Résolution des problèmes de configuration de point de terminaison privé pour les comptes Microsoft Purview
Ce guide récapitule les limitations connues liées à l’utilisation de points de terminaison privés pour Microsoft Purview et fournit une liste d’étapes et de solutions pour résoudre certains des problèmes les plus courants.
Limitations connues
- Actuellement, nous ne prenons pas en charge les points de terminaison privés d’ingestion qui fonctionnent avec vos sources AWS.
- L’analyse d’Azure Multiple Sources à l’aide du runtime d’intégration auto-hébergé n’est pas prise en charge.
- L’utilisation du runtime d’intégration Azure pour analyser les sources de données derrière un point de terminaison privé n’est pas prise en charge.
- Les points de terminaison privés d’ingestion peuvent être créés via l’expérience du portail de gouvernance Microsoft Purview décrite dans les étapes décrites ici. Ils ne peuvent pas être créés à partir du centre Private Link.
- La création d’un enregistrement DNS pour les points de terminaison privés d’ingestion à l’intérieur de zones Azure DNS existantes, alors que les zones Azure DNS privé se trouvent dans un autre abonnement que les points de terminaison privés n’est pas prise en charge via l’expérience du portail de gouvernance Microsoft Purview. Un enregistrement peut être ajouté manuellement dans les zones DNS de destination de l’autre abonnement.
- Si vous activez un event hub managé après avoir déployé un point de terminaison privé d’ingestion, vous devez redéployer le point de terminaison privé d’ingestion.
- L’ordinateur du runtime d’intégration auto-hébergé doit être déployé dans le même réseau virtuel ou un réseau virtuel appairé où les points de terminaison privés de compte Et d’ingestion Microsoft Purview sont déployés.
- Actuellement, nous ne prenons pas en charge l’analyse d’un locataire Power BI interlocataire, qui a un point de terminaison privé configuré avec l’accès public bloqué.
- Pour connaître la limitation liée à Private Link service, consultez limites Azure Private Link.
Étapes de résolution des problèmes recommandées
Une fois que vous avez déployé des points de terminaison privés pour votre compte Microsoft Purview, passez en revue votre environnement Azure pour vous assurer que les ressources de point de terminaison privé sont correctement déployées. Selon votre scénario, un ou plusieurs des points de terminaison privés Azure suivants doivent être déployés dans votre abonnement Azure :
Point de terminaison privé Point de terminaison privé affecté à Exemple Compte Compte Microsoft Purview mypurview-private-account Portail Compte Microsoft Purview mypurview-private-portal Ingestion Compte de stockage managé (blob) mypurview-ingestion-blob Ingestion Compte de stockage managé (file d’attente) mypurview-ingestion-queue Ingestion Espace de noms Event Hubs* mypurview-ingestion-namespace
Remarque
*L’espace de noms Event Hubs n’est nécessaire que s’il a été configuré sur votre compte Microsoft Purview. Vous pouvez case activée dans la configuration Kafka sous paramètres sur la page de votre compte Microsoft Purview dans le portail Azure.
Si le point de terminaison privé du portail est déployé, veillez à déployer également un point de terminaison privé de compte.
Si le point de terminaison privé du portail est déployé et que l’accès au réseau public est défini sur refuser dans votre compte Microsoft Purview, veillez à lancer le portail de gouvernance Microsoft Purview à partir du réseau interne.
- Pour vérifier la résolution de noms correcte, vous pouvez utiliser un outil en ligne de commande NSlookup.exe pour interroger
web.purview.azure.com
. Le résultat doit retourner une adresse IP privée qui appartient au point de terminaison privé du portail. - Pour vérifier la connectivité réseau, vous pouvez utiliser n’importe quel outil de test réseau pour tester la connectivité sortante vers
web.purview.azure.com
le point de terminaison vers le port 443. La connexion doit être établie.
- Pour vérifier la résolution de noms correcte, vous pouvez utiliser un outil en ligne de commande NSlookup.exe pour interroger
Si azure DNS privé zones sont utilisées, assurez-vous que les zones Azure DNS requises sont déployées et qu’il existe un enregistrement DNS (A) pour chaque point de terminaison privé.
Testez la connectivité réseau et la résolution de noms de l’ordinateur de gestion vers le point de terminaison Microsoft Purview et l’URL web purview. Si des points de terminaison privés de compte et de portail sont déployés, les points de terminaison doivent être résolus via des adresses IP privées.
Test-NetConnection -ComputerName web.purview.azure.com -Port 443
Exemple de connexion sortante réussie via une adresse IP privée :
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
Exemple de connexion sortante réussie via une adresse IP privée :
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Si vous avez créé votre compte Microsoft Purview après le 18 août 2021, veillez à télécharger et installer la dernière version du runtime d’intégration auto-hébergé à partir du Centre de téléchargement Microsoft.
À partir de la machine virtuelle du runtime d’intégration auto-hébergé, testez la connectivité réseau et la résolution de noms sur le point de terminaison Microsoft Purview.
À partir du runtime d’intégration auto-hébergé, testez la connectivité réseau et la résolution de noms aux ressources managées Microsoft Purview telles que la file d’attente d’objets blob et aux ressources secondaires comme Event Hubs via le port 443 et les adresses IP privées. (Remplacez le compte de stockage managé et l’espace de noms Event Hubs par les noms de ressources correspondants).
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
Exemple de connexion sortante réussie au stockage Blob managé via une adresse IP privée :
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
Exemple de connexion sortante réussie au stockage de file d’attente managé via une adresse IP privée :
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
Exemple de connexion sortante réussie à l’espace de noms Event Hubs via une adresse IP privée :
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
À partir du réseau où se trouve la source de données, testez la connectivité réseau et la résolution de noms sur le point de terminaison Microsoft Purview et les points de terminaison de ressources managés ou configurés.
