Solucionar problemas e mensagens de erro do Proxy do Aplicativo
Primeiro, verifique se os conectores de rede privada estão configurados corretamente. Para obter mais informações, consulte Depurar problemas do conector de rede privada e Depurar problemas do aplicativo do proxy de aplicativo.
Se ocorrerem erros ao acessar um aplicativo publicado ou ao publicar aplicativos, verifique as seguintes opções para ver se o proxy de aplicativo do Microsoft Azure está funcionando corretamente:
- Abra o console Serviços no Windows. Verifique se o serviço do Conector de rede privada do Microsoft Entra está habilitado e em execução. Veja a página de propriedades do serviço de proxy do aplicativo, conforme mostrado na imagem.
- Abra o Visualizador de Eventos e procure eventos de conector de rede privada emLogs de aplicativos e serviços>Microsoft>Rede privada do Microsoft Entra>Conector>Administrador.
- Revisar os logs detalhados. Ativar os logs de sessão do conector de rede privada.
A página não é renderizada corretamente
Você tem problemas com a renderização ou o funcionamento incorreto do seu aplicativo sem receber mensagens de erro específicas. Isso pode ocorrer se você publicou o caminho do artigo, mas o aplicativo requer o conteúdo que existe fora desse caminho.
Por exemplo, se você publicar o caminho https://yourapp/app
, mas o aplicativo chamar imagens em https://yourapp/media
, elas não serão renderizadas. Publique o aplicativo usando o caminho de nível mais alto de que você precisa para incluir todo o conteúdo relevante. Neste exemplo, ele seria http://yourapp/
.
Um aplicativo proxy de aplicativo demora muito para carregar
Os aplicativos podem ser funcionais, mas apresentam uma longa latência. Ajustes na topologia da rede podem melhorar a velocidade. Para uma avaliação de diferentes topologias, consulte o documento de considerações de rede.
A página do aplicativo não é exibida corretamente para um aplicativo proxy de aplicativo
Quando você publica um aplicativo proxy de aplicativo, somente as páginas sob sua raiz ficam acessíveis ao acessar o aplicativo. Se a página não estiver exibindo corretamente, a URL interna raiz usada para o aplicativo pode estar em falta de alguns recursos de página. Para resolver, publique todos os recursos da página como parte da sua aplicação.
Verifique se a falta de recursos é o problema. Abrindo seu rastreador de rede, como Fiddler ou ferramentas F12 no Microsoft Edge. Carregue a página e procure por erros 404. Os erros indicam que as páginas não podem ser encontradas e que você precisa publicá-las.
Por exemplo, suponha que você publicou um aplicativo de despesas usando a URL interna http://myapps/expenses
, mas o aplicativo usa a folha de estilo http://myapps/style.css
. A folha de estilo não é publicada em seu aplicativo, portanto, carregar o aplicativo de despesas gera um 404
erro ao tentar carregar style.css
. Nesse exemplo, resolva o problema publicando o aplicativo com a URL interna http://myapp/
.
Problemas com a publicação como um aplicativo
Se não for possível publicar todos os recursos dentro do mesmo aplicativo, será necessário publicar vários aplicativos e ativar links entre eles.
Para fazer isso, é recomendável usar a solução de domínios personalizados. No entanto, essa solução requer que você tenha o certificado para seu domínio e que seus aplicativos usem nomes de domínio totalmente qualificados (FQDNs). Para outras opções, consulte a documentação solucionar problemas de links desfeitos.
Posso acessar meu aplicativo, mas os links na página do aplicativo não funcionam.
Estou tendo um problema de conectividade com meu aplicativo
Não sei quais portas abrir para o meu aplicativo.
Estou tendo um problema ao configurar o proxy de aplicativo do Microsoft Entra no portal de administração
Não sei como configurar o logon único para o meu aplicativo do proxy de aplicativo.
Estou tendo um problema de configuração da autenticação de back-end em meu aplicativo
Não sei como configurar a delegação restrita do Kerberos. Não sei como configurar meu aplicativo com o PingAccess.
Estou tendo um problema ao entrar em meu aplicativo
Eu recebo o erro Can't Access this Corporate Application
. Para resolver esse problema, consulte Erro de tempo limite do gateway inválido.
Estou tendo um problema com o conector de rede privada
Problemas de instalação do conector de rede privada.
Erros de Kerberos
Esta tabela cobre os erros mais comuns resultantes da instalação e configuração do Kerberos e inclui sugestões para resolução.
