Solución de problemas de configuración de puntos de conexión privados para cuentas de Microsoft Purview

  • Artículo

En esta guía se resumen las limitaciones conocidas relacionadas con el uso de puntos de conexión privados para Microsoft Purview y se proporciona una lista de pasos y soluciones para solucionar algunos de los problemas relevantes más comunes.

Limitaciones conocidas

  • Actualmente no se admiten puntos de conexión privados de ingesta que funcionen con los orígenes de AWS.
  • No se admite el examen de varios orígenes de Azure mediante el entorno de ejecución de integración autohospedado.
  • No se admite el uso de Azure Integration Runtime para examinar orígenes de datos detrás del punto de conexión privado.
  • Los puntos de conexión privados de ingesta se pueden crear a través de la experiencia del portal de gobernanza de Microsoft Purview que se describe en los pasos que se describen aquí. No se pueden crear desde el Centro de Private Link.
  • La creación de un registro DNS para la ingesta de puntos de conexión privados dentro de las zonas DNS de Azure existentes, mientras que Azure DNS privado Zones se encuentra en una suscripción diferente de los puntos de conexión privados no se admite a través de la experiencia del portal de gobernanza de Microsoft Purview. Un registro se puede agregar manualmente en las zonas DNS de destino de la otra suscripción.
  • Si habilita un centro de eventos administrado después de implementar un punto de conexión privado de ingesta, tendrá que volver a implementar el punto de conexión privado de ingesta.
  • La máquina del entorno de ejecución de integración autohospedado debe implementarse en la misma red virtual o en una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.
  • Actualmente no se admite el examen de un inquilino de Power BI entre inquilinos, que tiene un punto de conexión privado configurado con acceso público bloqueado.
  • Para obtener información sobre las limitaciones relacionadas con Private Link servicio, consulte límites de Azure Private Link.

  1. Una vez que implemente puntos de conexión privados para su cuenta de Microsoft Purview, revise el entorno de Azure para asegurarse de que los recursos de punto de conexión privado se implementen correctamente. En función del escenario, uno o varios de los siguientes puntos de conexión privados de Azure deben implementarse en la suscripción de Azure:

    Punto de conexión privado Punto de conexión privado asignado a Ejemplo
    Cuenta Cuenta de Microsoft Purview mypurview-private-account
    Portal Cuenta de Microsoft Purview mypurview-private-portal
    Ingestión Cuenta de almacenamiento administrada (Blob) mypurview-ingestion-blob
    Ingestión Cuenta de almacenamiento administrada (cola) mypurview-ingestion-queue
    Ingestión Espacio de nombres de Event Hubs* mypurview-ingestion-namespace

Nota:

*El espacio de nombres de Event Hubs solo es necesario si se ha configurado en la cuenta de Microsoft Purview. Puede proteger la configuración de Kafka en configuración en la página de la cuenta de Microsoft Purview en Azure Portal.

  1. Si se implementa el punto de conexión privado del portal, asegúrese de implementar también el punto de conexión privado de la cuenta.

  2. Si se implementa el punto de conexión privado del portal y el acceso a la red pública está establecido para denegarse en la cuenta de Microsoft Purview, asegúrese de iniciar el portal de gobernanza de Microsoft Purview desde la red interna.

    • Para comprobar la resolución de nombres correcta, puede usar una herramienta de línea de comandos deNSlookup.exe para consultar web.purview.azure.com. El resultado debe devolver una dirección IP privada que pertenezca al punto de conexión privado del portal.
    • Para comprobar la conectividad de red, puede usar cualquier herramienta de prueba de red para probar la conectividad saliente con el web.purview.azure.com punto de conexión al puerto 443. La conexión debe ser correcta.

  3. Si se usan Azure DNS privado Zones, asegúrese de que se implementan las zonas DNS de Azure necesarias y de que hay un registro DNS (A) para cada punto de conexión privado.

  4. Pruebe la conectividad de red y la resolución de nombres desde la máquina de administración hasta el punto de conexión de Microsoft Purview y la dirección URL web de Purview. Si se implementan puntos de conexión privados de cuenta y portal, los puntos de conexión deben resolverse a través de direcciones IP privadas.

    Test-NetConnection -ComputerName web.purview.azure.com -Port 443

    Ejemplo de conexión saliente correcta a través de una dirección IP privada:

    ComputerName     : web.purview.azure.com
RemoteAddress    : 10.9.1.7
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

    Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443

    Ejemplo de conexión saliente correcta a través de una dirección IP privada:

    ComputerName     : purview-test01.purview.azure.com
RemoteAddress    : 10.9.1.8
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

  5. Si ha creado su cuenta de Microsoft Purview después del 18 de agosto de 2021, asegúrese de descargar e instalar la versión más reciente del entorno de ejecución de integración autohospedado desde el Centro de descarga de Microsoft.

  6. Desde la máquina virtual del entorno de ejecución de integración autohospedado, pruebe la conectividad de red y la resolución de nombres al punto de conexión de Microsoft Purview.

  7. Desde el entorno de ejecución de integración autohospedado, pruebe la conectividad de red y la resolución de nombres a los recursos administrados de Microsoft Purview, como la cola de blobs, y los recursos secundarios, como Event Hubs, a través del puerto 443 y las direcciones IP privadas. (Reemplace la cuenta de almacenamiento administrada y el espacio de nombres de Event Hubs por los nombres de recursos correspondientes).

