排查应用程序代理问题和错误消息的原因
首先,请确保正确配置专用网络连接器。 有关详细信息,请参阅调试专用网络连接器问题和调试应用程序代理应用程序问题。
如果在访问已发布应用程序或发布应用程序时出现错误,请检查以下选项,查看 Microsoft Entra 应用程序代理是否正确工作:
- 打开 Windows 服务控制台。 验证 Microsoft Entra 专用网络连接器服务是否已启用且正在运行。 请查看应用程序代理服务属性页,如下图所示:
- 打开事件查看器,并在“应用程序和服务日志”>“Microsoft”>“Microsoft Entra 专用网络”>“连接器”>“管理员”中查找专用网络连接器事件。
- 查看详细日志。 打开专用网络连接器会话日志。
页面未正确呈现
即使没有收到特定的错误消息,应用程序也可能存在渲染或运行不正常的问题。 如果发布了文章路径,但应用程序需要存在于该路径外的内容时,则可能会发生此问题。
例如,如果发布路径 https://yourapp/app,但应用程序调用 https://yourapp/media 中的图像,则这些图像无法呈现。 确保使用包含所有相关内容所需的最高级路径发布应用程序。 在此示例中,它是 http://yourapp/。
应用程序代理应用程序加载耗时过长
应用程序可以正常运行,但延迟较久。 网络拓扑调整可以提高速度。 有关不同拓扑的评估,请参阅网络注意事项文档。
应用程序代理应用程序的应用程序页无法正确显示
发布应用程序代理应用时,访问该应用程序时只能访问根目录下的页面。 如果页面未正确显示,则代表用于该应用程序的根内部 URL 可能缺少某些页面资源。 要解决此问题,请确保已将页面的所有资源作为应用程序的一部分予以发布。
验证问题是否出现在缺少的资源。 在 Microsoft Edge 中打开网络跟踪器,例如 Fiddler 或 F12 工具。 加载页面,并查找 404 错误。 该错误表示找不到页面,需要发布这些页面。
例如,假设你已使用内部 URL http://myapps/expenses 发布了一个开支应用程序,但该应用使用样式表 http://myapps/style.css。 该样式表尚未在应用程序中发布,因此,在加载该开支应用过程中尝试加载 style.css 时会引发 404 错误。 在此示例中,通过使用内部 URL http://myapp/ 来发布该应用程序,即可解决这个问题。
作为一个应用程序发布时会出现的问题
如果无法在同一应用程序内发布所有资源,则需发布多个应用程序并在它们之间启用链接。
为此,我们建议使用自定义域解决方案。 但是,若要使用该解决方案,则必须拥有域证书,且应用程序必须使用完全限定的域名 (FQDN)。 有关其他选项,请参阅断开链接的故障排除文档。
应用程序出现连接问题
在管理门户中配置 Microsoft Entra 应用程序代理时遇到问题
设置应用程序的后端身份验证时遇到问题
我不知道如何配置 Kerberos 约束委派。 我不知道如何使用 PingAccess 配置应用程序。
登录应用程序时遇到问题
我收到错误 Can't Access this Corporate Application。 若要解决此问题,请参阅“网关超时错误”。
我的专用网络连接器出现问题
Kerberos 错误
此表包含 Kerberos 设置和配置中较常见的错误以及相关解决建议。
| 错误 | 建议的步骤 |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果连接器安装失败,请检查确保 PowerShell 执行策略未禁用。 1. 打开组策略编辑器。 2. 依次转到“计算机配置”>“管理模板”>“Windows 组件”>“Windows PowerShell”,并双击“打开脚本执行” 。 3. 可将执行策略设置为“未配置”或“已启用” 。 如果设置为“已启用”,请确保在“选项”下将“执行策略”设置为“允许本地脚本和远程签名脚本”或“允许所有脚本”。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
此错误可能表示 Microsoft Entra ID 和后端应用程序服务器之间的配置不正确,或者两台计算机上的时间和日期配置存在问题。 后端服务器拒绝了由 Microsoft Entra ID 创建的 Kerberos 票证。 验证 Microsoft Entra ID 和后端应用程序服务器是否正确配置。 确保 Microsoft Entra ID 和后端应用程序服务器上的时间和日期配置已同步。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
安全令牌服务 (STS) 配置出现问题。 修复 STS 中的用户主体名称 (UPN) 声明配置。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
