Résoudre les problèmes d’installation du connecteur proxy d’application

  • Article

Le connecteur du proxy d’application Microsoft Entra est un composant de domaine interne qui utilise des connexions sortantes pour établir la connectivité à partir du point de terminaison disponible dans le cloud vers le domaine interne.

Problèmes généraux avec l’installation du connecteur

Lorsque l'installation d'un connecteur échoue, la cause racine est généralement liée à l'un des aspects suivants. Avant de tenter de résoudre le problème, redémarrez le connecteur.

  1. Connectivité : pour une installation réussie, le nouveau connecteur doit s’inscrire et établir les propriétés d’approbation ultérieures. La confiance est établie grâce à la connexion au service cloud du proxy d’application Microsoft Entra.

  2. Établissement de l’approbation : le nouveau connecteur crée un certificat auto-signé et s’inscrit auprès du service cloud.

  3. Authentification de l’administrateur : pendant l’installation, l’utilisateur doit fournir des informations d’identification d’administrateur pour terminer l’installation du connecteur.

Notes

Les journaux d’installation du connecteur se trouvent dans le dossier %TEMP% et peuvent fournir des informations supplémentaires sur l’origine de l’échec de l’installation.

Vérifier la connectivité au service proxy d’applications cloud et à la page de connexion Microsoft

Objectif : vérifier que l’ordinateur connecteur peut se connecter au point de terminaison d’inscription du proxy d’application et à la page de connexion Microsoft.

  1. Sur le serveur du connecteur, exécutez un test de port à l’aide de telnet ou autres outils de tests de port, pour vérifier que les ports 443 et 80 sont ouverts.

  2. Vérifiez que le pare-feu ou proxy principal a accès aux domaines et ports requis. Voir Préparer votre environnement local.

  3. Ouvrez un onglet de navigateur, puis entrez https://login.microsoftonline.com. Vérifiez que vous pouvez vous connecter.

Vérifier la prise en charge des certificats de l’ordinateur et des composants back-end

Objectif : vérifier que l’ordinateur connecteur, le pare-feu et le proxy principal peuvent prendre en charge le certificat créé par le connecteur. Vérifiez également la validité du certificat.

Remarque

Le connecteur tente de créer un certificat SHA512 pris en charge par le protocole TLS 1.2. Si l’ordinateur ou le pare-feu principal et le proxy ne prennent pas en charge TLS1.1.2, l’installation échoue.

Passez en revue les prérequis :

  1. Vérifiez que l’ordinateur prend en charge le protocole TLS 1.2 (toutes les versions de Windows supérieures à 2012 R2 doivent prendre en charge TLS 1.2). Si votre ordinateur connecteur dispose de la version 2012 R2 ou d’une version antérieure, vérifiez que les mises à jour requises sont installées.

  2. Contactez votre administrateur réseau et demandez-lui de vérifier que le proxy principal et le pare-feu ne bloquent le trafic sortant SHA512.

Pour vérifier le certificat client :

Vérifiez l’empreinte numérique du certificat client actuel. Le magasin de certificats est accessible sous %ProgramData%\microsoft\Microsoft AAD Application Proxy Connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Les valeurs IsInUserStore possibles sont true et false. Une valeur true signifie que le certificat est renouvelé automatiquement et stocké dans le conteneur personnel du magasin de certificats de l’utilisateur du service réseau. Une valeur false signifie que le certificat client est créé pendant l’installation ou l’inscription lancée par Register-AppProxyConnector. Le certificat est stocké dans le conteneur personnel du magasin de certificats de la machine locale.

Si la valeur est true, procédez comme suit pour vérifier le certificat :

  1. Téléchargez PsTools.zip.
  2. Extrayez PsExec du package et exécutez psexec -i -u "nt authority\network service" cmd.exe à partir d’une invite de commandes avec élévation de privilèges.
  3. Exécutez certmgr.msc dans l’invite de commandes nouvellement apparue.
  4. Dans la console de gestion, développez le conteneur personnel, puis sélectionnez Certificats.
  5. Localisez le certificat émis par connectorregistrationca.msappproxy.net.

Si la valeur est false, procédez comme suit pour vérifier le certificat :

  1. Exécutez certlm.msc.
  2. Dans la console de gestion, développez le conteneur personnel, puis sélectionnez Certificats.
  3. Localisez le certificat émis par connectorregistrationca.msappproxy.net.

Pour renouveler le certificat client :

Si un connecteur n’est pas connecté au service pendant plusieurs mois, ses certificats ont peut-être expiré. L’échec du renouvellement du certificat aboutit à un certificat expiré. Le certificat expiré entraîne l’arrêt du service connecteur. L’événement 1000 est enregistré dans le journal d’administration du connecteur :

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-AppProxyConnector on the computer on which the Connector is running to re-register your Connector.

Dans ce cas, désinstallez et réinstallez le connecteur pour déclencher l’inscription, ou exécutez les commandes PowerShell suivantes :

Import-module AppProxyPSModule
Register-AppProxyConnector

Pour plus d’informations sur la commande Register-AppProxyConnector, veuillez consulter la section Créer un script d’installation sans assistance pour le connecteur de proxy d’application Microsoft Entra.

Vérification de l’utilisation d’une connexion administrateur pour l’installation du connecteur

Objectif : vérifier que l’utilisateur qui tente d’installer le connecteur est un administrateur disposant des informations d’identification correctes. Actuellement, l’installation requiert que l’utilisateur soit au moins un administrateur d’application.

Pour vérifier que les informations d’identification sont correctes :

Connectez-vous à https://login.microsoftonline.com en utilisant les mêmes informations d’identification. Vérifiez que la connexion a réussi. Vous pouvez vérifier le rôle utilisateur en sélectionnant Microsoft Entra ID ->Utilisateurs et groupes - >Tous les utilisateurs.

Sélectionnez votre compte d’utilisateur, puis Rôle d’annuaire dans le menu qui s’affiche. Vérifiez que le rôle sélectionné est Administrateur d’application. Si vous ne pouvez accéder à aucune des pages de ces étapes, vous n’avez pas de rôle requis.

Étapes suivantes