Résoudre les problèmes de proxy d’application et les messages d’erreur
Tout d’abord, vérifiez que les connecteurs de réseau privé sont configurés correctement. Pour plus d’informations, consultez Problèmes de connecteur de réseau privé déboguer et problèmes d’application proxy d’application de débogage.
Si des erreurs se produisent dans l’accès à une application publiée ou dans la publication d’applications, vérifiez les options suivantes pour voir si le proxy d’application Microsoft Entra fonctionne correctement :
- Ouvrez la console Services Windows. Vérifiez que le connecteur de réseau privé Microsoft Entra service est activé et en cours d’exécution. Consultez la page de propriétés du service proxy d’application, comme illustré dans l’image.
- Ouvrez l’Observateur d’événements et recherchez les événements de connecteur de réseau privé dans journaux des applications et des services>Microsoft>Réseau privé Microsoft Entra>Connector>Administrateur(-trice).
- Examinez les journaux détaillés. Activer les journaux de session du connecteur de réseau privé.
La page ne s’affiche pas correctement
Vous rencontrez des problèmes d’affichage ou de fonctionnement de votre application sans recevoir de message d’erreur spécifique. Le problème se produire si vous avez publié le chemin d’accès de l’article, mais que l’application requiert un contenu qui se trouve en dehors de ce chemin d’accès.
Par exemple, si vous publiez le chemin d’accès https://yourapp/app, mais que l’application appelle les images dans https://yourapp/media, celles-ci ne sont pas restituées. Assurez-vous que vous publiez l’application en utilisant le niveau du chemin d’accès le plus élevé pour inclure tous les contenus pertinents. Dans cet exemple, il s’agirait de http://yourapp/.
Le chargement d’une application proxy d’application prend trop de temps
Les applications peuvent être fonctionnelles, mais connaissent une longue latence. Les ajustements de topologie réseau peuvent apporter des améliorations à la vitesse. Pour une évaluation des différentes topologies, consultez le document des considérations sur la topologie du réseau.
La page d’application ne s’affiche pas correctement pour une application de proxy d’application
Quand vous publiez une application de proxy d’application, seules les pages sous la racine sont accessibles lors de l’accès à l’application. Si la page ne s’affiche pas correctement, l’URL interne racine utilisée pour l’application peut ne pas comporter certaines ressources de la page. Pour résoudre ce problème, publiez toutes les ressources de la page dans le cadre de votre application.
Vérifiez si des ressources manquantes sont le problème. Ouvrez votre suivi réseau, tel que Fiddler ou les outils F12 dans Microsoft Edge. Chargez la page et recherchez 404 erreurs. Les erreurs indiquent que les pages sont introuvables et que vous devez les publier.
Supposons, par exemple, que vous avez publié une application de dépenses via l’URL interne http://myapps/expenses, mais que l’application utilise la feuille de style http://myapps/style.css. La feuille de style n’est pas publiée dans votre application. Par conséquent, le chargement de l’application de dépenses génère une erreur 404 lors de la tentative de chargement de style.css. Dans cet exemple, le problème est résolu par la publication de l’application avec l’URL interne http://myapp/.
Problèmes liés à la publication d’une seule application
S’il n’est pas possible de publier toutes les ressources dans la même application, vous devez publier plusieurs applications et activer des liens entre elles.
Pour ce faire, nous vous recommandons d’utiliser la solution des domaines personnalisés. Toutefois, cette solution exige que vous possédiez le certificat pour votre domaine et que vos applications utilisent des noms de domaines complets (FQDN). Pour connaître d’autres options, consultez la documentation sur la résolution des liens rompus.
Je rencontre un problème de connectivité avec mon application
Je ne sais pas quels ports ouvrir pour mon application.
Je rencontre un problème lors de la configuration du proxy d’application Microsoft Entra dans le portail d’administration
Je rencontre un problème lors de la configuration de l’authentification back-end pour mon application
Je ne sais pas comment configurer la délégation Kerberos contrainte. Je ne sais pas comment configurer mon application avec PingAccess.
Je rencontre un problème lors de la connexion à mon application
J’obtiens l’erreur Can't Access this Corporate Application Pour résoudre ce problème, consultez Erreur de délai d’expiration de passerelle incorrecte.
Je rencontre un problème avec le connecteur de réseau privé
J'ai des problèmes pour installer le connecteur de réseau privé.
Erreurs Kerberos
Cette table répertorie les erreurs les plus courantes qui proviennent de la configuration et de l’installation de Kerberos et inclut des suggestions de résolution.
