Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i passaggi che è possibile eseguire per risolvere i problemi e i messaggi di errore nel proxy dell'applicazione Microsoft Entra.
Prima di iniziare
La prima cosa da controllare è il connettore. Per informazioni su come eseguire il debug di un connettore di rete privata, vedere Eseguire il debug dei problemi del connettore di rete privata. Se si verificano ancora problemi di connessione all'applicazione, tornare a questo articolo per risolvere i problemi dell'applicazione.
Se un utente rileva un errore durante l'accesso o la pubblicazione di un'applicazione, seguire questa procedura per verificare che il proxy dell'applicazione Microsoft Entra funzioni correttamente:
Aprire la console servizi Windows. Verificare che il connettore di rete privata Microsoft Entra servizio sia abilitato e in esecuzione. Guarda la pagina delle proprietà del servizio proxy dell'applicazione.
Aprire Visualizzatore eventi. Passare a Registri applicazioni e servizi Microsoft>>Entra private network>Connector>Admin e verificare la presenza di eventi del connettore di rete privata.
Esaminare i log dettagliati. Informazioni su come attivare i log delle sessioni del connettore di rete privata.
Errori di configurazione dell'applicazione
Esaminare le sezioni seguenti per i problemi di configurazione comuni e le soluzioni suggerite.
Il rendering dell'app non viene eseguito correttamente
Si verificano problemi con il rendering dell'applicazione o funziona in modo non corretto, ma non viene visualizzato alcun messaggio di errore specifico.
Questo problema si verifica se un'applicazione richiede contenuto esistente all'esterno del percorso usato per pubblicare l'app.
Ad esempio, se si pubblica il percorso https://yourapp/app, ma l'applicazione fa riferimento a immagini che si trovano in https://yourapp/media, le immagini non vengono visualizzate nell'applicazione.
Assicurati di pubblicare l'applicazione utilizzando il percorso di livello più elevato necessario per includere tutti i file e i contenuti referenziati. Nell'esempio il livello è http://yourapp/.
Verificare che le risorse mancanti hanno causato il problema:
- Aprire il tracker di rete, ad esempio usando Fiddler o gli strumenti di sviluppo del browser (selezionare F12 in Internet Explorer o Microsoft Edge).
- Caricare la pagina.
- Cercare gli errori ID errore 404.
Un errore 404 indica che le pagine non sono state trovate e che è necessario pubblicarle.
Il caricamento dell'app richiede troppo tempo
Le applicazioni possono essere funzionali ma hanno una latenza lunga.
È possibile apportare modifiche alla topologia di rete per migliorare la velocità dell'applicazione. Esaminare le considerazioni sulla rete.
Problema di pubblicazione come singola applicazione
Se non è possibile pubblicare tutte le risorse nella stessa applicazione, pubblicare più applicazioni e configurare i collegamenti tra di essi. Per questo scenario, è consigliabile usare domini personalizzati. Tuttavia, questa soluzione richiede che sia proprietario del certificato per il dominio e che le applicazioni usino nomi di dominio completi (FQDN). Per altre opzioni, risolvere i problemi relativi ai collegamenti interrotti.
Problema durante la configurazione della connettività per un'app
Per le cause e le risoluzioni suggerite, vedere Porte da aprire per un'applicazione proxy.
Problema durante la configurazione del proxy dell'applicazione Microsoft Entra nel portale di amministrazione
Per le cause e le risoluzioni suggerite, vedere Single Sign-On in un'applicazione proxy di applicazione.
Problema nell'impostare l'autenticazione back-end nell'applicazione
Per le cause e le risoluzioni suggerite, vedere gli articoli seguenti:
- Risolvere i problemi relativi alla delega vincolata Kerberos
- Single Sign-On usando il proxy dell'applicazione e PingAccess
Non è possibile accedere all'applicazione
Se viene visualizzato l'errore This corporate app can’t be accessed e non è possibile accedere all'applicazione, si è verificato un errore di configurazione. Per le soluzioni suggerite, vedere Risoluzione degli errori di timeout del gateway difettoso.
Errori del connettore di rete privata
Per le cause e le risoluzioni suggerite, vedere Installare il connettore di rete privata.
