Memecahkan masalah saat menginstal konektor jaringan privat

Konektor jaringan privat Microsoft Entra adalah komponen domain internal yang menggunakan koneksi keluar untuk membangun konektivitas dari titik akhir yang tersedia di cloud ke domain internal. Konektor digunakan oleh proksi aplikasi Akses Privat Microsoft Entra dan Microsoft Entra.

Area masalah umum dengan penginstalan konektor

Ketika penginstalan konektor gagal, akar penyebabnya biasanya adalah salah satu area berikut. Sebagai awal dari pemecahan masalah apa pun, pastikan untuk me-reboot konektor.

• Konektivitas – untuk menyelesaikan penginstalan yang sukses, konektor baru perlu mendaftar dan membuat properti kepercayaan di masa depan. Kepercayaan dibuat dengan menyambungkan ke layanan cloud proksi aplikasi Microsoft Entra.
• Pembuatan Kepercayaan – konektor baru membuat sertifikasi yang ditandatangani sendiri dan mendaftar ke layanan cloud.
• Autentikasi admin – selama penginstalan, pengguna harus memberikan kredensial admin untuk menyelesaikan penginstalan konektor.

Catatan

Log penginstalan konektor dapat ditemukan di %TEMP% folder dan dapat membantu memberikan informasi tambahan tentang apa yang menyebabkan kegagalan penginstalan.

Memverifikasi konektivitas ke layanan proksi aplikasi cloud dan halaman masuk Microsoft

Tujuan: Verifikasi bahwa komputer konektor dapat terhubung ke titik akhir pendaftaran proksi aplikasi dan halaman masuk Microsoft.

1. Di server konektor, jalankan uji port menggunakan telnet atau alat pengujian port lainnya untuk memverifikasi bahwa port 443 dan 80 terbuka.

2. Verifikasi bahwa firewall atau proksi backend memiliki akses ke domain dan port yang diperlukan, lihat, konfigurasikan konektor.

3. Buka tab browser dan masukkan: https://login.microsoftonline.com. Pastikan Anda dapat masuk.

Memverifikasi dukungan sertifikat komponen komputer dan backend

Tujuan: Verifikasi bahwa komputer konektor, proksi backend, dan firewall dapat mendukung sertifikat yang dibuat oleh konektor. Selain itu, verifikasi sertifikat valid.

Catatan

Konektor mencoba membuat SHA512 sertifikasi yang didukung oleh Transport Layer Security (TLS) 1.2. Jika komputer atau firewall backend dan proksi tidak mendukung TLS 1.2, penginstalan gagal.

Tinjau prasyarat yang diperlukan:

1. Verifikasi bahwa komputer mendukung Keamanan Lapisan Transportasi (TLS) 1.2 – Semua versi Windows setelah 2012 R2 harus mendukung TLS 1.2. Jika komputer konektor Anda berasal dari versi 2012 R2 atau sebelumnya, pastikan bahwa pembaruan yang diperlukan telah terinstal.

2. Hubungi admin jaringan Anda dan minta untuk memverifikasi bahwa proksi backend dan firewall tidak memblokir SHA512 lalu lintas keluar.

Untuk memverifikasi sertifikat klien:

Verifikasi thumbprint sertifikat klien saat ini. Penyimpanan sertifikat dapat ditemukan di %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Nilai IsInUserStore yang memungkinkan adalah true dan false. Nilai benar berarti sertifikat secara otomatis diperpanjang dan disimpan dalam kontainer pribadi di penyimpanan sertifikat pengguna Layanan Jaringan. Nilai false berarti sertifikat klien dibuat selama penginstalan atau pendaftaran yang dimulai oleh Register-MicrosoftEntraPrivateNetworkConnector. Sertifikat disimpan dalam kontainer pribadi di penyimpanan sertifikat komputer lokal.

