Solucionar problemas de instalação do conector de rede privada

O conector de rede privada do Microsoft Entra é um componente de domínio interno que usa conexões de saída para estabelecer a conectividade entre o ponto de extremidade disponível na nuvem e o domínio interno. O conector é usado pelo Acesso Privado do Microsoft Entra e pelo proxy de aplicativo do Microsoft Entra.

Áreas com problemas gerais na instalação do conector

Quando a instalação de um conector falha, a causa raiz geralmente é uma das áreas a seguir. Como um percursor de qualquer solução de problemas, não se esqueça de reinicializar o conector.

• Conectividade – para concluir uma instalação bem-sucedida, o novo conector precisa registrar e estabelecer as propriedades de confiança futuras. A confiança é estabelecida pela conexão com o serviço de nuvem do proxy de aplicativo do Microsoft Entra.
• Estabelecimento de confiança – o novo conector cria um certificado autoassinado e registra ao serviço de nuvem.
• Autenticação do administrador – durante a instalação, o usuário deve fornecer credenciais de administrador para concluir a instalação do conector.

Observação

Os registros de instalação do conector podem ser encontrados na pasta %TEMP% e podem ajudar a fornecer informações adicionais sobre o que está causando uma falha na instalação.

Verifique a conectividade com o serviço de proxy de aplicativo de nuvem e a página de entrada da Microsoft

Objetivo: Verificar se o computador do conector pode se conectar ao ponto de extremidade de registro do proxy de aplicativo e à página de entrada da Microsoft.

1. No servidor do conector, execute um teste de porta usando o telnet ou outra ferramenta de teste de porta para verificar se as portas 443 e 80 estão abertas.

2. Verifique se o firewall ou o proxy de back-end tem acesso aos domínios e às portas necessários, veja como configurar conectores.

3. Abra uma guia do navegador e insira: https://login.microsoftonline.com. Certifique-se de que você pode entrar.

Verifique o suporte ao certificado do componente de back-end e do computador

Objetivo: Verifique se o computador do conector, o proxy de back-end e o firewall podem dar suporte ao certificado criado pelo conector. Além disso, verifique se o certificado é válido.

Observação

O conector tenta criar um certificado SHA512 compatível com protocolo TLS 1.2. Se o computador, o firewall de back-end e o proxy não derem suporte ao TLS 1.2, a instalação falhará.

Examine os pré-requisitos necessários:

1. Verifique se o computador dá suporte ao protocolo TLS 1.2 – Todas as versões do Windows após o 2012 R2 devem oferecer suporte ao TLS 1.2. Se seu computador de conector for de uma versão de 2012 R2 ou anterior, certifique-se de que as atualizações necessárias estejam instaladas.

2. Entre em contato com o administrador de rede e peça para verificar se o proxy de back-end e o firewall não bloqueiam o tráfego de saída SHA512.

Para verificar o certificado do cliente:

Verifique a impressão digital do certificado do cliente atual. O repositório de certificados pode ser encontrado em %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Os valores possíveis de IsInUserStore são true e false. Um valor de true significa que o certificado é renovado automaticamente e armazenado no contêiner pessoal no repositório de certificados de usuário do Serviço de Rede. Um valor de falso significa que o certificado do cliente é criado durante a instalação ou o registro iniciado por Register-MicrosoftEntraPrivateNetworkConnector. O certificado é armazenado no contêiner pessoal no repositório de certificados do computador local.

Se o valor for true, siga estas etapas para verificar o certificado:

1. Faça download de PsTools.zip.
2. Extraia PsExec do pacote e execute psexec -i -u "nt authority\network service" cmd.exe em um prompt de comandos com privilégios elevados.
3. Execute certmgr.msc no prompt de comando recém-exibido.
4. No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
5. Localize o certificado emitido por connectorregistrationca.msappproxy.net.

Se o valor for false, siga estas etapas para verificar o certificado:

1. Execute certlm.msc.
2. No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
3. Localize o certificado emitido por connectorregistrationca.msappproxy.net.

