Risolvere i problemi e i messaggi di errore del proxy dell'applicazione
Per risolvere i problemi relativi al proxy di applicazione, è consigliabile iniziare a esaminare il flusso di risoluzione dei problemi, eseguire il debug dei problemi del proxy di applicazione Connessione or per determinare se i connettori del proxy di applicazione sono configurati correttamente. Se si verificano ancora problemi di connessione all'applicazione, seguire il flusso per la risoluzione dei problemi in Debug dei problemi con l'applicazione Application Proxy.
Se si verificano errori durante l'accesso a un'applicazione pubblicata o nelle applicazioni di pubblicazione, controllare le opzioni seguenti per verificare se il proxy dell'applicazione Microsoft Entra funziona correttamente:
- Aprire la console dei servizi Windows. Verificare che il proxy dell'applicazione Microsoft Entra Connessione or sia abilitato e in esecuzione. È anche possibile osservare la pagina delle proprietà del servizio Proxy applicazione, come mostrato nell'immagine seguente:
- Aprire il Visualizzatore eventi e cercare gli eventi correlati al connettore del proxy di applicazione in Registri applicazioni e servizi>Microsoft>AadApplicationProxy>Connector>Admin.
- Se necessario, attivando i log di sessione dei connettore proxy di applicazione sono disponibili log più dettagliati.
La pagina non viene visualizzata correttamente
È possibile che si verifichino problemi di rendering o di funzionamento dell'applicazione, ma che non vengano visualizzati messaggi di errore specifici. Ciò può verificarsi se è stato pubblicato il percorso dell'articolo, ma l'applicazione richiede contenuto esistente al di fuori di tale percorso.
Se ad esempio si pubblica il percorso https://yourapp/app, ma l'applicazione chiama le immagini in https://yourapp/media, il rendering di queste ultime non verrà eseguito. Assicurarsi di pubblicare l'applicazione usando il percorso di livello più alto necessario per includere tutto il contenuto rilevante. In questo esempio si tratta di http://yourapp/.
Errori del connettore
Se la registrazione non riesce durante l'installazione guidata del connettore, esistono due modi per visualizzare il motivo dell'errore. Cercare nel registro eventi in Registri di Windows\Applicazione (filtrare in base a Source = "Microsoft Entra application proxy Connessione or" oppure eseguire il comando di Windows PowerShell seguente:
Get-EventLog application –source "Microsoft AAD Application Proxy Connector" –EntryType "Error" –Newest 1
Dopo aver individuato l'errore del connettore nel log eventi, usare questa tabella di errori comuni per risolvere il problema:
| Errore | Procedure consigliate |
|---|---|
| La registrazione del connettore non è riuscita: assicurarsi di avere abilitato il proxy di applicazione nel portale di gestione di Azure e di avere immesso il nome utente e la password di Active Directory corretti. Errore: "Si sono verificati uno o più errori". | Se la finestra di registrazione è stata chiusa senza accedere a Microsoft Entra ID, eseguire di nuovo la procedura guidata di Connessione or e registrare il Connessione or. Se si apre la finestra di registrazione e quindi si chiude immediatamente senza consentire l'accesso, probabilmente verrà visualizzato questo errore. L'errore si verifica quando viene rilevato un errore di rete nel sistema. Assicurarsi che sia possibile connettersi da un browser a un sito Web pubblico e che le porte siano aperte come specificato nei prerequisiti del proxy di applicazione. |
| Viene visualizzato un errore di cancellazione nella finestra di registrazione. Impossibile proseguire | Se viene visualizzato questo errore e la finestra si chiude, è stato commesso un errore durante l'immissione di nome utente o password. Riprovare. |
| La registrazione del connettore non è riuscita: assicurarsi di avere abilitato il proxy di applicazione nel portale di gestione di Azure e di avere immesso il nome utente e la password di Active Directory corretti. Errore: "AADSTS50059: non sono state trovate informazioni di identificazione del tenant nella richiesta o incluse in modo implicito nelle credenziali fornite e la ricerca in base all'URI dell'entità servizio non è riuscita". | Si sta provando ad accedere usando un account Microsoft e non un dominio che fa parte dell'ID organizzazione della directory a cui si sta provando ad accedere. Assicurarsi che l'amministratore faccia parte dello stesso nome di dominio del dominio tenant, ad esempio se il dominio Microsoft Entra è contoso.com, l'amministratore deve essere admin@contoso.com. |
| Non è possibile recuperare i criteri di esecuzione correnti per l'esecuzione degli script PowerShell. | Se l'installazione del Connessione or non riesce, verificare che i criteri di esecuzione di PowerShell non siano disabilitati. 1. Aprire l'Editor Criteri di gruppo. 2. Passare a Configurazione> computer Amministrazione Modelli>amministrativi Componenti>di Windows Windows PowerShell e fare doppio clic su Attiva esecuzione script. 3. I criteri di esecuzione possono essere impostati su Non configurato o Abilitato. Se l'impostazione è Abilitato, verificare che in Opzioni la voce Criteri di esecuzione sia impostata su Consenti script locali e script remoti firmati o su Consenti tutti gli script. |
