針對安裝專用網連接器的問題進行疑難解答
Microsoft Entra 專用網連接器是內部網域元件,會使用輸出連線來建立從雲端可用端點到內部網域的連線。 連接器由 Microsoft Entra 私人存取和 Microsoft Entra 應用程式 Proxy 使用。
連接器安裝的一般問題區域
安裝連接器失敗時,根本原因通常是下列其中一個區域。 作為任何疑難解答的前身,請務必重新啟動連接器。
- 連線 ivity – 若要完成成功的安裝,新連接器必須註冊並建立未來的信任屬性。 信任是藉由連線到 Microsoft Entra 應用程式 Proxy 雲端服務來建立。
- 信任建立 – 新的連接器會建立自我簽署的憑證,並註冊至雲端服務。
- 系統管理員 的驗證 – 在安裝期間,用戶必須提供系統管理員認證才能完成連接器安裝。
注意
您可以在資料夾中找到 %TEMP% 連接器安裝記錄檔,並可協助提供有關造成安裝失敗之原因的其他資訊。
確認雲端應用程式 Proxy 服務和 Microsoft 登入頁面的連線能力
目標: 確認連接器計算機可以連線到應用程式 Proxy 註冊端點和 Microsoft 登入頁面。
在連接器伺服器上,使用 telnet 或其他埠測試工具來執行埠測試,以確認埠 443 和 80 已開啟。
確認防火牆或後端 Proxy 可以存取所需的網域和埠,請參閱設定 連接器。
開啟瀏覽器索引標籤,然後輸入:
https://login.microsoftonline.com。 請確定您可以登入。
確認計算機和後端元件憑證支援
目標: 確認連接器計算機、後端 Proxy 和防火牆可支援連接器所建立的憑證。 此外,請確認憑證是否有效。
注意
連接器會嘗試建立 SHA512 傳輸層安全性 (TLS) 1.2 支援的憑證。 如果計算機或後端防火牆和 Proxy 不支援 TLS 1.2,安裝就會失敗。
檢閱必要條件:
確認計算機支援傳輸層安全性 (TLS) 1.2 – 2012 R2 之後的所有 Windows 版本都應該支援 TLS 1.2。 如果您的連接器電腦來自 2012 R2 或更新版本,請確定 已安裝必要的更新 。
請連絡您的網路管理員,並要求確認後端 Proxy 和防火牆不會封鎖
SHA512連出流量。
若要驗證客戶端憑證:
確認目前客戶端憑證的指紋。 您可以在 中找到 %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml證書存儲。
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
可能的 IsInUserStore 值為 true 和 false。 true 值表示憑證會自動更新,並儲存在網路服務的使用者證書存儲的個人容器中。 false 值表示客戶端憑證是在 由 Register-MicrosoftEntraPrivateNetworkConnector起始的安裝或註冊期間建立的。 憑證會儲存在本機計算機的證書存儲中的個人容器中。
如果值為 true,請遵循下列步驟來驗證憑證:
- 下載 PsTools.zip。
- 從套件擷取 PsExec,並從提升許可權的命令提示字元執行 psexec -i -u “nt authority\network service” cmd.exe。
- 在新出現的命令提示字元中執行 certmgr.msc 。
- 在管理控制台中,展開 [個人] 容器,然後選取 [憑證]。
- 找出 connectorregistrationca.msappproxy.net 所簽發的憑證。
如果值為 false,請遵循下列步驟來驗證憑證:
- 執行 certlm.msc。
- 在管理控制台中,展開 [個人] 容器,然後選取 [憑證]。
- 找出 connectorregistrationca.msappproxy.net 所簽發的憑證。
若要更新客戶端憑證:
如果連接器幾個月未連線到服務,其憑證可能會過期。 憑證更新若失敗,將會導致憑證過期。 過期的憑證會導致連接器服務停止運作。 事件 1000 會記錄在連接器的管理記錄檔中:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
在此情況下,卸載並重新安裝連接器以觸發註冊,或者您可以執行下列 PowerShell 命令:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
若要深入瞭解 Register-MicrosoftEntraPrivateNetworkConnector 命令,請參閱 建立 Microsoft Entra 專用網連接器的自動安裝腳本。
確認系統管理員是用來安裝連接器
目標: 確認嘗試安裝連接器的使用者是具有正確認證的系統管理員。 目前,使用者至少必須是應用程式管理員,才能成功安裝。
若要確認認證正確:
連線 和 https://login.microsoftonline.com 使用相同的認證。 請確定登入成功。 您可以移至 Microsoft Entra ID ->Users and Groups ->All Users 來檢查使用者角色。
選取您的使用者帳戶,然後在 產生的功能表中選取 [目錄角色 ]。 確認選取的角色為 Application 管理員 istrator。 如果您無法透過這些步驟存取任何頁面,則沒有必要的角色。
連接器錯誤
如果在連接器精靈安裝期間註冊失敗,有兩種方式可以檢視失敗的原因。 請在 下方 Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" 檢視事件記錄檔,或執行下列 Windows PowerShell 命令:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
