Risoluzione dei problemi di configurazione dell'endpoint privato per gli account Microsoft Purview

  • Articolo

Questa guida riepiloga le limitazioni note relative all'uso di endpoint privati per Microsoft Purview e fornisce un elenco di passaggi e soluzioni per la risoluzione di alcuni dei problemi rilevanti più comuni.

Limitazioni note

  • Attualmente non sono supportati endpoint privati di inserimento che funzionano con le origini AWS.
  • L'analisi di Più origini di Azure usando il runtime di integrazione self-hosted non è supportata.
  • L'uso del runtime di integrazione di Azure per analizzare le origini dati dietro l'endpoint privato non è supportato.
  • Gli endpoint privati di inserimento possono essere creati tramite l'esperienza del portale di governance di Microsoft Purview descritta nei passaggi qui. Non possono essere creati dal centro collegamento privato.
  • La creazione di un record DNS per gli endpoint privati di inserimento all'interno delle zone DNS di Azure esistenti, mentre le zone DNS privato di Azure si trovano in una sottoscrizione diversa rispetto agli endpoint privati non è supportata tramite l'esperienza del portale di governance di Microsoft Purview. Un record può essere aggiunto manualmente nelle zone DNS di destinazione nell'altra sottoscrizione.
  • Se si abilita un hub eventi gestito dopo la distribuzione di un endpoint privato di inserimento, sarà necessario ridistribuire l'endpoint privato di inserimento.
  • Il computer di runtime di integrazione self-hosted deve essere distribuito nella stessa rete virtuale o in una rete virtuale con peering in cui vengono distribuiti l'account Microsoft Purview e gli endpoint privati di inserimento.
  • Attualmente non è supportata l'analisi di un tenant di Power BI tra tenant, con un endpoint privato configurato con l'accesso pubblico bloccato.
  • Per limitazioni correlate al servizio collegamento privato, vedere limiti collegamento privato di Azure.

  1. Dopo aver distribuito gli endpoint privati per l'account Microsoft Purview, esaminare l'ambiente Azure per assicurarsi che le risorse degli endpoint privati vengano distribuite correttamente. A seconda dello scenario, è necessario distribuire uno o più degli endpoint privati di Azure seguenti nella sottoscrizione di Azure:

    Endpoint privato Endpoint privato assegnato a Esempio
    Account Microsoft Purview Account mypurview-private-account
    Portale Microsoft Purview Account mypurview-private-portal
    Ingestione Account di archiviazione gestito (BLOB) mypurview-ingestion-BLOB
    Ingestione Account di archiviazione gestito (coda) mypurview-ingestion-queue
    Ingestione Spazio dei nomi di Hub eventi* mypurview-ingestion-namespace

Nota

*Lo spazio dei nomi di Hub eventi è necessario solo se è stato configurato nell'account Microsoft Purview. È possibile archiviare la configurazione di Kafka nelle impostazioni nella pagina dell'account Microsoft Purview nel portale di Azure.

  1. Se l'endpoint privato del portale viene distribuito, assicurarsi di distribuire anche l'endpoint privato dell'account.

  2. Se l'endpoint privato del portale viene distribuito e l'accesso alla rete pubblica è impostato su deny nell'account Microsoft Purview, assicurarsi di avviare il portale di governance di Microsoft Purview dalla rete interna.

    • Per verificare la risoluzione corretta dei nomi, è possibile usare uno strumento da riga di comando NSlookup.exe per eseguire query web.purview.azure.comsu . Il risultato deve restituire un indirizzo IP privato appartenente all'endpoint privato del portale.
    • Per verificare la connettività di rete, è possibile usare qualsiasi strumento di test di rete per testare la connettività in uscita all'endpoint web.purview.azure.com alla porta 443. La connessione deve avere esito positivo.

  3. Se si usano le zone DNS privato di Azure, assicurarsi che le zone DNS di Azure necessarie siano distribuite e che sia presente un record DNS (A) per ogni endpoint privato.

  4. Testare la connettività di rete e la risoluzione dei nomi dal computer di gestione all'endpoint Microsoft Purview e all'URL Web purview. Se vengono distribuiti endpoint privati dell'account e del portale, gli endpoint devono essere risolti tramite indirizzi IP privati.

    Test-NetConnection -ComputerName web.purview.azure.com -Port 443

    Esempio di connessione in uscita riuscita tramite indirizzo IP privato:

    ComputerName     : web.purview.azure.com
RemoteAddress    : 10.9.1.7
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

    Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443

    Esempio di connessione in uscita riuscita tramite indirizzo IP privato:

    ComputerName     : purview-test01.purview.azure.com
RemoteAddress    : 10.9.1.8
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

  5. Se l'account Microsoft Purview è stato creato dopo il 18 agosto 2021, assicurarsi di scaricare e installare la versione più recente del runtime di integrazione self-hosted dall'Area download Microsoft.

  6. Dalla macchina virtuale di runtime di integrazione self-hosted, testare la connettività di rete e la risoluzione dei nomi all'endpoint di Microsoft Purview.

  7. Dal runtime di integrazione self-hosted, testare la connettività di rete e la risoluzione dei nomi alle risorse gestite di Microsoft Purview, ad esempio la coda BLOB, e alle risorse secondarie, come Hub eventi, fino alla porta 443 e agli indirizzi IP privati. Sostituire l'account di archiviazione gestita e lo spazio dei nomi di Hub eventi con i nomi delle risorse corrispondenti.

