プライベート ネットワーク コネクタのインストールに関する問題のトラブルシューティング

Microsoft Entra プライベート ネットワーク コネクタは、送信接続を使用して、クラウドで使用可能なエンドポイントから内部のドメインへの接続を確立する内部ドメイン コンポーネントです。 このコネクタは、Microsoft Entra Private Access と Microsoft Entra アプリケーション プロキシの両方で使用されます。

コネクタのインストールに関する一般的な問題領域

コネクタのインストールに失敗する場合、根本原因は通常、次の領域のいずれかにあります。 トラブルシューティングの前段階として、コネクタを再起動してください。

  • 接続 – インストールを正常に完了するには、新しいコネクタを登録し、将来の信頼プロパティを確立する必要があります。 信頼は、Microsoft Entra アプリケーション プロキシ クラウド サービスに接続して確立します。
  • 信頼の確立 – 新しいコネクタは、自己署名証明書を作成し、クラウド サービスに登録します。
  • 管理者の認証 – コネクタのインストールを完了するために、ユーザーはインストール時に管理者の資格情報を提供する必要があります。

Note

コネクタのインストール ログは %TEMP% フォルダーにあり、インストール エラーの原因に関する追加情報を提供するのに役立ちます。

クラウド アプリケーション プロキシ サービスと Microsoft のサインイン ページへの接続を確認する

目的: コネクタ マシンからアプリケーション プロキシの登録エンドポイントと Microsoft のサインイン ページに接続できることを確認します。

  1. telnet またはその他のポート テスト ツールを使用して、コネクタ サーバー上でポートのテストを実行して、ポート 443 と 80 が開いているかどうかを確認します。

  2. ファイアウォールまたはバックエンド プロキシから必要なドメインおよびポートにアクセスできることを確認します。「オンプレミスの環境を準備する」を参照してください。

  3. ブラウザー タブを開いて、「https://login.microsoftonline.com」と入力します。 サインインできることを確認します。

マシンとバックエンド コンポーネントの証明書のサポートを確認する

目的: コネクタ マシンおよびバックエンドのプロキシとファイアウォールで、コネクタによって作成された証明書をサポートできることを確認します。 また、証明書が有効なことを確認します。

Note

コネクタでは、トランスポート層セキュリティ (TLS) 1.2 でサポートされる SHA512 証明書を作成しようとします。 マシンまたはバックエンドのファイアウォールとプロキシで TLS 1.2 がサポートされていない場合、インストールに失敗します。

必要な前提条件の確認:

  1. マシンで トランスポート層セキュリティ (TLS) 1.2 がサポートされていることを確認します。2012 R2 より後のすべてのバージョンの Windows では、TLS 1.2 をサポートしています。 コネクタ コンピューターで 2012 R2 以前のバージョンを使用している場合は、必要な更新プログラムがインストールされていることを確認してください。

  2. ネットワーク管理者に連絡し、バックエンドのプロキシとファイアウォールによって発信トラフィック SHA512 がブロックされていないことを確認するよう依頼します。

クライアント証明書を確認するには:

現在のクライアント証明書のサムプリントを確認します。 証明書ストアは %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml にあります。

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

ありえる IsInUserStore の値は、truefalse です。 値が true の場合、証明書は、自動的に更新されてネットワーク サービスのユーザー証明書ストアの個人用コンテナーに保存されることを意味します。 値が false の場合、クライアント証明書は、Register-MicrosoftEntraPrivateNetworkConnector によって開始されたインストールまたは登録時に作成されることを意味します。 証明書は、ローカル マシンの証明書ストアの個人用コンテナーに保存されます。

値が true の場合は、以下の手順に従って証明書を検証します。

  1. PsTools.zip をダウンロードします。
  2. パッケージから PsExec を抽出し、管理者特権でのコマンド プロンプトから psexec -i -u "nt authority\network service" cmd.exe を実行します。
  3. 新しく表示されたコマンド プロンプトで certmgr.msc を実行します。
  4. 管理コンソールで、[個人用] コンテナーを展開し、[証明書] を選びます。
  5. connectorregistrationca.msappproxy.net によって発行された証明書を見つけます。

