Partilhar via


Solucionar problemas de instalação do conector de rede privada

O conector de rede privada Microsoft Entra é um componente de domínio interno que utiliza ligações de saída para estabelecer a conectividade a partir do ponto final disponível na nuvem até ao domínio interno. O conector é usado pelo Microsoft Entra Private Access e pelo proxy de aplicativo Microsoft Entra. Este artigo descreve como solucionar problemas com a instalação do conector e a funcionalidade subsequente.

Áreas problemáticas gerais com a instalação do conector

Quando a instalação de um conector falha, a causa raiz é geralmente uma das seguintes áreas. Como precursor de qualquer solução de problemas, certifique-se de reiniciar o conector.

  • Conectividade – para concluir uma instalação bem-sucedida, o novo conector precisa registrar e estabelecer propriedades de confiança futuras. A confiança é estabelecida conectando-se ao serviço de nuvem de proxy de aplicativo Microsoft Entra.
  • Estabelecimento de confiança – o novo conector cria um certificado autoassinado e se registra no serviço de nuvem.
  • Autenticação do administrador – durante a instalação, o usuário deve fornecer credenciais de administrador para concluir a instalação do conector.

Nota

Os logs de instalação do conector podem ser encontrados na pasta %TEMP% e podem fornecer informações adicionais sobre o que está a causar uma falha de instalação.

Use a ferramenta "Diagnóstico do Conector" para identificar problemas de instalação do conector e de rede.

A ferramenta de diagnóstico do conector é um aplicativo de linha de comando exe incluído no pacote do conector. Esta ferramenta é projetada para diagnosticar erros comuns de configuração e tempo de execução do conector para identificar problemas de instalação ou de rede. Atualmente, a ferramenta suporta as seguintes verificações:

  • Validade do certificado
  • Portas 80/443 acessibilidade
  • Configuração de proxy de saída
  • Acessibilidade CRL
  • Serviço de conector em execução
  • Acessibilidade do ponto final do serviço de back-end

A ferramenta também fornece informações adicionais, como detalhes do certificado (se o certificado for válido), ID do locatário e do conector e versões TLS. Para garantir que nenhuma verificação seja perdida devido a problemas de rede ou intermitentes, a ferramenta contém novas tentativas e imprime mensagens de exceção para quaisquer falhas de conectividade.

Como obter a ferramenta: A ferramenta de diagnóstico do conector está disponível no pacote de instalação do conector que inicia a versão 1.5.4287.0. As versões anteriores não contêm a ferramenta. Uma nova instalação do conector é necessária para obter a ferramenta se estiver a usar a versão anterior.

Como usar a ferramenta: Depois de verificar a instalação bem-sucedida, a ferramenta pode ser encontrada na pasta de instalação do conector, localizada por padrão em C:/Program Files/Microsoft Entra Private Network Connector. Clique duas vezes no aplicativo "ConnectorDiagnosticsTool" para iniciar a ferramenta.

Captura de ecrã a mostrar a aplicação

Saída da amostra:

Captura de tela mostrando a saída do aplicativo

Verificar a conectividade com o serviço de proxy de aplicativo na nuvem e a página de entrada da Microsoft

Objetivo: Verifique se a máquina do conector consegue ligar-se ao ponto final do registo do proxy da aplicação e à página de início de sessão da Microsoft.

  1. No servidor conector, execute um teste de porta usando telnet ou outra ferramenta de teste de porta para verificar se as portas 443 e 80 estão abertas.

  2. Verifique se o Firewall ou proxy de back-end tem acesso aos domínios e portas necessários, consulte Configurar conectores.

  3. Abra um separador no navegador e introduza: https://login.microsoftonline.com. Certifique-se de que consegue iniciar sessão.

Verificar o suporte a certificados de componentes de backend e máquinas

Objetivo: Verifique se a máquina conectora, o proxy de back-end e o firewall suportam o certificado que o conector criou. Além disso, verifique se o certificado é válido.

Nota

O conector tenta criar um SHA512 certificado que suporte Transport Layer Security (TLS) 1.2. Se a máquina ou o firewall e proxy de back-end não suportarem TLS 1.2, a instalação falhará.

Analise os pré-requisitos necessários:

  1. Verifique se a máquina suporta Transport Layer Security (TLS) 1.2 – Todas as versões do Windows após 2012 R2 devem suportar TLS 1.2. Se a máquina conectora for de uma versão do 2012 R2 ou anterior, certifique-se de que as atualizações necessárias estão instaladas.