此事件表示 Microsoft Entra ID 和域控制器服务器之间的配置不正确,或者两台计算机上的时间和日期配置存在问题。 域控制器拒绝了由 Microsoft Entra ID 创建的 Kerberos 票证。 验证 Microsoft Entra ID 和后端应用程序服务器是否正确配置,尤其是服务主体名称 (SPN) 配置。 确保域控制器与 Microsoft Entra ID 建立了信任关系。 两者应使用相同的域。 确保 Microsoft Entra ID 和域控制器上的时间和日期配置已同步。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
此事件表示 Microsoft Entra ID 和域控制器服务器之间的配置不正确,或者两台计算机上的时间和日期配置存在问题。 域控制器拒绝了由 Microsoft Entra ID 创建的 Kerberos 票证。 验证 Microsoft Entra ID 和后端应用程序服务器是否正确配置,尤其是 SPN 配置。 确保域控制器与 Microsoft Entra ID 建立了信任关系。 两者应使用相同的域。 确保 Microsoft Entra ID 和域控制器上的时间和日期配置已同步。 |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
此事件可能表示 Microsoft Entra ID 和后端应用程序服务器之间的配置不正确,或者两台计算机上的时间和日期配置存在问题。 后端服务器拒绝了由 Microsoft Entra ID 创建的 Kerberos 票证。 验证 Microsoft Entra ID 和后端应用程序服务器是否正确配置。 确保 Microsoft Entra ID 和后端应用程序服务器上的时间和日期配置已同步。 有关详细信息,请参阅排查应用程序代理的 Kerberos 约束委派配置问题。 |
最终用户错误
此列表包括最终用户尝试访问应用失败时可能遇到的错误。
| 错误 | 建议的步骤 |
|---|---|
The website cannot display the page. |
如果应用程序是集成 Windows 身份验证 (IWA) 应用程序,则用户在尝试访问已发布的应用时会收到此错误。 为此应用程序定义的 SPN 不正确。 对于 IWA 应用,确保为此应用程序配置的 SPN 正确。 |
The website cannot display the page. |
如果应用程序是 Outlook Web 应用程序 (OWA) 应用程序,则用户在尝试访问已发布的应用时会收到此错误。 造成该问题的原因是: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
如果用户使用 Microsoft 帐户而不是公司帐户登录,则在尝试访问已发布的应用时会收到此错误。 来宾用户会收到此错误。 Microsoft 帐户用户和来宾无法访问 IWA 应用程序。 确保用户使用与已发布应用程序的域匹配的公司帐户登录。 必须为此应用程序分配用户。 转到“应用程序”选项卡,然后在“用户和组”下将此用户或用户组分配到此应用程序。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
如果未在本地端为此应用程序正确定义用户,则用户在尝试访问已发布的应用时会收到此错误。 确保用户在本地计算机上具有针对此后端应用程序定义的正确权限。 |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
如果订阅方管理员未向用户显式分配 Premium 许可证,则用户在尝试访问你发布的应用时会收到此错误。 转到订阅方的 Active Directory“许可证”选项卡并确保向此用户或用户组分配 Premium 许可证。 |
A server with the specified host name could not be found. |
如果应用程序的自定义域未正确配置,则用户在尝试访问已发布的应用时会收到此错误。 检查域的证书,并正确配置域名系统 (DNS) 记录。 有关详细信息,请参阅在 Microsoft Entra 应用程序代理中使用自定义域。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
此问题可能是访问授权信息时出现的问题。 若要了解详细信息,请参阅 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)。 简单来说,要解决此问题,应将专用网络连接器计算机帐户添加到“Windows 授权访问组”内置域组。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
连接器使用客户端证书保护到 Microsoft Entra 应用程序代理云服务终结点的出站连接。 当客户端证书无法访问终结点时,会发生此错误。 例如,执行传输层安全性 (TLS) 检查或中断 TLS 连接的网络设备。 避免内联检查和终止出站 TLS 通信。 Microsoft Entra 专用网络连接器和 Microsoft Entra 应用程序代理云服务之间不得进行检查和终止。 |