値が false の場合は、以下の手順に従って証明書を検証します。

  1. certlm.msc を実行します。
  2. 管理コンソールで、[個人用] コンテナーを展開し、[証明書] を選びます。
  3. connectorregistrationca.msappproxy.net によって発行された証明書を見つけます。

クライアント証明書を更新するには:

コネクタが数か月間サービスに接続されない場合、その証明書は期限切れになっている可能性があります。 証明書の更新に失敗すると、証明書が期限切れになります。 有効期限が切れた証明書が原因で、コネクタ サービスが動作しなくなります。 イベント 1000 がコネクタの管理ログに記録されます。

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

このような場合は、コネクタをアンインストールしてから再インストールして、登録をトリガーするか、次の PowerShell コマンドを実行します。

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Register-MicrosoftEntraPrivateNetworkConnector コマンドの詳細については、「Microsoft Entra プライベート ネットワーク コネクタ用の無人インストール スクリプトの作成」を参照してください。

コネクタのインストールに管理者を使用していることを確認する

目的: コネクタをインストールするユーザーが適切な資格情報を持つ管理者であることを確認します。 現時点では、正常にインストールするには、そのユーザーは、少なくともアプリケーション管理者である必要があります。

資格情報が適切であることを確認するには:

https://login.microsoftonline.com に接続し、同じ資格情報を使用します。 サインインに成功したことを確認します。 [Microsoft Entra ID] ->[ユーザーとグループ] ->[すべてのユーザー] に移動すると、ユーザー ロールを確認できます。

ユーザー アカウントを選択してから、表示されたメニューの [ディレクトリ ロール] を選択します。 選択されているロールが [アプリケーション管理者] であることを確認します。 これらの手順に従っても、どのページにもアクセスできない場合、必要なロールを持っていません。

コネクタのエラー

コネクタ ウィザードでのインストール中に登録が失敗する場合、2 つの方法でエラーの原因を確認できます。 Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" のイベント ログを確認するか、次の Windows PowerShell コマンドを実行します。

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

イベント ログでコネクタ エラーが見つかったら、次の一般的なエラーの表を使って問題を解決します。

エラー 推奨される手順
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Microsoft Entra ID にサインインせずに登録ウィンドウを閉じた場合は、コネクタ ウィザードをもう一度実行してコネクタを登録します。

登録ウィンドウが開いても、すぐに閉じるためサインインできない場合は、エラーが発生しています。 このエラーは、システムにネットワーク エラーがあると発生します。 ブラウザーからパブリック Web サイトに接続できること、およびアプリケーション プロキシの前提条件で指定されているポートを開いていることを確認します。
Clear error is presented in the registration window. Cannot proceed このエラーが表示されてウィンドウが閉じる場合は、入力したユーザー名かパスワードが間違っています。 やり直してください。
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Microsoft アカウントと、アクセスしようとしているディレクトリの組織 ID の一部であるドメイン以外を使用して、サインインしようとしています。 admin は、テナント ドメインと同じドメイン名の一部である必要があります。 たとえば、Microsoft Entra ドメインが contoso.com である場合、admin は admin@contoso.com でなければなりません。
Failed to retrieve the current execution policy for running PowerShell scripts. コネクタのインストールが失敗する場合は、PowerShell の実行ポリシーが無効になっていないことを確認します。