  2. Contacte o administrador da rede e peça-lhe para verificar se o proxy de back-end e o firewall não bloqueiam SHA512 o tráfego de saída.

Para verificar o certificado do cliente:

Verifique a impressão digital do certificado do cliente atual. A loja de certificados pode ser encontrada em %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Os possíveis valores IsInUserStore são true e false. Um valor de true significa que o certificado é renovado automaticamente e armazenado no contentor pessoal no repositório de certificados do utilizador do Serviço de Rede. Um valor false significa que o certificado do cliente é criado durante o início da instalação ou do registro Register-MicrosoftEntraPrivateNetworkConnector . O certificado é armazenado no container pessoal no repositório de certificados da máquina local.

Se o valor for true, siga os passos seguintes para verificar o certificado:

  1. Faça o download PsTools.zip.
  2. Extraia o PsExec do pacote e execute psexec -i -u "nt authority\network service" cmd.exe a partir de um prompt de comando elevado.
  3. Executar certmgr.msc no prompt de comando recém-aparecido.
  4. No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
  5. Localize o certificado emitido para connectorregistrationca.msappproxy.net.

Se o valor for false, siga as seguintes etapas para verificar o certificado:

  1. Execute certlm.msc.
  2. No console de gerenciamento, expanda o contêiner Pessoal e selecione Certificados.
  3. Localize o certificado emitido para connectorregistrationca.msappproxy.net.

Para renovar o certificado do cliente:

Se um conector não estiver conectado ao serviço por vários meses, seus certificados podem estar desatualizados. A falha de renovação do certificado leva a um certificado expirado. O certificado expirado faz com que o serviço de conector pare de funcionar. O evento 1000 é registado no registo de administrador do conector:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Neste caso, desinstale e instale novamente o conector para acionar o registo ou pode executar os comandos do PowerShell que se seguem:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Para saber mais sobre o Register-MicrosoftEntraPrivateNetworkConnector comando, consulte Criar um script de instalação autônoma para o conector de rede privada do Microsoft Entra.

Verifique se admin é usado para instalar o conector

Objetivo: Verifique se o usuário que tenta instalar o conector é um administrador com credenciais corretas. Atualmente, o usuário deve ser pelo menos um administrador de aplicativo para que a instalação seja bem-sucedida.

Para verificar se as credenciais estão corretas:

Conecte-se a https://login.microsoftonline.com e use as mesmas credenciais. Certifique-se de que o login seja bem-sucedido. Verifique a função do usuário, vá para Microsoft Entra ID ->Usuários e Grupos ->Todos os Usuários.

Selecione a sua conta de utilizador e, em seguida, Função de Diretório no menu resultante. Verifique se a função selecionada é Administrador de Aplicativos. Se não conseguir aceder a nenhuma das páginas ao longo destes passos, não tem a função necessária.

Nota

Você deve ser solicitado a fornecer suas credenciais de administrador durante a instalação do conector por meio de um pop-up. Se não receber um pop-up, certifique-se de que as definições do seu navegador ativam pop-ups e que o JavaScript está ativado. Durante a próxima tentativa de instalação, ser-lhe-á pedido para adicionar sites a Sites Fidedignos. Depois que os sites forem adicionados aos Sites confiáveis, execute novamente a instalação.

Erros de conectores

Se o registo falhar durante a instalação do assistente de ligação, há duas maneiras de ver o motivo da falha. Procure no log de eventos em Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" , ou execute o seguinte comando do Windows PowerShell:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Depois de encontrar o erro do conector no log de eventos, use esta tabela de erros comuns para resolver o problema:

Erro Passos recomendados
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Se fechaste a janela de registo sem entrares no Microsoft Entra ID, executa novamente o assistente do conector e regista o conector.

Se a janela de registro abrir e fechar imediatamente sem permitir que você faça login, você receberá o erro. O erro ocorre quando há um erro de rede no seu sistema. Verifique se você pode se conectar de um navegador a um site público e se as portas estão abertas conforme especificado em configurar conectores.
Clear error is presented in the registration window. Cannot proceed Se vir o erro e, em seguida, a janela se fechar, introduziu o nome de utilizador ou palavra-passe errados. Tente novamente.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Você está tentando entrar usando uma Conta da Microsoft e não um domínio que faz parte da ID da organização do diretório que você está tentando acessar. O administrador deve fazer parte do mesmo nome de domínio que o domínio do locatário. Por exemplo, se o domínio Microsoft Entra for contoso.com, o administrador deve ser admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada.