一旦您從事件記錄檔找到連接器錯誤,請使用這個常見的錯誤數據表來解決問題:
| 錯誤 | 建議的步驟 |
|---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
如果您關閉註冊視窗而不登入 Microsoft Entra ID,請再次執行連接器精靈並註冊連接器。 如果註冊窗口開啟,然後立即關閉而不允許您登入,就會收到錯誤。 當系統上發生網路錯誤時,就會發生錯誤。 請確定您可以從瀏覽器連線到公用網站,而且埠已如設定連接器中所指定的方式開啟。 |
Clear error is presented in the registration window. Cannot proceed |
如果您看到錯誤,然後視窗關閉,您輸入了錯誤的使用者名稱或密碼。 然後再試一次。 |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
您正嘗試使用 Microsoft 帳戶登入,而不是屬於您嘗試存取之目錄組織識別碼的網域。 系統管理員必須是與租使用者網域相同的功能變數名稱的一部分。 例如,如果 Microsoft Entra 網域是 contoso.com,則系統管理員應該是 admin@contoso.com。 |
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果連接器安裝失敗,請檢查以確定PowerShell執行原則未停用。 1.開啟組策略編輯器。 2.移至 [計算機設定> 管理員 Windows>元件>Windows PowerShell 範本],然後按兩下 [開啟腳本執行]。 3.執行原則可以設定為 [未設定] 或 [已啟用]。 如果設定為 [已啟用],請確定 [選項] 底下的 [執行原則] 設定為 [允許本機腳本和遠端簽署的腳本 ] 或 [ 允許所有腳本]。 |
Connector failed to download the configuration. |
連接器的用戶端憑證,用於驗證,已過期。 如果您在 Proxy 後方安裝連接器,就會發生此問題。 在此情況下,連接器無法存取因特網,也無法將應用程式提供給遠端使用者。 使用 Register-MicrosoftEntraPrivateNetworkConnector Windows PowerShell 中的 Cmdlet 手動更新信任。 如果您的連接器位於 Proxy 後方,則必須授與連接器帳戶 network services 和 local system的因特網存取權。 授與存取權可藉由授與 Proxy 的存取權或略過 Proxy 來完成。 |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
您嘗試登入的別名不是此網域的系統管理員。 您的連接器一律會針對擁有使用者網域的目錄安裝。 請確定您嘗試登入的系統管理員帳戶至少有 Microsoft Entra 租使用者的應用程式管理員許可權。 |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
連接器無法連線到應用程式 Proxy 雲端服務。 如果您有封鎖連線的防火牆規則,就會發生此問題。 允許存取設定連接器中列出的正確埠和 URL。 |
連接器問題的流程圖
此流程圖會逐步引導您完成一些較常見的連接器問題偵錯步驟。 如需每個步驟的詳細資訊,請參閱流程圖後面的表格。
| 步驟 | 動作 | 描述 |
|---|---|---|
| 1 | 尋找指派給應用程式的連接器群組 | 您可能已在多部伺服器上安裝連接器,在此情況下,連接器應該指派給連接器群組。 若要深入瞭解連接器群組,請參閱 瞭解 Microsoft Entra 專用網連接器群組。 |
| 2 | 安裝連接器並指派群組 | 如果您沒有安裝連接器,請參閱 設定連接器。 如果未將連接器指派給群組,請參閱 將連接器指派給群組。 如果應用程式未指派給連接器群組,請參閱 將應用程式指派給連接器群組。 |
| 3 | 在連接器伺服器上執行埠測試 | 在連接器伺服器上,使用 telnet 或其他埠測試工具來執行埠測試,以檢查埠是否已正確設定。 若要深入瞭解,請參閱 設定連接器。 |
| 4 | 設定網域和埠 | 設定連接器的連接器 。 某些埠必須開啟,而且您的伺服器必須能夠存取的URL。 如需詳細資訊,請參閱 設定連接器。 |
| 5 | 檢查後端 Proxy 是否正在使用中 | 檢查連接器是否使用後端 Proxy 伺服器或略過它們。 如需詳細資訊,請參閱 針對連接器 Proxy 問題和服務連線問題進行疑難解答。 |
| 6 | 使用後端 Proxy 資訊更新連接器和更新程式設定 | 如果後端 Proxy 正在使用中,請確定連接器使用相同的 Proxy。 如需疑難解答和設定連接器以使用 Proxy 伺服器的詳細資訊,請參閱 使用現有的內部部署 Proxy 伺服器。 |
| 7 | 在連接器伺服器上載入應用程式的內部URL | 在連接器伺服器上,載入應用程式的內部URL。 |
| 8 | 檢查內部網路連線能力 | 您的內部網路發生連線問題,無法診斷此偵錯流程。 應用程式必須在內部存取,連接器才能運作。 您可以啟用和檢視連接器事件記錄檔,如專用網連接器中所述。 |
| 9 | 延長後端的逾時值 | 在應用程式的 [其他 設定] 中,將 [後端應用程式逾時] 設定變更為 [長]。 請參閱 將內部部署應用程式新增至 Microsoft Entra ID。 |
| 10 | 如果問題持續發生,請偵錯應用程式。 | 對應用程式 Proxy 應用程式問題進行偵錯。 |
常見問題集
為什麼我的連接器仍然使用舊版,而不是自動升級至最新版本?
