Felsöka problem med att installera den privata nätverksanslutningen
Microsoft Entra Private Network Connector är en intern domänkomponent som använder utgående anslutningar för att upprätta anslutningen från den molntillgängliga slutpunkten till den interna domänen. Anslutningsappen används av både Microsoft Entra privatni pristup och Microsoft Entra-programproxy.
Allmänna problemområden med anslutningsprograminstallation
När installationen av en anslutningsapp misslyckas är rotorsaken vanligtvis ett av följande områden. Som en föregångare till all felsökning måste du starta om anslutningsappen.
- Anslutning – för att slutföra en lyckad installation måste den nya anslutningsappen registrera och upprätta framtida förtroendeegenskaper. Förtroende upprättas genom anslutning till Microsoft Entra-programproxymolntjänsten.
- Förtroendeetablering – den nya anslutningsappen skapar ett självsignerat certifikat och registrerar sig för molntjänsten.
- Administratörens autentisering – under installationen måste användaren ange administratörsautentiseringsuppgifter för att slutföra installationen av anslutningsappen.
Kommentar
Installationsloggarna för anslutningsappen %TEMP%
finns i mappen och kan ge ytterligare information om vad som orsakar ett installationsfel.
Verifiera anslutningen till molnprogramproxytjänsten och Microsofts inloggningssida
Mål: Kontrollera att anslutningsdatorn kan ansluta till slutpunkten för programproxyregistrering och Microsoft-inloggningssidan.
På anslutningsservern kör du ett porttest med hjälp av telnet eller annat porttestverktyg för att kontrollera att portarna 443 och 80 är öppna.
Kontrollera att brandväggen eller serverdelsproxyn har åtkomst till de domäner och portar som krävs, se konfigurera anslutningsappar.
Öppna en webbläsarflik och ange:
https://login.microsoftonline.com
. Kontrollera att du kan logga in.
Verifiera stöd för dator- och serverdelskomponentcertifikat
Mål: Kontrollera att anslutningsdatorn, serverdelsproxyn och brandväggen har stöd för certifikatet som skapats av anslutningsappen. Kontrollera också att certifikatet är giltigt.
Kommentar
Anslutningsappen försöker skapa ett SHA512
certifikat som stöds av TLS (Transport Layer Security) 1.2. Om datorn eller serverdelsbrandväggen och proxyn inte stöder TLS 1.2 misslyckas installationen.
Granska kraven som krävs:
Kontrollera att datorn har stöd för TLS (Transport Layer Security) 1.2 – Alla Windows-versioner efter 2012 R2 bör ha stöd för TLS 1.2. Om anslutningsdatorn kommer från en version av 2012 R2 eller tidigare kontrollerar du att nödvändiga uppdateringar är installerade.
Kontakta nätverksadministratören och be om att kontrollera att serverdelsproxyn och brandväggen inte blockerar
SHA512
utgående trafik.
Så här verifierar du klientcertifikatet:
Kontrollera tumavtrycket för det aktuella klientcertifikatet. Certifikatarkivet finns i %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml
.
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
De möjliga IsInUserStore-värdena är sanna och falska. Värdet true innebär att certifikatet förnyas automatiskt och lagras i den personliga containern i användarcertifikatarkivet för nätverkstjänsten. Värdet false innebär att klientcertifikatet skapas under installationen eller registreringen som initieras av Register-MicrosoftEntraPrivateNetworkConnector
. Certifikatet lagras i den personliga containern i certifikatarkivet på den lokala datorn.
Om värdet är sant följer du dessa steg för att verifiera certifikatet:
- Ladda ned PsTools.zip.
- Extrahera PsExec från paketet och kör psexec -i -u "nt authority\network service" cmd.exe från en upphöjd kommandotolk.
- Kör certmgr.msc i kommandotolken som visades nyligen.
- I hanteringskonsolen expanderar du den personliga containern och väljer på Certifikat.
- Leta upp certifikatet som utfärdats av connectorregistrationca.msappproxy.net.
Om värdet är falskt följer du dessa steg för att verifiera certifikatet:
- Kör certlm.msc.
- I hanteringskonsolen expanderar du den personliga containern och väljer på Certifikat.
- Leta upp certifikatet som utfärdats av connectorregistrationca.msappproxy.net.