| Non è stato possibile configurare il connettore. | Il certificato client del connettore usato per l'autenticazione è scaduto. Questo errore può essere visualizzato anche se l'installazione del connettore è protetta da un proxy. In questo caso il connettore non può accedere a Internet e non riuscirà a fornire applicazioni agli utenti remoti. Rinnovare manualmente l'attendibilità con il cmdlet Register-AppProxyConnector in Windows PowerShell. Se il connettore è protetto da un proxy, è necessario concedere l'accesso a Internet agli account del connettore "servizi di rete" e "sistema locale". A questo scopo, è possibile concedere agli account l'accesso al proxy o impostarli perché ignorino il proxy. |
| Connessione or registrazione non riuscita: assicurarsi di essere un Amministrazione istrator dell'applicazione di Active Directory per registrare il Connessione or. Errore: "La richiesta di registrazione è stata negata". | L'alias con cui si sta provando ad accedere non è un amministratore nel dominio. Il connettore viene sempre installato per la directory a cui appartiene il dominio dell'utente. Assicurarsi che l'account amministratore con cui si sta tentando di accedere disponga almeno delle autorizzazioni di amministratore dell'applicazione per il tenant di Microsoft Entra. |
| Il Connessione or non è riuscito a connettersi al servizio a causa di problemi di rete. Il Connessione or ha tentato di accedere all'URL seguente. | Il connettore non è in grado di connettersi al servizio cloud application proxy. Questo problema può verificarsi se si dispone di una regola del firewall che blocca la connessione. Assicurarsi di avere consentito l'accesso alle porte e agli URL corretti elencati nei prerequisiti del proxy di applicazione. |
Errori di Kerberos
Questa tabella contiene gli errori più comuni generati dall'installazione e dalla configurazione di Kerberos e include suggerimenti per la risoluzione.
| Errore | Procedure consigliate |
|---|---|
| Non è possibile recuperare i criteri di esecuzione correnti per l'esecuzione degli script PowerShell. | Se l'installazione del connettore non riesce, verificare che il criterio di esecuzione di PowerShell non sia disabilitato. 1. Aprire l'Editor Criteri di gruppo. 2. Passare a Configurazione> computer Amministrazione Modelli>amministrativi Componenti>di Windows Windows PowerShell e fare doppio clic su Attiva esecuzione script. 3. I criteri di esecuzione possono essere impostati su Non configurato o Abilitato. Se l'impostazione è Abilitato, verificare che in Opzioni la voce Criteri di esecuzione sia impostata su Consenti script locali e script remoti firmati o su Consenti tutti gli script. |
| 12008 - Microsoft Entra ha superato il numero massimo di tentativi di autenticazione Kerberos consentiti al server back-end. | Questo errore può indicare una configurazione errata tra Microsoft Entra ID e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel server applicazioni back-end siano sincronizzate. |
| 13016 - Microsoft Entra ID non può recuperare un ticket Kerberos per conto dell'utente perché non è presente alcun UPN nel token perimetrale o nel cookie di accesso. | Si è verificato un problema con la configurazione del servizio token di sicurezza. Correggere la configurazione di attestazione UPN nel servizio token di sicurezza. |
| 13019 - Microsoft Entra ID non è in grado di recuperare un ticket Kerberos per conto dell'utente a causa dell'errore dell'API generale seguente. | Questo evento può indicare una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione del nome SPN. Assicurarsi che l'ID Microsoft Entra sia aggiunto allo stesso dominio del controller di dominio per assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate. |
| 13020 - Microsoft Entra ID non può recuperare un ticket Kerberos per conto dell'utente perché il nome SPN del server back-end non è definito. | Questo evento può indicare una configurazione non corretta tra Microsoft Entra ID e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. Il controller di dominio ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione del nome SPN. Assicurarsi che l'ID Microsoft Entra sia aggiunto allo stesso dominio del controller di dominio per assicurarsi che il controller di dominio stabilisca l'attendibilità con Microsoft Entra ID. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel controller di dominio siano sincronizzate. |
| 13022 - Microsoft Entra ID non è in grado di autenticare l'utente perché il server back-end risponde ai tentativi di autenticazione Kerberos con un errore HTTP 401. | Questo evento può indicare una configurazione non corretta tra Microsoft Entra ID e il server applicazioni back-end oppure un problema nella configurazione dell'ora e della data in entrambi i computer. Il server back-end ha rifiutato il ticket Kerberos creato da Microsoft Entra ID. Verificare che l'ID Microsoft Entra e il server applicazioni back-end siano configurati correttamente. Assicurarsi che la configurazione dell'ora e della data nell'ID Microsoft Entra e nel server applicazioni back-end siano sincronizzate. Per altre informazioni, vedere Risolvere i problemi delle configurazioni della delega vincolata Kerberos per il proxy di applicazione. |
Errori utente finale
Questo elenco contiene gli errori che potrebbero verificarsi quando gli utenti finali tentano di accedere all'app senza riuscirci.
