Устранение неполадок и сообщения об ошибках прокси приложения
Сначала убедитесь, что соединители частной сети настроены правильно. Дополнительные сведения см. в разделе "Отладка проблем с частным сетевым соединителем" и "Отладка проблем с приложением прокси приложения приложения".
Если во время доступа к опубликованному приложению или публикации приложений возникают ошибки, проверьте следующие параметры, чтобы выяснить, правильно ли работает прокси-сервер приложений Microsoft Entra.
- Откройте консоль служб Windows. Убедитесь, что служба соединителя частной сети Microsoft Entra включена и запущена. Просмотрите страницу свойств службы прокси приложения, как показано на изображении.
- Откройте Просмотр событий и найдите события соединителя частной сети в журналах>приложений и служб Microsoft>Entra private network> Подключение or> Администратор.
- Просмотрите подробные журналы. Включите журналы сеансов соединителя частной сети.
Страница не отображается правильно
У вас возникли проблемы с отрисовкой или работой приложения без получения определенных сообщений об ошибках. Проблема возникает, если вы опубликовали путь статьи, но приложение требует содержимого, которое существует вне этого пути.
Например, если вы публикуете путь https://yourapp/app
, но изображения приложений вызываются в https://yourapp/media
, они не отображаются. Чтобы включить все соответствующее содержимое, обязательно публикуйте приложение, используя путь самого высокого уровня. Для этого примера это http://yourapp/
.
Загрузка приложения прокси приложения занимает слишком много времени
Приложения могут быть функциональными, но с длительной задержкой. Настройки сетевой топологии могут повысить скорость. Оценку различных топологий см. в документе с рекомендациями по сети.
Страница приложения не отображается правильно для приложения-прокси приложения
При публикации приложения-прокси приложения только страницы в корневом каталоге доступны при доступе к приложению. Если страница отображается неправильно, возможно, в корневом внутреннем URL-адресе для этого приложения отсутствуют некоторые ресурсы страницы. Чтобы устранить проблему, опубликуйте все ресурсы страницы в составе приложения.
Убедитесь, что отсутствующие ресурсы являются проблемой. Открытие средства отслеживания сети, например Fiddler или F12 в Microsoft Edge. Загрузите страницу и найдите 404 ошибки. Ошибки указывают на то, что страницы не найдены, и их нужно опубликовать.
Например, предположим, что вы опубликовали приложение расходов с помощью внутреннего URL-адреса http://myapps/expenses
, но приложение использует таблицу http://myapps/style.css
стилей. Таблица стилей не опубликована в приложении, поэтому загрузка приложения расходов выдает ошибку 404
, пытающуюся загрузить style.css
. В этом примере устраните проблему, публикуя приложение с внутренним URL-адресом http://myapp/
.
Проблемы при публикации в качестве одного приложения
Если невозможно опубликовать все ресурсы в одном приложении, необходимо опубликовать несколько приложений и включить связи между ними.
Для этого рекомендуется использовать решение на базе личных доменов. Однако это решение требует, чтобы вы владели сертификатом для своего домена, а ваши приложения использовали полные доменные имена (FQDN). Другие варианты описаны в документации по устранению неполадок с неработающими ссылками.
Я могу добраться до приложения, но ссылки на странице приложения не работают.
У меня возникла проблема с подключением к приложению
Я не знаю, какие порты нужно открыть для приложения.
Возникла проблема при настройке прокси-сервера приложений Microsoft Entra на портале администрирования
Я не знаю, как настроить единый вход в приложение Proxy приложения.
Возникла проблема при настройке внутренней проверки подлинности в моем приложении
Я не знаю, как настроить ограниченное делегирование Kerberos. Я не знаю, как настроить приложение с помощью PingAccess.
Возникла проблема при входе в мое приложение
Возникает ошибка Can't Access this Corporate Application
. Сведения об устранении этой проблемы см. в статье об ошибке времени ожидания для плохого шлюза.
У меня возникла проблема с соединителем частной сети
У меня возникли проблемы с установкой соединителя частной сети.
Ошибки Kerberos
Эта таблица охватывает более распространенные ошибки, происходящие при установке и настройке Kerberos, и содержит рекомендации по устранению.