1.グループ ポリシー エディターを開きます。
2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows PowerShell] の順に移動して、 [スクリプトの実行を有効にする] をダブルクリックします。
3.実行ポリシーは、 [未構成] または [有効] に設定できます。 [有効] に設定した場合は、[オプション] で実行ポリシーが [ローカル スクリプトおよびリモートの署名済みスクリプトを許可する] または [すべてのスクリプトを許可する] に設定されていることを確認します。
Connector failed to download the configuration. 認証に使われたコネクタのクライアント証明書は、有効期限が切れています。 この問題は、コネクタをプロキシの内側にインストールした場合に発生します。 この場合、コネクタはインターネットにアクセスできず、リモート ユーザーにアプリケーションを提供できません。 Windows PowerShell で Register-MicrosoftEntraPrivateNetworkConnector コマンドレットを使用して、手動で信頼を更新します。 コネクタがプロキシの内側にある場合は、コネクタ アカウントの network serviceslocal system にインターネットへのアクセスを許可する必要があります。 アクセスの許可は、プロキシへのアクセスを許可するか、プロキシをバイパスすることによって実現されます。
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' サインインに使用しようとしているエイリアスは、このドメインの管理者ではありません。 コネクタは、ユーザーのドメインを所有しているディレクトリに対して常にインストールされます。 サインインに使用している管理者アカウントが、Microsoft Entra テナントに対して少なくともアプリケーション管理者のアクセス許可を持っていることを確認してください。
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. コネクタがアプリケーション プロキシ クラウド サービスに接続できません。 この問題は、接続をブロックするファイアウォール規則がある場合に発生します。 アプリケーション プロキシの前提条件に記載されている正しいポートと URL へのアクセスを許可します。

コネクタの問題のフローチャート

このフローチャートでは、いくつかのコネクタの一般的な問題をデバッグする手順について説明します。 各手順の詳細については、フローチャートの下の表を参照してください。

コネクタをデバッグする手順を示すフローチャート。

Step アクション 説明
1 アプリに割り当てられたコネクタ グループを検索する 複数のサーバーにインストールされているコネクタがある場合があります。その場合、コネクタはコネクタ グループに割り当てられている必要があります。 コネクタ グループの詳細については、「Microsoft Entra プライベート ネットワーク コネクタ グループについて」を参照してください。
2 コネクタをインストールして、グループを割り当てる コネクタをインストールしていない場合は、「コネクタのインストールと登録」を参照してください。

コネクタがグループに割り当てられていない場合は、コネクタをグループに割り当てることに関するページを参照してください。

アプリケーションがコネクタ グループに割り当てられていない場合は、アプリケーションをコネクタ グループに割り当てることに関するページを参照してください。
3 コネクタ サーバーでポートのテストを実行する telnet またはその他のポート テスト ツールを使用して、コネクタ サーバーでポートのテストを実行して、ポート 443 と 80 が開いているかどうかを確認します。
4 ドメインとポートを構成する コネクタに対してドメインとポートが正しく構成されていることを確認します。 特定のポートが開いていて、サーバーがアクセスできる URL である必要があります。 詳細については、「チュートリアル: Microsoft Entra ID のアプリケーション プロキシを使用してリモート アクセスするためのオンプレミス アプリケーションを追加する」を参照してください。
5 バックエンド プロキシが使用されているかどうかを確認する コネクタがバックエンド プロキシ サーバーを使用しているか、またはそれらをバイパスしているかどうかを確認します。 詳細については、「コネクタのプロキシの問題とサービスの接続の問題のトラブルシューティング」を参照してください。
6 バックエンド プロキシ情報でコネクタとアップデーターの設定を更新する バックエンド プロキシが使用されている場合は、コネクタで同じプロキシが使用されていることを確認します。 コネクタをプロキシ サーバーと連携させるためのトラブルシューティングと構成の詳細については、「既存のオンプレミス プロキシ サーバーと連携する」を参照してください。
7 コネクタ サーバーでアプリの内部 URL を読み込む コネクタ サーバーでアプリの内部 URL を読み込みます。
8 内部ネットワークの接続を確認する このデバッグ フローで診断することができない内部ネットワーク内の接続の問題があります。 コネクタが機能するには、アプリケーションに内部的にアクセスできる必要があります。 プライベート ネットワーク コネクタで説明されているように、コネクタ イベント ログを有効にして表示することができます。
9 バックエンドでタイムアウト値を延長する アプリケーションの [追加設定] で、 [バックエンド アプリケーションのタイムアウト] 設定を [長い] に変更します。 「Microsoft Entra ID にオンプレミス アプリを追加する」を参照してください。
10 問題が解決しない場合は、アプリケーションをデバッグする。 アプリケーション プロキシ アプリケーションの問題をデバッグする

次のステップ