Så här förnyar du klientcertifikatet:
Om en anslutningsapp inte är ansluten till tjänsten på flera månader kan dess certifikat vara inaktuella. Felet med certifikatförnyelsen gör att certifikatet går ut. Det utgångna certifikatet gör att anslutningstjänsten slutar fungera. Händelsen 1000 registreras i anslutningsappens administratörslogg:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
I det här fallet avinstallerar och installerar du om anslutningsappen för att utlösa en registrering, eller så kan du köra följande PowerShell-kommandon:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Mer information om kommandot finns i Register-MicrosoftEntraPrivateNetworkConnector
Skapa ett obevakat installationsskript för den privata Nätverksanslutningen i Microsoft Entra.
Kontrollera att administratören används för att installera anslutningsappen
Mål: Kontrollera att den användare som försöker installera anslutningsappen är en administratör med rätt autentiseringsuppgifter. För närvarande måste användaren vara minst programadministratör för att installationen ska lyckas.
Så här kontrollerar du att autentiseringsuppgifterna är korrekta:
Anslut till https://login.microsoftonline.com
och använd samma autentiseringsuppgifter. Kontrollera att inloggningen lyckades. Du kan kontrollera användarrollen genom att gå till Microsoft Entra-ID –>Användare och grupper –> Alla användare.
Välj ditt användarkonto och sedan Katalogroll i den resulterande menyn. Kontrollera att den valda rollen är programadministratör. Om du inte kan komma åt någon av sidorna i de här stegen har du inte den roll som krävs.
Fel på anslutningsprogram
Om registreringen misslyckas under installationen av anslutningsguiden finns det två sätt att visa orsaken till felet. Leta antingen i händelseloggen under Windows Logs\Application (filter by Source = "Microsoft Entra private network connector"
eller kör följande Windows PowerShell-kommando:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
När du hittar anslutningsfelet från händelseloggen använder du den här tabellen med vanliga fel för att lösa problemet:
Fel | Rekommenderade åtgärder |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Om du stängde registreringsfönstret utan att logga in på Microsoft Entra-ID kör du anslutningsguiden igen och registrerar anslutningsappen. Om registreringsfönstret öppnas och sedan omedelbart stängs utan att du kan logga in får du felet. Felet uppstår när det finns ett nätverksfel i systemet. Se till att du kan ansluta från en webbläsare till en offentlig webbplats och att portarna är öppna enligt beskrivningen i Konfigurera anslutningsappar. |
Clear error is presented in the registration window. Cannot proceed |
Om du ser felet och fönstret stängs anger du fel användarnamn eller lösenord. Försök igen. |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
Du försöker logga in med ett Microsoft-konto och inte en domän som ingår i organisations-ID:t för den katalog som du försöker komma åt. Administratören måste vara en del av samma domännamn som klientdomänen. Om Till exempel Microsoft Entra-domänen är contoso.com ska administratören vara admin@contoso.com . |
Failed to retrieve the current execution policy for running PowerShell scripts. |
Om installationen av anslutningsappen misslyckas kontrollerar du att PowerShell-körningsprincipen inte är inaktiverad. 1. Öppna redigeraren för grupprincip. 2. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Windows PowerShell och dubbelklicka på Aktivera skriptkörning. 3. Körningsprincipen kan anges till Antingen Inte konfigurerad eller Aktiverad. Om inställningen är Aktiverad kontrollerar du att under Alternativ är körningsprincipen inställd på Tillåt lokala skript och fjärrsignerade skript eller på Tillåt alla skript. |
Connector failed to download the configuration. |
Anslutningsappens klientcertifikat, som används för autentisering, har upphört att gälla. Problemet uppstår om anslutningsappen är installerad bakom en proxyserver. I det här fallet kan anslutningsappen inte komma åt Internet och kan inte tillhandahålla program till fjärranvändare. Förnya förtroendet manuellt med hjälp av cmdleten Register-MicrosoftEntraPrivateNetworkConnector i Windows PowerShell. Om anslutningsappen finns bakom en proxyserver är det nödvändigt att bevilja Internetåtkomst till anslutningskontona network services och local system . Att bevilja åtkomst uppnås genom att bevilja åtkomst till proxyn eller kringgå proxyn. |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
Det alias som du försöker logga in med är inte administratör för den här domänen. Anslutningsappen installeras alltid för den katalog som äger användarens domän. Kontrollera att det administratörskonto som du försöker logga in med har minst programadministratörsbehörighet till Microsoft Entra-klientorganisationen. |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
Anslutningsappen kan inte ansluta till molntjänsten för programproxy. Problemet uppstår om du har en brandväggsregel som blockerar anslutningen. Tillåt åtkomst till rätt portar och URL:er som anges i konfigurera anslutningsappar. |
Flödesschema för anslutningsproblem
Det här flödesschemat vägleder dig genom stegen för att felsöka några av de vanligaste anslutningsproblemen. Mer information om varje steg finns i tabellen efter flödesschemat.