Para renovar o certificado do cliente:

Se um conector não estiver conectado ao serviço por vários meses, seus certificados poderão estar desatualizados. A falha na renovação do certificado ocasiona um certificado expirado. O certificado expirado faz com que o serviço do conector pare de funcionar. O evento 1000 é registrado no log do administrador do conector:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Nesse caso, desinstale e reinstale o conector para disparar o registro ou você pode executar os seguintes comandos do PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Para obter mais informações sobre o comando Register-MicrosoftEntraPrivateNetworkConnector, confira Criar um script de instalação autônoma para o conector de rede privada do Microsoft Entra.

Verifique se o administrador é usado para instalar o conector

Objetivo: Verifique se o usuário que tenta instalar o conector é um administrador com as credenciais corretas. No momento, o usuário precisa ser, pelo menos, administrador do aplicativo para que a instalação tenha êxito.

Para verificar se as credenciais estão corretas:

Conecte-se ao https://login.microsoftonline.com e use as mesmas credenciais. Certifique-se de que o logon foi bem-sucedido. Você pode verificar a função de usuário acessando ID do Microsoft Entra ->Usuários e Grupos ->Todos os Usuários.

Selecione sua conta de usuário e, em seguida, a Função do Diretório no menu resultante. Verifique se a função selecionada é a de Administrador do Aplicativo. Se não conseguir acessar nenhuma das páginas ao longo dessas etapas, você tem a função necessária.

Erros de conector

Se o registro falhar durante a instalação do assistente do conector, há duas maneiras de exibir o motivo da falha. Examine o log de eventos em Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" ou execute o seguinte comando do Windows PowerShell:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Depois de encontrar o erro do conector no log de eventos, use esta tabela de erros comuns para resolver o problema:

Erro	Etapas recomendadas
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.'	Se você fechou a janela de registro sem entrar no Microsoft Entra ID, execute o assistente do conector novamente e registre o conector. Se a janela de registro abre e fecha imediatamente sem permitir que você se conecte, você receberá o erro. Esse erro ocorre quando há algum erro de rede em seu sistema. Certifique-se de que é possível conectar-se de um navegador a um site público e que as portas estejam abertas como especificado em configurar conectores.
Clear error is presented in the registration window. Cannot proceed	Caso esse erro seja exibido e a janela fechar, você inseriu o nome de usuário ou a senha incorretos. Tente novamente.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed.	Você está tentando entrar usando uma Conta da Microsoft e não de um domínio que faz parte da ID da organização do diretório que você está tentando acessar. O administrador deve fazer parte do mesmo nome de domínio que o domínio do locatário. Por exemplo, se o domínio do Microsoft Entra for contoso.com, o administrador deverá ser admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts.	Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada. 1. Abra o Editor de Política de Grupo. 2. Vá para Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows PowerShell e clique duas vezes em Ativar Execução de Scripts. 3. A política de execução pode ser definida como Não Configurada ou Habilitada. Se estiver definido como Habilitado, verifique se a Política de Execução em Opções está definida como Permitir scripts locais e scripts remotos assinados ou como Permitir todos os scripts.
Connector failed to download the configuration.	O certificado de cliente do conector, que é usado para autenticação, expirou. Isso ocorrerá se você tiver o conector instalado por trás de um proxy. Nesse caso, o conector não poderá acessar a Internet e não será capaz de fornecer aplicativos a usuários remotos. Renove a confiança manualmente usando o cmdlet Register-MicrosoftEntraPrivateNetworkConnector do Windows PowerShell. Se o conector estiver por trás de um proxy, será necessário conceder acesso à Internet às contas do conector network services e local system. A concessão de acesso é realizada concedendo acesso ao proxy ou ignorando o proxy.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.'	O alias com o qual você está tentando se conectar não é um administrador neste domínio. O conector sempre é instalado para o diretório que possui o domínio do usuário. Certifique-se de que a conta do administrador com a qual você está tentando fazer login tenha pelo menos as permissões de administrador de aplicativos para o locatário do Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL.	O conector não consegue se conectar ao serviço de nuvem do proxy de aplicativo. O problema ocorrerá se você tiver uma regra de firewall bloqueando a conexão. Permita acesso às portas e URLs corretas listadas em configurar conectores.

