Microsoft Purview アカウントのプライベート エンドポイント構成のトラブルシューティング
このガイドでは、Microsoft Purview のプライベート エンドポイントの使用に関連する既知の制限事項をまとめ、最も一般的な関連する問題のトラブルシューティングを行う手順と解決策の一覧を示します。
既知の制限
- 現在、AWS ソースと連携するインジェスト プライベート エンドポイントはサポートされていません。
- セルフホステッド統合ランタイムを使用した Azure 複数ソースのスキャンはサポートされていません。
- Azure 統合ランタイムを使用してプライベート エンドポイントの背後にあるデータ ソースをスキャンすることはサポートされていません。
- インジェスト プライベート エンドポイントは、 こちらの手順で説明されている Microsoft Purview ガバナンス ポータル エクスペリエンスを使用して作成できます。 Private Link センターから作成することはできません。
- 既存の Azure DNS ゾーン内のインジェスト プライベート エンドポイント用の DNS レコードを作成しますが、Azure プライベート DNS Zones はプライベート エンドポイントとは異なるサブスクリプションに配置されていますが、Microsoft Purview ガバナンス ポータル エクスペリエンスではサポートされていません。 レコードは、他のサブスクリプションの宛先 DNS ゾーンに手動で追加できます。
- インジェスト プライベート エンドポイントをデプロイした後で 独自の Event Hubs 名前空間を構成 するか、 マネージド Event Hubs 名前空間を有効にする 場合は、インジェスト プライベート エンドポイントを再デプロイする必要があります。
- セルフホステッド統合ランタイム マシンは、Microsoft Purview アカウントとインジェスト プライベート エンドポイントがデプロイされているのと同じ仮想ネットワークまたはピアリングされた仮想ネットワークにデプロイする必要があります。
- Private Link サービスに関連する制限事項については、「Azure Private Link制限」を参照してください。
- 現在、新しい Microsoft Purview ポータルを使用する Microsoft Purview インスタンスでは 、インジェスト プライベート エンドポイントのみを使用できます。
推奨されるトラブルシューティング手順
Microsoft Purview アカウントのプライベート エンドポイントをデプロイしたら、Azure 環境を確認して、プライベート エンドポイント リソースが正常にデプロイされていることを確認します。 シナリオに応じて、次の Azure プライベート エンドポイントの 1 つ以上を Azure サブスクリプションにデプロイする必要があります。
プライベート エンドポイント に割り当てられたプライベート エンドポイント 例 アカウント Microsoft Purview アカウント mypurview-private-account ポータル Microsoft Purview アカウント mypurview-private-portal 摂取 Storage (Blob)* mypurview-ingestion-blob 摂取 ストレージ (キュー)* mypurview-ingestion-queue 摂取 Event Hubs 名前空間** mypurview-ingestion-namespace 注:
*2023 年 12 月 15 日より前にアカウントが作成された場合、エンドポイントはマネージド ストレージ アカウントにデプロイされます。 11 月 10 日以降に作成された場合 (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた場合)、インジェスト ストレージを指します。
**アカウントには、 Kafka 通知用に構成されているか 、2022 年 12 月 15 日より前に作成された Event Hubs 名前空間のみが関連付けられています。
ポータルのプライベート エンドポイントがデプロイされている場合は、アカウントのプライベート エンドポイントもデプロイしてください。
ポータルのプライベート エンドポイントが展開されていて、パブリック ネットワーク アクセスが Microsoft Purview アカウントで拒否に設定されている場合は、内部ネットワークから Microsoft Purview ガバナンス ポータルを 起動してください。
- 正しい名前解決を確認するには、 NSlookup.exe コマンド ライン ツールを使用して
web.purview.azure.com
を照会できます。 結果は、ポータルのプライベート エンドポイントに属するプライベート IP アドレスを返す必要があります。 - ネットワーク接続を確認するには、任意のネットワーク テスト ツールを使用して、ポート 443 へのエンドポイントへの送信接続
web.purview.azure.com
テストできます。 接続が成功している必要があります。
- 正しい名前解決を確認するには、 NSlookup.exe コマンド ライン ツールを使用して
Azure プライベート DNS Zones が使用されている場合は、必要な Azure DNS ゾーンがデプロイされ、プライベート エンドポイントごとに DNS (A) レコードがあることを確認します。
管理マシンから Microsoft Purview エンドポイントと purview Web URL へのネットワーク接続と名前解決をテストします。 アカウントとポータルのプライベート エンドポイントがデプロイされている場合は、プライベート IP アドレスを使用してエンドポイントを解決する必要があります。
Test-NetConnection -ComputerName web.purview.azure.com -Port 443
プライベート IP アドレスを介した送信接続の成功の例:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
プライベート IP アドレスを介した送信接続の成功の例:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True
2021 年 8 月 18 日以降に Microsoft Purview アカウントを作成した場合は、 Microsoft ダウンロード センターから最新バージョンのセルフホステッド統合ランタイムをダウンロードしてインストールしてください。
セルフホステッド統合ランタイム VM から、Microsoft Purview エンドポイントへのネットワーク接続と名前解決をテストします。
セルフホステッド統合ランタイムから、BLOB キューなどの Microsoft Purview マネージド リソース、およびポート 443 とプライベート IP アドレスを介した Event Hubs などのセカンダリ リソースへのネットワーク接続と名前解決をテストします。 (どちらかが必要な場合は、マネージド ストレージ アカウントと Event Hubs 名前空間を対応するリソース名に置き換えます)。
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