1. Abra o Editor de Política de Grupo.
2. Vá para Configuração do>Computador, Modelos Administrativos>, Componentes>do Windows, Windows PowerShell e clique duas vezes em Ativar Execução de Script.
3. A política de execução pode ser definida como Não Configurada ou Ativada. Se definido como Habilitado, verifique se em Opções, a Diretiva de Execução está definida como Permitir scripts locais e scripts assinados remotamente ou Permitir todos os scripts.
Connector failed to download the configuration. O certificado de cliente do conector, que é usado para autenticação, expirou. O problema ocorre se você tiver o conector instalado atrás de um proxy. Nesse caso, o conector não pode acessar a Internet e não é capaz de fornecer aplicativos para usuários remotos. Renove a confiança manualmente usando o Register-MicrosoftEntraPrivateNetworkConnector cmdlet no Windows PowerShell. Se o seu conector estiver atrás de um proxy, é necessário conceder às contas do conector network services e local system acesso à Internet. A concessão de acesso é realizada concedendo acesso ao proxy ou ignorando o proxy.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' O alias com o qual está a tentar iniciar sessão não é um administrador neste domínio. O conector está sempre instalado para o diretório que possui o domínio do utilizador. Certifique-se de que a conta de administrador com a qual está a tentar iniciar sessão tem, pelo menos, permissões de Administrador de Aplicações para o inquilino do Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. O conector não consegue ligar-se ao serviço de nuvem de proxy da aplicação. O problema acontece se você tiver uma regra de firewall bloqueando a conexão. Permita o acesso às portas e URLs corretas listadas em configurar conectores.

Fluxograma para problemas de conectores

Este fluxograma orienta você pelas etapas para depurar alguns dos problemas mais comuns do conector. Para obter detalhes sobre cada etapa, consulte a tabela a seguir ao fluxograma.

Fluxograma que mostra as etapas de solucionar problemas de um conector.

Passo Ação Descrição
1 Localizar o grupo de conectores atribuído ao aplicativo Você provavelmente tem um conector instalado em vários servidores, caso em que os conectores devem ser atribuídos a um grupo de conectores. Para saber mais sobre grupos de conectores, consulte Compreender os grupos de conectores de rede privada do Microsoft Entra.
2 Instalar o conector e atribuir um grupo Se você não tiver um conector instalado, consulte Configurar conectores).

Se o conector não estiver atribuído a um grupo, consulte Atribuir o conector a um grupo.

Se o aplicativo não estiver atribuído a um grupo de conectores, consulte Atribuir o aplicativo a um grupo de conectores.
3 Executar um teste de porta no servidor de conector No servidor conector, execute um teste de porta usando telnet ou outra ferramenta de teste de porta para verificar se as portas estão configuradas corretamente. Para saber mais, consulte Configurar conectores.
4 Configurar os domínios e portas Configure conectores para um conector específico. Certas portas devem estar abertas e URLs que seu servidor deve ser capaz de acessar. Para obter mais informações, consulte Configurar conectores.
5 Verifique se um proxy back-end está em uso Verifique se os conectores estão usando servidores proxy back-end ou ignorando-os. Para mais detalhes, consulte Resolução de problemas de proxy do conector e questões de conectividade do serviço.
6 Atualize as configurações do conector e do atualizador com as informações do proxy de back-end Se um proxy de back-end estiver em uso, verifique se o conector está usando o mesmo proxy. Para obter detalhes sobre como solucionar problemas e configurar conectores para trabalhar com servidores proxy, consulte Trabalhar com servidores proxy locais existentes.
7 Carregue a URL interna do aplicativo no servidor do conector No servidor do conector, carregue a URL interna do aplicativo.
8 Verificar a conectividade de rede interna Há um problema de conectividade em sua rede interna que esse fluxo de depuração não consegue diagnosticar. O aplicativo deve ser acessível internamente para que os conectores funcionem. Você pode habilitar e exibir logs de eventos do conector conforme descrito em conectores de rede privada.
9 Aumentar o valor de tempo limite no sistema de apoio Nas Configurações adicionais do seu aplicativo, altere a configuração Tempo limite do aplicativo back-end para Longo. Consulte Adicionar uma aplicação local ao Microsoft Entra ID.
10 Se os problemas persistirem, depure as aplicações. Depurar problemas de aplicação de proxy.