Fluxograma de problemas de conector

Este fluxograma fornece orientação sobre as etapas para depurar alguns dos problemas de conector mais comuns. Para obter detalhes sobre cada etapa, consulte a tabela abaixo do fluxograma.

Etapa	Ação	Descrição
1	Localizar o grupo de conectores atribuído ao aplicativo	Você provavelmente tem um conector instalado em vários servidores e, nesse caso, os conectores devem ser atribuídos a um grupo de conectores. Para saber mais sobre grupos de conectores, confira Entender os grupos de conectores de rede privada do Microsoft Entra.
2	Instalar o conector e atribuir um grupo	Se você não tiver um conector instalado, veja comoconfigurar conectores). Se o conector não tiver sido atribuído a um grupo, confira Atribuir o conector a um grupo. Se o aplicativo não estiver atribuído a um grupo de conectores, confira Atribuir o aplicativo a um grupo de conectores.
3	Executar um teste de porta no servidor do conector	No servidor do conector, execute um teste de porta usando telnet ou outra ferramenta de teste de porta para verificar se as portas estão configuradas corretamente. Para saber mais, veja como configurar conectores.
4	Configurar os domínios e as portas	Configurar conectores para o conector. Determinadas portas devem estar abertas e URLs que o servidor deve poder acessar. Para obter mais informações, confira o tópico configurar conectores.
5	Verificar se um proxy de back-end está em uso	Verifique se os conectores estão usando servidores proxy de back-end ou ignorando-os. Para detalhes, confira Solucionar problemas do proxy do conector e problemas de conectividade do serviço.
6	Atualizar as configurações do conector e do atualizador com as informações de proxy de back-end	Se um proxy de back-end estiver em uso, garanta que o conector está usando o mesmo proxy. Para obter detalhes sobre como solucionar problemas e configurar conectores para trabalhar com servidores proxy, confira Trabalhar com servidores proxy locais existentes.
7	Carregar a URL interna do aplicativo no servidor do conector	No servidor do conector, carregue a URL interna do aplicativo.
8	Verificar a conectividade de rede interna	Há um problema de conectividade em sua rede interna que esse fluxo de depuração não pode diagnosticar. O aplicativo precisa ser acessível internamente para que os conectores funcionem. Você pode habilitar e exibir logs de eventos do conector, conforme descrito em conectores de rede privada.
9	Aumentar o valor de tempo limite no back-end	Nas Configurações Adicionais do seu aplicativo, altere a configuração Tempo Limite do Aplicativo de Back-end para Longo. Confira Adicionar um aplicativo local à ID do Microsoft Entra.
10	Se os problemas persistirem, depure os aplicativos.	Problemas de aplicativo de depuração de proxy de aplicativos.

Perguntas frequentes

Por quê meu conector ainda está usando uma versão mais antiga e não é atualizado automaticamente para a versão mais recente?

Isso pode ser porque o serviço atualizador não funciona corretamente ou se não houver nenhuma nova atualização disponível que o serviço possa instalar.

O serviço de atualização está saudável se estiver em execução e não houver erros registrados no log de eventos (Logs de Aplicativos e Serviços – > Microsoft – > Rede privada do Microsoft Entra – > Atualizador – > Admin).

Importante

Somente as versões principais estão liberadas para atualização automática. É recomendável atualizar o conector manualmente somente se necessário. Por exemplo, não é possível aguardar uma versão principal, pois é necessário corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo de versão (download, atualização automática), correções de bugs e novos recursos, confira, Proxy de aplicativo do Microsoft Entra: histórico de lançamentos de versões.

Para atualizar manualmente um conector:

• Baixe a versão mais recente do conector. (Localize-o no centro de administração do Microsoft Entra em Acesso Global Seguro>Conectar>Conectores)
• O instalador reinicia os serviços do conector de rede privada do Microsoft Entra. Em alguns casos, uma reinicialização do servidor poderá ser necessária se o instalador não puder substituir todos os arquivos. Portanto, recomendamos fechar todos os aplicativos (ou seja, Visualizador de Eventos) antes de você iniciar a atualização.
• Execute o instalador. O processo de atualização é rápido, não exige nenhuma credencial e o conector não é registrado novamente.