プライベート IP アドレスを介したマネージド BLOB ストレージへの正常な送信接続の例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
プライベート IP アドレスを介したマネージド キュー ストレージへの正常な送信接続の例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
プライベート IP アドレスを介した Event Hubs 名前空間への正常な送信接続の例:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True
データ ソースが配置されているネットワークから、Microsoft Purview エンドポイントと管理または構成されたリソース エンドポイントへのネットワーク接続と名前解決をテストします。
データ ソースがオンプレミス ネットワークにある場合は、DNS フォワーダーの構成を確認します。 データ ソースが配置されているのと同じネットワーク内から、セルフホステッド統合ランタイム、Microsoft Purview エンドポイント、および管理または構成されたリソースへの名前解決をテストします。 エンドポイントごとに DNS クエリから有効なプライベート IP アドレスを取得することが予想されます。
詳細については、「Azure Private Endpoint DNS 構成の DNS フォワーダー シナリオを使用した、カスタム DNS サーバーのない仮想ネットワーク ワークロードとオンプレミス ワークロード」を参照してください。
管理マシンとセルフホステッド統合ランタイム VM がオンプレミス ネットワークにデプロイされ、環境内に DNS フォワーダーを設定している場合は、環境内の DNS とネットワークの設定を確認します。
インジェスト プライベート エンドポイントが使用されている場合は、セルフホステッド統合ランタイムが Microsoft Purview アカウント内に正常に登録されていることを確認し、セルフホステッド統合ランタイム VM 内と Microsoft Purview ガバナンス ポータル の両方で実行されているように表示します。
一般的なエラーとメッセージ
問題
スキャンを実行すると、次のエラー メッセージが表示される場合があります。
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
原因
これは、セルフホステッド統合ランタイムを実行している VM と Microsoft Purview のマネージド ストレージ アカウントまたは構成された Event Hubs との間の接続または名前解決に関連する問題を示している可能性があります。
解決方法
Self-Hosted Integration Runtime を実行している VM と Microsoft Purview マネージド BLOB キュー、またはポート 443 とプライベート IP アドレスを介して構成された Event Hubs の間で名前解決が成功したかどうかを検証します (上記の手順 8)。
問題
新しいスキャンを実行すると、次のエラー メッセージが表示される場合があります。
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
原因
これは、古いバージョンのセルフホステッド統合ランタイムを実行していることを示している可能性があります。 セルフホステッド統合ランタイム バージョン 5.9.7885.3 以降を使用する必要があります。
解決方法
セルフホステッド統合ランタイムを 5.9.7885.3 にアップグレードします。
問題
プライベート エンドポイントデプロイを使用する Microsoft Purview アカウントは、デプロイ中にAzure Policy検証エラーで失敗しました。
原因
このエラーは、Azure サブスクリプションに既存のAzure Policy割り当てがあり、必要な Azure リソースのデプロイを妨げている可能性があることを示唆しています。
解決方法
既存のAzure Policy割り当てを確認し、Azure サブスクリプションで次の Azure リソースのデプロイが許可されていることを確認します。
注:
シナリオによっては、次の Azure リソースの種類の 1 つ以上をデプロイする必要がある場合があります。
- Microsoft Purview (Microsoft.Purview/Accounts)
- プライベート エンドポイント (Microsoft.Network/privateEndpoints)
- プライベート DNS ゾーン (Microsoft.Network/privateDnsZones)
- Event Hub Name Space (Microsoft.EventHub/namespaces)
- ストレージ アカウント (Microsoft.Storage/storageAccounts)
問題
この Microsoft Purview アカウントにアクセスする権限がありません。 この Microsoft Purview アカウントはプライベート エンドポイントの背後にあります。 Microsoft Purview アカウントのプライベート エンドポイント用に構成されているのと同じ仮想ネットワーク (仮想ネットワーク) 内のクライアントからアカウントにアクセスします。
原因
ユーザーがパブリック エンドポイントから Microsoft Purview に接続しようとしているか、パブリック ネットワーク アクセス が [拒否] に設定されている Microsoft Purview パブリック エンドポイントを使用しています。
解決方法
この場合、Microsoft Purview ガバナンス ポータルを開くには、Microsoft Purview ガバナンス ポータルのプライベート エンドポイントと同じ仮想ネットワークにデプロイされているマシンを使用するか、ハイブリッド接続が許可されている CorpNet に接続されている VM を使用します。
問題
セルフホステッド統合ランタイムを使用して SQL サーバーをスキャンすると、次のエラー メッセージが表示される場合があります。
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
原因
セルフホステッド統合ランタイム マシンで FIPS モードが有効になりました。 Federal Information Processing Standards (FIPS) は、使用が許可されている特定の暗号化アルゴリズムのセットを定義します。 マシンで FIPS モードが有効になっている場合、呼び出されたプロセスが依存する一部の暗号化クラスは、一部のシナリオでブロックされます。
解決方法
セルフホステッド統合サーバーで FIPS モードを無効にします。
次の手順
問題がこの記事に記載されていない場合、または問題を解決できない場合は、次のいずれかのチャネルにアクセスしてサポートを受けてください。
- Microsoft Q&A を通じて専門家から回答を得る。
- @AzureSupportで接続します。 Twitter 上のこの公式の Microsoft Azure リソースは、Azure コミュニティを適切な回答、サポート、エキスパートに接続することで、カスタマー エクスペリエンスの向上に役立ちます。
- それでもヘルプが必要な場合は、Azure サポート サイトに移動し、[サポート リクエストの送信] を選択します。