排查 Microsoft Purview 帐户的专用终结点配置问题
本指南汇总了与使用 Microsoft Purview 专用终结点相关的已知限制,并提供了一系列步骤和解决方案,用于排查一些最常见的相关问题。
已知限制
- 我们目前不支持引入适用于 AWS 源的专用终结点。
- 不支持使用自承载集成运行时扫描 Azure 多个源。
- 不支持使用 Azure 集成运行时扫描专用终结点后面的数据源。
- 可以通过 此处步骤中所述的 Microsoft Purview 治理门户体验创建引入专用终结点。 无法从 专用链接 中心创建它们。
- Microsoft Purview 治理门户体验不支持在现有 Azure DNS 区域中创建用于引入专用终结点的 DNS 记录,而 Azure 专用 DNS 区域位于与专用终结点不同的订阅中。 可以在其他订阅的目标 DNS 区域中手动添加记录。
- 如果在部署引入专用终结点后启用托管事件中心,则需要重新部署引入专用终结点。
- 自承载集成运行时计算机必须部署在部署 Microsoft Purview 帐户和引入专用终结点的同一 VNet 或对等互连 VNet 中。
- 目前不支持扫描跨租户 Power BI 租户,该租户配置了阻止公共访问的专用终结点。
- 有关与专用链接服务相关的限制,请参阅Azure 专用链接限制。
建议的故障排除步骤
为 Microsoft Purview 帐户部署专用终结点后,请查看 Azure 环境,确保已成功部署专用终结点资源。 根据你的方案,必须在 Azure 订阅中部署以下一个或多个 Azure 专用终结点:
专用终结点 分配到的专用终结点 示例 帐户 Microsoft Purview 帐户 mypurview-private-account 门户 Microsoft Purview 帐户 mypurview-private-portal 摄入 托管存储帐户 (Blob) mypurview-ingestion-blob 摄入 托管存储帐户 (队列) mypurview-ingestion-queue 摄入 事件中心命名空间* mypurview-ingestion-namespace
注意
*仅当已在 Microsoft Purview 帐户上配置事件中心命名空间时,才需要它。 可以在 Azure 门户的 Microsoft Purview 帐户页上的设置下检查 Kafka 配置。
如果部署了门户专用终结点,请确保同时部署帐户专用终结点。
如果部署了门户专用终结点,并且公共网络访问在 Microsoft Purview 帐户中设置为拒绝,请确保从内部网络启动 Microsoft Purview 治理门户 。
- 若要验证名称解析是否正确,可以使用 NSlookup.exe 命令行工具来查询
web.purview.azure.com。 结果必须返回属于门户专用终结点的专用 IP 地址。 - 若要验证网络连接,可以使用任何网络测试工具来测试终结点到
web.purview.azure.com端口 443 的出站连接。 连接必须成功。
- 若要验证名称解析是否正确,可以使用 NSlookup.exe 命令行工具来查询
如果使用 Azure 专用 DNS区域,请确保部署了所需的 Azure DNS 区域,并且每个专用终结点都有 DNS (A) 记录。
测试从管理计算机到 Microsoft Purview 终结点和 purview Web URL 的网络连接和名称解析。 如果部署了帐户和门户专用终结点,则必须通过专用 IP 地址解析终结点。
Test-NetConnection -ComputerName web.purview.azure.com -Port 443通过专用 IP 地址成功进行出站连接的示例:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : TrueTest-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443通过专用 IP 地址成功进行出站连接的示例:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True如果在 2021 年 8 月 18 日之后创建了 Microsoft Purview 帐户,请确保从 Microsoft 下载中心下载并安装最新版本的自承载集成运行时。
从自承载集成运行时 VM,测试到 Microsoft Purview 终结点的网络连接和名称解析。
从自承载集成运行时,通过端口 443 和专用 IP 地址测试到 Microsoft Purview 托管资源(如 Blob 队列)和辅助资源(如事件中心)的网络连接和名称解析。 (将托管存储帐户和事件中心命名空间替换为) 相应的资源名称。