這可能是因為更新程式服務無法正常運作,或如果沒有服務可以安裝的新更新,
如果更新程式正在執行,而且事件記錄檔中沒有記錄任何錯誤,更新程式服務會狀況良好(應用程式與服務記錄檔 - Microsoft -> Microsoft - Microsoft Entra 專用網 ->> Updater -> 管理員)。
重要
只有主要版本會發行以進行自動升級。 建議您只在需要時才手動更新連接器。 例如,您無法等候主要版本,因為您必須修正已知問題,或是想要使用新功能。 如需新版本的詳細資訊,版本類型(下載、自動升級)、Bug 修正和新功能,請參閱 Microsoft Entra 專用網連接器:版本發行歷程記錄。
若要手動升級連接器:
- 下載最新版的連接器。 (您可以在 Microsoft Entra 系統管理中心的應用程式 Proxy 下找到它。
- 安裝程式會重新啟動 Microsoft Entra 專用網連接器服務。 在某些情況下,如果安裝程式無法取代所有檔案,可能需要重新啟動伺服器。 因此,建議您在開始升級之前關閉所有應用程式(亦即 事件檢視器)。
- 執行安裝程式。 升級程式很快,不需要提供任何認證,而且連接器不會重新註冊。
專用網連接器服務是否可以在與預設值不同的用戶內容中執行?
否,不支援此案例。 預設設定包括:
- Microsoft Entra 專用網連接器 - WAPCSvc - 網路服務
- Microsoft Entra 專用網連接器更新程式 - WAPCUpdaterSvc - NT Authority\System
具有 Global 管理員 istrator 或 Application 管理員 istrator 角色的來賓使用者是否可以註冊 (guest) 租使用者的連接器?
否,目前無法這樣做。 註冊嘗試一律會在使用者的主租用戶上進行。
我的後端應用程式裝載於多個網頁伺服器上,而且需要用戶會話持續性(黏性)。 如何達成會話持續性?
如需建議,請參閱 專用網連接器和應用程式的高可用性和負載平衡。
是否支援針對從連接器伺服器至 Azure 的流量進行 TLS 終止 (TLS/HTTPS 檢查或加速)?
專用網連接器會對 Azure 執行憑證式驗證。 TLS 終止 (TLS/HTTPS 檢查或加速) 會中斷此驗證方法,且不受支援。 從連接器到 Azure 的流量必須略過任何執行 TLS 終止的裝置。
所有連線是否都需要 TLS 1.2?
是。 為了為客戶提供最佳的類別加密,應用程式 Proxy 服務只會限制對 TLS 1.2 通訊協定的存取。 自 2019 年 8 月 31 日起,這些變更已逐步推出並生效。 請確定所有用戶端-伺服器和瀏覽器伺服器組合都已更新為使用 TLS 1.2 來維護應用程式 Proxy 服務的連線。 其中包括使用者用來存取透過應用程式 Proxy 發行的應用程式的用戶端。 如需有用的參考和資源,請參閱準備 Office 365 中的 TLS 1.2。
我可以在連接器伺服器與後端應用程式伺服器之間放置轉寄 Proxy 裝置嗎?
是,從連接器 1.5.1526.0 版開始,支援此案例。 請參閱 使用現有的內部部署 Proxy 伺服器。
我應該建立專用帳戶,向 Microsoft Entra 應用程式 Proxy 註冊連接器嗎?
沒有理由。 任何全域 管理員 管理員或應用程式管理員帳戶都有效。 在安裝期間輸入的認證不會在註冊程序之後使用。 相反地,憑證會核發至連接器,用於從該點進行驗證。
如何監視 Microsoft Entra 專用網連接器的效能?
可以使用與連接器一起安裝的效能監視器計數器。 檢視方法:
- 選取 [ 開始],輸入 “Perfmon”,然後按 ENTER。
- 選取 [效能監視器,然後按下綠色+圖示。
- 新增您要監視的 Microsoft Entra 專用網連接器 計數器。
Microsoft Entra 專用網連接器是否必須位於與資源相同的子網上?
連接器不需要位於相同的子網上。 不過,它需要資源的名稱解析(DNS、主機檔案)和必要的網路連線能力(路由至資源、資源上開啟的埠等等)。 如需建議,請參閱 使用 Microsoft Entra 應用程式 Proxy 時的網路拓撲考慮。
為什麼在將連接器從伺服器卸載之後,連接器仍會顯示在 Microsoft Entra 系統管理中心?
當連接器執行時,它會在連接到服務時保持作用中。 卸載或未使用的連接器會標記為非使用中,並在入口網站 10 天后移除。 無法手動從 Microsoft Entra 系統管理中心移除非使用中連接器。