Jika nilainya true, ikuti langkah-langkah ini untuk memverifikasi sertifikat:

1. Unduh PsTools.zip.
2. Ekstrak PsExec dari paket dan jalankan psexec -i -u "nt authority\network service" cmd.exe dari prompt perintah yang ditingkatkan.
3. Jalankan certmgr.msc di prompt perintah yang baru muncul.
4. Di konsol manajemen, perluas kontainer Pribadi dan pilih Sertifikat.
5. Temukan sertifikat yang dikeluarkan oleh connectorregistrationca.msappproxy.net.

Jika nilainya false, ikuti langkah-langkah ini untuk memverifikasi sertifikat:

1. Jalankan certlm.msc.
2. Di konsol manajemen, perluas kontainer Pribadi dan pilih Sertifikat.
3. Temukan sertifikat yang dikeluarkan oleh connectorregistrationca.msappproxy.net.

Untuk memperbarui sertifikat klien:

Jika konektor tidak tersambung ke layanan selama beberapa bulan, sertifikatnya bisa kedaluarsa. Kegagalan pembaruan sertifikat menyebabkan sertifikat kedaluwarsa. Sertifikat yang kedaluwarsa menyebabkan layanan konektor berhenti berfungsi. Peristiwa 1000 dicatat di log admin konektor:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Dalam hal ini, hapus penginstalan dan instal ulang konektor untuk memicu pendaftaran atau Anda dapat menjalankan perintah PowerShell berikut:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Untuk mempelajari selengkapnya tentang perintah, Register-MicrosoftEntraPrivateNetworkConnector lihat Membuat skrip penginstalan tanpa pengawas untuk konektor jaringan privat Microsoft Entra.

Verifikasi admin digunakan untuk menginstal konektor

Tujuan: Memastikan bahwa pengguna yang mencoba menginstal konektor adalah administrator dengan kredensial yang benar. Saat ini, pengguna setidaknya harus merupakan administrator aplikasi agar penginstalan berhasil.

Untuk memverifikasi bahwa kredensial benar:

Sambungkan ke https://login.microsoftonline.com dan gunakan kredensial yang sama. Pastikan proses masuk berhasil. Anda dapat memeriksa peran pengguna dengan masuk ke Microsoft Entra ID ->Pengguna dan Grup ->Semua Pengguna.

Pilih akun pengguna Anda, lalu Peran Direktori di menu yang dihasilkan. Verifikasi bahwa peran yang dipilih adalah Administrator Aplikasi. Jika Anda tidak dapat mengakses salah satu halaman di sepanjang langkah-langkah ini, Anda tidak memiliki peran yang diperlukan.

Kesalahan konektor

Jika pendaftaran gagal selama penginstalan wizard konektor, ada dua cara untuk melihat alasan kegagalan tersebut. Lihat di log peristiwa di bawah Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" , atau jalankan perintah Windows PowerShell berikut ini:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Setelah Anda menemukan kesalahan konektor dari log peristiwa, gunakan tabel kesalahan umum ini untuk mengatasi masalah:

