Problembehandlung beim Unternehmenszugriff auf eine Anwendung
Dieser Artikel hilft Ihnen bei der Problembehandlung für den This corporate app can't be accessed-Fehler in einer Microsoft Entra-Anwendungsproxyanwendung.
Überblick
Wenn dieser Fehler angezeigt wird, suchen Sie den Statuscode auf der Seite mit dem Fehler. Der Statuscode ist einer der folgenden Statuscodes:
- Gatewaytimeout: Der Anwendungsproxydienst kann den Connector nicht erreichen. Der Fehler weist in der Regel auf ein Problem mit der Connectorzuweisung, dem Connector selbst oder den Netzwerkregeln rund um den Connector hin.
- Ungültiges Gateway: Der Connector kann die Back-End-Anwendung nicht erreichen. Der Fehler kann auf eine Fehlkonfiguration der Anwendung hinweisen.
- Verboten: Der Benutzer ist nicht berechtigt, auf die Anwendung zuzugreifen. Der Fehler kann auftreten, wenn der Benutzer der Anwendung nicht in der Microsoft Entra-ID zugewiesen ist. Der Fehler kann auch auftreten, wenn der Benutzer nicht über die Berechtigung zum Zugriff auf die Anwendung im Back-End verfügt.
Um den Code zu finden, sehen Sie sich den Text unten links in der Fehlermeldung für das Status Code-Feld an.
Fehler „Gatewaytimeout“
Ein Gatewaytimeout tritt auf, wenn der Dienst versucht, den Connector zu erreichen und innerhalb des Zeitfensters scheitert. Der Fehler wird angezeigt, wenn einer Connectorgruppe eine Anwendung ohne funktionierende Connectors zugewiesen ist. Der Fehler wird auch angezeigt, wenn die erforderlichen Ports nicht geöffnet sind.
Fehler „Ungültiges Gateway“
Der Fehler „Ungültiges Gateway“ gibt an, dass der Connector die Back-End-Anwendung nicht erreichen kann. Häufige Ursachen dieses Fehlers sind Folgende:
- Ein Tippfehler oder ein Fehler in der internen URL
- Ein nicht veröffentlichtes Stammverzeichnis der Anwendung. Beispiel:
http://expenses/reimbursementwird veröffentlicht, jedoch wird versucht, aufhttp://expenseszuzugreifen. - Probleme mit der Konfiguration der eingeschränkten Kerberos-Delegierung (KCD)
- Probleme mit der Back-End-Anwendung
Fehler „Verboten“
Wenn Sie einen verbotenen Fehler sehen, ist der Benutzer der Anwendung nicht zugewiesen. Dieser Fehler kann entweder Microsoft Entra oder die Back-End-Anwendung betreffen.
Informationen über das Zuweisen von Benutzern zur Anwendung in Azure finden Sie in der Konfigurationsdokumentation.
Überprüfen der internen URL der Anwendung
Als ersten schnellen Schritt können Sie die interne URL überprüfen und korrigieren, indem Sie die Anwendung über Unternehmensanwendungen öffnen und dann das Menü Anwendungsproxy auswählen. Vergewissern Sie sich, dass die interne URL der Anwendung diejenige ist, die Sie in Ihrem internen Netzwerk verwenden.
Überprüfen Sie, ob die Anwendung einer funktionierenden Connectorgruppe zugewiesen ist
Sie müssen bestätigen, dass eine Anwendung einer funktionierenden Connectorgruppe zugewiesen ist. Weitere Informationen finden Sie unter Tutorial: Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in Microsoft Entra ID.
Überprüfen, ob alle erforderlichen Ports geöffnet sind
Überprüfen, ob alle erforderlichen Ports geöffnet sind Die erforderlichen Ports finden Sie im Abschnitt „offene Port“ des Tutorials: Hinzufügen einer lokalen Anwendung für den Fernzugriff über den Anwendungsproxy in Microsoft Entra ID. Wenn alle erforderlichen Ports geöffnet sind, fahren Sie mit dem nächsten Abschnitt fort.
Überprüfen auf andere Connectorfehler
Suchen Sie nach Problemen oder Fehlern mit dem Connector selbst. Weitere Informationen zu häufig auftretenden Fehlern finden Sie unter Anwendungsproxy-Problembehandlung.
Schauen Sie sich direkt die Protokolle des Connectors an, um eventuelle Fehler zu erkennen. Eine Vielzahl der Fehlermeldungen enthält genauere Empfehlungen für Fehlerbehebungen. Informationen zum Anzeigen der Protokolle finden Sie bei den privaten Netzwerkconnectors.
Gängige Lösungen
Wenn Ihre Anwendung für die integrierte Windows-Authentifizierung (IWA) konfiguriert ist, testen Sie die Anwendung ohne Single Sign-On. Öffnen Sie die Anwendung zum Überprüfen ohne einmaliges Anmelden über Unternehmensanwendungen, und wechseln Sie zum Menü Einmaliges Anmelden. Ändern Sie die Dropdown-Liste von Integrierte Windows-Authentifizierung in Microsoft Entra „einmaliges Anmelden deaktiviert“.
Öffnen Sie einen Browser, und versuchen Sie erneut, auf die Anwendung zuzugreifen. Es sollte eine Authentifizierungsaufforderung angezeigt und anschließend die Anwendung geöffnet werden. Wenn Sie sich authentifizieren können, liegt das Problem bei der Konfiguration der eingeschränkten Kerberos-Delegation (KCD), die das einmalige Anmelden ermöglicht.
Wenn die Fehlermeldung weiterhin angezeigt wird, wechseln Sie zum Computer, auf dem der Connector installiert ist, öffnen einen Browser und versuchen, die interne URL der Anwendung aufzurufen. Der Connector fungiert wie ein weiterer Client vom gleichen Computer. Wenn Sie die Anwendung nicht erreichen können, überprüfen Sie, warum dieser Computer die Anwendung nicht erreichen kann, oder verwenden Sie einen Connector auf einem Server, der auf die Anwendung zugreifen kann.