| Error | Étapes recommandées |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
En cas d’échec de l’installation du connecteur, vérifiez que la stratégie d’exécution de PowerShell n’est pas désactivée. 1. Ouvrez l’Éditeur de stratégie de groupe. 2. Accédez à Configuration ordinateur>Modèles d’administration>Composants Windows>Windows PowerShell et double-cliquez sur Activer l’exécution des scripts. 3. Cette stratégie d’exécution peut être définie sur Non configuré ou Activé. Si elle est définie sur Activé, vérifiez que sous Options, la stratégie d’exécution est définie sur Autoriser les scripts locaux et les scripts signés distants ou sur Autoriser tous les scripts. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Cette erreur indique une configuration incorrecte entre Microsoft Entra ID et le serveur d’applications principal, ou un problème de configuration de la date et de l’heure sur les deux ordinateurs. Le serveur principal a refusé le ticket Kerberos créé par Microsoft Entra ID. Vérifiez que les configurations Microsoft Entra ID et du serveur d’applications principal sont correctes. Assurez-vous que les configurations de la date/heure sur Microsoft Entra ID et sur le serveur d’applications principal sont synchronisées. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Il existe un problème avec la configuration du service d’émission de jeton de sécurité (STS). Corrigez la configuration de la revendication nom d’utilisateur principal (UPN) dans le STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Cet événement indique une configuration incorrecte entre Microsoft Entra ID et le serveur contrôleur de domaine, ou un problème de configuration de la date et de l’heure sur les deux ordinateurs. Le contrôleur de domaine a refusé le ticket Kerberos créé par Microsoft Entra ID. Vérifiez que les configurations de Microsoft Entra ID et du serveur d’applications principal sont correctes, en particulier les configurations du nom de principal du service (SPN). Assurez-vous que le contrôleur de domaine établit l’approbation avec Microsoft Entra ID. Les deux doivent utiliser le même domaine. Assurez-vous que les configurations de la date/heure sur Microsoft Entra ID et sur le contrôleur de domaine sont synchronisées. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
Cet événement indique une configuration incorrecte entre Microsoft Entra ID et le serveur contrôleur de domaine, ou un problème de configuration de la date et de l’heure sur les deux ordinateurs. Le contrôleur de domaine a refusé le ticket Kerberos créé par Microsoft Entra ID. Vérifiez que les configurations de Microsoft Entra ID et du serveur d’applications principal sont correctes, en particulier les configurations du nom de principal du service (SPN). Assurez-vous que le contrôleur de domaine établit l’approbation avec Microsoft Entra ID. Les deux doivent utiliser le même domaine. Assurez-vous que les configurations de la date/heure sur Microsoft Entra ID et sur le contrôleur de domaine sont synchronisées. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
Cet événement indique une configuration incorrecte entre Microsoft Entra ID et le serveur d’applications principal, ou un problème de configuration de la date et de l’heure sur les deux ordinateurs. Le serveur principal a refusé le ticket Kerberos créé par Microsoft Entra ID. Vérifiez que les configurations Microsoft Entra ID et du serveur d’applications principal sont correctes. Assurez-vous que les configurations de la date/heure sur Microsoft Entra ID et sur le serveur d’applications principal sont synchronisées. Pour plus d’informations, consultez l’article Résolution des problèmes de configuration de délégation Kerberos contrainte pour le proxy d’application. |
Erreurs de l’utilisateur final
Cette liste comprend des erreurs que vos utilisateurs finaux peuvent rencontrer en cas d’échec de leur tentative d’accès à l’application.
| Error | Étapes recommandées |
|---|---|
The website cannot display the page. |
Votre utilisateur obtient cette erreur lors de la tentative d’accès à l’application que vous avez publiée si celle-ci est une application d’authentification Windows intégrée (IWA). Le SPN défini pour cette application est incorrect. Pour les applications avec l’authentification Windows intégrée : assurez-vous que le SPN configuré pour cette application est correct. |
The website cannot display the page. |
Votre utilisateur reçoit cette erreur lorsqu’il tente d’accéder à l’application que vous avez publiée si celle-ci est une application web Outlook (OWA). Le problème résulte des éléments suivants : |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
Votre utilisateur reçoit cette erreur lorsqu’il tente d’accéder à l’application que vous avez publiée s’il utilise des comptes Microsoft plutôt que son compte d’entreprise pour se connecter. Les utilisateurs invités reçoivent cette erreur. Les utilisateurs d’un compte Microsoft et les invités ne peuvent pas accéder aux applications avec l’authentification Windows intégrée. Assurez-vous que l’utilisateur se connecte en utilisant son compte d’entreprise qui correspond au domaine de l’application publiée. Vous devez attribuer l’utilisateur pour cette application. Accédez à l’onglet Application et, sous Utilisateurs et groupes, affectez cet utilisateur ou ce groupe d’utilisateurs à cette application. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Votre utilisateur reçoit cette erreur lorsqu’il tente d’accéder à l’application que vous avez publiée s’il n’est pas correctement défini pour cette application du côté local. Assurez-vous que votre utilisateur a les autorisations appropriées, telles qu’elles sont définies pour cette application back-end sur l’ordinateur local. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Votre utilisateur reçoit cette erreur lorsqu’il tente d’accéder à l’application que vous avez publiée si l’administrateur de l’abonné ne lui a pas explicitement attribué une licence Premium. Accédez à l’onglet Licences Active Directory de l’abonné et vérifiez qu’une licence Premium est affectée à cet utilisateur ou à ce groupe. |
A server with the specified host name could not be found. |
Votre utilisateur reçoit cette erreur lorsqu’il tente d’accéder à l’application que vous avez publiée si le domaine personnalisé de l’application n’est pas configuré correctement. Vérifiez le certificat du domaine et configurez l’enregistrement DNS (Domain Name System) correctement. Pour plus d’information, consultez Utilisation des domaines personnalisés dans le proxy d’application Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Le problème peut être lié à l’accès aux informations d’autorisation. Pour plus d'informations, consultez (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). En bref, ajoutez le compte de la machine du connecteur de réseau privé au groupe de domaine intégré « Windows Authorization Access Group » pour résoudre le problème. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Le connecteur sécurise les connexions sortantes aux points de terminaison du service cloud du proxy d’application Microsoft Entra à l’aide d’un certificat client. L’erreur se produit lorsque le certificat client ne parvient pas à atteindre le point de terminaison. Par exemple, un appareil réseau effectuant une inspection TLS (Transport Layer Security) ou cassant la connexion TLS. Évitez l’inspection inline et l’arrêt des communications TLS sortantes. L’inspection et l’arrêt ne doivent pas se produire entre les connecteurs de réseau privé Microsoft Entra et les services cloud de proxy d’application Microsoft Entra. |