Kesalahan	Langkah-langkah yang disarankan
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.'	Jika Anda menutup jendela pendaftaran tanpa masuk ke MICROSOFT Entra ID, jalankan wizard konektor lagi dan daftarkan konektor. Jika jendela pendaftaran terbuka dan kemudian segera ditutup tanpa mengizinkan Anda untuk masuk, Anda mendapatkan kesalahan. Kesalahan terjadi ketika ada kesalahan jaringan pada sistem Anda. Pastikan Anda dapat tersambung dari browser ke situs web publik dan port terbuka seperti yang ditentukan dalam mengonfigurasi konektor.
Clear error is presented in the registration window. Cannot proceed	Jika Anda melihat kesalahan lalu jendela ditutup, Anda memasukkan nama pengguna atau kata sandi yang salah. Coba lagi.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed.	Anda mencoba masuk menggunakan Akun Microsoft dan bukan domain yang merupakan bagian dari ID organisasi direktori yang coba Anda akses. Admin harus menjadi bagian dari nama domain yang sama dengan domain penyewa. Misalnya, jika domain Microsoft Entra adalah contoso.com, admin harus .admin@contoso.com
Failed to retrieve the current execution policy for running PowerShell scripts.	Jika penginstalan konektor gagal, periksa untuk memastikan bahwa kebijakan eksekusi PowerShell tidak dinonaktifkan. 1. Buka Editor Kebijakan Grup. 2. Buka Konfigurasi >Administrative Templates>Windows Components>Windows PowerShell dan klik dua kali Aktifkan Eksekusi Skrip. 3. Kebijakan eksekusi dapat diatur ke Tidak Dikonfigurasi atau Diaktifkan. Jika diatur ke Diaktifkan, pastikan bahwa di bawah Opsi, Kebijakan Eksekusi diatur ke Izinkan skrip lokal dan skrip bertanda tangan jarak jauh atau ke Izinkan semua skrip.
Connector failed to download the configuration.	Sertifikat klien konektor, yang digunakan untuk autentikasi, kedaluwarsa. Masalah ini terjadi jika Anda memiliki konektor yang terinstal di belakang proksi. Dalam hal ini, konektor tidak dapat mengakses internet dan tidak dapat menyediakan aplikasi kepada pengguna jarak jauh. Perpanjang kepercayaan secara manual menggunakan cmdlet Register-MicrosoftEntraPrivateNetworkConnector di Windows PowerShell. Jika konektor Anda berada di belakang proksi, perlu untuk memberikan akses internet ke akun network services konektor dan local system. Pemberian akses dilakukan dengan memberikan akses ke proksi atau melewati proksi.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.'	Alias yang coba Anda gunakan untuk masuk bukan admin di domain ini. Konektor Anda selalu diinstal untuk direktori yang memiliki domain pengguna. Pastikan bahwa akun admin yang Anda coba masuki memiliki setidaknya izin administrator aplikasi ke penyewa Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL.	Konektor tidak dapat tersambung ke layanan cloud proksi aplikasi. Masalah ini terjadi jika Anda memiliki aturan firewall yang memblokir koneksi. Izinkan akses ke port dan URL yang benar yang tercantum dalam mengonfigurasi konektor.

Diagram alur untuk masalah konektor

Diagram alur ini akan memandu Anda melalui langkah-langkah untuk men-debug beberapa masalah konektor yang lebih umum. Untuk detail tentang setiap langkah, lihat tabel yang mengikuti diagram alur.

