Řešení potíží s proxy aplikací a souvisejícími chybovými zprávami
Nejprve se ujistěte, že jsou správně nakonfigurované privátní síťové konektory. Další informace najdete v tématu Ladění problémů s privátním síťovým konektorem a ladění problémů s aplikací proxy aplikací.
Pokud při přístupu k publikované aplikaci nebo publikování aplikací dojde k chybám, zkontrolujte následující možnosti a zjistěte, zda proxy aplikací Microsoft Entra funguje správně:
- Otevřete konzolu Služby Windows. Ověřte, že je služba konektoru privátní sítě Microsoft Entra povolená a spuštěná. Podívejte se na stránku vlastností služby proxy aplikací, jak je znázorněno na obrázku.
- Otevřete Prohlížeč událostí a vyhledejte události privátního síťového konektoru v protokolech>aplikací a služeb v privátní síti> Microsoft>Entra Připojení or> Správa.
- Projděte si podrobné protokoly. Zapněte protokoly relací privátního síťového konektoru.
Stránka se nevykresluje správně
Máte problémy s vykreslováním nebo nesprávným fungováním aplikace bez zobrazování konkrétních chybových zpráv. K problému dochází, pokud jste publikovali cestu k článku, ale aplikace vyžaduje obsah, který existuje mimo tuto cestu.
Pokud například publikujete cestu https://yourapp/app
, ale aplikace volá obrázky, https://yourapp/media
nevykreslí se. Ujistěte se, že publikujete aplikaci pomocí cesty nejvyšší úrovně, která je potřeba pro zahrnutí veškerého relevantního obsahu. V tomto příkladu to je http://yourapp/
.
Načtení aplikace proxy aplikací trvá příliš dlouho.
Aplikace můžou být funkční, ale mají dlouhou latenci. Vylepšení síťové topologie můžou zvýšit rychlost. Informace o vyhodnocení různých topologií najdete v dokumentu s ohledem na síť.
Stránka aplikace se nezobrazuje správně pro aplikaci proxy aplikací
Když publikujete aplikaci proxy aplikací, budou při přístupu k aplikaci přístupné jenom stránky v kořenovém adresáři. Pokud se stránka nezobrazuje správně, můžou v kořenové interní adrese URL použité pro aplikaci chybět některé prostředky stránky. Pokud chcete problém vyřešit, publikujte všechny prostředky stránky jako součást aplikace.
Ověřte, jestli problém neobsahuje prostředky. Otevření nástroje pro sledování sítě, jako je Fiddler nebo F12 v Microsoft Edgi Načtěte stránku a vyhledejte chyby 404. Chyby značí, že se stránky nedají najít a že je potřebujete publikovat.
Předpokládejme například, že jste publikovali aplikaci výdajů pomocí interní adresy URL http://myapps/expenses
, ale aplikace používá šablonu http://myapps/style.css
stylů . Šablona stylů není ve vaší aplikaci publikovaná, takže načtení aplikace výdajů vyvolá 404
chybu při pokusu o načtení style.css
. V tomto příkladu problém vyřešíte publikováním aplikace s interní adresou URL http://myapp/
.
Problémy s publikováním jako jedné aplikace
Pokud není možné publikovat všechny prostředky ve stejné aplikaci, musíte publikovat více aplikací a povolit mezi nimi propojení.
K tomu doporučujeme použít vlastní řešení domén . Toto řešení však vyžaduje, abyste vlastní certifikát pro svoji doménu a vaše aplikace používaly plně kvalifikované názvy domén (FQDN). Další možnosti najdete v dokumentaci k poškozeným odkazům.
Můžu se k aplikaci dostat, ale odkazy na stránce aplikace nefungují.
Mám potíže s připojením k aplikaci
Nevím, jaké porty se mají otevřít pro aplikaci.
Mám problém s konfigurací proxy aplikací služby Microsoft Entra ID na portálu pro správu
Nevím, jak nakonfigurovat jednotné přihlašování k aplikaci Proxy aplikací.
Mám problém s nastavením back-endového ověřování pro aplikaci
Nevím, jak nakonfigurovat omezené delegování protokolu Kerberos. Nevím, jak nakonfigurovat aplikaci pomocí PingAccessu.
Mám problém s přihlášením k aplikaci
Zobrazuje se mi chyba Can't Access this Corporate Application
. Pokud chcete tento problém vyřešit, přečtěte si informace o chybě vypršení časového limitu chyb brány.
Mám potíže s privátním síťovým konektorem
Mám problémy s instalací privátního síťového konektoru.
Chyby protokolu Kerberos
Tato tabulka popisuje nejběžnější chyby, které pocházejí z nastavení a konfigurace protokolu Kerberos, a obsahuje návrhy pro řešení.
