Risolvere i problemi e i messaggi di errore di Application Proxy
Verificare prima di tutto che i connettori di rete privata siano configurati correttamente. Per altre informazioni, vedere Debug dei problemi del connettore di rete privata e Debug dei problemi dell'applicazione proxy dell'applicazione.
Se si verificano errori durante l'accesso a un'applicazione pubblicata o durante la pubblicazione di applicazioni, controllare le opzioni seguenti per verificare se Microsoft Entra Application Proxy funziona correttamente:
- Aprire la console dei servizi Windows. Verificare che il servizio Connettore di rete privata Microsoft Entra sia abilitato e in esecuzione. Esaminare la pagina delle proprietà del servizio proxy di applicazione, come illustrato nell'immagine.
- Aprire Visualizzatore eventi e cercare gli eventi del connettore di rete privata in Registri applicazioni e servizi>microsoft Microsoft>Entra private network> Connessione or> Amministrazione.
- Esaminare i log dettagliati. Attivare i log di sessione del connettore di rete privata.
La pagina non viene visualizzata correttamente
Si verificano problemi con il rendering dell'applicazione o il funzionamento non corretto senza ricevere messaggi di errore specifici. Il problema si verifica se è stato pubblicato il percorso dell'articolo, ma l'applicazione richiede il contenuto presente all'esterno di tale percorso.
Ad esempio, se si pubblica il percorso https://yourapp/app
, ma l'applicazione chiama immagini in https://yourapp/media
, non ne viene eseguito il rendering. Assicurarsi di pubblicare l'applicazione usando il percorso di livello più alto necessario per includere tutto il contenuto rilevante. In questo esempio si tratta di http://yourapp/
.
Il caricamento di un'applicazione proxy di applicazione richiede troppo tempo
Le applicazioni possono essere funzionali, ma riscontrano una latenza lunga. Le modifiche della topologia di rete possono apportare miglioramenti alla velocità. Per una valutazione delle diverse topologie, consultare il documento relativo alle considerazioni sulla rete.
La pagina dell'applicazione non viene visualizzata correttamente per un'applicazione proxy di applicazione
Quando si pubblica un'app proxy dell'applicazione, solo le pagine nella radice sono accessibili quando si accede all'applicazione. Se la pagina non viene visualizzata correttamente, l'URL interno radice usato per l'applicazione potrebbe non includere alcune risorse della pagina. Per risolvere il problema, pubblicare tutte le risorse per la pagina come parte dell'applicazione.
Verificare se le risorse mancanti sono il problema. Apertura del tracker di rete, ad esempio Fiddler o strumenti F12 in Microsoft Edge. Caricare la pagina e cercare errori 404. Gli errori indicano che non è possibile trovare le pagine e che è necessario pubblicarle.
Si supponga, ad esempio, di aver pubblicato un'applicazione spese usando l'URL http://myapps/expenses
interno , ma l'app usa il foglio http://myapps/style.css
di stile . Il foglio di stile non viene pubblicato nell'applicazione, quindi il caricamento dell'app spese genera un errore durante il 404
tentativo di caricamento style.css
di . In questo esempio risolvere il problema pubblicando l'applicazione con l'URL http://myapp/
interno .
Problemi relativi alla pubblicazione come singola applicazione
Se non è possibile pubblicare tutte le risorse all'interno della stessa applicazione, è necessario pubblicare più applicazioni e abilitare i collegamenti tra di essi.
A questo scopo, è consigliabile usare la soluzione con domini personalizzati. Con questa soluzione, tuttavia, è necessario essere il proprietario del certificato per il dominio e che le applicazioni usino nomi di domino completi (FQDN). Per altre opzioni, vedere la documentazione per la risoluzione dei problemi relativi a collegamenti interrotti.
Si è verificato un problema di connettività con l'applicazione
Non so quali porte aprire per l'applicazione.
Si è verificato un problema di configurazione del proxy di applicazione di Microsoft Entra nel portale di amministrazione
Non si sa come configurare l'accesso Single Sign-On all'applicazione proxy dell'applicazione.
Si è verificato un problema di configurazione dell'autenticazione back-end nell'applicazione
Non si sa come configurare la delega vincolata Kerberos. Non si sa come configurare l'applicazione con PingAccess.
Si è verificato un problema di accesso all'applicazione
Viene visualizzato l'errore Can't Access this Corporate Application
. Per risolvere questo problema, vedere Errore di timeout del gateway non valido.
Si è verificato un problema con il connettore di rete privata
Si verificano problemi durante l'installazione del connettore di rete privata.
Errori di Kerberos
Questa tabella contiene gli errori più comuni generati dall'installazione e dalla configurazione di Kerberos e include suggerimenti per la risoluzione.
