Resolver problemas do proxy de aplicações e mensagens de erro
Primeiro, verifique se os conectores de rede privada estão configurados corretamente. Para obter mais informações, consulte Depurar problemas do conector de rede privada e Depurar problemas do aplicativo proxy de aplicativo.
Se ocorrerem erros ao aceder a uma aplicação publicada ou à publicação de aplicações, verifique as opções que se seguem para ver se o Proxy de Aplicações do Microsoft Entra está a funcionar corretamente:
- Abra a consola dos Serviços do Windows. Verifique se o serviço de conector de rede privada do Microsoft Entra está habilitado e em execução. Observe a página de propriedades do serviço de proxy de aplicativo, conforme mostrado na imagem.
- Abra o Visualizador de Eventos e procure eventos de conector de rede privada em Logs de Aplicativos>e Serviços Microsoft>Microsoft Entra rede>privada Connector>Admin.
- Revise os logs detalhados. Ative os logs de sessão do conector de rede privada.
A página não foi composta corretamente
Você tem problemas com a renderização ou o funcionamento incorreto do aplicativo sem receber mensagens de erro específicas. O problema ocorre se você publicou o caminho do artigo, mas o aplicativo requer conteúdo que existe fora desse caminho.
Por exemplo, se você publicar o caminho https://yourapp/app
, mas o aplicativo chamar imagens no https://yourapp/media
, elas não serão renderizadas. Confirme que publica a aplicação com o caminho mais elevado que precisa para incluir todos os conteúdos relevantes. Neste exemplo, seria http://yourapp/
.
Um aplicativo proxy de aplicativo leva muito tempo para carregar
Os aplicativos podem ser funcionais, mas apresentam uma longa latência. Os ajustes de topologia de rede podem melhorar a velocidade. Para uma avaliação de topologias diferentes, consulte o documento de considerações de rede.
A página do aplicativo não é exibida corretamente para um aplicativo proxy de aplicativo
Quando você publica um aplicativo proxy de aplicativo, somente as páginas sob sua raiz são acessíveis ao acessar o aplicativo. Se a página não for apresentada corretamente, o URL interno de raiz utilizado para a aplicação pode ter em falta alguns recursos da página. Para resolver, publique todos os recursos para a página como parte do seu aplicativo.
Verifique se o problema é a falta de recursos. Abrir o rastreador de rede, como o Fiddler ou as ferramentas F12 no Microsoft Edge. Carregue a página e procure 404 erros. Os erros indicam que as páginas não podem ser encontradas e que você precisa publicá-las.
Como exemplo, suponha que você publicou um aplicativo de despesas usando a URL http://myapps/expenses
interna, mas o aplicativo usa a folha http://myapps/style.css
de estilo. A folha de estilo não é publicada em seu aplicativo, portanto, carregar o aplicativo de despesas gera um 404
erro ao tentar carregar style.css
. Neste exemplo, resolva o problema publicando o aplicativo com a URL http://myapp/
interna.
Problemas com a publicação como um único aplicativo
Se não for possível publicar todos os recursos no mesmo aplicativo, você precisará publicar vários aplicativos e habilitar links entre eles.
Para fazer isso, recomendamos o uso da solução de domínios personalizados. No entanto, essa solução requer que você possua o certificado para seu domínio e seus aplicativos usem FQDNs (nomes de domínio totalmente qualificados). Para obter outras opções, consulte a documentação de solução de problemas de links quebrados.
Posso aceder à minha candidatura, mas as ligações na página da candidatura não funcionam.
Estou a ter um problema de conectividade com a minha aplicação
Não sei que portas abrir para a minha aplicação.
Estou a ter um problema ao configurar o proxy de aplicações do Microsoft Entra no portal de administração
Não sei como configurar o logon único para meu aplicativo Proxy.
Estou a ter problemas ao configurar a autenticação de back-end para a minha aplicação
Não sei como configurar a Delegação Restrita de Kerberos. Não sei como configurar meu aplicativo com o PingAccess.
Estou a ter problemas ao iniciar sessão na minha aplicação
Eu recebo o erro Can't Access this Corporate Application
. Para resolver esse problema, consulte Erro de tempo limite de gateway incorreto.
Estou a ter um problema com o conector de rede privada
Tenho problemas ao instalar o conector de rede privada.
Erros do Kerberos
Esta tabela aborda os erros mais comuns provenientes da instalação e configuração do Kerberos e inclui sugestões de resolução.
