分享方式:


針對 Microsoft Purview 帳戶的私人端點設定進行疑難解答

本指南摘要說明針對 Microsoft Purview 使用私人端點的相關已知限制,並提供針對一些最常見的相關問題進行疑難解答的步驟和解決方案清單。

已知限制

  • 我們目前不支援使用 AWS 來源的擷取私人端點。
  • 不支援使用自我裝載整合運行時間掃描 Azure 多個來源。
  • 不支援使用 Azure 整合運行時間掃描私人端點後的數據源。
  • 您可以透過 這裡步驟中所述的Microsoft Purview 治理入口網站體驗來建立擷取私人端點。 無法從 Private Link 中心建立它們。
  • 在現有的 Azure DNS 區域內建立擷取私人端點的 DNS 記錄,而 Azure 私用 DNS 區域位於與私人端點不同的訂用帳戶中,則透過 Microsoft Purview 治理入口網站體驗不支援。 您可以在其他訂用帳戶的目的地 DNS 區域中手動新增記錄。
  • 如果您在部署擷取私人端點之後設定 自己的事件中樞命名空間 或啟用受控事件中樞 命名空間 ,則必須重新部署擷取私人端點。
  • 自我裝載整合運行時間機器必須部署在部署 purview 帳戶和擷取私人端點的相同虛擬網路或對等互連虛擬網路中Microsoft。
  • 如需 Private Link 服務的相關限制,請參閱 Azure Private Link 限制
  • 目前,使用 新Microsoft Purview 入口網站Microsoft Purview 實例只能使用 擷取私人端點
  1. 為 Microsoft Purview 帳戶部署私人端點之後,請檢閱您的 Azure 環境,以確定已成功部署私人端點資源。 根據您的案例,下列一或多個 Azure 私人端點必須部署在您的 Azure 訂用帳戶中:

    私人端點 指派給的私人端點 範例
    帳戶 Microsoft Purview 帳戶 mypurview-private-account
    入口網站 Microsoft Purview 帳戶 mypurview-private-portal
    攝入 記憶體 (Blob) * mypurview-ingestion-blob
    攝入 記憶體 (佇列) * mypurview-ingestion-queue
    攝入 事件中樞命名空間** mypurview-ingestion-namespace

    注意事項

    *如果您的帳戶是在 2023 年 12 月 15 日之前建立,則端點會部署到受控記憶體帳戶。 如果是在 11 月 10 日之後建立, (或使用 API 版本 2023-05-01-preview 部署,) ,則會指向擷取記憶體。

    **您的帳戶只有在針對 kafka 通知 進行設定或在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。

  2. 如果已部署入口網站私人端點,請確定您也部署帳戶私人端點。

  3. 如果已部署入口網站私人端點,且已在您的 Microsoft Purview 帳戶中將公用網路存取設定為拒絕,請務必從內部網路啟動 Microsoft Purview 治理入口 網站。

    • 若要確認正確的名稱解析,您可以使用 NSlookup.exe 命令列工具來查詢 web.purview.azure.com。 結果必須傳回屬於入口網站私人端點的私人IP位址。
    • 若要確認網路連線能力,您可以使用任何網路測試工具來測試端點與埠 443 的輸出連線web.purview.azure.com。 連接必須成功。
  4. 如果使用 Azure 私用 DNS 區域,請確定已部署必要的 Azure DNS 區域,而且每個私人端點都有 DNS (A) 記錄。

  5. 測試從管理機器到 Purview 端點和 purview Web URL Microsoft網路連線能力和名稱解析。 如果已部署帳戶和入口網站私人端點,則必須透過私人IP位址解析端點。

    Test-NetConnection -ComputerName web.purview.azure.com -Port 443
    

    透過私人IP位址成功輸出連線的範例:

    ComputerName     : web.purview.azure.com
    RemoteAddress    : 10.9.1.7
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.9.0.10
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
    

    透過私人IP位址成功輸出連線的範例:

    ComputerName     : purview-test01.purview.azure.com
    RemoteAddress    : 10.9.1.8
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.9.0.10
    TcpTestSucceeded : True
    
  6. 如果您已在 2021 年 8 月 18 日之後建立 Microsoft Purview 帳戶,請務必從 Microsoft 下載中心下載並安裝最新版的自我裝載整合運行時間。

  7. 從自我裝載整合運行時間 VM,測試對 Purview 端點Microsoft網路連線能力和名稱解析。

  8. 從自我裝載整合運行時間,測試網路連線能力和名稱解析,以Microsoft Purview 受控資源,例如 Blob 佇列,以及透過埠 443 和私人 IP 位址的事件中樞等次要資源。 (如有需要,請將受控記憶體帳戶和事件中樞命名空間取代為對應的資源名稱) 。

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
    

    透過私人IP位址成功連至受控 Blob 記憶體的輸出連線範例:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
    RemoteAddress    : 10.15.1.6
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
    

