Поделиться через

Устранение неполадок с конфигурацией частной конечной точки для учетных записей Microsoft Purview

  • Статья

В этом руководстве перечислены известные ограничения, связанные с использованием частных конечных точек для Microsoft Purview, а также приведен список шагов и решений для устранения некоторых наиболее распространенных проблем.

Известные ограничения

  • В настоящее время мы не поддерживаем частные конечные точки приема, которые работают с источниками AWS.
  • Сканирование нескольких источников Azure с помощью локальной среды выполнения интеграции не поддерживается.
  • Использование среды выполнения интеграции Azure для сканирования источников данных за частной конечной точкой не поддерживается.
  • Частные конечные точки приема можно создать с помощью интерфейса портала управления Microsoft Purview, описанного здесь. Их нельзя создать в центре Приватный канал.
  • Создание записи DNS для частных конечных точек приема в существующих зонах DNS Azure, а зоны Частная зона DNS Azure находятся в подписке, отличной от частных конечных точек, не поддерживается с помощью портала управления Microsoft Purview. Запись можно добавить вручную в целевые зоны DNS в другой подписке.
  • Если включить управляемый концентратор событий после развертывания частной конечной точки приема, потребуется повторно развернуть частную конечную точку приема.
  • Локальный компьютер среды выполнения интеграции должен быть развернут в той же виртуальной сети или в одноранговой виртуальной сети, где развернуты частные конечные точки учетной записи Microsoft Purview и приема.
  • В настоящее время мы не поддерживаем сканирование межтенантного клиента Power BI, для которого настроена частная конечная точка с заблокированным общедоступным доступом.
  • Ограничения, связанные со службой Приватный канал, см. в разделе ограничения Приватный канал Azure.

  1. После развертывания частных конечных точек для учетной записи Microsoft Purview просмотрите среду Azure, чтобы убедиться, что ресурсы частных конечных точек успешно развернуты. В зависимости от сценария в подписке Azure должна быть развернута одна или несколько из следующих частных конечных точек Azure:

    Частная конечная точка Частная конечная точка назначена Пример
    Счет Учетная запись Microsoft Purview mypurview-private-account
    Портал Учетная запись Microsoft Purview mypurview-private-portal
    Приеме внутрь Управляемая учетная запись хранения (BLOB-объект) mypurview-ingestion-blob
    Приеме внутрь Управляемая учетная запись хранения (очередь) mypurview-ingestion-queue
    Приеме внутрь Пространство имен Центров событий* пространство имен mypurview-ingestion

Примечание.

*Пространство имен Центров событий требуется только в том случае, если оно было настроено в учетной записи Microsoft Purview. Вы можете проверка в конфигурации Kafka в разделе параметры на странице учетной записи Microsoft Purview на портале Azure.

  1. Если развернута частная конечная точка портала, убедитесь, что вы также развернули частную конечную точку учетной записи.

  2. Если развернута частная конечная точка портала и настроен запрет доступа к общедоступной сети в учетной записи Microsoft Purview, убедитесь, что вы запустили портал управления Microsoft Purview из внутренней сети.

    • Чтобы проверить правильное разрешение имен, можно использовать средство командной строкиNSlookup.exe для запроса web.purview.azure.com. Результат должен возвращать частный IP-адрес, принадлежащий частной конечной точке портала.
    • Чтобы проверить сетевое подключение, можно использовать любые средства проверки сети для проверки исходящего подключения к web.purview.azure.com конечной точке к порту 443. Подключение должно быть успешным.

  3. Если используются зоны azure Частная зона DNS, убедитесь, что развернуты необходимые зоны Azure DNS и есть запись DNS (A) для каждой частной конечной точки.

  4. Проверьте сетевое подключение и разрешение имен с компьютера управления в конечную точку Microsoft Purview и веб-URL-адрес purview. При развертывании частных конечных точек учетной записи и портала конечные точки должны разрешаться через частные IP-адреса.

    Test-NetConnection -ComputerName web.purview.azure.com -Port 443

    Пример успешного исходящего подключения через частный IP-адрес:

    ComputerName     : web.purview.azure.com
RemoteAddress    : 10.9.1.7
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

    Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443

    Пример успешного исходящего подключения через частный IP-адрес:

    ComputerName     : purview-test01.purview.azure.com
RemoteAddress    : 10.9.1.8
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.9.0.10
TcpTestSucceeded : True

  5. Если вы создали учетную запись Microsoft Purview после 18 августа 2021 г., убедитесь, что вы скачайте и установите последнюю версию локальной среды выполнения интеграции из Центра загрузки Майкрософт.

  6. От локальной виртуальной машины среды выполнения интеграции проверьте сетевое подключение и разрешение имен до конечной точки Microsoft Purview.

  7. От локальной среды выполнения интеграции проверьте сетевое подключение и разрешение имен к управляемым ресурсам Microsoft Purview, таким как очередь BLOB-объектов, и дополнительным ресурсам, таким как Центры событий, через порт 443 и частные IP-адреса. (Замените управляемую учетную запись хранения и пространство имен Центров событий соответствующими именами ресурсов).