Steg | Åtgärd | beskrivning |
---|---|---|
1 | Hitta den anslutningsgrupp som tilldelats appen | Du har förmodligen en anslutningsapp installerad på flera servrar, i vilket fall anslutningsapparna ska tilldelas till en anslutningsgrupp. Mer information om anslutningsgrupper finns i Förstå grupper för privata nätverksanslutningar i Microsoft Entra. |
2 | Installera anslutningsappen och tilldela en grupp | Om du inte har en anslutningsapp installerad kan du läsa konfigurera anslutningsappar). Om anslutningsappen inte har tilldelats till en grupp kan du läsa Tilldela anslutningsappen till en grupp. Om programmet inte har tilldelats till en anslutningsgrupp läser du Tilldela programmet till en anslutningsgrupp. |
3 | Kör ett porttest på anslutningsservern | På anslutningsservern kör du ett porttest med hjälp av telnet eller något annat porttestverktyg för att kontrollera om portarna är korrekt konfigurerade. Mer information finns i konfigurera anslutningsappar. |
4 | Konfigurera domäner och portar | Konfigurera anslutningsappar för anslutningsappen. Vissa portar måste vara öppna och URL:er som servern måste kunna komma åt. Mer information finns i konfigurera anslutningsappar. |
5 | Kontrollera om en serverdelsproxy används | Kontrollera om anslutningsapparna använder serverdelsproxyservrar eller kringgår dem. Mer information finns i Felsöka problem med anslutningsproxy och problem med tjänstanslutning. |
6 | Uppdatera inställningarna för anslutningsappen och uppdateringsprogrammet med serverdelsproxyinformationen | Om en serverdelsproxy används kontrollerar du att anslutningsappen använder samma proxy. Mer information om hur du felsöker och konfigurerar anslutningsappar för att fungera med proxyservrar finns i Arbeta med befintliga lokala proxyservrar. |
7 | Läs in appens interna URL på anslutningsservern | Läs in appens interna URL på anslutningsservern. |
8 | Kontrollera den interna nätverksanslutningen | Det finns ett anslutningsproblem i ditt interna nätverk som det här felsökningsflödet inte kan diagnostisera. Programmet måste vara tillgängligt internt för att anslutningsprogrammen ska fungera. Du kan aktivera och visa händelseloggar för anslutningsappar enligt beskrivningen i privata nätverksanslutningar. |
9 | Förläng timeout-värdet på serverdelen | I Ytterligare inställningar för ditt program ändrar du inställningen Timeout för serverdelsprogrammet till Lång. Se Lägga till en lokal app i Microsoft Entra-ID. |
10 | Om problemen kvarstår kan du felsöka program. | Felsöka programproxyprogramproblem. |
Vanliga frågor och svar
Varför använder min anslutningsapp fortfarande en äldre version och uppgraderas inte automatiskt till den senaste versionen?
Detta kan bero på att uppdateringstjänsten inte fungerar korrekt eller om det inte finns några nya uppdateringar tillgängliga som tjänsten kan installera.
Uppdateringstjänsten är felfri om den körs och det inte finns några fel registrerade i händelseloggen (program- och tjänstloggar –> Microsoft –> Microsoft Entra privat nätverk –> Updater –> Admin).
Viktigt!
Endast större versioner släpps för automatisk uppgradering. Vi rekommenderar att du uppdaterar anslutningsappen manuellt endast om det behövs. Du kan till exempel inte vänta på en större version eftersom du måste åtgärda ett känt problem eller om du vill använda en ny funktion. Mer information om nya versioner, typen av version (nedladdning, automatisk uppgradering), felkorrigeringar och nya funktioner finns i Microsoft Entra private network connector: Versionshistorik.
Så här uppgraderar du en anslutningsapp manuellt:
- Ladda ned den senaste versionen av anslutningsappen. (Hitta den i administrationscentret för Microsoft Entra på Anslutningsprogram för global säker åtkomstanslutning>>)
- Installationsprogrammet startar om tjänsterna för privata Nätverksanslutningar i Microsoft Entra. I vissa fall kan det krävas en omstart av servern om installationsprogrammet inte kan ersätta alla filer. Därför rekommenderar vi att du stänger alla program (dvs. Prikazivač događaja) innan du startar uppgraderingen.