Solução de problemas da funcionalidade do conector

Se a instalação e o registro do conector forem bem-sucedidos, mas você não conseguir acessar recursos privados, verifique o seguinte.

  • falhas de conectividade do Serviço de Nuvem: Seu conector pode estar tendo problemas para se conectar ao serviço de nuvem Entra Private Access. Embora o status do conector no centro de administração do Microsoft Entra possa ser exibido como Ativo, o conector ainda pode ter problemas para se conectar aos pontos de extremidade do serviço de nuvem. Verifique com a sua equipa de rede se há tentativas de ligação falhadas a partir do IP do conector.
  • Falha ao validar a cadeia de certificados: Este erro aparece no registo avançado do conector quando a cadeia de certificados para um certificado de serviço Global Secure Access, como *.msappproxy.net, não consegue ser validada. Muitas vezes, isso ocorre quando há um servidor proxy configurado no MicrosoftEntraPrivateNetworkConnectorService.exe.config mas não há também um servidor proxy do sistema configurado. Podes definir o proxy do sistema usando netsh winhttp set proxy address:port.
  • A inspeção TLS está configurada: A inspeção TLS não é suportada no tráfego do conector da Rede Privada. A tentativa de realizar a inspeção TLS nesse tráfego interfere na capacidade do conector de se conectar ao serviço de Acesso Seguro Global e, portanto, interfere em sua capacidade de atender às solicitações de Acesso Privado. Certifique-se de que os dispositivos de rede que permitem o acesso à Internet ao seu conector de rede privada não executam a inspeção TLS.
  • Servidor proxy existe entre o conector e o recurso: O conector requer conetividade direta com o recurso e não funciona com um servidor proxy entre o conector e o recurso. Para confirmar, teste a conectividade do conector com o recurso que você definiu em seu aplicativo de Acesso Seguro Global, como compartilhamento de arquivos ou servidor RDP, para garantir que o conector possa acessar o recurso. Se não conseguir ligar ao recurso a partir do servidor de conectores, terá de resolver o problema de conectividade de rede entre o conector e o recurso, o que pode incluir a relocalização do conector para uma localização de rede com acesso de linha de visão ao recurso.

Habilitar o registro avançado do conector

Se você puder se conectar ao recurso a partir do servidor, mas não do cliente Global Secure Access, pode haver outros problemas com o conector. Para investigar, habilite o registro avançado do conector. Para fazer isso, edite o arquivo MicrosoftEntraPrivateNetworkConnectorService.exe.config localizado na pasta de instalação do conector (por padrão, C:\Program Files\Microsoft Entra private network connector). Encontre a seção abaixo no arquivo, remova os marcadores de linha de comentário que iniciam e terminam esta seção e confirme que a pasta referenciada existe.

Captura de tela mostrando o arquivo de configuração antes das edições necessárias.

O conteúdo do arquivo deve ter a seguinte aparência:

Captura de tela mostrando um exemplo do arquivo de configuração final esperado.

Depois de habilitar o log, tente acessar o recurso do cliente Global Secure Access para reproduzir o erro. Em seguida, revise o arquivo de log para verificar se há erros.

Perguntas mais frequentes

Por que meu conector ainda está usando uma versão mais antiga e não é atualizado automaticamente para a versão mais recente?

Isso pode ser devido ao serviço atualizador não funcionar corretamente ou se não houver novas atualizações disponíveis que o serviço possa instalar.

O serviço atualizador estará íntegro se estiver em execução e não houver erros registrados no log de eventos (logs de Aplicativos e Serviços -> Microsoft -> Microsoft Entra private network -> Updater -> Admin).

Importante

Apenas as versões principais são lançadas para atualização automática. Recomendamos atualizar o conector manualmente apenas se for necessário. Por exemplo, você não pode esperar por uma versão principal, porque você deve corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo de versão (download, atualização automática), correções de bugs e novos recursos, consulte Microsoft Entra private network connector: Version release history.

Para atualizar manualmente um conector:

  • Faça o download da versão mais recente do conector. (Encontre-o no centro de administração do Microsoft Entra em Global Secure Access>Conectar>Conectores)
  • O instalador reinicia os serviços de conector de rede privada do Microsoft Entra. Em alguns casos, uma reinicialização do servidor pode ser necessária se o instalador não puder substituir todos os arquivos. Portanto, recomendamos fechar todos os aplicativos (ou seja, o Visualizador de Eventos) antes de iniciar a atualização.
  • Executar o instalador. O processo de atualização é rápido e não requer o fornecimento de credenciais e o conector não é registrado novamente.