Chyba | Doporučené kroky |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Pokud instalace konektoru selže, zkontrolujte, jestli nejsou zakázané zásady spouštění PowerShellu. 1. Otevřete Editor zásad skupiny. 2. Přejděte do konfigurace> počítače Správa istrativní šablony součásti>>systému Windows PowerShell a poklikejte na Zapnout spouštění skriptů. 3. Zásady spouštění lze nastavit buď na Nenakonfigurováno , nebo Povoleno. Pokud je nastavená možnost Povoleno, ujistěte se, že v části Možnosti je zásada spouštění nastavená na Povolit místní skripty a vzdálené podepsané skripty nebo povolit všechny skripty. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Tato chyba značí nesprávnou konfiguraci mezi ID Microsoft Entra a back-endovým aplikačním serverem nebo problém s konfigurací času a data na obou počítačích. Back-endový server odmítl lístek Kerberos vytvořený id Microsoft Entra. Ověřte, že je správně nakonfigurované ID Microsoft Entra a back-endový aplikační server. Ujistěte se, že konfigurace času a data v ID Microsoft Entra a back-end aplikační server jsou synchronizovány. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Došlo k potížím s konfigurací služby tokenů zabezpečení (STS). Opravte konfiguraci deklarace identity hlavního názvu uživatele (UPN) ve službě STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Tato událost označuje nesprávnou konfiguraci mezi ID Microsoft Entra a serverem řadiče domény nebo problém v konfiguraci času a data na obou počítačích. Řadič domény odmítl lístek Kerberos vytvořený id Microsoft Entra. Ověřte, že id Microsoft Entra a back-endový aplikační server jsou správně nakonfigurované, zejména konfigurace hlavního názvu služby (SPN). Ujistěte se, že řadič domény vytváří vztah důvěryhodnosti s ID Microsoft Entra. Obě by měly používat stejnou doménu. Ujistěte se, že konfigurace času a data v ID Microsoft Entra a řadič domény jsou synchronizované. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
Tato událost označuje nesprávnou konfiguraci mezi ID Microsoft Entra a serverem řadiče domény nebo problém v konfiguraci času a data na obou počítačích. Řadič domény odmítl lístek Kerberos vytvořený id Microsoft Entra. Ověřte, že je správně nakonfigurované ID Microsoft Entra a back-endový aplikační server, zejména konfigurace hlavního názvu služby ( SPN). Ujistěte se, že řadič domény vytváří vztah důvěryhodnosti s ID Microsoft Entra. Obě by měly používat stejnou doménu. Ujistěte se, že konfigurace času a data v ID Microsoft Entra a řadič domény jsou synchronizované. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
Tato událost označuje nesprávnou konfiguraci mezi ID Microsoft Entra a back-endovým aplikačním serverem nebo problém v konfiguraci času a data na obou počítačích. Back-endový server odmítl lístek Kerberos vytvořený id Microsoft Entra. Ověřte, že je správně nakonfigurované ID Microsoft Entra a back-endový aplikační server. Ujistěte se, že konfigurace času a data v ID Microsoft Entra a back-end aplikační server jsou synchronizovány. Další informace najdete v tématu Řešení potíží s konfiguracemi omezeného delegování protokolu Kerberos pro proxy aplikací. |
Chyby koncových uživatelů
Tento seznam obsahuje chyby, se kterými se koncoví uživatelé můžou setkat při pokusu o přístup k aplikaci a selhání.
Chyba | Doporučené kroky |
---|---|
The website cannot display the page. |
Uživateli se tato chyba zobrazí při pokusu o přístup k aplikaci, kterou jste publikovali, pokud se jedná o aplikaci integrované ověřování systému Windows (IWA). Definovaný hlavní název služby (SPN) pro tuto aplikaci je nesprávný. U aplikací IWA se ujistěte, že je hlavní název služby (SPN) nakonfigurovaný pro tuto aplikaci správný. |
The website cannot display the page. |
Uživateli se tato chyba zobrazí při pokusu o přístup k aplikaci, kterou jste publikovali, pokud se jedná o aplikaci Outlook Web Application (OWA). Problém má následující výsledky: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
Při pokusu o přístup k aplikaci, kterou jste publikovali, se uživateli zobrazí tato chyba, pokud k přihlášení používá účty Microsoft místo svého firemního účtu. Uživatelům typu host se zobrazí tato chyba. Uživatelé a hosté účtu Microsoft nemají přístup k aplikacím IWA. Ujistěte se, že se uživatel přihlásí pomocí podnikového účtu, který odpovídá doméně publikované aplikace. Pro tuto aplikaci musíte přiřadit uživatele. Přejděte na kartu Aplikace a v části Uživatelé a skupiny přiřaďte tomuto uživateli nebo skupině uživatelů tuto aplikaci. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Uživateli se tato chyba zobrazí při pokusu o přístup k aplikaci, kterou jste publikovali, pokud nejsou pro tuto aplikaci správně definovaná na místní straně. Ujistěte se, že uživatelé mají správná oprávnění definovaná pro tuto back-endovou aplikaci na místním počítači. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Uživateli se tato chyba zobrazí při pokusu o přístup k aplikaci, kterou jste publikovali, pokud jim správce předplatného explicitně nepřiřadil licenci Premium. Přejděte na kartu Licence služby Active Directory odběratele a ujistěte se, že má tento uživatel nebo skupina uživatelů přiřazenou licenci Premium. |
A server with the specified host name could not be found. |
Uživateli se tato chyba zobrazí při pokusu o přístup k aplikaci, kterou jste publikovali, pokud vlastní doména aplikace není správně nakonfigurovaná. Zkontrolujte certifikát domény a správně nakonfigurujte záznam DNS (Domain Name System). Další informace naleznete v tématu Práce s vlastními doménami v proxy aplikace Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Problém může být problém s přístupem k autorizačním informacím. Další informace najdete v tématu (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). V maticovémshellu přidejte účet počítače privátního síťového konektoru do předdefinované skupiny domény Windows Authorization Access Group, která se má přeložit. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Konektor zabezpečuje odchozí připojení ke koncovým bodům cloudové služby proxy aplikací Microsoft Entra pomocí klientského certifikátu. K chybě dochází v případě, že se klientský certifikát nedostanou ke koncovému bodu. Například síťové zařízení provádějící kontrolu protokolu TLS (Transport Layer Security) nebo narušení připojení TLS. Vyhněte se vložené kontrole a ukončení odchozí komunikace TLS. Kontrola a ukončení nesmí nastat mezi konektory privátní sítě Microsoft Entra a cloudovými službami proxy aplikací Microsoft Entra. |