| Errore | Procedure consigliate |
|---|---|
| Impossibile visualizzare la pagina. | L'utente può visualizzare questo errore quando prova ad accedere all'app pubblicata, se l'applicazione è un'applicazione con autenticazione integrata di Windows. Il nome dell'entità servizio dell'applicazione definito potrebbe non essere corretto. Per le app con autenticazione integrata di Windows, assicurarsi che il nome dell'entità servizio configurato per l'applicazione sia corretto. |
| Impossibile visualizzare la pagina. | L'utente può visualizzare questo errore quando prova ad accedere all'app pubblicata, se si tratta di un'applicazione OWA. Il problema può dipendere da uno dei motivi seguenti: |
| This corporate app can’t be accessed. L'utente non è autorizzato ad accedere a questa applicazione. Autorizzazione non riuscita. Make sure to assign the user with access to this application. (Non è possibile accedere a questa app aziendale. L'utente non è autorizzato ad accedere a questa applicazione. Autorizzazione non riuscita. Assicurarsi di assegnare all'utente l'accesso a questa applicazione). | L'utente potrebbe ricevere questo errore quando tenta di accedere all'app pubblicata se usano account Microsoft anziché il proprio account aziendale per accedere. Anche gli utenti guest possono visualizzare questo errore. Gli utenti con account Microsoft o guest non possono accedere alle applicazioni con autenticazione integrata di Windows. Assicurarsi che l'utente acceda con il proprio account aziendale corrispondente al dominio dell'applicazione pubblicata. L'utente potrebbe non essere stato assegnato per l'applicazione. Passare alla scheda Applicazione, quindi in Utenti e gruppi assegnare l'utente o il gruppo di utenti all'applicazione. |
| This corporate app can’t be accessed right now. Riprovare più tardi. Timeout del connettore. | L'utente potrebbe ricevere questo errore quando si tenta di accedere all'app pubblicata se non sono definite correttamente per questa applicazione sul lato locale. Assicurarsi che gli utenti dispongano delle autorizzazioni appropriate definite per questa applicazione back-end nel computer locale. |
| This corporate app can’t be accessed. L'utente non è autorizzato ad accedere a questa applicazione. Autorizzazione non riuscita. Assicurarsi che l'utente abbia una licenza per Microsoft Entra ID P1 o P2. | L'utente potrebbe ricevere questo errore quando si tenta di accedere all'app pubblicata se non sono state assegnate in modo esplicito con una licenza Premium dall'amministratore del sottoscrittore. Passare alla scheda Licenze Active Directory del sottoscrittore e assicurarsi che a questo utente o gruppo di utenti sia assegnata una licenza Premium. |
| Impossibile trovare un server con il nome host specificato. | L'utente potrebbe ricevere questo errore quando si tenta di accedere all'app pubblicata se il dominio personalizzato dell'applicazione non è configurato correttamente. Assicurarsi di aver caricato un certificato per il dominio e di aver configurato correttamente il record DNS seguendo la procedura descritta in Uso dei domini personalizzati in Microsoft Entra application proxy |
| Accesso negato: non è possibile accedere a questa app aziendale OPPURE Non è stato possibile autorizzare l'utente. Assicurarsi che l'utente sia definito in AD locale e che l'utente abbia accesso all'app in AD locale. | Potrebbe trattarsi di un problema con l'accesso alle informazioni di autorizzazione, vedere Alcune applicazioni e API richiedono l'accesso alle informazioni di autorizzazione sugli oggetti account. In breve, aggiungere l'account del computer del connettore proxy dell'app al gruppo di dominio predefinito "Gruppo di accesso autorizzazioni windows" da risolvere. |
Vedi anche
Commenti e suggerimenti
Invia e visualizza il feedback per