Langkah	Tindakan	Deskripsi
1	Temukan grup konektor yang ditetapkan ke aplikasi	Anda mungkin memiliki konektor yang diinstal di beberapa server, dalam hal ini konektor harus ditetapkan ke grup konektor. Untuk mempelajari selengkapnya tentang grup konektor, lihat Memahami grup konektor jaringan privat Microsoft Entra.
2	Instal konektor dan tetapkan grup	Jika Anda tidak memiliki konektor yang terinstal, lihat mengonfigurasi konektor). Jika konektor tidak ditetapkan ke grup, lihat Menetapkan konektor ke grup. Jika aplikasi tidak ditetapkan ke grup konektor, lihat Menetapkan aplikasi ke grup konektor.
3	Jalankan uji port pada server konektor	Di server konektor, jalankan pengujian port dengan menggunakan telnet atau alat pengujian port lainnya untuk memeriksa apakah port dikonfigurasi dengan benar. Untuk mempelajari selengkapnya, lihat mengonfigurasi konektor.
4	Konfigurasikan domain dan port	Konfigurasikan konektor untuk konektor. Port tertentu harus terbuka dan URL yang harus dapat diakses server Anda. Untuk informasi selengkapnya, lihat mengonfigurasi konektor.
5	Periksa apakah proksi back-end sedang digunakan	Periksa untuk melihat apakah konektor menggunakan server proksi back-end atau melewatinya. Untuk detailnya, lihat Memecahkan masalah proksi konektor dan masalah konektivitas layanan.
6	Memperbarui pengaturan konektor dan updater dengan informasi proksi back-end	Jika proksi back-end sedang digunakan, pastikan konektor menggunakan proksi yang sama. Untuk detail tentang pemecahan masalah dan konfigurasi konektor agar berfungsi dengan server proksi, lihat Bekerja dengan server proksi lokal yang ada.
7	Muat URL internal aplikasi di server konektor	Di server konektor, muat URL internal aplikasi.
8	Periksa konektivitas jaringan internal	Ada masalah konektivitas di jaringan internal Anda yang tidak dapat diagnosis oleh aliran penelusuran kesalahan ini. Aplikasi harus dapat diakses secara internal agar konektor dapat berfungsi. Anda dapat mengaktifkan dan melihat log peristiwa konektor seperti yang dijelaskan dalam konektor jaringan privat.
9	Perpanjang nilai batas waktu di back end	Di Pengaturan Tambahan untuk aplikasi Anda, ubah pengaturan Batas Waktu Aplikasi Backend menjadi Lama. Lihat Menambahkan aplikasi lokal ke MICROSOFT Entra ID.
10	Jika masalah berlanjut, debug aplikasi.	Men-debug masalah aplikasi proksi aplikasi.

Tanya jawab umum

Mengapa konektor saya masih menggunakan versi yang lebih lama dan tidak ditingkatkan secara otomatis ke versi terbaru?

Hal ini dapat disebabkan oleh layanan updater tidak berfungsi dengan benar atau jika tidak ada pembaruan baru yang tersedia yang dapat diinstal oleh layanan.

Layanan updater sehat jika berjalan dan tidak ada kesalahan yang dicatat di log peristiwa (log Aplikasi dan Layanan -> Microsoft -> Jaringan privat Microsoft Entra -> Updater -> Admin).

Penting

Hanya versi utama yang dirilis untuk peningkatan otomatis. Sebaiknya perbarui konektor Anda secara manual hanya jika diperlukan. Contohnya, Anda tidak dapat menunggu perilisan utama karena harus memperbaiki masalah yang diketahui atau Anda ingin menggunakan fitur baru. Untuk informasi selengkapnya tentang rilis baru, jenis rilis (unduh, peningkatan otomatis), perbaikan bug, dan fitur baru lihat, konektor jaringan privat Microsoft Entra: Riwayat rilis versi.

Untuk meningkatkan konektor secara manual:

• Unduh konektor versi terbaru. (Anda dapat menemukannya di bawah proksi aplikasi di pusat admin Microsoft Entra.
• Alat penginstal memulai ulang layanan konektor jaringan privat Microsoft Entra. Dalam beberapa kasus, reboot server mungkin diperlukan jika penginstal tidak dapat mengganti semua file. Oleh karena itu, kami sarankan untuk menutup semua aplikasi (contohnya Pemantau Peristiwa) sebelum memulai peningkatan.
• Jalankan alat penginstal. Proses peningkatan cepat dan tidak memerlukan penyediaan kredensial apa pun dan konektor tidak terdaftar ulang.

Dapatkah layanan konektor jaringan privat berjalan dalam konteks pengguna yang berbeda dari default?

Tidak, skenario ini tidak didukung. Pengaturan default adalah:

• Konektor jaringan privat Microsoft Entra - WAPCSvc - Layanan Jaringan
• Microsoft Entra private network connector Updater - WAPCUpdaterSvc - NT Authority\System

Bisakah pengguna tamu dengan peran Administrator Global atau Administrator Aplikasi mendaftarkan konektor untuk penyewa (tamu)?

Tidak, hal tersebut tidak memungkinkan untuk saat ini. Percobaan pendaftaran selalu dibuat pada penyewa asal pengguna.