    透過私人IP位址成功輸出至受控佇列記憶體的範例:

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
    RemoteAddress    : 10.15.1.5
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
    

    透過私人IP位址成功輸出至事件中樞命名空間的範例:

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
    RemoteAddress    : 10.15.1.4
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
  9. 從數據源所在的網路,測試對 Purview 端點和受控或設定資源端點Microsoft網路連線能力和名稱解析。

  10. 如果數據源位於內部部署網路中,請檢閱您的 DNS 轉寄站設定。 測試數據源位於自我裝載整合運行時間的相同網路內的名稱解析,Microsoft Purview 端點以及受控或設定的資源。 預期會從每個端點的 DNS 查詢取得有效的私人 IP 位址。

    如需詳細資訊,請參閱在 Azure 私人端點 DNS 設定中使用 DNS 轉寄站案例,而沒有自定義 DNS 伺服器的虛擬網路工作負載和內部部署工作負載。

  11. 如果管理機器和自我裝載整合運行時間 VM 部署在內部部署網路中,而且您已在環境中設定 DNS 轉寄站,請確認環境中的 DNS 和網路設定。

  12. 如果使用擷取私人端點,請確定已在 Purview 帳戶Microsoft成功註冊自我裝載整合運行時間,並顯示為在自我裝載整合運行時間 VM 和 Microsoft Purview 治理入口網站 中執行。

常見錯誤和訊息

問題

執行掃描時,您可能會收到下列錯誤訊息:

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

原因

這可能表示執行自我裝載整合運行時間的 VM 與 Purview 受控記憶體帳戶或已設定的事件中樞之間的連線或名稱解析相關問題Microsoft。

解決方案

驗證執行 Self-Hosted Integration Runtime 的 VM 與 Microsoft Purview 受控 Blob 佇列之間的名稱解析是否成功,或透過上述步驟 8 的埠 443 和私人 IP 位址 (設定事件中樞。)

問題

執行新的掃描時,您可能會收到下列錯誤訊息:

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

原因

這可能表示執行較舊版本的自我裝載整合運行時間。 您必須使用自我裝載整合運行時間 5.9.7885.3 版或更新版本。

解決方案

將自我裝載整合運行時間升級至 5.9.7885.3。

問題

Microsoft部署私人端點的 Purview 帳戶失敗,Azure 原則 部署期間發生驗證錯誤。

原因

此錯誤表示您的 Azure 訂用帳戶上可能有現有的 Azure 原則 指派,導致無法部署任何必要的 Azure 資源。

解決方案

檢閱現有的 Azure 原則 指派],並確定您的 Azure 訂用帳戶中允許部署下列 Azure 資源。

注意事項

視您的案例而定,您可能需要部署下列一或多個 Azure 資源類型:

  • Microsoft Purview (Microsoft.Purview/Accounts)
  • 私人端點 (Microsoft.Network/privateEndpoints)
  • 私用 DNS 區域 (Microsoft.Network/privateDnsZones)
  • 事件中樞命名空間 (Microsoft.EventHub/namespaces)
  • 記憶體帳戶 (Microsoft.Storage/storageAccounts)

問題

未獲授權存取此Microsoft Purview 帳戶。 此Microsoft Purview 帳戶位於私人端點後方。 從已針對 Microsoft Purview 帳戶的私人端點設定的相同虛擬網路 (虛擬網路) 中的用戶端存取帳戶。

原因

使用者正嘗試從公用端點連線到 Microsoft Purview,或使用將 公用網路存取 設定為 [拒絕] 的 Microsoft Purview 公用端點。

解決方案

在此情況下,若要開啟 Microsoft Purview 治理入口網站,請使用部署在與 Microsoft Purview 治理入口網站私人端點相同虛擬網路中的機器,或使用聯機到允許混合式連線的 CorpNet 的 VM。

問題

使用自我載入整合執行時間掃描 SQL Server 時,您可能會收到下列錯誤訊息:

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

原因

自我裝載整合運行時間電腦已啟用 FIPS 模式。 美國聯邦資訊處理標準 (FIPS) 定義一組允許使用的密碼編譯演算法。 在計算機上啟用 FIPS 模式時,在某些情況下會封鎖叫用的進程所依存的某些密碼編譯類別。

解決方案

停用自我裝載整合伺服器上的 FIPS 模式。

後續步驟

如果您的問題未列在本文中,或您無法解決,請造訪下列其中一個通道來取得支援:

  • 透過 Microsoft Q&A 取得專家的解答。
  • @AzureSupport連線。 此官方Microsoft Twitter 上的 Azure 資源可協助改善客戶體驗,方法是將 Azure 社群連線到正確的解答、支援和專家。
  • 如果您仍然需要協助,請移至 Azure 支援 網站,然後選取 [提交支援要求]