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443

    Пример успешного исходящего подключения к управляемому хранилищу BLOB-объектов через частный IP-адрес:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.6
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443

    Пример успешного исходящего подключения к управляемому хранилищу очередей через частный IP-адрес:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
RemoteAddress    : 10.15.1.5
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443

    Пример успешного исходящего подключения к пространству имен Центров событий через частный IP-адрес:

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
RemoteAddress    : 10.15.1.4
RemotePort       : 443
InterfaceAlias   : Ethernet 2
SourceAddress    : 10.15.0.4
TcpTestSucceeded : True

  8. В сети, в которой находится источник данных, проверьте сетевое подключение и разрешение имен к конечной точке Microsoft Purview и управляемым или настроенным конечным точкам ресурсов.

  9. Если источники данных находятся в локальной сети, проверьте конфигурацию DNS-сервера пересылки. Проверьте разрешение имен из той же сети, где находятся источники данных, в локальную среду выполнения интеграции, конечные точки Microsoft Purview и управляемые или настроенные ресурсы. Ожидается, что он получит допустимый частный IP-адрес из DNS-запроса для каждой конечной точки.

    Дополнительные сведения см. в статье Рабочие нагрузки виртуальной сети без пользовательского DNS-сервера и локальные рабочие нагрузки с использованием DNS-сервера пересылки вконфигурации DNS частной конечной точки Azure.

  10. Если компьютер управления и локальные виртуальные машины среды выполнения интеграции развернуты в локальной сети и вы настроили DNS-сервер пересылки в своей среде, проверьте параметры DNS и сети в своей среде.

  11. Если используется частная конечная точка приема, убедитесь, что локальная среда выполнения интеграции успешно зарегистрирована в учетной записи Microsoft Purview и отображается как запущенная как на виртуальной машине локальной среды выполнения интеграции, так и на портале управления Microsoft Purview .

Распространенные ошибки и сообщения

Проблема

При выполнении проверки может появилось следующее сообщение об ошибке:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

Причина

Это может быть признаком проблем, связанных с подключением или разрешением имен между виртуальной машиной, на которую выполняется локальная среда выполнения интеграции, и управляемой учетной записью хранения Microsoft Purview или настроенными Центрами событий.

Решение

Проверка успешного разрешения имен между виртуальной машиной с Self-Hosted Integration Runtime и очередью управляемых BLOB-объектов Microsoft Purview или настроенными Центрами событий через порт 443 и частные IP-адреса (шаг 8 выше).

Проблема

При выполнении новой проверки может появилось следующее сообщение об ошибке:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

Причина

Это может быть признаком запуска более старой версии локальной среды выполнения интеграции. Вам потребуется использовать локальную среду выполнения интеграции версии 5.9.7885.3 или более поздней.

Решение

Обновите локальную среду выполнения интеграции до версии 5.9.7885.3.

Проблема

Учетная запись Microsoft Purview с развертыванием частной конечной точки завершилась ошибкой Политика Azure проверки во время развертывания.

Причина

Эта ошибка предполагает, что в подписке Azure может существовать назначение Политика Azure, которое препятствует развертыванию любых необходимых ресурсов Azure.

Решение

Просмотрите существующие назначения Политика Azure и убедитесь, что в подписке Azure разрешено развертывание следующих ресурсов Azure.

Примечание.

В зависимости от сценария может потребоваться развернуть один или несколько из следующих типов ресурсов Azure:

  • Microsoft Purview (Microsoft.Purview/Accounts)
  • Частная конечная точка (Microsoft.Network/privateEndpoints)
  • Зоны Частная зона DNS (Microsoft.Network/privateDnsZones)
  • Пространство имен концентратора событий (Microsoft.EventHub/namespaces)
  • Учетная запись хранения (Microsoft.Storage/storageAccounts)

Проблема

Не авторизован для доступа к этой учетной записи Microsoft Purview. Эта учетная запись Microsoft Purview находится за частной конечной точкой. Доступ к учетной записи из клиента в той же виртуальной сети, которая была настроена для частной конечной точки учетной записи Microsoft Purview.

Причина

Пользователь пытается подключиться к Microsoft Purview из общедоступной конечной точки или использует общедоступные конечные точки Microsoft Purview, где для доступа к общедоступной сетизадано значение Запретить.

Решение

В этом случае, чтобы открыть портал управления Microsoft Purview, используйте компьютер, развернутый в той же виртуальной сети, что и частная конечная точка портала управления Microsoft Purview, или виртуальную машину, подключенную к корпоративной сети, в которой разрешено гибридное подключение.

Проблема

При проверке сервера SQL Server с помощью локальной среды выполнения интеграции может появилось следующее сообщение об ошибке:

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

Причина

На локальном компьютере среды выполнения интеграции включен режим FIPS. Федеральные стандарты обработки информации (FIPS) определяют определенный набор криптографических алгоритмов, которые разрешено использовать. Если на компьютере включен режим FIPS, некоторые криптографические классы, от которых зависят вызываемые процессы, в некоторых сценариях блокируются.

Решение

Отключите режим FIPS на локальном сервере интеграции.

Дальнейшие действия

Если ваша проблема не указана в этой статье или вы не можете ее устранить, обратитесь в службу поддержки, перейдя по одному из следующих каналов:

  • Получите ответы от экспертов с помощью Microsoft Q&A.
  • Подключение с помощью @AzureSupport. Этот официальный ресурс Microsoft Azure в Twitter помогает улучшить взаимодействие с клиентами, подключая сообщество Azure к правильным ответам, поддержке и экспертам.
  • Если вам по-прежнему нужна помощь, перейдите на сайт поддержка Azure и выберите Отправить запрос в службу поддержки.