Erro | Passos recomendados |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada. 1. Abra o Editor de Política de Grupo. 2. Vá para Configuração do>Computador, Modelos Administrativos>, Componentes>do Windows, Windows PowerShell e clique duas vezes em Ativar Execução de Script. 3. A política de execução pode ser definida como Não Configurada ou Ativada. Se definido como Habilitado, verifique se em Opções, a Diretiva de Execução está definida como Permitir scripts locais e scripts assinados remotamente ou Permitir todos os scripts. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Esse erro indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor de aplicativos de back-end ou um problema na configuração de data e hora em ambas as máquinas. O servidor back-end recusou o tíquete Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente. Verifique se a configuração de data e hora na ID do Microsoft Entra e no servidor de aplicativos de back-end estão sincronizadas. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Há um problema com a configuração do Serviço de Token de Segurança (STS). Corrija a configuração da declaração UPN (Nome Principal do Usuário) no STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Esse evento indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambas as máquinas. O controlador de domínio recusou o tíquete Kerberos criado pelo ID do Microsoft Entra. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente, especialmente a configuração do SPN (Nome da Entidade de Serviço). Verifique se o controlador de domínio estabelece confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Verifique se a configuração de data e hora na ID do Microsoft Entra e no controlador de domínio estão sincronizadas. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
Esse evento indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambas as máquinas. O controlador de domínio recusou o tíquete Kerberos criado pelo ID do Microsoft Entra. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente, especialmente a configuração do SPN. Verifique se o controlador de domínio estabelece confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Certifique-se de que a configuração de hora e data na ID do Microsoft Entra e no controlador de domínio estão sincronizadas. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
Esse evento indica configuração incorreta entre o Microsoft Entra ID e o servidor de aplicativos back-end ou um problema na configuração de data e hora em ambas as máquinas. O servidor back-end recusou o tíquete Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente. Verifique se a configuração de data e hora na ID do Microsoft Entra e no servidor de aplicativos de back-end estão sincronizadas. Para obter mais informações, consulte Solucionar problemas de configurações de delegação restrita de Kerberos para proxy de aplicativo. |
Erros do utilizador final
Esta lista abrange os erros que os utilizadores finais podem encontrar quando tentam aceder à aplicação e falham.
Erro | Passos recomendados |
---|---|
The website cannot display the page. |
O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se o aplicativo for um aplicativo de Autenticação Integrada do Windows (IWA). O SPN definido para esta aplicação está incorreto. Para aplicativos IWA, verifique se o SPN configurado para este aplicativo está correto. |
The website cannot display the page. |
O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se o aplicativo for um aplicativo do Outlook Web Application (OWA). A questão resulta de: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
O utilizador recebe este erro quando tenta aceder à aplicação que publicou se utilizar contas Microsoft em vez da respetiva conta empresarial para iniciar sessão. Os usuários convidados recebem esse erro. Os utilizadores e convidados da Conta Microsoft não podem aceder a aplicações IWA. Verifique se o usuário entra usando sua conta corporativa que corresponde ao domínio do aplicativo publicado. Você deve atribuir o usuário para este aplicativo. Vá para a guia Aplicativo e, em Usuários e Grupos, atribua esse usuário ou grupo de usuários a este aplicativo. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se eles não estiverem definidos corretamente para esse aplicativo no lado local. Verifique se os usuários têm as permissões adequadas, conforme definido para esse aplicativo de back-end na máquina local. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se não tiver sido explicitamente atribuído com uma licença Premium pelo administrador do assinante. Aceda ao separador Licenças do Ative Directory do subscritor e certifique-se de que este utilizador ou grupo de utilizadores recebe uma licença Premium. |
A server with the specified host name could not be found. |
O usuário recebe esse erro ao tentar acessar o aplicativo que você publicou se o domínio personalizado do aplicativo não estiver configurado corretamente. Verifique o certificado para o domínio e configure o registro DNS (Sistema de Nomes de Domínio) corretamente. Para obter mais informações, consulte Trabalhando com domínios personalizados no proxy de aplicativo do Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
O problema pode ser um problema com o acesso às informações de autorização. Para saber mais, consulte (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Em resumo, adicione a conta da máquina do conector de rede privada ao grupo de domínio interno "Grupo de Acesso de Autorização do Windows" para resolver. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
O conector protege as conexões de saída para os pontos de extremidade do serviço de nuvem de proxy de aplicativo Microsoft Entra usando um certificado de cliente. O erro ocorre quando o certificado do cliente não consegue atingir o ponto de extremidade. Por exemplo, um dispositivo de rede executando inspeção TLS (Transport Layer Security) ou quebrando a conexão TLS. Evite a inspeção em linha e o término de comunicações TLS de saída. A inspeção e o término não devem acontecer entre os conectores de rede privada do Microsoft Entra e os serviços de nuvem de proxy de aplicativo do Microsoft Entra. |