Si des sources de données se trouvent dans un réseau local, passez en revue la configuration de votre redirecteur DNS. Testez la résolution de noms à partir du même réseau où se trouvent les sources de données pour le runtime d’intégration auto-hébergé, les points de terminaison Microsoft Purview et les ressources managées ou configurées. Il est prévu d’obtenir une adresse IP privée valide à partir d’une requête DNS pour chaque point de terminaison.
Pour plus d’informations, consultez Charges de travail de réseau virtuel sans serveur DNS personnalisé et Charges de travail locales à l’aide d’un redirecteur DNS dans la configuration DNS du point de terminaison privé Azure.
Si la machine de gestion et les machines virtuelles du runtime d’intégration auto-hébergé sont déployées dans un réseau local et que vous avez configuré le redirecteur DNS dans votre environnement, vérifiez les paramètres DNS et réseau dans votre environnement.
Si un point de terminaison privé d’ingestion est utilisé, assurez-vous que le runtime d’intégration auto-hébergé est correctement inscrit dans le compte Microsoft Purview et s’exécute à la fois à l’intérieur de la machine virtuelle du runtime d’intégration auto-hébergé et dans le portail de gouvernance Microsoft Purview .
Erreurs et messages courants
Problème
Vous pouvez recevoir le message d’erreur suivant lors de l’exécution d’une analyse :
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
Cause
Cela peut indiquer des problèmes liés à la connectivité ou à la résolution de noms entre la machine virtuelle exécutant le runtime d’intégration auto-hébergé et le compte de stockage managé de Microsoft Purview ou event Hubs configurés.
Résolution
Vérifiez si la résolution de noms réussit entre la machine virtuelle exécutant le Self-Hosted Integration Runtime et la file d’attente d’objets blob managés Microsoft Purview ou les event Hubs configurés via le port 443 et les adresses IP privées (étape 8 ci-dessus).
Problème
Vous pouvez recevoir le message d’erreur suivant lors de l’exécution d’une nouvelle analyse :
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
Cause
Cela peut indiquer l’exécution d’une version antérieure du runtime d’intégration auto-hébergé. Vous devez utiliser le runtime d’intégration auto-hébergé version 5.9.7885.3 ou ultérieure.
Résolution
Mettez à niveau le runtime d’intégration auto-hébergé vers la version 5.9.7885.3.
Problème
Le déploiement du compte Microsoft Purview avec point de terminaison privé a échoué avec Azure Policy erreur de validation pendant le déploiement.
Cause
Cette erreur suggère qu’il existe peut-être une affectation de Azure Policy existante sur votre abonnement Azure qui empêche le déploiement de l’une des ressources Azure requises.
Résolution
Passez en revue vos affectations de Azure Policy existantes et assurez-vous que le déploiement des ressources Azure suivantes est autorisé dans votre abonnement Azure.
Remarque
Selon votre scénario, vous devrez peut-être déployer un ou plusieurs des types de ressources Azure suivants :
- Microsoft Purview (Microsoft.Purview/Accounts)
- Point de terminaison privé (Microsoft.Network/privateEndpoints)
- zones DNS privé (Microsoft.Network/privateDnsZones)
- Espace de noms du hub d’événements (Microsoft.EventHub/namespaces)
- Compte de stockage (Microsoft.Storage/storageAccounts)
Problème
Non autorisé à accéder à ce compte Microsoft Purview. Ce compte Microsoft Purview se trouve derrière un point de terminaison privé. Accédez au compte à partir d’un client dans le même réseau virtuel (VNet) qui a été configuré pour le point de terminaison privé du compte Microsoft Purview.
Cause
L’utilisateur tente de se connecter à Microsoft Purview à partir d’un point de terminaison public ou à l’aide de points de terminaison publics Microsoft Purview où l’accès réseau public est défini sur Refuser.
Résolution
Dans ce cas, pour ouvrir le portail de gouvernance Microsoft Purview, utilisez une machine déployée dans le même réseau virtuel que le point de terminaison privé du portail de gouvernance Microsoft Purview, ou utilisez une machine virtuelle connectée à votre CorpNet dans laquelle la connectivité hybride est autorisée.
Problème
Vous pouvez recevoir le message d’erreur suivant lors de l’analyse d’un serveur SQL, à l’aide d’un runtime d’intégration auto-hébergé :
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
Cause
L’ordinateur du runtime d’intégration auto-hébergé a activé le mode FIPS. Les normes FIPS (Federal Information Processing Standards) définissent un certain ensemble d’algorithmes de chiffrement qui sont autorisés à être utilisés. Lorsque le mode FIPS est activé sur l’ordinateur, certaines classes de chiffrement dont dépendent les processus appelés sont bloquées dans certains scénarios.
Résolution
Désactivez le mode FIPS sur le serveur d’intégration auto-hébergé.
Prochaines étapes
Si votre problème n’est pas répertorié dans cet article ou si vous ne pouvez pas le résoudre, obtenez de l’aide en visitant l’un des canaux suivants :
- Obtenez des réponses d’experts via Microsoft Q&A.
- Connectez-vous avec @AzureSupport. Cette ressource Microsoft Azure officielle sur Twitter permet d’améliorer l’expérience client en connectant la communauté Azure aux réponses, au support et aux experts appropriés.
- Si vous avez toujours besoin d’aide, accédez au site support Azure et sélectionnez Envoyer une demande de support.