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443

    Esempio di connessione in uscita riuscita all'archiviazione BLOB gestita tramite indirizzo IP privato:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.6
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443

    Esempio di connessione in uscita riuscita all'archiviazione code gestita tramite indirizzo IP privato:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.5
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443

    Esempio di connessione in uscita riuscita allo spazio dei nomi di Hub eventi tramite indirizzo IP privato:

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
RemoteAddress    : 10.15.1.4
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

  8. Dalla rete in cui si trova l'origine dati, testare la connettività di rete e la risoluzione dei nomi all'endpoint di Microsoft Purview e agli endpoint delle risorse gestiti o configurati.

  9. Se le origini dati si trovano nella rete locale, esaminare la configurazione del server d'inoltro DNS. Risoluzione dei nomi di test dalla stessa rete in cui si trovano le origini dati al runtime di integrazione self-hosted, agli endpoint di Microsoft Purview e alle risorse gestite o configurate. Si prevede che ottenga un indirizzo IP privato valido dalla query DNS per ogni endpoint.

    Per altre informazioni, vedere Carichi di lavoro di rete virtuale senza server DNS personalizzato e carichi di lavoro locali che usano scenari di server d'inoltro DNS nella configurazione DNS dell'endpoint privato di Azure.

  10. Se le macchine virtuali del runtime di integrazione self-hosted e del computer di gestione vengono distribuite nella rete locale e si è configurato il server d'inoltro DNS nell'ambiente, verificare le impostazioni DNS e di rete nell'ambiente.

  11. Se viene usato l'endpoint privato di inserimento, assicurarsi che il runtime di integrazione self-hosted sia registrato correttamente all'interno dell'account Microsoft Purview e che sia in esecuzione sia all'interno della macchina virtuale di runtime di integrazione self-hosted che nel portale di governance di Microsoft Purview .

Errori e messaggi comuni

Problema

Quando si esegue un'analisi, è possibile che venga visualizzato il messaggio di errore seguente:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

Causa

Può essere un'indicazione dei problemi relativi alla connettività o alla risoluzione dei nomi tra la macchina virtuale che esegue il runtime di integrazione self-hosted e l'account di archiviazione gestito di Microsoft Purview o hub eventi configurato.

Risoluzione

Verificare se la risoluzione dei nomi ha esito positivo tra la macchina virtuale che esegue il Self-Hosted Integration Runtime e la coda BLOB gestita di Microsoft Purview o gli hub eventi configurati tramite la porta 443 e gli indirizzi IP privati (passaggio 8 precedente).

Problema

Quando si esegue una nuova analisi, è possibile che venga visualizzato il messaggio di errore seguente:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

Causa

Può essere un'indicazione dell'esecuzione di una versione precedente del runtime di integrazione self-hosted. Sarà necessario usare il runtime di integrazione self-hosted versione 5.9.7885.3 o successiva.

Risoluzione

Aggiornare il runtime di integrazione self-hosted alla versione 5.9.7885.3.

Problema

L'account Microsoft Purview con distribuzione di endpoint privati non è riuscito con Criteri di Azure errore di convalida durante la distribuzione.

Causa

Questo errore suggerisce che potrebbe essere presente un'assegnazione di Criteri di Azure esistente nella sottoscrizione di Azure che impedisce la distribuzione di una delle risorse di Azure necessarie.

Risoluzione

Esaminare le assegnazioni di Criteri di Azure esistenti e assicurarsi che la distribuzione delle risorse di Azure seguenti sia consentita nella sottoscrizione di Azure.

Nota

A seconda dello scenario, potrebbe essere necessario distribuire uno o più dei tipi di risorse di Azure seguenti:

  • Microsoft Purview (Microsoft.Purview/Accounts)
  • Endpoint privato (Microsoft.Network/privateEndpoints)
  • zone DNS privato (Microsoft.Network/privateDnsZones)
  • Spazio dei nomi dell'hub eventi (Microsoft.EventHub/namespaces)
  • Account di archiviazione (Microsoft.Storage/storageAccounts)

Problema

Non autorizzato ad accedere a questo account Microsoft Purview. Questo account Microsoft Purview si trova dietro un endpoint privato. Accedere all'account da un client nella stessa rete virtuale configurata per l'endpoint privato dell'account Microsoft Purview.

Causa

L'utente sta provando a connettersi a Microsoft Purview da un endpoint pubblico o usando gli endpoint pubblici di Microsoft Purview in cui l'accesso alla rete pubblica è impostato su Nega.

Risoluzione

In questo caso, per aprire il portale di governance di Microsoft Purview, usare un computer distribuito nella stessa rete virtuale dell'endpoint privato del portale di governance di Microsoft Purview o usare una macchina virtuale connessa a CorpNet in cui è consentita la connettività ibrida.

Problema

Quando si esegue l'analisi di un server SQL, è possibile che venga visualizzato il messaggio di errore seguente usando un runtime di integrazione self-hosted:

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

Causa

Il computer di runtime di integrazione self-hosted ha abilitato la modalità FIPS. Federal Information Processing Standards (FIPS) definisce un determinato set di algoritmi di crittografia che possono essere usati. Quando la modalità FIPS è abilitata nel computer, alcune classi di crittografia da cui dipendono i processi richiamati vengono bloccate in alcuni scenari.

Risoluzione

Disabilitare la modalità FIPS nel server di integrazione self-hosted.

Passaggi successivi

Se il problema non è elencato in questo articolo o non è possibile risolverlo, ottenere supporto visitando uno dei canali seguenti:

  • Ottenere risposte dagli esperti tramite Microsoft Q&A.
  • Connettersi con @AzureSupport. Questa risorsa ufficiale di Microsoft Azure su Twitter consente di migliorare l'esperienza dei clienti connettendo la community di Azure alle risposte, al supporto e agli esperti corretti.
  • Se è ancora necessaria assistenza, passare al sito supporto tecnico di Azure e selezionare Invia una richiesta di supporto.