Problembehandlung bei der Konfiguration privater Endpunkte für Microsoft Purview-Konten

Dieser Leitfaden fasst bekannte Einschränkungen im Zusammenhang mit der Verwendung privater Endpunkte für Microsoft Purview zusammen und enthält eine Liste mit Schritten und Lösungen für die Behandlung einiger der häufigsten relevanten Probleme.

Bekannte Einschränkungen

• Derzeit unterstützen wir keine privaten Erfassungsendpunkte, die mit Ihren AWS-Quellen funktionieren.
• Das Überprüfen mehrerer Azure-Quellen mithilfe der selbstgehosteten Integration Runtime wird nicht unterstützt.
• Die Verwendung von Azure Integration Runtime zum Überprüfen von Datenquellen hinter einem privaten Endpunkt wird nicht unterstützt.
• Die privaten Erfassungsendpunkte können über das Microsoft Purview-Governanceportal erstellt werden, das in den hier beschriebenen Schritten beschrieben wird. Sie können nicht über das Private Link Center erstellt werden.
• Das Erstellen eines DNS-Eintrags für private Erfassungsendpunkte innerhalb vorhandener Azure DNS-Zonen, während sich die Azure Privates DNS Zones in einem anderen Abonnement als die privaten Endpunkte befinden, wird über das Microsoft Purview-Governanceportal nicht unterstützt. Ein Eintrag kann manuell in den DNS-Zielzonen im anderen Abonnement hinzugefügt werden.
• Wenn Sie Ihren eigenen Event Hubs-Namespace konfigurieren oder einen verwalteten Event Hubs-Namespace aktivieren , nachdem Sie einen privaten Erfassungsendpunkt bereitgestellt haben, müssen Sie den privaten Erfassungsendpunkt erneut bereitstellen.
• Der computer mit der selbstgehosteten Integration Runtime muss im selben virtuellen Netzwerk oder in einem virtuellen Netzwerk mit Peering bereitgestellt werden, in dem das Microsoft Purview-Konto und die privaten Erfassungsendpunkte bereitgestellt werden.
• Informationen zu Einschränkungen im Zusammenhang mit Private Link Dienst finden Sie unter Azure Private Link Grenzwerte.
• Derzeit können Microsoft Purview-Instanzen, die das neue Microsoft Purview-Portal verwenden, nur private Erfassungsendpunkte verwenden.

Empfohlene Schritte zur Problembehandlung

1. Nachdem Sie private Endpunkte für Ihr Microsoft Purview-Konto bereitgestellt haben, überprüfen Sie Ihre Azure-Umgebung, um sicherzustellen, dass private Endpunktressourcen erfolgreich bereitgestellt werden. Je nach Szenario muss mindestens einer der folgenden privaten Azure-Endpunkte in Ihrem Azure-Abonnement bereitgestellt werden:

   Privater Endpunkt	Privater Endpunkt zugewiesen	Beispiel
   Konto	Microsoft Purview-Konto	mypurview-private-account
   Portal	Microsoft Purview-Konto	mypurview-private-portal
   Ingestion	Storage (Blob)*	mypurview-ingestion-blob
   Ingestion	Speicher (Warteschlange)*	mypurview-ingestion-queue
   Ingestion	Event Hubs-Namespace**	mypurview-ingestion-namespace

   Hinweis

   *Wenn Ihr Konto vor dem 15. Dezember 2023 erstellt wurde, wird der Endpunkt in Ihrem verwalteten Speicherkonto bereitgestellt. Wenn sie nach dem 10. November erstellt wurde (oder mit der API-Version 2023-05-01-preview bereitgestellt wurde), verweist sie auf den Erfassungsspeicher.

   **Ihr Konto verfügt nur über einen zugeordneten Event Hubs-Namespace, wenn er für Kafka-Benachrichtigungen konfiguriert oder vor dem 15. Dezember 2022 erstellt wurde.

2. Wenn der private Endpunkt im Portal bereitgestellt wird, stellen Sie sicher, dass Sie auch den privaten Endpunkt des Kontos bereitstellen.

3. Wenn der private Endpunkt des Portals bereitgestellt ist und der Zugriff auf öffentliche Netzwerke in Ihrem Microsoft Purview-Konto auf Verweigern festgelegt ist, stellen Sie sicher, dass Sie das Microsoft Purview-Governanceportal über das interne Netzwerk starten.
   

   • Um die richtige Namensauflösung zu überprüfen, können Sie ein NSlookup.exe-Befehlszeilentool verwenden, um abzufragen web.purview.azure.com. Das Ergebnis muss eine private IP-Adresse zurückgeben, die zum privaten Endpunkt des Portals gehört.
   • Um die Netzwerkkonnektivität zu überprüfen, können Sie alle Netzwerktesttools verwenden, um die ausgehende Konnektivität mit web.purview.azure.com dem Endpunkt an Port 443 zu testen. Die Verbindung muss erfolgreich sein.