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443

    Ejemplo de conexión saliente correcta al almacenamiento de blobs administrado a través de una dirección IP privada:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.6
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443

    Ejemplo de conexión saliente correcta al almacenamiento de cola administrada a través de una dirección IP privada:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.5
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443

    Ejemplo de conexión saliente correcta al espacio de nombres de Event Hubs a través de una dirección IP privada:

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
RemoteAddress    : 10.15.1.4
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

  8. Desde la red donde se encuentra el origen de datos, pruebe la conectividad de red y la resolución de nombres al punto de conexión de Microsoft Purview y los puntos de conexión de recursos administrados o configurados.

  9. Si los orígenes de datos se encuentran en la red local, revise la configuración del reenviador DNS. Pruebe la resolución de nombres desde la misma red donde los orígenes de datos se encuentran en integration runtime autohospedado, puntos de conexión de Microsoft Purview y recursos administrados o configurados. Se espera que obtenga una dirección IP privada válida de la consulta DNS para cada punto de conexión.

    Para obtener más información, consulte Cargas de trabajo de red virtual sin servidor DNS personalizado y cargas de trabajo locales con escenarios de reenviador DNS en la configuración de DNS de punto de conexión privado de Azure.

  10. Si la máquina de administración y las máquinas virtuales del entorno de ejecución de integración autohospedado se implementan en la red local y ha configurado el reenviador DNS en el entorno, compruebe la configuración de DNS y de red en el entorno.

  11. Si se usa el punto de conexión privado de ingesta, asegúrese de que el entorno de ejecución de integración autohospedado se registra correctamente dentro de la cuenta de Microsoft Purview y se muestra como en ejecución tanto dentro de la máquina virtual del entorno de ejecución de integración autohospedado como en el portal de gobernanza de Microsoft Purview .

Errores y mensajes comunes

Problema

Puede recibir el siguiente mensaje de error al ejecutar un examen:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

Causa

Esto puede ser una indicación de problemas relacionados con la conectividad o la resolución de nombres entre la máquina virtual que ejecuta el entorno de ejecución de integración autohospedado y la cuenta de almacenamiento administrada de Microsoft Purview o Event Hubs configurado.

Solución

Valide si la resolución de nombres se realiza correctamente entre la máquina virtual que ejecuta el Self-Hosted Integration Runtime y la cola de blobs administrados de Microsoft Purview o ha configurado Event Hubs a través del puerto 443 y las direcciones IP privadas (paso 8 anterior).

Problema

Puede recibir el siguiente mensaje de error al ejecutar un nuevo examen:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

Causa

Esto puede ser una indicación de la ejecución de una versión anterior del entorno de ejecución de integración autohospedado. Tendrá que usar la versión 5.9.7885.3 o posterior del entorno de ejecución de integración autohospedado.

Solución

Actualice el entorno de ejecución de integración autohospedado a la versión 5.9.7885.3.

Problema

Se produjo un error en la cuenta de Microsoft Purview con la implementación del punto de conexión privado con Azure Policy error de validación durante la implementación.

Causa

Este error sugiere que puede haber una asignación de Azure Policy existente en la suscripción de Azure que impida la implementación de cualquiera de los recursos de Azure necesarios.

Solución

Revise las asignaciones de Azure Policy existentes y asegúrese de que se permite la implementación de los siguientes recursos de Azure en la suscripción de Azure.

Nota:

En función del escenario, es posible que tenga que implementar uno o varios de los siguientes tipos de recursos de Azure:

  • Microsoft Purview (Microsoft.Purview/Accounts)
  • Punto de conexión privado (Microsoft.Network/privateEndpoints)
  • DNS privado Zones (Microsoft.Network/privateDnsZones)
  • Espacio de nombres del centro de eventos (Microsoft.EventHub/namespaces)
  • Cuenta de almacenamiento (Microsoft.Storage/storageAccounts)

Problema

No está autorizado para acceder a esta cuenta de Microsoft Purview. Esta cuenta de Microsoft Purview está detrás de un punto de conexión privado. Acceda a la cuenta desde un cliente de la misma red virtual (VNet) que se ha configurado para el punto de conexión privado de la cuenta de Microsoft Purview.

Causa

El usuario está intentando conectarse a Microsoft Purview desde un punto de conexión público o mediante puntos de conexión públicos de Microsoft Purview donde el acceso a la red pública está establecido en Denegar.

Solución

En este caso, para abrir el portal de gobernanza de Microsoft Purview, use una máquina que se implemente en la misma red virtual que el punto de conexión privado del portal de gobernanza de Microsoft Purview o use una máquina virtual conectada a la red corporativa en la que se permita la conectividad híbrida.

Problema

Puede recibir el siguiente mensaje de error al examinar un servidor SQL Server mediante un entorno de ejecución de integración autohospedado:

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

Causa

La máquina del entorno de ejecución de integración autohospedado ha habilitado el modo FIPS. Los estándares federales de procesamiento de información (FIPS) definen un determinado conjunto de algoritmos criptográficos que pueden usarse. Cuando el modo FIPS está habilitado en la máquina, algunas clases criptográficas de las que dependen los procesos invocados se bloquean en algunos escenarios.

Solución

Deshabilite el modo FIPS en el servidor de integración autohospedado.

Siguientes pasos

Si el problema no aparece en este artículo o no puede resolverlo, consulte uno de los canales siguientes para obtener soporte técnico:

  • Obtenga respuestas de expertos a través de Microsoft Q&A.
  • Conéctese con @AzureSupport. Este recurso oficial de Microsoft Azure en Twitter ayuda a mejorar la experiencia del cliente mediante la conexión de la comunidad de Azure a las respuestas, el soporte técnico y los expertos adecuados.
  • Si todavía necesita ayuda, vaya al sitio de Soporte técnico de Azure y seleccione Enviar una solicitud de soporte técnico.