- Kör installationsprogrammet. Uppgraderingsprocessen går snabbt och kräver inga autentiseringsuppgifter och anslutningsappen registreras inte på nytt.
Kan privata nätverksanslutningstjänster köras i en annan användarkontext än standardtjänsten?
Nej, det här scenariot stöds inte. Standardinställningarna är:
- Anslutningsprogram för privata Microsoft Entra-nätverk – WAPCSvc – Nätverkstjänst
- Uppdaterare för privata Microsoft Entra-nätverksanslutningar – WAPCUpdaterSvc – NT-utfärdare\System
Kan en gästanvändare med en aktiv administratörsrolltilldelning registrera anslutningsappen för (gäst)-klientorganisationen?
Nej, för närvarande är detta inte möjligt. Registreringsförsöket görs alltid på användarens hemklientorganisation.
Mitt serverdelsprogram finns på flera webbservrar och kräver beständighet för användarsessioner (fasthet). Hur kan jag uppnå sessionspersistence?
Rekommendationer finns i Hög tillgänglighet och belastningsutjämning för dina privata nätverksanslutningar och program.
Stöds TLS-avslutning (TLS/HTTPS-inspektion eller acceleration) för trafik från anslutningsservrarna till Azure?
Den privata nätverksanslutningen utför certifikatbaserad autentisering till Azure. TLS-avslutning (TLS/HTTPS-inspektion eller acceleration) bryter den här autentiseringsmetoden och stöds inte. Trafik från anslutningsappen till Azure måste kringgå alla enheter som utför TLS-avslutning.
Krävs TLS 1.2 för alla anslutningar?
Ja. För att tillhandahålla förstklassig kryptering till våra kunder begränsar programproxytjänsten åtkomsten till endast TLS 1.2-protokoll. Ändringarna har successivt rullats ut och börjar gälla sedan den 31 augusti 2019. Kontrollera att alla kombinationer av klient-server och webbläsarserver har uppdaterats för att använda TLS 1.2 för att upprätthålla anslutningen till programproxytjänsten. Dessa inkluderar klienter som dina användare använder för att komma åt program som publicerats via programproxy. Se Förbereda för TLS 1.2 i Office 365 för användbara referenser och resurser.
Kan jag placera en proxyenhet för vidarebefordran mellan anslutningsservern eller serverdelens programserver?
Ja, det här scenariot stöds från och med anslutningsversionen 1.5.1526.0. Se Arbeta med befintliga lokala proxyservrar.
Ska jag skapa ett dedikerat konto för att registrera anslutningsappen med Microsoft Entra-programproxy?
Det finns ingen anledning att skapa ett dedikerat konto. Alla konton med rollen Programadministratör fungerar. De autentiseringsuppgifter som angavs under installationen används inte efter registreringsprocessen. I stället utfärdas ett certifikat till anslutningsappen, som används för autentisering från och med den tidpunkten.
Hur kan jag övervaka prestanda för den privata Nätverksanslutningen för Microsoft Entra?
Det finns prestandaräknare som installeras tillsammans med anslutningsappen. Så här visar du dem:
- Välj Start, skriv "Perfmon" och tryck på RETUR.
- Välj Prestandaövervakaren och klicka på den gröna + ikonen.
- Lägg till de privata Anslutningsräknare för privata Microsoft Entra-nätverk som du vill övervaka.
Måste det privata Microsoft Entra-nätverksanslutningsnätverket finnas i samma undernät som resursen?
Anslutningsappen måste inte finnas i samma undernät. Den behöver dock namnmatchning (DNS, värdfil) till resursen och nödvändig nätverksanslutning (routning till resursen, portar öppna på resursen och så vidare). Rekommendationer finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.
Varför visas anslutningsappen fortfarande i administrationscentret för Microsoft Entra när jag har avinstallerat anslutningsappen från servern?
När en anslutningsapp körs förblir den aktiv när den ansluter till tjänsten. Avinstallerade eller oanvända anslutningsappar taggas som inaktiva och tas bort efter 10 dagars inaktivitet från portalen. Det går inte att ta bort den inaktiva anslutningsappen manuellt från administrationscentret för Microsoft Entra.