Solución de problemas de configuración de puntos de conexión privados para cuentas de Microsoft Purview
En esta guía se resumen las limitaciones conocidas relacionadas con el uso de puntos de conexión privados para Microsoft Purview y se proporciona una lista de pasos y soluciones para solucionar algunos de los problemas relevantes más comunes.
Limitaciones conocidas
- Actualmente no se admiten puntos de conexión privados de ingesta que funcionen con los orígenes de AWS.
- No se admite el examen de varios orígenes de Azure mediante el entorno de ejecución de integración autohospedado.
- No se admite el uso de Azure Integration Runtime para examinar orígenes de datos detrás del punto de conexión privado.
- Los puntos de conexión privados de ingesta se pueden crear a través de la experiencia del portal de gobernanza de Microsoft Purview que se describe en los pasos que se describen aquí. No se pueden crear desde el Centro de Private Link.
- La creación de un registro DNS para la ingesta de puntos de conexión privados dentro de las zonas DNS de Azure existentes, mientras que Azure DNS privado Zones se encuentra en una suscripción diferente de los puntos de conexión privados no se admite a través de la experiencia del portal de gobernanza de Microsoft Purview. Un registro se puede agregar manualmente en las zonas DNS de destino de la otra suscripción.
- Si configura su propio espacio de nombres de Event Hubs o habilita un espacio de nombres de Event Hubs administrado después de implementar un punto de conexión privado de ingesta, tendrá que volver a implementar el punto de conexión privado de ingesta.
- La máquina del entorno de ejecución de integración autohospedado debe implementarse en la misma red virtual o en una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.
- Para obtener información sobre las limitaciones relacionadas con Private Link servicio, consulte límites de Azure Private Link.
- Actualmente, las instancias de Microsoft Purview que usan el nuevo portal de Microsoft Purview solo pueden usar puntos de conexión privados de ingesta.
Pasos de solución de problemas recomendados
Una vez que implemente puntos de conexión privados para su cuenta de Microsoft Purview, revise el entorno de Azure para asegurarse de que los recursos de punto de conexión privado se implementen correctamente. En función del escenario, uno o varios de los siguientes puntos de conexión privados de Azure deben implementarse en la suscripción de Azure:
Punto de conexión privado Punto de conexión privado asignado a Ejemplo Cuenta Cuenta de Microsoft Purview mypurview-private-account Portal Cuenta de Microsoft Purview mypurview-private-portal Ingestión Almacenamiento (Blob)* mypurview-ingestion-blob Ingestión Almacenamiento (cola)* mypurview-ingestion-queue Ingestión Espacio de nombres de Event Hubs** mypurview-ingestion-namespace Nota:
*Si la cuenta se creó antes del 15 de diciembre de 2023, el punto de conexión se implementa en la cuenta de almacenamiento administrada. Si se creó después del 10 de noviembre (o se implementó mediante la versión de API 2023-05-01-preview en adelante), apunta al almacenamiento de ingesta.
**La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o creada antes del 15 de diciembre de 2022.
Si se implementa el punto de conexión privado del portal, asegúrese de implementar también el punto de conexión privado de la cuenta.
Si se implementa el punto de conexión privado del portal y el acceso a la red pública está establecido para denegarse en la cuenta de Microsoft Purview, asegúrese de iniciar el portal de gobernanza de Microsoft Purview desde la red interna.
- Para comprobar la resolución de nombres correcta, puede usar una herramienta de línea de comandos deNSlookup.exe para consultar
web.purview.azure.com
. El resultado debe devolver una dirección IP privada que pertenezca al punto de conexión privado del portal. - Para comprobar la conectividad de red, puede usar cualquier herramienta de prueba de red para probar la conectividad saliente con el
web.purview.azure.com
punto de conexión al puerto 443. La conexión debe ser correcta.
- Para comprobar la resolución de nombres correcta, puede usar una herramienta de línea de comandos deNSlookup.exe para consultar
Si se usan Azure DNS privado Zones, asegúrese de que se implementan las zonas DNS de Azure necesarias y de que hay un registro DNS (A) para cada punto de conexión privado.
Pruebe la conectividad de red y la resolución de nombres desde la máquina de administración hasta el punto de conexión de Microsoft Purview y la dirección URL web de Purview. Si se implementan puntos de conexión privados de cuenta y portal, los puntos de conexión deben resolverse a través de direcciones IP privadas.
Test-NetConnection -ComputerName web.purview.azure.com -Port 443
Ejemplo de conexión saliente correcta a través de una dirección IP privada:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
Ejemplo de conexión saliente correcta a través de una dirección IP privada:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Si ha creado su cuenta de Microsoft Purview después del 18 de agosto de 2021, asegúrese de descargar e instalar la versión más reciente del entorno de ejecución de integración autohospedado desde el Centro de descarga de Microsoft.
Desde la máquina virtual del entorno de ejecución de integración autohospedado, pruebe la conectividad de red y la resolución de nombres al punto de conexión de Microsoft Purview.
Desde el entorno de ejecución de integración autohospedado, pruebe la conectividad de red y la resolución de nombres a los recursos administrados de Microsoft Purview, como la cola de blobs, y los recursos secundarios, como Event Hubs, a través del puerto 443 y las direcciones IP privadas. (Si es necesario, reemplace la cuenta de almacenamiento administrada y el espacio de nombres de Event Hubs por los nombres de recursos correspondientes).
