Beheben von Problemen mit Anwendungsproxys und Fehlermeldungen

Bei der Behandlung von Problemen mit dem Anwendungsproxy sollten Sie sich zunächst mit dem Ablauf der Fehlerbehebung vertraut machen, Debuggen von Problemen mit Anwendungsproxyconnectors, um zu ermitteln, ob die Anwendungsproxyconnectors richtig konfiguriert wurden. Falls Sie immer noch Probleme mit dem Herstellen der Verbindung mit der Anwendung haben, helfen Ihnen die Problembehandlungsschritte unter Debuggen von Problemen mit Anwendungsproxyanwendungen weiter.

Wenn beim Zugriff auf eine veröffentlichte Anwendung oder beim Veröffentlichen von Anwendungen Fehler auftreten, überprüfen Sie die folgenden Optionen, um zu ermitteln, ob der Microsoft Azure AD-Anwendungsproxy ordnungsgemäß funktioniert:

  • Öffnen Sie die Windows-Dienste-Konsole. Vergewissern Sie sich, dass der Dienst Microsoft AAD-Anwendungsproxy-Connector aktiviert ist und ausgeführt wird. Sie können gegebenenfalls auch – wie in der folgenden Abbildung gezeigt – die Eigenschaftenseite des Anwendungsproxy-Diensts anzeigen:
    Microsoft AAD Application Proxy Connector Properties window screenshot
  • Öffnen Sie die Ereignisanzeige, und suchen Sie unter Anwendungs- und Dienstprotokolle>Microsoft>AadApplicationProxy>Connector>Administrator nach Ereignissen, die sich auf den Anwendungsproxy-Connector beziehen.
  • Bei Bedarf sind ausführlichere Protokolle verfügbar, indem Sie die Sitzungsprotokolle des Anwendungsproxy-Connectors aktivieren.

Die Seite wird nicht richtig gerendert

Möglicherweise treten Probleme mit dem Rendern der Anwendung oder einer fehlerhaften Funktionsweise auf, ohne dass Sie spezifische Fehlermeldungen erhalten. Dies kann der Fall sein, wenn Sie den Artikelpfad veröffentlicht haben, für die Anwendung aber Inhalt erforderlich ist, der außerhalb des Pfads vorliegt.

Wenn Sie beispielsweise den Pfad https://yourapp/app veröffentlichen, die Anwendung aber Bilder in https://yourapp/media aufruft, werden sie nicht gerendert. Stellen Sie sicher, dass Sie die Anwendung mit dem Pfad der höchsten benötigten Ebene veröffentlichen, damit der gesamte relevante Inhalt einbezogen wird. In diesem Beispiel lautet er http://yourapp/.

Connectorfehler

Wenn während der Connector-Installation durch den Assistenten ein Fehler bei der Registrierung auftritt, haben Sie zwei Möglichkeiten, um den Grund dafür anzuzeigen. Schauen Sie entweder im Ereignisprotokoll unter Windows Logs\Application (Filter nach Quelle = "Microsoft AAD Application Proxy Connector" , oder führen Sie den folgenden Windows PowerShell-Befehl aus:

Get-EventLog application –source "Microsoft AAD Application Proxy Connector" –EntryType "Error" –Newest 1

Sobald Sie den Connectorfehler im Ereignisprotokoll gefunden haben, beheben Sie das Problem anhand dieser Tabelle mit häufig auftretenden Fehlern:

Fehler Empfohlene Schritte
Fehler bei der Connectorregistrierung: Stellen Sie sicher, dass Sie den Anwendungsproxy im Azure-Verwaltungsportal aktiviert und Ihren Active Directory-Benutzernamen und das Kennwort richtig eingegeben haben. Error: „Es ist mindestens ein Fehler aufgetreten.“ Wenn Sie das Registrierungsfenster geschlossen haben, ohne sich bei Azure AD anzumelden, führen Sie den Connector-Assistenten erneut aus, und registrieren Sie den Connector.

