Solucionar problemas de instalação do conector de proxy de aplicativo

  • Artigo

O conector de proxy de Aplicativo do Microsoft Entra é um componente de domínio interno que usa conexões de saída para estabelecer a conectividade do ponto de extremidade disponível na nuvem com no domínio interno.

Áreas com problemas gerais na instalação do conector

Quando a instalação de um conector falha, a causa raiz geralmente é uma das áreas a seguir. Como um percursor de qualquer solução de problemas, não se esqueça de reinicializar o conector.

  1. Conectividade – para concluir uma instalação bem-sucedida, o novo conector precisa registrar e estabelecer as propriedades de confiança futuras. A confiança é estabelecida pela conexão com o serviço de nuvem do proxy de aplicativo do Microsoft Entra.

  2. Estabelecimento de confiança – o novo conector cria um certificado autoassinado e registra ao serviço de nuvem.

  3. Autenticação do administrador – durante a instalação, o usuário deve fornecer credenciais de administrador para concluir a instalação do conector.

Observação

Os logs de instalação do conector podem ser encontrados na pasta %TEMP% e podem ajudar a fornecer informações adicionais sobre o que está causando uma falha na instalação.

Verifique a conectividade com o serviço de proxy de aplicativo de nuvem e a página de entrada da Microsoft

Objetivo: Verificar se o computador do conector pode se conectar ao ponto de extremidade de registro do proxy de aplicativo e à página de logon da Microsoft.

  1. No servidor do conector, execute um teste de porta usando o telnet ou outra ferramenta de teste de porta para verificar se as portas 443 e 80 estão abertas.

  2. Verifique se o firewall ou o proxy de back-end tem acesso aos domínios e às portas necessários, confira Preparar seu ambiente local.

  3. Abra uma guia do navegador e insira: https://login.microsoftonline.com. Certifique-se de que você pode entrar.

Verifique o suporte ao certificado do componente de back-end e do computador

Objetivo: Verifique se o computador do conector, o proxy de back-end e o firewall podem dar suporte ao certificado criado pelo conector. Além disso, verifique se o certificado é válido.

Observação

O conector tenta criar um certificado SHA512 compatível com protocolo TLS 1.2. Se o computador, o firewall de back-end e o proxy não derem suporte ao TLS 1.2, a instalação falhará.

Examine os pré-requisitos necessários:

  1. Verifique se o computador dá suporte ao protocolo TLS 1.2 – Todas as versões do Windows após o 2012 R2 devem oferecer suporte ao TLS 1.2. Se seu computador de conector for de uma versão de 2012 R2 ou anterior, certifique-se de que as atualizações necessárias estejam instaladas.

  2. Entre em contato com o administrador de rede e peça para verificar se o proxy de back-end e o firewall não bloqueiam o tráfego de saída SHA512.

Para verificar o certificado do cliente:

Verifique a impressão digital do certificado do cliente atual. O repositório de certificados pode ser encontrado em %ProgramData%\microsoft\Microsoft AAD Application Proxy Connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Os valores possíveis de IsInUserStore são true e false. Um valor de true significa que o certificado é renovado automaticamente e armazenado no contêiner pessoal no repositório de certificados de usuário do Serviço de Rede. Um valor de falso significa que o certificado do cliente é criado durante a instalação ou o registro iniciado por Register-AppProxyConnector. O certificado é armazenado no contêiner pessoal no repositório de certificados do computador local.

Se o valor for true, siga estas etapas para verificar o certificado:

  1. Faça download de PsTools.zip.
  2. Extraia PsExec do pacote e execute psexec -i -u "nt authority\network service" cmd.exe em um prompt de comandos com privilégios elevados.
  3. Execute certmgr.msc no prompt de comando recém-exibido.
  4. No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
  5. Localize o certificado emitido por connectorregistrationca.msappproxy.net.

Se o valor for false, siga estas etapas para verificar o certificado:

  1. Execute certlm.msc.
  2. No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
  3. Localize o certificado emitido por connectorregistrationca.msappproxy.net.

Para renovar o certificado do cliente:

Se um conector não estiver conectado ao serviço por vários meses, seus certificados poderão estar desatualizados. A falha na renovação do certificado ocasiona um certificado expirado. O certificado expirado faz com que o serviço do conector pare de funcionar. O evento 1000 é registrado no log do administrador do conector:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-AppProxyConnector on the computer on which the Connector is running to re-register your Connector.

Nesse caso, desinstale e reinstale o conector para disparar o registro ou você pode executar os seguintes comandos do PowerShell:

Import-module AppProxyPSModule
Register-AppProxyConnector

Para saber mais sobre o comando Register-AppProxyConnector, confira Criar um script de instalação autônoma para o conector de proxy de aplicativo do Microsoft Entra.

Verifique se o administrador é usado para instalar o conector

Objetivo: Verifique se o usuário que tenta instalar o conector é um administrador com as credenciais corretas. No momento, o usuário precisa ser, pelo menos, administrador do aplicativo para que a instalação tenha êxito.

Para verificar se as credenciais estão corretas:

Conecte-se ao https://login.microsoftonline.com e use as mesmas credenciais. Certifique-se de que o logon foi bem-sucedido. Você pode verificar a função de usuário acessando ID do Microsoft Entra ->Usuários e Grupos ->Todos os Usuários.

Selecione sua conta de usuário e, em seguida, a Função do Diretório no menu resultante. Verifique se a função selecionada é a de Administrador do Aplicativo. Se não conseguir acessar nenhuma das páginas ao longo dessas etapas, você tem a função necessária.

Próximas etapas