A magánhálózati összekötő telepítésével kapcsolatos problémák elhárítása

  • Cikk

A Microsoft Entra privát hálózati összekötő egy belső tartományösszetevő, amely kimenő kapcsolatokat használ a felhőből elérhető végpont és a belső tartomány közötti kapcsolat létrehozásához. Az összekötőt a Microsoft Entra privát hozzáférés és a Microsoft Entra alkalmazásproxy is használja.

Az összekötő telepítésével kapcsolatos általános problémák

Ha az összekötő telepítése sikertelen, a kiváltó ok általában az alábbi területek egyike. A hibaelhárítás előfutáraként mindenképpen indítsa újra az összekötőt.

  • Csatlakozás ivity – a sikeres telepítés elvégzéséhez az új összekötőnek regisztrálnia kell és létre kell hoznia a jövőbeli megbízhatósági tulajdonságokat. A megbízhatóság a Microsoft Entra alkalmazásproxy felhőszolgáltatáshoz való csatlakozással jön létre.
  • Trust Establishment – Az új összekötő létrehoz egy önaláírt tanúsítványt, és regisztrál a felhőszolgáltatásba.
  • A rendszergazda hitelesítése – a telepítés során a felhasználónak meg kell adnia a rendszergazdai hitelesítő adatokat az összekötő telepítésének befejezéséhez.

Feljegyzés

Az összekötő telepítési naplói megtalálhatók a %TEMP% mappában, és további információt nyújtanak arról, hogy mi okozza a telepítési hibát.

A felhőalkalmazás-proxyszolgáltatáshoz való kapcsolódás és a Microsoft bejelentkezési oldalának ellenőrzése

Célkitűzés: Ellenőrizze, hogy az összekötő gép képes-e csatlakozni az alkalmazásproxy regisztrációs végpontjához és a Microsoft bejelentkezési oldalához.

  1. Az összekötő-kiszolgálón futtasson egy porttesztet telnet vagy más porttesztelési eszköz használatával annak ellenőrzéséhez, hogy a 443-80-as port nyitva van-e.

  2. Ellenőrizze, hogy a tűzfal vagy a háttérproxy rendelkezik-e hozzáféréssel a szükséges tartományokhoz és portokhoz, lásd: Helyszíni környezet előkészítése.

  3. Nyisson meg egy böngészőlapot, és írja be a következőt: https://login.microsoftonline.com. Győződjön meg arról, hogy tud bejelentkezni.

Számítógép- és háttér-összetevőtanúsítvány támogatásának ellenőrzése

Célkitűzés: Ellenőrizze, hogy az összekötő gépe, a háttérproxy és a tűzfal támogatja-e az összekötő által létrehozott tanúsítványt. Emellett ellenőrizze, hogy a tanúsítvány érvényes-e.

Feljegyzés

Az összekötő megpróbál létrehozni egy SHA512 tanúsítványt, amelyet a Transport Layer Security (TLS) 1.2 támogat. Ha a gép vagy a háttér tűzfal és proxy nem támogatja a TLS 1.2-t, a telepítés meghiúsul.

Tekintse át a szükséges előfeltételeket:

  1. Ellenőrizze, hogy a gép támogatja-e a Transport Layer Security (TLS) 1.2-es verzióját – A 2012 R2 után minden Windows-verziónak támogatnia kell a TLS 1.2-t. Ha az összekötő gépe a 2012 R2-es vagy korábbi verzióból származik, győződjön meg arról, hogy a szükséges frissítések telepítve vannak.

  2. Forduljon a hálózati rendszergazdához, és ellenőrizze, hogy a háttérproxy és a tűzfal nem blokkolja-e SHA512 a kimenő forgalmat.

Az ügyféltanúsítvány ellenőrzése:

Ellenőrizze az aktuális ügyféltanúsítvány ujjlenyomatát. A tanúsítványtároló a következő helyen %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xmltalálható: .

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Az IsInUserStore lehetséges értékei igazak és hamisak. Az igaz érték azt jelenti, hogy a tanúsítvány automatikusan megújul és a hálózati szolgáltatás felhasználói tanúsítványtárolójában található személyes tárolóban lesz tárolva. A hamis érték azt jelenti, hogy az ügyféltanúsítvány a telepítés vagy a regisztráció során Register-MicrosoftEntraPrivateNetworkConnectorjön létre. A tanúsítvány a helyi gép tanúsítványtárolójában található személyes tárolóban van tárolva.

Ha az érték igaz, kövesse az alábbi lépéseket a tanúsítvány ellenőrzéséhez:

  1. Töltse le PsTools.zip.
  2. Bontsa ki a PsExec fájlt a csomagból, és futtassa a psexec -i -u "nt authority\network service" cmd.exe egy emelt szintű parancssorból.
  3. Futtassa a certmgr.msc fájlt az újonnan megjelent parancssorban.
  4. A felügyeleti konzolon bontsa ki a Személyes tárolót, és válassza a Tanúsítványok lehetőséget.
  5. Keresse meg a connectorregistrationca.msappproxy.net által kiadott tanúsítványt.