Wenn das Registrierungsfenster geöffnet und dann sofort geschlossen wird, ohne dass Sie sich anmelden können, erhalten Sie ggf. diese Fehlermeldung. Dieser Fehler tritt auf, wenn in Ihrem System ein Netzwerkfehler vorliegt. Stellen Sie sicher, dass es möglich ist, mit einem Browser eine Verbindung mit einer öffentlichen Website herzustellen, und dass die Ports wie unter Voraussetzungen für den Anwendungsproxyangegeben geöffnet sind.
Klartextfehler wird im Registrierungsfenster angezeigt. Der Vorgang kann nicht fortgesetzt werden. Wenn diese Fehlermeldung angezeigt und das Fenster dann geschlossen wird, haben Sie den Benutzernamen oder das Kennwort falsch eingegeben. Versuchen Sie es erneut.
Fehler bei der Connectorregistrierung: Stellen Sie sicher, dass Sie den Anwendungsproxy im Azure-Verwaltungsportal aktiviert und Ihren Active Directory-Benutzernamen und das Kennwort richtig eingegeben haben. Error: AADSTS50059: In der Anforderung oder in den bereitgestellten Anmeldeinformationen wurden keine Informationen gefunden, die den Mandanten identifizieren, und bei der Suche nach dem Dienstprinzipal-URI ist ein Fehler aufgetreten. Sie versuchen, sich mithilfe eines Microsoft-Kontos und nicht mithilfe einer Domäne anzumelden, die Bestandteil der Organisations-ID des Verzeichnisses ist, auf das Sie zugreifen möchten. Stellen Sie sicher, dass der Administrator Teil des gleichen Domänennamens wie die Mandantendomäne ist. Wenn die Azure AD-Domäne z. B. contoso.com ist, sollte der Administrator admin@contoso.com lauten.
Fehler beim Abrufen der aktuellen Ausführungsrichtlinie für die Ausführung von PowerShell-Skripts. Falls die Installation des Connectors nicht erfolgreich verläuft, stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist.

1. Öffnen Sie den Gruppenrichtlinien-Editor.
2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows PowerShell, und doppelklicken Sie auf Skriptausführung aktivieren.
3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Stellen Sie bei der Einstellung Aktiviert sicher, dass die Ausführungsrichtlinie unter „Optionen“ auf Lokale Skripts und remote signierte Skripts zulassen oder Alle Skripts zulassen festgelegt ist.
Der Connector konnte die Konfiguration nicht herunterladen. Das Clientzertifikat des Connectors, das für die Authentifizierung verwendet wird, ist abgelaufen. Dies kann auch auftreten, wenn Sie den Connector hinter einem Proxy installiert haben. In diesem Fall kann der Connector nicht auf das Internet zugreifen und ist nicht in der Lage, Anwendungen für Remotebenutzer bereitzustellen. Erneuern Sie die Vertrauensstellung manuell mithilfe des Cmdlets Register-AppProxyConnector in Windows PowerShell. Wenn sich der Connector hinter einem Proxy befindet, ist es notwendig, den Connector-Konten „Netzwerkdienste“ und „Lokales System“ Zugriff auf das Internet zu gewähren. Hierzu können sie entweder Zugriff auf den Proxy erhalten, oder sie werden zur Umgehung des Proxys eingestellt.
Fehler bei der Connectorregistrierung: Stellen Sie sicher, dass Sie als Anwendungsadministrator Ihres Active Directory-Verzeichnisses festgelegt sind, um den Connector zu registrieren. Error: „Die Registrierungsanforderung wurde verweigert.“ Der Alias, mit dem Sie versuchen, sich anzumelden, ist kein Administrator für diese Domäne. Ihr Connector wird immer für das Verzeichnis installiert, das Besitzer der Domäne des Benutzers ist. Stellen Sie sicher, dass das Administratorkonto, mit dem Sie sich anmelden möchten, mindestens über Anwendungsadministratorberechtigungen für den Azure AD-Mandanten verfügt.
Der Connector konnte aufgrund von Netzwerkproblemen keine Verbindung mit dem Dienst herstellen. Der Connector versuchte, auf die folgende URL zuzugreifen. Der Connector kann keine Verbindung mit dem Cloud-Dienst des Anwendungsproxys herstellen. Dies kann passieren, wenn eine Ihrer Firewallregeln die Verbindung blockiert. Stellen Sie sicher, dass Sie Zugriff auf die richtigen Ports und URLs gewährt haben, die in Voraussetzungen für den Anwendungsproxy aufgeführt sind.

Kerberos-Fehler

Diese Tabelle zeigt häufiger auftretende Fehler bei der Kerberos-Einrichtung und -Konfiguration und enthält Vorschläge zu deren Auflösung.

Fehler Empfohlene Schritte
Fehler beim Abrufen der aktuellen Ausführungsrichtlinie für die Ausführung von PowerShell-Skripts. Falls die Installation des Connectors nicht erfolgreich verläuft, stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist.