Os serviços de conector de rede privada podem ser executados em um contexto de usuário diferente do padrão?

Não, este cenário não é suportado. As configurações padrão são:

  • Conector de rede privada Microsoft Entra - WAPCSvc - Serviço de Rede
  • Microsoft Entra Atualizador de Conector Privado de Rede - WAPCUpdaterSvc - NT Authority\System

Um utilizador convidado com uma atribuição de função de administrador ativa pode registar o conector para o inquilino (convidado)?

Não, atualmente, isso não é possível. A tentativa de registo é sempre feita no inquilino da casa do utilizador.

Meu aplicativo back-end está hospedado em vários servidores Web e requer persistência da sessão do usuário (aderência). Como posso conseguir a persistência da sessão?

Para obter recomendações, consulte Alta disponibilidade e balanceamento de carga de seus conectores e aplicativos de rede privada.

O encerramento TLS (inspeção ou aceleração TLS/HTTPS) do tráfego dos servidores do conector para o Azure é suportado?

O conector de rede privada executa a autenticação baseada em certificado no Azure. A terminação TLS (inspeção ou aceleração TLS/HTTPS) compromete este método de autenticação e não é suportada. O tráfego proveniente do conector para o Azure deve ignorar todos os dispositivos que estão a executar a terminação de TLS.

O TLS 1.2 é preciso para todas as ligações?

Sim. Para fornecer a melhor criptografia da categoria para nossos clientes, o serviço de proxy de aplicativo limita o acesso apenas aos protocolos TLS 1.2. Estas alterações foram gradualmente implementadas e entraram em vigor desde 31 de agosto de 2019. Certifique-se de que todas as combinações cliente-servidor e navegador-servidor sejam atualizadas para usar o TLS 1.2 para manter a conexão com o serviço de proxy de aplicativo. Isso inclui clientes que seus usuários estão usando para acessar aplicativos publicados por meio do proxy de aplicativo. Consulte Preparando-se para TLS 1.2 no Office 365 para obter referências e recursos úteis.

Posso colocar um dispositivo proxy de encaminhamento entre o(s) servidor(es) de ligação e o servidor de aplicações back-end?

Este cenário é suportado a partir da versão 1.5.1526.0 do conector para o proxy de aplicação Microsoft Entra, mas não é suportado para o Microsoft Entra Private Access. Consulte Trabalhar com servidores proxy locais existentes para obter informações sobre esse suporte para o Proxy de Aplicações.

Devo criar uma conta dedicada para registrar o conector com o proxy do aplicativo Microsoft Entra?

Não há razão para criar uma conta dedicada. Qualquer conta com a função de Administrador de Aplicativos funciona. As credenciais inseridas durante a instalação não são usadas após o processo de registro. Em vez disso, é emitido um certificado para o conector, que será usado para autenticação doravante.

Como posso monitorar o desempenho do conector de rede privada Microsoft Entra?

Existem contadores do Monitor de Desempenho que são instalados juntamente com o conector. Para os visualizar:

  1. Selecione Iniciar, digite "Perfmon" e pressione ENTER.
  2. Selecione Monitor de desempenho e clique no ícone verde + .
  3. Adicione os contadores do Microsoft Entra private network connector que pretende monitorizar.

O conector de rede privada Microsoft Entra tem de estar na mesma sub-rede que o recurso?

O conector não precisa estar na mesma sub-rede. No entanto, precisa de resolução de nomes (DNS, ficheiro hosts) para o recurso e da conectividade de rede necessária (encaminhamento para o recurso, portas abertas no recurso, etc.). Para obter recomendações, consulte Considerações sobre topologia de rede ao usar o proxy de aplicativo Microsoft Entra.

Por que o conector ainda está sendo exibido no centro de administração do Microsoft Entra depois que eu desinstalei o conector do servidor?

Quando um conector está em execução, ele permanece ativo à medida que se conecta ao serviço. Os conectores não instalados ou não utilizados são marcados como inativos e são removidos após 10 dias de inatividade do centro de administração do Microsoft Entra. Não é possível remover manualmente o conector Inativo do centro de administração Microsoft Entra.

Próximos passos