Errori Kerberos
La tabella seguente descrive gli errori più comuni e la relativa risoluzione nell'installazione e nella configurazione Kerberos:
| Errore | Spiegazione e procedura da eseguire |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Se l'installazione del connettore fallisce, controllare che i criteri di esecuzione di PowerShell non siano disabilitati. Aprire l'Editor Criteri di gruppo. 2. Passare a Configurazione computer>Modelli amministrativi>Componenti di Windows>Windows PowerShell, quindi fare doppio clic su Attiva esecuzione script. 3. I criteri di esecuzione possono essere impostati su Non configurato o Abilitato. Se il criterio è impostato su Abilitato, assicurarsi che in Opzioni il criterio di esecuzione sia impostato su Consenti script locali e script firmati remoti o Consenti tutti gli script. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Questo errore indica una configurazione errata tra Microsoft Entra ID e il server applicazioni back-end oppure si è verificato un problema con la configurazione dell'ora e della data in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato dall'ID Microsoft Entra. Verificare che l'ID Microsoft Entra e il server dell'applicazione back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data su Microsoft Entra ID e sul server dell'applicazione back-end siano sincronizzate. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Si è verificato un problema con la configurazione del servizio token di sicurezza.There's problem with the security token service (STS) configuration. Correggere la configurazione dell'attestazione Nome principale utente (UPN) nel Security Token Service. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server di applicazioni back-end siano configurati correttamente, soprattutto la configurazione del nome principale di servizio (SPN). Assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Entrambi devono usare lo stesso dominio. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione SPN. Assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Entrambi devono usare lo stesso dominio. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server dell'applicazione back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel server applicazioni back-end siano sincronizzate. Per altre informazioni, vedere Risolvere i problemi relativi alle configurazioni di delega vincolata Kerberos per il proxy dell'applicazione. |
Errori utente dell'app
La tabella seguente descrive gli errori che un utente dell'app potrebbe riscontrare quando tenta di accedere a un'app proxy di applicazione:
| Errore | Spiegazione e procedura da eseguire |
|---|---|
The website cannot display the page. |
Un utente visualizza l'errore quando tenta di accedere a un'app di autenticazione integrata di Windows pubblicata. Il nome SPN definito per l'applicazione non è corretto. Assicurarsi che il nome SPN per l'applicazione sia corretto. |
The website cannot display the page. |
Un utente visualizza l'errore quando tenta di accedere a un'app Outlook Web Application (OWA) pubblicata. Il problema risulta da: - Il nome SPN definito per l'applicazione non è corretto. Assicurarsi che il nome SPN per l'applicazione sia corretto. - L'utente che ha tentato di accedere all'applicazione usa un account Microsoft anziché l'account aziendale per accedere oppure l'utente è un utente guest. Assicurarsi che l'utente acceda utilizzando un account aziendale che corrisponda al dominio dell'applicazione pubblicata. Gli utenti e gli utenti guest dell'account Microsoft non possono accedere alle applicazioni IWA. - L'utente che ha tentato di accedere all'applicazione non è definito correttamente per l'applicazione nella configurazione locale. Assicurarsi che l'utente disponga delle autorizzazioni locali necessarie per accedere all'applicazione back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Questo errore si verifica quando un utente tenta di accedere a un'app usando un account Microsoft o come utente guest. Gli utenti e gli utenti guest dell'account Microsoft non possono accedere alle applicazioni IWA. Assicuratevi che l'utente acceda con un account aziendale che corrisponde al dominio dell'app. Per risolvere il problema, passare alla scheda Applicazione , in Utenti e gruppi e assegnare l'utente o il gruppo all'app. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
L'utente che ha tentato di accedere all'applicazione non è definito correttamente per l'applicazione nella configurazione locale. Assicurarsi che l'utente disponga delle autorizzazioni locali necessarie per accedere all'applicazione back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Un utente visualizza l'errore quando tenta di accedere all'app pubblicata se non è stata assegnata in modo esplicito con una licenza Premium dall'amministratore del sottoscrittore. Nella scheda Licenze Microsoft Entra ID del sottoscrittore verificare che all'utente o al gruppo di utenti sia assegnata una licenza Premium. |
A server with the specified host name could not be found. |
Un utente visualizza l'errore quando tenta di accedere all'app pubblicata e il dominio personalizzato dell'applicazione non è configurato correttamente. Controllare il certificato per il dominio e configurare correttamente il record DNS (Domain Name System). Per altre informazioni, vedere Usare domini personalizzati in Microsoft Entra application proxy. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Il problema potrebbe essere un problema con l'accesso alle informazioni di autorizzazione. Per altre informazioni, vedere (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Per risolvere l'errore, aggiungere l'account del computer del connettore di rete privato al gruppo di dominio predefinito del gruppo di dominio di accesso autorizzazioni di Windows. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Il connettore utilizza un certificato client per proteggere le connessioni in uscita agli endpoint del servizio cloud del proxy dell'applicazione Microsoft Entra. L'errore si verifica quando il certificato client non riesce a raggiungere l'endpoint. Ad esempio, può verificarsi quando un dispositivo di rete esegue l'ispezione TLS (Transport Layer Security) o interrompe la connessione TLS. Per risolvere l'errore, evitare l'ispezione inline e la terminazione delle comunicazioni TLS in uscita. L'ispezione e la terminazione non devono verificarsi tra i connettori di rete privata Di Microsoft Entra e i servizi cloud proxy dell'applicazione Microsoft Entra. |