1. Öffnen Sie den Gruppenrichtlinien-Editor.
2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows PowerShell, und doppelklicken Sie auf Skriptausführung aktivieren.
3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Stellen Sie bei der Einstellung Aktiviert sicher, dass die Ausführungsrichtlinie unter „Optionen“ auf Lokale Skripts und remote signierte Skripts zulassen oder Alle Skripts zulassen festgelegt ist.
12008 - Azure AD hat die maximale Anzahl von zulässigen Kerberos-Authentifizierungsversuchen beim Back-End-Server überschritten. Dieser Fehler deutet möglicherweise auf eine falsche Konfiguration zwischen Azure AD und dem Back-End-Anwendungsserver oder ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. Der Back-End-Server hat das von Azure AD erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Azure AD und der Back-End-Anwendungsserver korrekt konfiguriert sind. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Azure AD und auf dem Back-End-Anwendungsserver synchronisiert ist.
13016 – Azure AD kann kein Kerberos-Ticket für den Benutzer abrufen, da kein UPN im Edgetoken oder im Zugriffscookie vorliegt. Es gibt ein Problem mit der STS-Konfiguration. Korrigieren Sie die UPN-Anspruchskonfiguration im STS.
13019 – Azure AD kann aufgrund des folgenden allgemeinen API-Fehlers kein Kerberos-Ticket für den Benutzer abrufen. Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen Azure AD und dem Domänencontrollerserver oder ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. Der Domänencontroller hat das von Azure AD erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass die Konfiguration von Azure AD und des Back-End-Anwendungsservers korrekt ist, insbesondere die SPN-Konfiguration. Sorgen Sie dafür, dass Azure AD in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit Azure AD herstellt. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Azure AD und auf dem Domänencontroller synchronisiert ist.
13020 – Azure AD kann kein Kerberos-Ticket für den Benutzer abrufen, da der Back-End-Server-SPN nicht definiert ist. Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen Azure AD und dem Domänencontrollerserver oder ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. Der Domänencontroller hat das von Azure AD erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass die Konfiguration von Azure AD und des Back-End-Anwendungsservers korrekt ist, insbesondere die SPN-Konfiguration. Sorgen Sie dafür, dass Azure AD in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit Azure AD herstellt. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Azure AD und auf dem Domänencontroller synchronisiert ist.
13022 - Azure AD kann den Benutzer nicht authentifizieren, da der Back-End-Server auf Kerberos-Authentifizierungsversuche mit einem HTTP 401-Fehler reagiert. Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen Azure AD und dem Back-End-Anwendungsserver oder ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. Der Back-End-Server hat das von Azure AD erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Azure AD und der Back-End-Anwendungsserver korrekt konfiguriert sind. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Azure AD und auf dem Back-End-Anwendungsserver synchronisiert ist. Weitere Informationen finden Sie unter Problembehandlung von Konfigurationen der eingeschränkten Kerberos-Delegierung für Anwendungsproxy.

Endbenutzerfehler

Diese Liste enthält Fehler, die bei Ihren Endbenutzern möglicherweise auftreten, wenn sie nicht erfolgreich auf die App zugreifen können.