4. Wenn Azure Privates DNS Zones verwendet wird, stellen Sie sicher, dass die erforderlichen Azure DNS-Zonen bereitgestellt sind und für jeden privaten Endpunkt dns (A)-Eintrag vorhanden ist.

5. Testen Sie die Netzwerkkonnektivität und Namensauflösung vom Verwaltungscomputer zum Microsoft Purview-Endpunkt und zur Purview-Web-URL. Wenn private Endpunkte für Konten und Portal bereitgestellt werden, müssen die Endpunkte über private IP-Adressen aufgelöst werden.

   Test-NetConnection -ComputerName web.purview.azure.com -Port 443
   

   Beispiel für eine erfolgreiche ausgehende Verbindung über eine private IP-Adresse:

   ComputerName     : web.purview.azure.com
   RemoteAddress    : 10.9.1.7
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.9.0.10
   TcpTestSucceeded : True
   

   Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
   

   Beispiel für eine erfolgreiche ausgehende Verbindung über eine private IP-Adresse:

   ComputerName     : purview-test01.purview.azure.com
   RemoteAddress    : 10.9.1.8
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.9.0.10
   TcpTestSucceeded : True
   

6. Wenn Sie Ihr Microsoft Purview-Konto nach dem 18. August 2021 erstellt haben, stellen Sie sicher, dass Sie die neueste Version der selbstgehosteten Integration Runtime aus dem Microsoft Download Center herunterladen und installieren.

7. Testen Sie von einer selbstgehosteten Integration Runtime-VM die Netzwerkkonnektivität und namensauflösung zum Microsoft Purview-Endpunkt.

8. Testen Sie von der selbstgehosteten Integration Runtime die Netzwerkkonnektivität und Namensauflösung für von Microsoft Purview verwaltete Ressourcen wie Blobwarteschlangen und sekundäre Ressourcen wie Event Hubs über Port 443 und private IP-Adressen. (Ersetzen Sie bei Bedarf das verwaltete Speicherkonto und den Event Hubs-Namespace durch die entsprechenden Ressourcennamen.)

   Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
   

   Beispiel für eine erfolgreiche ausgehende Verbindung mit verwaltetem Blobspeicher über eine private IP-Adresse:

   ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
   RemoteAddress    : 10.15.1.6
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.15.0.4
   TcpTestSucceeded : True
   

   Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
   

   Beispiel für eine erfolgreiche ausgehende Verbindung mit dem verwalteten Warteschlangenspeicher über eine private IP-Adresse:

   ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
   RemoteAddress    : 10.15.1.5
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.15.0.4
   TcpTestSucceeded : True
   

   Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
   

   Beispiel für eine erfolgreiche ausgehende Verbindung mit dem Event Hubs-Namespace über eine private IP-Adresse:

   ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
   RemoteAddress    : 10.15.1.4
   RemotePort       : 443
   InterfaceAlias   : Ethernet 2
   SourceAddress    : 10.15.0.4
   TcpTestSucceeded : True
   

9. Testen Sie aus dem Netzwerk, in dem sich die Datenquelle befindet, die Netzwerkkonnektivität und namensauflösung für den Microsoft Purview-Endpunkt und die Endpunkte für verwaltete oder konfigurierte Ressourcen.

10. Wenn sich Datenquellen im lokalen Netzwerk befinden, überprüfen Sie die Konfiguration der DNS-Weiterleitung. Testen Sie die Namensauflösung innerhalb desselben Netzwerks, in dem sich Datenquellen befinden, bis hin zur selbstgehosteten Integration Runtime, Microsoft Purview-Endpunkten und verwalteten oder konfigurierten Ressourcen. Es wird erwartet, dass eine gültige private IP-Adresse aus der DNS-Abfrage für jeden Endpunkt abgerufen wird.

    Weitere Informationen finden Sie unter Virtuelle Netzwerkworkloads ohne benutzerdefinierten DNS-Server und lokale Workloads, die eine DNS-Weiterleitung in der DNS-Konfiguration für private Azure-Endpunkte verwenden.

11. Wenn Verwaltungscomputer und selbstgehostete Integration Runtime-VMs im lokalen Netzwerk bereitgestellt werden und Sie die DNS-Weiterleitung in Ihrer Umgebung eingerichtet haben, überprüfen Sie die DNS- und Netzwerkeinstellungen in Ihrer Umgebung.

12. Wenn der private Erfassungsendpunkt verwendet wird, stellen Sie sicher, dass die selbstgehostete Integration Runtime erfolgreich im Microsoft Purview-Konto registriert ist und sowohl innerhalb der selbstgehosteten Integration Runtime-VM als auch im Microsoft Purview-Governanceportal als ausgeführt angezeigt wird.