Aplikasi backend saya dihosting di beberapa server web dan memerlukan kegigihan sesi pengguna (stickiness). Bagaimana cara mencapai persistensi sesi?

Untuk rekomendasi, lihat Ketersediaan tinggi dan penyeimbangan beban konektor dan aplikasi jaringan privat Anda.

Apakah penghentian TLS (inspeksi atau percepatan TLS/HTTPS) pada lalu lintas dari server konektor ke Azure didukung?

Konektor jaringan privat melakukan autentikasi berbasis sertifikat ke Azure. Penghentian TLS (inspeksi atau percepatan TLS/HTTPS) melanggar metode autentikasi ini dan tidak didukung. Lalu lintas dari konektor ke Azure harus melewati semua perangkat yang menjalankan Penghentian TLS.

Apakah TLS 1.2 diperlukan untuk semua koneksi?

Ya. Untuk memberikan enkripsi terbaik di kelasnya kepada pelanggan kami, layanan proksi aplikasi membatasi akses hanya ke protokol TLS 1.2. Perubahan ini diluncurkan secara bertahap dan berlaku sejak tanggal 31 Agustus, 2019. Pastikan bahwa semua kombinasi server klien dan server browser Anda diperbarui untuk menggunakan TLS 1.2 untuk mempertahankan koneksi ke layanan proksi aplikasi. Ini termasuk klien yang digunakan pengguna Anda untuk mengakses aplikasi yang diterbitkan melalui proksi aplikasi. Lihat Mempersiapkan TLS 1.2 di Office 365 untuk referensi dan sumber daya yang bermanfaat.

Dapatkah saya menempatkan perangkat proksi penerusan antara server konektor dan server aplikasi back-end?

Ya, skenario ini didukung mulai dari konektor versi 1.5.1526.0. Lihat Menggunakan server proksi lokal yang ada.

Haruskah saya membuat akun khusus untuk mendaftarkan konektor dengan proksi aplikasi Microsoft Entra?

Tidak ada alasan untuk melakukan hal ini. Setiap Administrator Global atau akun administrator aplikasi berfungsi. Info masuk yang dimasukkan saat instalasi tidak digunakan setelah proses pendaftaran. Sebagai gantinya, sertifikat dikeluarkan untuk konektor, yang digunakan untuk autentikasi sejak saat itu.

Bagaimana cara memantau performa konektor jaringan privat Microsoft Entra?

Terdapat penghitung Pemantau Performa yang diinstal bersama dengan konektor. Untuk melihatnya:

1. Pilih Mulai, ketik "Perfmon", dan tekan ENTER.
2. Pilih Pemantau Performa dan klik ikon + berwarna hijau.
3. Tambahkan penghitung konektor jaringan privat Microsoft Entra yang ingin Anda pantau.

Apakah konektor jaringan privat Microsoft Entra harus berada di subnet yang sama dengan sumber daya?

Konektor tidak harus berada di subnet yang sama. Namun, konektor memerlukan resolusi nama (DNS, file host) ke sumber daya dan konektivitas jaringan yang diperlukan (perutean ke sumber daya, port yang terbuka ke sumber daya, dll.). Untuk rekomendasi, lihat Pertimbangan topologi jaringan saat menggunakan proksi aplikasi Microsoft Entra.

Mengapa konektor masih ditampilkan di pusat admin Microsoft Entra setelah saya menghapus instalan konektor dari Server?

Saat konektor berjalan, konektor tetap aktif saat terhubung ke layanan. Konektor yang tidak diinstal atau tidak digunakan ditandai sebagai tidak aktif dan dihapus setelah 10 hari tidak aktif dari portal. Tidak ada cara untuk menghapus konektor Tidak Aktif secara manual dari pusat admin Microsoft Entra.

Langkah berikutnya

• Memahami konektor jaringan privat Microsoft Entra