Fehler Empfohlene Schritte
Die Website kann die Seite nicht anzeigen. Der Benutzer erhält unter Umständen beim Versuch, auf die von Ihnen veröffentlichte App zuzugreifen, diese Fehlermeldung, wenn die Anwendung eine IWA-Anwendung ist. Der definierte SPN für diese Anwendung ist möglicherweise falsch. Stellen Sie für IWA-Apps sicher, dass für diese Anwendung der richtige SPN konfiguriert ist.
Die Website kann die Seite nicht anzeigen. Der Benutzer erhält unter Umständen beim Versuch, auf die von Ihnen veröffentlichte App zuzugreifen, diese Fehlermeldung, wenn die Anwendung eine OWA-Anwendung ist. Mögliche Gründe hierfür sind:
  • Der definierte SPN für diese Anwendung ist falsch. Stellen Sie sicher, dass für diese Anwendung der richtige SPN konfiguriert ist.
  • Der Benutzer, der auf die Anwendung zugreifen möchte, verwendet für die Anmeldung ein Microsoft-Konto anstelle des richtigen Unternehmenskontos, oder der Benutzer ist ein Gastbenutzer. Vergewissern Sie sich, dass Benutzer sich mithilfe ihres Unternehmenskontos anmelden, das der Domäne der veröffentlichten Anwendung entspricht. Microsoft-Konto- und Gastbenutzer können nicht auf IWA-Anwendungen zugreifen.
  • Der Benutzer, der auf die Anwendung zugreifen möchte, ist für diese Anwendung auf der lokalen Seite nicht ordnungsgemäß definiert. Stellen Sie sicher, dass dieser Benutzer über die entsprechenden Berechtigungen verfügt, wie für diese Back-End-Anwendung auf dem lokalen Computer definiert.
  • Auf diese Unternehmens-App kann nicht zugegriffen werden. Sie haben keine Befugnis, auf diese Anwendung zuzugreifen. Fehler bei der Autorisierung. Stellen Sie sicher, dass Sie dem Benutzer Zugriff auf diese Anwendung zuweisen. Unter Umständen erhalten Benutzer diesen Fehler, wenn sie versuchen, auf die von Ihnen veröffentlichte App zuzugreifen, wenn sie für die Anmeldung Microsoft-Konten anstelle ihrer Unternehmenskonten verwenden. Gastbenutzer erhalten diese Fehlermeldung möglicherweise auch. Microsoft-Kontobenutzer und Gäste können nicht auf IWA-Anwendungen zugreifen. Vergewissern Sie sich, dass Benutzer sich mithilfe ihres Unternehmenskontos anmelden, das der Domäne der veröffentlichten Anwendung entspricht.

    Möglicherweise haben Sie den Benutzer nicht der Anwendung zugewiesen. Wechseln Sie zur Registerkarte Anwendung, und weisen Sie unter Benutzer und Gruppen diesen Benutzer oder die Benutzergruppe dieser Anwendung zu.
    Auf diese Unternehmens-App kann momentan nicht zugegriffen werden. Versuchen Sie es später erneut. Der Connector hat das Zeitlimit überschritten. Die Benutzer erhalten beim Versuch, auf die von Ihnen veröffentlichte App zuzugreifen, unter Umständen diese Fehlermeldung, wenn sie für diese Anwendung auf der lokalen Seite nicht ordnungsgemäß definiert sind. Stellen Sie sicher, dass die Benutzer über die entsprechenden Berechtigungen verfügen, wie für diese Back-End-Anwendung auf dem lokalen Computer definiert.
    Auf diese Unternehmens-App kann nicht zugegriffen werden. Sie haben keine Befugnis, auf diese Anwendung zuzugreifen. Fehler bei der Autorisierung. Stellen Sie sicher, dass der Benutzer über eine Lizenz für Azure Active Directory Premium verfügt. Möglicherweise erhält der Benutzer diese Fehlermeldung beim Zugriff auf die von Ihnen veröffentlichte App, wenn ihm nicht explizit eine Premium-Lizenz vom Administrator des Abonnenten zugewiesen wurde. Wechseln Sie zur Active Directory-Registerkarte Lizenzen des Abonnenten, und stellen Sie sicher, dass diesem Benutzer oder dieser Benutzergruppe eine Premium-Lizenz zugewiesen ist.
    Ein Server mit dem angegebenen Hostnamen konnte nicht gefunden werden. Der Benutzer erhält unter Umständen beim Versuch, auf die von Ihnen veröffentlichte App zuzugreifen, diese Fehlermeldung, wenn die benutzerdefinierte Domäne der Anwendung nicht ordnungsgemäß konfiguriert wurde. Stellen Sie sicher, dass Sie ein Zertifikat für die Domäne hochgeladen und den DNS-Eintrag ordnungsgemäß konfiguriert haben, indem Sie die Schritte unter Arbeiten mit benutzerdefinierten Domänen im Azure AD-Anwendungsproxy ausführen.
    Verboten: Auf diese Unternehmens-App kann nicht zugegriffen werden, ODER der Benutzer konnte nicht autorisiert werden. Stellen Sie sicher, dass der Benutzer in Ihrem lokalen AD definiert ist und dass er Zugriff auf die App in Ihrem lokalen AD hat. Hier kann ein Problem beim Zugriff auf Autorisierungsinformationen vorliegen. Weitere Informationen finden Sie unter Einige Anwendungen und APIs benötigen Zugriff auf Autorisierungsinformationen für Kontoobjekte. Kurz gesagt: Fügen Sie das Computerkonto des App-Proxyconnectors zur Gruppe „Windows-Autorisierungszugriffsgruppe“ hinzu, um das Problem zu beheben.

    Weitere Informationen