Ha az érték hamis, kövesse az alábbi lépéseket a tanúsítvány ellenőrzéséhez:

  1. Futtassa a certlm.msc fájlt.
  2. A felügyeleti konzolon bontsa ki a Személyes tárolót, és válassza a Tanúsítványok lehetőséget.
  3. Keresse meg a connectorregistrationca.msappproxy.net által kiadott tanúsítványt.

Az ügyféltanúsítvány megújítása:

Ha egy összekötő több hónapig nem csatlakozik a szolgáltatáshoz, a tanúsítványai elavultak lehetnek. A sikertelen tanúsítványmegújítás lejárt tanúsítványt eredményez. A lejárt tanúsítvány miatt az összekötő szolgáltatás leáll. Az összekötő rendszergazdai naplójában létrejön az 1000-es esemény:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Ebben az esetben távolítsa el és telepítse újra az összekötőt a regisztráció aktiválásához, vagy futtassa a következő PowerShell-parancsokat:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

A parancsról további információt a Register-MicrosoftEntraPrivateNetworkConnector Microsoft Entra magánhálózati összekötő felügyelet nélküli telepítési szkriptjének létrehozása című témakörben talál.

Ellenőrizze, hogy a rendszergazda használja-e az összekötő telepítését

Célkitűzés: Ellenőrizze, hogy az összekötőt telepíteni próbáló felhasználó megfelelő hitelesítő adatokkal rendelkező rendszergazda-e. A sikeres telepítéshez a felhasználónak jelenleg legalább alkalmazásadminisztrátornak kell lennie.

A hitelesítő adatok helyességének ellenőrzése:

Csatlakozás, hogy https://login.microsoftonline.com ugyanazt a hitelesítő adatot használja. Győződjön meg arról, hogy a bejelentkezés sikeres. A felhasználói szerepkört a Microsoft Entra ID -Users and Groups ->All Users (Felhasználók és csoportok -> Minden felhasználó) azonosítójával ellenőrizheti.

Válassza ki a felhasználói fiókját, majd a címtárszerepkört az eredményként kapott menüben. Győződjön meg arról, hogy a kijelölt szerepkör az Application Rendszergazda istrator. Ha nem tud hozzáférni a lépések egyik oldalához sem, nem rendelkezik a szükséges szerepkörökkal.

Összekötőhöz kapcsolódó hibák

Ha a regisztráció sikertelen az összekötő varázsló telepítése során, kétféleképpen tekintheti meg a hiba okát. Keresse meg az eseménynaplóban a következőt Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" , vagy futtassa a következő Windows PowerShell-parancsot:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Miután megtalálta az összekötő hibát az eseménynaplóból, használja ezt a gyakori hibákat a probléma megoldásához:

Hiba Javasolt lépések
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Ha anélkül zárta be a regisztrációs ablakot, hogy bejelentkezett volna a Microsoft Entra-azonosítóba, futtassa újra az összekötő varázslót, és regisztrálja az összekötőt.

Ha megnyílik a regisztrációs ablak, majd azonnal bezárul anélkül, hogy engedélyezve volna a bejelentkezést, a hibaüzenet jelenik meg. A hiba akkor fordul elő, ha hálózati hiba lép fel a rendszeren. Győződjön meg arról, hogy böngészőből tud csatlakozni egy nyilvános webhelyhez, és hogy a portok az alkalmazásproxy előfeltételeiben meghatározottak szerint nyílnak meg.
Clear error is presented in the registration window. Cannot proceed Ha megjelenik a hiba, és az ablak bezárul, helytelen felhasználónevet vagy jelszót adott meg. Próbálkozzon újra.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Microsoft-fiókkal próbál bejelentkezni, nem pedig olyan tartományt, amely a elérni kívánt címtár szervezeti azonosítójának része. A rendszergazdának ugyanahhoz a tartománynévhez kell tartoznia, mint a bérlői tartománynak. Ha például a Microsoft Entra tartomány, contoso.comakkor a rendszergazdának kell lennie admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Ha az összekötő telepítése sikertelen, ellenőrizze, hogy a PowerShell végrehajtási szabályzata nincs-e letiltva.