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
Ejemplo de conexión saliente correcta al almacenamiento de blobs administrado a través de una dirección IP privada:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
Ejemplo de conexión saliente correcta al almacenamiento de cola administrada a través de una dirección IP privada:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
Ejemplo de conexión saliente correcta al espacio de nombres de Event Hubs a través de una dirección IP privada:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Desde la red donde se encuentra el origen de datos, pruebe la conectividad de red y la resolución de nombres al punto de conexión de Microsoft Purview y los puntos de conexión de recursos administrados o configurados.
Si los orígenes de datos se encuentran en la red local, revise la configuración del reenviador DNS. Pruebe la resolución de nombres desde la misma red donde los orígenes de datos se encuentran en integration runtime autohospedado, puntos de conexión de Microsoft Purview y recursos administrados o configurados. Se espera que obtenga una dirección IP privada válida de la consulta DNS para cada punto de conexión.
Para obtener más información, consulte Cargas de trabajo de red virtual sin servidor DNS personalizado y cargas de trabajo locales con escenarios de reenviador DNS en la configuración de DNS de punto de conexión privado de Azure.
Si la máquina de administración y las máquinas virtuales del entorno de ejecución de integración autohospedado se implementan en la red local y ha configurado el reenviador DNS en el entorno, compruebe la configuración de DNS y de red en el entorno.
Si se usa el punto de conexión privado de ingesta, asegúrese de que el entorno de ejecución de integración autohospedado se registra correctamente dentro de la cuenta de Microsoft Purview y se muestra como en ejecución tanto dentro de la máquina virtual del entorno de ejecución de integración autohospedado como en el portal de gobernanza de Microsoft Purview .
Errores y mensajes comunes
Incidencia
Puede recibir el siguiente mensaje de error al ejecutar un examen:
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
Causa
Esto puede ser una indicación de problemas relacionados con la conectividad o la resolución de nombres entre la máquina virtual que ejecuta el entorno de ejecución de integración autohospedado y la cuenta de almacenamiento administrada de Microsoft Purview o Event Hubs configurado.
Solución
Valide si la resolución de nombres se realiza correctamente entre la máquina virtual que ejecuta el Self-Hosted Integration Runtime y la cola de blobs administrados de Microsoft Purview o ha configurado Event Hubs a través del puerto 443 y las direcciones IP privadas (paso 8 anterior).
Incidencia
Puede recibir el siguiente mensaje de error al ejecutar un nuevo examen:
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
Causa
Esto puede ser una indicación de la ejecución de una versión anterior del entorno de ejecución de integración autohospedado. Tendrá que usar la versión 5.9.7885.3 o posterior del entorno de ejecución de integración autohospedado.
Solución
Actualice el entorno de ejecución de integración autohospedado a la versión 5.9.7885.3.
Incidencia
Se produjo un error en la cuenta de Microsoft Purview con la implementación del punto de conexión privado con Azure Policy error de validación durante la implementación.
Causa
Este error sugiere que podría haber una asignación de Azure Policy existente en la suscripción de Azure que impida la implementación de cualquiera de los recursos de Azure necesarios.
Solución
Revise las asignaciones de Azure Policy existentes y asegúrese de que se permite la implementación de los siguientes recursos de Azure en la suscripción de Azure.
Nota:
En función del escenario, es posible que tenga que implementar uno o varios de los siguientes tipos de recursos de Azure:
- Microsoft Purview (Microsoft.Purview/Accounts)
- Punto de conexión privado (Microsoft.Network/privateEndpoints)
- DNS privado Zones (Microsoft.Network/privateDnsZones)
- Espacio de nombres del centro de eventos (Microsoft.EventHub/namespaces)
- Cuenta de almacenamiento (Microsoft.Storage/storageAccounts)
Incidencia
No está autorizado para acceder a esta cuenta de Microsoft Purview. Esta cuenta de Microsoft Purview está detrás de un punto de conexión privado. Acceda a la cuenta desde un cliente de la misma red virtual (red virtual) que se ha configurado para el punto de conexión privado de la cuenta de Microsoft Purview.
Causa
El usuario está intentando conectarse a Microsoft Purview desde un punto de conexión público o mediante puntos de conexión públicos de Microsoft Purview donde el acceso a la red pública está establecido en Denegar.
Solución
En este caso, para abrir el portal de gobernanza de Microsoft Purview, use una máquina que se implemente en la misma red virtual que el punto de conexión privado del portal de gobernanza de Microsoft Purview o use una máquina virtual conectada a la red corporativa en la que se permita la conectividad híbrida.
Incidencia
Puede recibir el siguiente mensaje de error al examinar un servidor SQL Server mediante un entorno de ejecución de integración autohospedado:
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
Causa
La máquina del entorno de ejecución de integración autohospedado ha habilitado el modo FIPS. Los estándares federales de procesamiento de información (FIPS) definen un determinado conjunto de algoritmos criptográficos que pueden usarse. Cuando el modo FIPS está habilitado en la máquina, algunas clases criptográficas de las que dependen los procesos invocados se bloquean en algunos escenarios.
Solución
Deshabilite el modo FIPS en el servidor de integración autohospedado.
Pasos siguientes
Si el problema no aparece en este artículo o no puede resolverlo, consulte uno de los canales siguientes para obtener soporte técnico:
- Obtenga respuestas de expertos a través de Microsoft Q&A.
- Conéctese con @AzureSupport. Este recurso oficial de Microsoft Azure en Twitter ayuda a mejorar la experiencia del cliente mediante la conexión de la comunidad de Azure a las respuestas, el soporte técnico y los expertos adecuados.
- Si todavía necesita ayuda, vaya al sitio de Soporte técnico de Azure y seleccione Enviar una solicitud de soporte técnico.