Erro | Etapas recomendadas |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada. 1. Abra o Editor de Política de Grupo. 2. Vá para Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows PowerShell e clique duas vezes em Ativar Execução de Scripts. 3. A política de execução pode ser definida como Não Configurada ou Habilitada. Se estiver definido como Habilitado, verifique se a Política de Execução em Opções está definida como Permitir scripts locais e scripts remotos assinados ou como Permitir todos os scripts. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Esse erro indica uma configuração incorreta entre o Microsoft Entra ID e o servidor de aplicativos de back-end ou um problema nas configurações de data e hora nos dois computadores. O servidor de back-end recusou o tíquete do Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente. Certifique-se de que as configurações de data e hora no Microsoft Entra ID e no servidor de aplicativos de back-end estejam sincronizadas. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Há um problema com a configuração do STS (Serviço de Token de Segurança). Corrija a configuração de declaração do UPN no STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Esse evento indica uma configuração incorreta entre o Microsoft Entra ID e o servidor do controlador de domínio, ou um problema nas configurações de data e hora nos dois computadores. O controlador de domínio recusou o tíquete do Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente, especialmente a configuração do SPN (Nome da Entidade de Serviço). Verifique se o controlador de domínio estabelece a relação de confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Certifique-se de que as configurações de data e hora no Microsoft Entra ID e no controlador de domínio estejam sincronizadas. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
Esse evento indica uma configuração incorreta entre o Microsoft Entra ID e o servidor do controlador de domínio, ou um problema nas configurações de data e hora nos dois computadores. O controlador de domínio recusou o tíquete do Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente, especialmente quanto à configuração do SPN. Verifique se o controlador de domínio estabelece a relação de confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Certifique-se de que as configurações de data e hora no Microsoft Entra ID e no controlador de domínio estejam sincronizadas. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
Esse evento indica uma configuração incorreta entre o Microsoft Entra ID e o servidor de aplicativos de back-end ou um problema nas configurações de data e hora nos dois computadores. O servidor de back-end recusou o tíquete do Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente. Certifique-se de que as configurações de data e hora no Microsoft Entra ID e no servidor de aplicativos de back-end estejam sincronizadas. Para obter mais informações, consulte Solucionar problemas de configurações de delegação restrita do Kerberos para o proxy de aplicativo. |
Erros de usuário final
Esta lista cobre os erros que os usuários finais podem encontrar quando tentam acessar o aplicativo e falham.
Erro | Etapas recomendadas |
---|---|
The website cannot display the page. |
O usuário recebe esse erro ao tentar acessar o aplicativo publicado se o aplicativo for um aplicativo IWA (Autenticação Integrada do Windows). O SPN definido para este aplicativo está incorreto. Para aplicativos IWA, certifique-se de que o SPN configurado para este aplicativo esteja correto. |
The website cannot display the page. |
Seu usuário recebe esse erro ao tentar acessar o aplicativo publicado se o aplicativo for um aplicativo OWA (Outlook Web Application). O problema resulta de: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
Os usuários recebem esse erro ao tentar acessar o aplicativo publicado se eles usarem contas da Microsoft no lugar da respectiva conta corporativa para se conectar. Os usuários convidados recebem esse erro. Convidados e usuários da Conta Microsoft não podem acessar aplicativos IWA. Verifique se o usuário faz logon usando sua conta corporativa correspondente ao domínio do aplicativo publicado. Você deve atribuir o usuário para este aplicativo. Vá para a guia Aplicativo e, em Usuários e Grupos, atribua esse usuário ou grupo de usuários a esse aplicativo. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se ele não estiver definido corretamente para este aplicativo no lado local. Verifique se os usuários têm as permissões adequadas, conforme definido para esse aplicativo de back-end no computador local. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Os usuários recebem esse erro ao tentar acessar o aplicativo que você publicou se eles não tiverem sido explicitamente atribuídos a uma licença Premium pelo administrador do assinante. Acesse a guia Licenças do Active Directory do assinante e certifique-se de que esse usuário ou grupo tenha uma licença Premium atribuída. |
A server with the specified host name could not be found. |
O usuário recebe esse erro ao tentar acessar o aplicativo publicado se o domínio personalizado do aplicativo não estiver configurado corretamente. Verifique o certificado do domínio e configure o registro DNS (Sistema de Nomes de Domínio) corretamente. Para obter mais informações, consulte Trabalhando com domínios personalizados no proxy de aplicativo do Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
O erro pode ser um problema de acesso às informações de autorização. Para saber mais, confira (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Em poucas palavras, adicione a conta de computador do conector de rede privada ao grupo de domínio interno "Grupo de Acesso à Autorização do Windows" a ser resolvido. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
O conector protege conexões de saída para os pontos de extremidade de serviço de nuvem do proxy de aplicativo do Microsoft Entra usando um certificado do cliente. O erro ocorre quando o certificado do cliente não chega ao ponto de extremidade. Por exemplo, um dispositivo de rede que executa a inspeção TLS (Transport Layer Security) ou interrompe a conexão TLS. Evite a inspeção embutida e o término das comunicações TLS de saída. A inspeção e o encerramento não devem ocorrer entre os conectores de rede privada do Microsoft Entra e os serviços de nuvem do proxy de aplicativo do Microsoft Entra. |