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443通过专用 IP 地址成功出站连接到托管 Blob 存储的示例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : TrueTest-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443通过专用 IP 地址成功出站连接到托管队列存储的示例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : TrueTest-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443通过专用 IP 地址成功出站连接到事件中心命名空间的示例:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True从数据源所在的网络中,测试到 Microsoft Purview 终结点和托管或配置的资源终结点的网络连接和名称解析。
如果数据源位于本地网络中,请查看 DNS 转发器配置。 从数据源所在的同一网络内测试名称解析,以自承载集成运行时、Microsoft Purview 终结点和托管或配置的资源。 它应从每个终结点的 DNS 查询中获取有效的专用 IP 地址。
有关详细信息,请参阅不使用自定义 DNS 服务器的虚拟网络工作负载和 Azure 专用终结点 DNS 配置中的使用 DNS 转发器方案的本地工作负载。
如果管理计算机和自承载集成运行时 VM 部署在本地网络中,并且已在环境中设置了 DNS 转发器,请验证环境中的 DNS 和网络设置。
如果使用引入专用终结点,请确保在 Microsoft Purview 帐户中成功注册自承载集成运行时,并在自承载集成运行时 VM 和 Microsoft Purview 治理门户中 显示为运行。
常见错误和消息
问题
运行扫描时,可能会收到以下错误消息:
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
原因
这表示与运行自承载集成运行时的 VM 与 Microsoft Purview 的托管存储帐户或配置的事件中心之间的连接或名称解析相关的问题。
解决方案
验证运行 Self-Hosted Integration Runtime 的 VM 与 Microsoft Purview 托管 Blob 队列之间的名称解析是否成功,或者通过端口 443 配置的事件中心与上述步骤 8 (专用 IP 地址之间的名称解析是否成功。)
问题
运行新扫描时,可能会收到以下错误消息:
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
原因
这可以指示运行较旧版本的自承载集成运行时。 需要使用自承载集成运行时版本 5.9.7885.3 或更高版本。
解决方案
将自承载集成运行时升级到 5.9.7885.3。
问题
部署过程中,具有专用终结点部署的 Microsoft Purview 帐户失败,出现Azure Policy验证错误。
原因
此错误表明,Azure 订阅上可能存在现有的Azure Policy分配,阻止部署任何所需的 Azure 资源。
解决方案
查看现有的Azure Policy分配,并确保 Azure 订阅中允许部署以下 Azure 资源。
注意
根据你的方案,可能需要部署以下一种或多种 Azure 资源类型:
- Microsoft Purview (Microsoft.Purview/Accounts)
- 专用终结点 (Microsoft.Network/privateEndpoints)
- (Microsoft.Network/privateDnsZones) 专用 DNS区域
- 事件中心名称空间 (Microsoft.EventHub/namespaces)
- 存储帐户 (Microsoft.Storage/storageAccounts)
问题
无权访问此 Microsoft Purview 帐户。 此 Microsoft Purview 帐户位于专用终结点后面。 从为 Microsoft Purview 帐户的专用终结点配置的同一虚拟网络 (VNet) 中的客户端访问帐户。
原因
用户尝试从公共终结点或使用公共 网络访问 设置为 “拒绝”的 Microsoft Purview 公共终结点连接到 Microsoft Purview。
解决方案
在这种情况下,若要打开 Microsoft Purview 治理门户,请使用部署在与 Microsoft Purview 治理门户专用终结点相同的虚拟网络中的计算机,或使用连接到允许混合连接的公司网络的 VM。
问题
使用自承载集成运行时扫描 SQL Server 时,可能会收到以下错误消息:
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
原因
自承载集成运行时计算机已启用 FIPS 模式。 联邦信息处理标准 (FIPS) 定义了一组允许使用的加密算法。 在计算机上启用 FIPS 模式时,在某些情况下,调用进程所依赖的一些加密类会被阻止。
解决方案
在自承载集成服务器上禁用 FIPS 模式。
后续步骤
如果本文中未列出你的问题,或者你无法解决该问题,请访问以下渠道之一获取支持:
- 通过 Microsoft Q&A 从专家那里获取答案。
- 使用 @AzureSupport 进行连接。 Twitter 上的 Microsoft Azure 官方资源通过将 Azure 社区连接到正确的答案、支持和专家来帮助改善客户体验。
- 如果仍需要帮助,请转到Azure 支持站点,然后选择“提交支持请求”。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