Error | Procedure consigliate |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Se l'installazione del connettore non riesce, verificare che i criteri di esecuzione di PowerShell non siano disabilitati. 1. Aprire l'Editor Criteri di gruppo. 2. Passare a Configurazione> computer Amministrazione Modelli>amministrativi Componenti>di Windows Windows PowerShell e fare doppio clic su Attiva esecuzione script. 3. I criteri di esecuzione possono essere impostati su Non configurato o Abilitato. Se l'impostazione è Abilitato, verificare che in Opzioni la voce Criteri di esecuzione sia impostata su Consenti script locali e script remoti firmati o su Consenti tutti gli script. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Questo errore indica una configurazione non corretta tra Microsoft Entra ID e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel server applicazioni back-end siano sincronizzate. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Si è verificato un problema con la configurazione del servizio token di sicurezza( STS). Correggere la configurazione dell'attestazione NOME entità utente (UPN) nel servizio token di sicurezza. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione del nome dell'entità servizio (SPN). Assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Entrambi devono usare lo stesso dominio. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione del nome SPN. Assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Entrambi devono usare lo stesso dominio. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
Questo evento indica una configurazione non corretta tra Microsoft Entra ID e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel server applicazioni back-end siano sincronizzate. Per altre informazioni, vedere Risolvere i problemi relativi alle configurazioni di delega vincolata Kerberos per il proxy dell'applicazione. |
Errori utente finale
Questo elenco contiene gli errori che potrebbero verificarsi quando gli utenti finali tentano di accedere all'app senza riuscirci.
Error | Procedure consigliate |
---|---|
The website cannot display the page. |
L'utente riceve questo errore quando si tenta di accedere all'app pubblicata se l'applicazione è un'applicazione di autenticazione integrata di Windows ( IWA). Il nome dell'entità servizio dell'applicazione definito non è corretto. Per le app con autenticazione integrata di Windows, assicurarsi che il nome dell'entità servizio configurato per l'applicazione sia corretto. |
The website cannot display the page. |
L'utente riceve questo errore quando si tenta di accedere all'app pubblicata se l'applicazione è un'applicazione OWA (Outlook Web Application). Il problema risulta da: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
L'utente riceve questo errore quando tenta di accedere all'app pubblicata se usano account Microsoft anziché il proprio account aziendale per accedere. Questo errore viene visualizzato dagli utenti guest. Gli utenti e gli utenti guest dell'account Microsoft non possono accedere alle applicazioni IWA. Assicurarsi che l'utente acceda con il proprio account aziendale corrispondente al dominio dell'applicazione pubblicata. È necessario assegnare l'utente per questa applicazione. Passare alla scheda Applicazione, quindi in Utenti e gruppi assegnare l'utente o il gruppo di utenti all'applicazione. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
L'utente riceve questo errore quando tenta di accedere all'app pubblicata se non sono definite correttamente per questa applicazione sul lato locale. Assicurarsi che gli utenti dispongano delle autorizzazioni appropriate definite per questa applicazione back-end nel computer locale. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
L'utente riceve questo errore quando tenta di accedere all'app pubblicata se non sono state assegnate in modo esplicito con una licenza Premium dall'amministratore del sottoscrittore. Passare alla scheda Licenze Active Directory del sottoscrittore e assicurarsi che a questo utente o gruppo di utenti sia assegnata una licenza Premium. |
A server with the specified host name could not be found. |
L'utente riceve questo errore quando si tenta di accedere all'app pubblicata se il dominio personalizzato dell'applicazione non è configurato correttamente. Controllare il certificato per il dominio e configurare correttamente il record DNS (Domain Name System). Per altre informazioni, vedere Uso di domini personalizzati in Microsoft Entra application proxy. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Il problema potrebbe essere un problema con l'accesso alle informazioni di autorizzazione. Per altre informazioni, vedere (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). In breve, aggiungere l'account del computer del connettore di rete privato al gruppo di dominio predefinito "Gruppo di accesso autorizzazioni Windows" per risolvere. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Il connettore protegge le connessioni in uscita agli endpoint servizio cloud del proxy dell'applicazione Microsoft Entra usando un certificato client. L'errore si verifica quando il certificato client non riesce a raggiungere l'endpoint. Ad esempio, un dispositivo di rete che esegue l'ispezione TLS (Transport Layer Security) o interrompe la connessione TLS. Evitare l'ispezione inline e la terminazione delle comunicazioni TLS in uscita. L'ispezione e la terminazione non devono verificarsi tra i connettori di rete privata Di Microsoft Entra e i servizi cloud proxy dell'applicazione Microsoft Entra. |