1. Nyissa meg a Csoportházirend-szerkesztőt.
2. Nyissa meg a Számítógép konfigurációja> Rendszergazda a Windows-összetevők windowsos PowerShell-sablonjait>>, és kattintson duplán a Szkriptvégrehajtás bekapcsolása parancsra.
3. A végrehajtási szabályzat beállítható úgy, hogy nincs konfigurálva vagy engedélyezve. Ha engedélyezve van, győződjön meg arról, hogy a Beállítások területen a végrehajtási szabályzat a helyi szkriptek és távoli aláírt szkriptek engedélyezése vagy az összes szkript engedélyezése beállításra van beállítva.
Connector failed to download the configuration. Az összekötő hitelesítéshez használt ügyféltanúsítványa lejárt. A probléma akkor fordul elő, ha az összekötő proxy mögött van telepítve. Ebben az esetben az összekötő nem tudja elérni az internetet, és nem tud alkalmazásokat biztosítani a távoli felhasználóknak. A megbízhatóság manuális megújítása a Register-MicrosoftEntraPrivateNetworkConnector Windows PowerShell parancsmaggal. Ha az összekötő proxy mögött található, internet-hozzáférést kell biztosítani az összekötő-fiókokhoz network services és local systema . A hozzáférés biztosítása a proxyhoz való hozzáférés biztosításával vagy a proxy megkerülésével történik.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' A bejelentkezni kívánt alias nem rendszergazda ezen a tartományon. Az összekötő mindig telepítve van ahhoz a könyvtárhoz, amely a felhasználó tartományát birtokolja. Győződjön meg arról, hogy a bejelentkezni kívánt rendszergazdai fiók rendelkezik legalább alkalmazásadminisztrátori engedélyekkel a Microsoft Entra-bérlőhöz.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Az összekötő nem tud csatlakozni az alkalmazásproxy felhőszolgáltatáshoz. A probléma akkor fordul elő, ha egy tűzfalszabály blokkolja a kapcsolatot. Az alkalmazásproxy előfeltételei között felsorolt megfelelő portokhoz és URL-címekhez való hozzáférés engedélyezése.

Folyamatábra összekötőkkel kapcsolatos problémák esetén

Ez a folyamatábra végigvezeti a leggyakoribb összekötővel kapcsolatos problémák hibakeresésének lépésein. Az egyes lépésekkel kapcsolatos részletekért tekintse meg a folyamatábra utáni táblázatot.

Összekötő hibakeresésének lépéseit bemutató folyamatábra.

Lépés Művelet Leírás
0 Az alkalmazáshoz rendelt összekötőcsoport megkeresése Valószínűleg több kiszolgálón van telepítve egy összekötő, ebben az esetben az összekötőket egy összekötőcsoporthoz kell rendelni. Az összekötőcsoportokról további információt a Microsoft Entra magánhálózati összekötőcsoportok ismertetése című témakörben talál.
2 Az összekötő telepítése és csoport hozzárendelése Ha nincs telepítve összekötő, olvassa el az Összekötő telepítése és regisztrálása című témakört.

Ha az összekötő nincs csoporthoz rendelve, olvassa el az összekötő hozzárendelése csoporthoz című témakört.

Ha az alkalmazás nincs összekötőcsoporthoz rendelve, olvassa el az Alkalmazás hozzárendelése összekötőcsoporthoz című témakört.
3 Portteszt futtatása az összekötőkiszolgálón Az összekötőkiszolgálón futtasson egy porttesztet telnet vagy más porttesztelő eszköz használatával annak ellenőrzéséhez, hogy a 443-80-as port nyitva van-e.
4 A tartományok és portok konfigurálása Ellenőrizze, hogy a tartományok és portok megfelelően vannak-e konfigurálva az összekötőhöz. Bizonyos portok nyitva kell lenniük, és url-címeknek kell lenniük, amelyekhez a kiszolgálónak hozzá kell férnie. További információ : Oktatóanyag: Helyszíni alkalmazás hozzáadása távoli hozzáféréshez alkalmazásproxyn keresztül a Microsoft Entra ID-ban.
5 Ellenőrizze, hogy van-e használatban háttérproxy Ellenőrizze, hogy az összekötők háttérbeli proxykiszolgálókat használnak-e, vagy megkerülik-e őket. További információ: Összekötőproxyval kapcsolatos problémák és szolgáltatáskapcsolati problémák elhárítása.
6 Az összekötő és a frissítő beállításainak frissítése a háttérproxy adataival Ha háttérproxy van használatban, győződjön meg arról, hogy az összekötő ugyanazt a proxyt használja. Az összekötők proxykiszolgálókkal való együttműködésre való hibaelhárításával és konfigurálásával kapcsolatos részletekért lásd : Meglévő helyszíni proxykiszolgálók használata.
7 Az alkalmazás belső URL-címének betöltése az összekötő-kiszolgálón Az összekötő-kiszolgálón töltse be az alkalmazás belső URL-címét.
8 Belső hálózati kapcsolat ellenőrzése Van egy kapcsolati probléma a belső hálózaton, amelyet ez a hibakeresési folyamat nem tud diagnosztizálni. Az alkalmazásnak belsőleg elérhetőnek kell lennie ahhoz, hogy az összekötők működjenek. Engedélyezheti és megtekintheti az összekötő eseménynaplóit a magánhálózati összekötőkben leírtak szerint.
9 Az időtúllépési érték meghosszúlása a háttérrendszeren Az alkalmazás további Gépház módosítsa a háttéralkalmazás időtúllépési beállítását Hosszú értékre. Lásd: Helyszíni alkalmazás hozzáadása a Microsoft Entra-azonosítóhoz.
10 Ha a problémák továbbra is fennállnak, hibakeresési alkalmazásokat. Alkalmazásproxy-alkalmazás hibáinak hibakeresése.

Következő lépések