je zásada spouštění nastavená na Povolit místní skripty a vzdálené podepsané skripty nebo Povolit všechny skripty. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Tato chyba značí nesprávnou konfiguraci mezi ID Microsoft Entra a back-endovým aplikačním serverem nebo došlo k potížím s konfigurací času a data v obou počítačích. Back-endový server odmítl lístek Kerberos, který vytvořil Microsoft Entra ID. Ověřte, že je správně nakonfigurované ID Microsoft Entra a back-endový aplikační server. Ujistěte se, že je konfigurace času a data na Microsoft Entra ID a back-end aplikačním serveru synchronizována. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Došlo k potížím s konfigurací služby tokenů zabezpečení (STS). Opravte konfiguraci deklarace identity hlavního názvu uživatele (UPN) ve službě STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Tato událost označuje nesprávnou konfiguraci mezi ID Microsoft Entra a serverem řadiče domény nebo problém v konfiguraci času a data na obou počítačích. Řadič domény odmítl Kerberos ticket vytvořený Microsoft Entra ID. Ověřte, že jsou správně nakonfigurované Microsoft Entra ID a back-end aplikační server, zejména konfigurace hlavního názvu služby (SPN). Ujistěte se, že řadič domény vytváří vztah důvěryhodnosti s ID Microsoft Entra. Obě by měly používat stejnou doménu. Ujistěte se, že konfigurace času a data v ID Microsoft Entra a řadič domény jsou synchronizované. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Tato událost označuje nesprávnou konfiguraci mezi ID Microsoft Entra a serverem řadiče domény nebo problém v konfiguraci času a data na obou počítačích. Řadič domény odmítl Kerberos ticket vytvořený Microsoft Entra ID. Ověřte, že je správně nakonfigurované ID Microsoft Entra a back-endový aplikační server, zejména konfigurace hlavního názvu služby ( SPN). Ujistěte se, že řadič domény vytváří vztah důvěryhodnosti s ID Microsoft Entra. Obě by měly používat stejnou doménu. Ujistěte se, že nastavení času a data v Microsoft Entra ID a řadiči domény jsou synchronizovány. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Tato událost označuje nesprávnou konfiguraci mezi ID Microsoft Entra a back-endovým aplikačním serverem nebo problém v konfiguraci času a data na obou počítačích. Back-endový server odmítl Kerberos ticket vytvořený Microsoft Entra ID. Ověřte, že je správně nakonfigurované ID Microsoft Entra a back-endový aplikační server. Ujistěte se, že konfigurace času a data v ID Microsoft Entra a back-end aplikační server jsou synchronizovány. Další informace najdete v tématu Řešení potíží s konfigurací omezeného delegování protokolu Kerberos pro proxy aplikací. |
Chyby uživatele aplikace
Následující tabulka popisuje chyby, se kterými se uživatel aplikace může setkat při pokusu o přístup k aplikaci proxy aplikací:
| Chyba | Vysvětlení a kroky k provedení |
|---|---|
The website cannot display the page. |
Uživateli se při pokusu o přístup k aplikaci IWA (Integrated Windows Authentication), kterou jste publikovali, zobrazí chyba. Definovaný hlavní název služby (SPN) pro aplikaci je nesprávný. Ujistěte se, že hlavní název služby (SPN) aplikace je správný. |
The website cannot display the page. |
Uživateli se při pokusu o přístup k aplikaci Outlook Web Application (OWA), kterou jste publikovali, zobrazí chyba. Problém má následující výsledky: – Definovaný hlavní název služby (SPN) pro aplikaci je nesprávný. Ujistěte se, že hlavní název služby (SPN) aplikace je správný. – Uživatel, který se pokusil získat přístup k aplikaci, používá k přihlášení účet Microsoft místo svého podnikového účtu nebo je uživatel typu host. Ujistěte se, že se uživatel přihlásí pomocí podnikového účtu, který odpovídá doméně publikované aplikace. Uživatelé a hosté účtu Microsoft nemají přístup k aplikacím IWA. – Uživatel, který se pokusil o přístup k aplikaci, není správně definován pro aplikaci v místní konfiguraci. Ujistěte se, že má uživatel požadovaná místní oprávnění pro přístup k back-endové aplikaci. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
K této chybě dochází, když se uživatel pokusí o přístup k aplikaci pomocí účtu Microsoft nebo jako uživatele typu host. Uživatelé a hosté účtu Microsoft nemají přístup k aplikacím IWA. Ujistěte se, že se uživatel přihlásí pomocí podnikového účtu odpovídajícího doméně aplikace. Pokud chcete tento problém vyřešit, přejděte na kartu Aplikace v části Uživatelé a skupiny a přiřaďte k aplikaci uživatele nebo skupinu. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Uživatel, který se pokusil o přístup k aplikaci, není správně definovaný pro aplikaci v místní konfiguraci. Ujistěte se, že má uživatel požadovaná místní oprávnění pro přístup k back-endové aplikaci. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Uživateli se zobrazí chyba, když se pokusí o přístup k aplikaci, kterou jste publikovali, pokud jim správce předplatitele explicitně nepřiřadil licenci Premium. Na kartě Licence Microsoft Entra ID odběratele se ujistěte, že má uživatel nebo skupina uživatelů přiřazenou licenci Premium. |
A server with the specified host name could not be found. |
Uživateli se zobrazí chyba, když se pokusí získat přístup k aplikaci, kterou jste publikovali, a vlastní doména aplikace není správně nakonfigurovaná. Zkontrolujte certifikát domény a správně nakonfigurujte záznam DNS (Domain Name System). Další informace naleznete v tématu Práce s vlastními doménami v proxy aplikace Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Problém může být problém s přístupem k autorizačním informacím. Další informace najdete v tématu (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Pokud chcete tuto chybu vyřešit, přidejte účet počítače privátního síťového konektoru do integrované doménové skupiny Windows Authorization Access Group. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Konektor používá klientský certifikát k zabezpečení odchozích připojení ke koncovým bodům cloudové služby proxy aplikací Microsoft Entra. K chybě dochází v případě, že se klientský certifikát nedostanou ke koncovému bodu. Může k němu dojít například v případě, že síťové zařízení provádí kontrolu protokolu TLS (Transport Layer Security) nebo přeruší připojení TLS. Pokud chcete tuto chybu vyřešit, vyhněte se vložené kontrole a ukončení odchozí komunikace TLS. Kontrola a ukončení nesmí nastat mezi konektory privátní sítě Microsoft Entra a cloudovými službami proxy aplikací Microsoft Entra. |