Ошибка | Рекомендуемые действия |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Если установка соединителя завершается ошибкой, проверка, чтобы убедиться, что политика выполнения PowerShell не отключена. 1. Откройте редактор групповой политики. 2. Выберите Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Windows PowerShell и дважды щелкните пункт Включить выполнение сценариев. 3. Возможные значения политики выполнения: Не настроено и Включено. Если установлено значение Включено, убедитесь, что в разделе "Параметры" для параметра "Политика выполнения" установлено значение Разрешать локальные сценарии и удаленные подписанные сценарии или Разрешать все сценарии. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Эта ошибка указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером сервером внутренних приложений или проблемой во времени и конфигурации даты на обоих компьютерах. Сервер сервер отказался от билета Kerberos, созданного идентификатором Microsoft Entra. Убедитесь, что идентификатор Microsoft Entra и серверного приложения настроены правильно. Убедитесь, что конфигурация времени и даты на идентификаторе Microsoft Entra и сервере серверного приложения синхронизируются. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Возникла проблема с конфигурацией службы маркеров безопасности (STS). Исправьте конфигурацию утверждения имени участника-пользователя (UPN) в stS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером контроллера домена или проблемой в конфигурации даты и времени на обоих компьютерах. Контроллер домена отказался от билета Kerberos, созданного идентификатором Microsoft Entra. Убедитесь, что идентификатор Microsoft Entra и серверных приложений настроены правильно, особенно конфигурация имени субъекта-службы (SPN). Убедитесь, что контроллер домена устанавливает доверие с идентификатором Microsoft Entra. Оба должны использовать один и тот же домен. Убедитесь, что конфигурация времени и даты в идентификаторе Microsoft Entra и контроллере домена синхронизируются. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером контроллера домена или проблемой в конфигурации даты и времени на обоих компьютерах. Контроллер домена отказался от билета Kerberos, созданного идентификатором Microsoft Entra. Убедитесь, что идентификатор Microsoft Entra и серверных приложений настроены правильно, особенно конфигурация субъекта-службы. Убедитесь, что контроллер домена устанавливает доверие с идентификатором Microsoft Entra. Оба должны использовать один и тот же домен. Убедитесь, что конфигурация времени и даты в идентификаторе Microsoft Entra и контроллере домена синхронизируются. |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером сервером внутренних приложений, или проблемой во времени и конфигурации даты на обоих компьютерах. Сервер сервер отказался от билета Kerberos, созданного идентификатором Microsoft Entra. Убедитесь, что идентификатор Microsoft Entra и серверного приложения настроены правильно. Убедитесь, что конфигурация времени и даты на идентификаторе Microsoft Entra и сервере серверного приложения синхронизируются. Дополнительные сведения см. в разделе "Устранение неполадок с конфигурациями ограниченного делегирования Kerberos" для прокси приложения. |
Ошибки пользователей
Этот список содержит ошибки, с которыми могут столкнуться пользователи при неудачной попытке доступа к приложению.
Ошибка | Рекомендуемые действия |
---|---|
The website cannot display the page. |
Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если приложение является приложением встроенной проверки подлинности Windows (IWA). Для этого приложения определено неверное имя субъекта-службы. Для приложений IWA: убедитесь, что для приложения настроено правильное имя субъекта-службы. |
The website cannot display the page. |
Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если приложение является приложением Outlook Web Application (OWA). Результат проблемы: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если они используют учетные записи Майкрософт вместо своей корпоративной учетной записи для входа. Гостевые пользователи получают эту ошибку. Пользователи и гости учетной записи Майкрософт не могут получить доступ к приложениям IWA. Убедитесь, что пользователь выполняет вход с помощью корпоративной учетной записи, которая соответствует имени домена опубликованного приложения. Для этого приложения необходимо назначить пользователя. Перейдите на вкладку Приложение и в разделе Пользователи и группы назначьте этого пользователя или группу пользователей для этого приложения. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если он не определен должным образом для этого приложения на локальной стороне. Убедитесь, что такой пользователь имеет соответствующие разрешения, определенные для этого внутреннего приложения на локальном компьютере. |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если они не были явно назначены администратором подписчика лицензией Premium. Откройте вкладку Лицензии службы Active Directory подписчика и убедитесь, что этому пользователю или группе пользователей назначена лицензия уровня "Премиум". |
A server with the specified host name could not be found. |
Пользователь получает эту ошибку при попытке получить доступ к опубликованному приложению, если личный домен приложения настроен неправильно. Проверьте сертификат для домена и правильно настройте запись системы доменных имен (DNS). Дополнительные сведения см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Проблема может быть проблемой с доступом к сведениям о авторизации. Дополнительные сведения см. в разделе (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). В кратком окне добавьте учетную запись компьютера с частным сетевым соединителем в встроенную группу доменов windows authorization Access Group для разрешения. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Соединитель защищает исходящие подключения к конечным точкам облачной службы прокси приложения Microsoft Entra с помощью сертификата клиента. Ошибка возникает, когда сертификат клиента не достигнет конечной точки. Например, сетевое устройство, выполняющее проверку протокола TLS или нарушение подключения TLS. Избегайте встроенной проверки и прекращения исходящих подключений TLS. Проверка и завершение не должны происходить между соединителями частной сети Microsoft Entra и облачными службами прокси приложения Microsoft Entra. |