Os serviços do conector do rede privada podem ser executados em um contexto de usuário diferente, que não seja o padrão?

Não, não há suporte para esse cenário. As configurações padrão são:

• Conector de rede privada do Microsoft Entra — WAPCSvc — Serviço de Rede
• Atualizador do conector de rede privada do Microsoft Entra — WAPCUpdaterSvc — NT Authority\System

Um usuário convidado com uma atribuição de função Administrador ativa pode registrar o conector para o locatário (convidado)?

Não, atualmente, isso não é possível. A tentativa de registro sempre é feita no locatário inicial do usuário.

Meu aplicativo de back-end é hospedado em vários servidores Web e requer persistência de sessão de usuários (adesão). Como posso obter persistência de sessão?

Para obter recomendações, confira Alta disponibilidade e balanceamento de carga dos seus conectores e aplicativos de rede privada.

A terminação de TLS (inspeção ou aceleração de TLS/HTTPS) no tráfego dos servidores de conector para o Azure tem suporte?

O conector de rede privada executa a autenticação baseada em certificado no Azure. A terminação de TLS (inspeção ou aceleração de TLS/HTTPS) interrompe esse método de autenticação e não tem suporte. O tráfego do conector para o Azure deve ignorar todos os dispositivos que estão executando a terminação de TLS.

O TLS 1.2 é necessário para todas as conexões?

Sim. Para fornecer a melhor criptografia da categoria para nossos clientes, o serviço do proxy de aplicativo limita o acesso somente a protocolos TLS 1.2. Essas alterações foram distribuídas gradualmente e estão entrando em vigor desde 31 de agosto de 2019. Certifique-se de que todas as suas combinações cliente-servidor e navegador-servidor estejam atualizadas para usar o TLS 1.2 para manter a conexão com o serviço do proxy de aplicativo. Elas incluem clientes que seus usuários estão usando para acessar aplicativos publicados pelo proxy de aplicativo. Confira Preparação para TLS 1.2 no Office 365 para obter referências e recursos.

Posso colocar um dispositivo proxy de encaminhamento entre os servidores do conector e o servidor de aplicativos back-end?

Sim, esse cenário tem suporte a partir da versão 1.5.1526.0 do conector. Consulte Trabalhar com servidores proxy locais existentes.

Devo criar uma conta dedicada para registrar o conector com o proxy de aplicativo do Microsoft Entra?

Não há razão para criar uma conta dedicada. Qualquer conta com a função de Administrador de aplicativos funcionará. As credenciais inseridas durante a instalação não são usadas após o processo de registro. Em vez disso, um certificado é emitido para o conector, que é usado para autenticação desse ponto em diante.

Como posso monitorar o desempenho do conector de rede privada do Microsoft Entra?

Há contadores do Monitor de Desempenho que são instalados junto com o conector do. Para exibi-los:

1. Selecione Iniciar, digite "Perfmon" e pressione ENTER.
2. Selecione Monitor de Desempenho e clique no ícone + verde.
3. Adicione os contadores do conector de rede privada do Microsoft Entra que você quer monitorar.

O conector de rede privada do Microsoft Entra precisa estar na mesma sub-rede que o recurso?

O conector não precisa estar na mesma sub-rede. Porém, ele precisa da resolução de nomes (DNS, arquivo de hosts) no recurso e na conectividade de rede necessária (roteamento para o recurso, portas abertas no recurso, e assim por diante). Para obter recomendações, confira Considerações sobre a topologia de rede ao usar o proxy de aplicativo do Microsoft Entra.

Por quê o conector ainda está aparecendo no centro de administração do Microsoft Entra depois que eu desinstalei o conector do Servidor?

Quando um conector está em execução, ele permanece ativo, pois se conecta ao serviço. Os conectores desinstalados/não utilizados são marcados como inativos e são removidos do portal após 10 dias de inatividade. Não existe uma maneira de remover o conector Inativo manualmente do centro de administração do Microsoft Entra.

Próximas etapas

• Compreender os conectores de rede privada do Microsoft Entra