Häufige Fehler und Meldungen

Problem

Beim Ausführen einer Überprüfung kann die folgende Fehlermeldung angezeigt werden:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

Ursache

Dies kann ein Hinweis auf Probleme im Zusammenhang mit der Konnektivität oder Namensauflösung zwischen dem virtuellen Computer, auf dem die selbstgehostete Integration Runtime ausgeführt wird, und dem verwalteten Speicherkonto von Microsoft Purview oder konfigurierten Event Hubs sein.

Lösung

Überprüfen Sie, ob die Namensauflösung zwischen dem virtuellen Computer, auf dem die Self-Hosted Integration Runtime ausgeführt wird, und der verwalteten Microsoft Purview-Blobwarteschlange oder zwischen konfigurierten Event Hubs über Port 443 und privaten IP-Adressen (Schritt 8 oben) erfolgreich ist.

Problem

Beim Ausführen einer neuen Überprüfung wird möglicherweise die folgende Fehlermeldung angezeigt:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

Ursache

Dies kann ein Hinweis auf die Ausführung einer älteren Version der selbstgehosteten Integration Runtime sein. Sie müssen die selbstgehostete Integration Runtime-Version 5.9.7885.3 oder höher verwenden.

Lösung

Aktualisieren Sie die selbstgehostete Integration Runtime auf 5.9.7885.3.

Problem

Fehler beim Microsoft Purview-Konto mit bereitstellung eines privaten Endpunkts mit Azure Policy Validierungsfehler während der Bereitstellung.

Ursache

Dieser Fehler deutet darauf hin, dass in Ihrem Azure-Abonnement möglicherweise eine Azure Policy Zuweisung vorhanden ist, die die Bereitstellung der erforderlichen Azure-Ressourcen verhindert.

Lösung

Überprüfen Sie Ihre vorhandenen Azure Policy Zuweisungen, und stellen Sie sicher, dass die Bereitstellung der folgenden Azure-Ressourcen in Ihrem Azure-Abonnement zulässig ist.

Hinweis

Abhängig von Ihrem Szenario müssen Sie möglicherweise einen oder mehrere der folgenden Azure-Ressourcentypen bereitstellen:

• Microsoft Purview (Microsoft.Purview/Accounts)
• Privater Endpunkt (Microsoft.Network/privateEndpoints)
• Privates DNS Zonen (Microsoft.Network/privateDnsZones)
• Event Hub-Namensraum (Microsoft.EventHub/namespaces)
• Speicherkonto (Microsoft.Storage/storageAccounts)

Problem

Nicht autorisiert für den Zugriff auf dieses Microsoft Purview-Konto. Dieses Microsoft Purview-Konto befindet sich hinter einem privaten Endpunkt. Greifen Sie auf das Konto von einem Client im selben virtuellen Netzwerk (virtuelles Netzwerk) zu, das für den privaten Endpunkt des Microsoft Purview-Kontos konfiguriert wurde.

Ursache

Der Benutzer versucht, von einem öffentlichen Endpunkt aus eine Verbindung mit Microsoft Purview herzustellen oder öffentliche Microsoft Purview-Endpunkte zu verwenden, bei denen öffentlicher Netzwerkzugriff auf Verweigern festgelegt ist.

Lösung

Verwenden Sie in diesem Fall zum Öffnen des Microsoft Purview-Governanceportals entweder einen Computer, der im selben virtuellen Netzwerk wie der private Endpunkt des Microsoft Purview-Governanceportals bereitgestellt wird, oder einen virtuellen Computer, der mit Ihrem CorpNet verbunden ist, in dem Hybridkonnektivität zulässig ist.

Problem

Sie können die folgende Fehlermeldung erhalten, wenn Sie eine SQL Server-Instanz mithilfe einer selbstgehosteten Integration Runtime überprüfen:

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

Ursache

Der selbstgehostete Integration Runtime-Computer hat den FIPS-Modus aktiviert. Federal Information Processing Standards (FIPS) definiert einen bestimmten Satz kryptografischer Algorithmen, die verwendet werden dürfen. Wenn der FIPS-Modus auf dem Computer aktiviert ist, werden einige kryptografische Klassen, von denen die aufgerufenen Prozesse abhängen, in einigen Szenarien blockiert.

Lösung

Deaktivieren Sie den FIPS-Modus auf einem selbstgehosteten Integrationsserver.

Nächste Schritte

Wenn Ihr Problem in diesem Artikel nicht aufgeführt ist oder Sie es nicht beheben können, erhalten Sie Support über einen der folgenden Kanäle:

• Erhalten Sie Antworten von Experten über Microsoft Q&A.
• Stellen Sie eine Verbindung mit @AzureSupport her. Diese offizielle Microsoft Azure-Ressource auf Twitter trägt dazu bei, die Kundenerfahrung zu verbessern, indem sie die Azure-Community mit den richtigen Antworten, Support und Experten verbindet.
• Wenn Sie weiterhin Hilfe benötigen, wechseln Sie zur Azure-Support Website, und wählen Sie Supportanfrage senden aus.