針對應用程式 Proxy 問題和錯誤訊息進行疑難排解
首先,請確定已正確設定專用網連接器。 如需詳細資訊,請參閱偵錯專用網連接器問題和偵錯應用程式 Proxy 應用程式問題。
如果在存取已發佈的應用程式或發佈應用程式時發生錯誤,請檢查下列選項以查看 Microsoft Entra 應用程式 Proxy 是否運作正常︰
- 開啟 Windows 服務主控台。 確認 Microsoft Entra 專用網連接器 服務已啟用並執行。 查看應用程式 Proxy 服務屬性頁面,如下圖所示。
- 開啟 事件檢視器,並在應用程式與服務記錄>Microsoft Microsoft>Entra 專用網中尋找專用網>連接器事件 連線 or> 管理員。
- 檢閱詳細的記錄。 開啟專用網連接器會話記錄。
無法正確轉譯頁面
您的應用程式轉譯或運作不正確時發生問題,而不會收到特定的錯誤訊息。 如果您發行發行發行項路徑,但應用程式需要存在於該路徑外部的內容,就會發生此問題。
例如,如果您發佈路徑 https://yourapp/app
,但應用程式會呼叫 中的 https://yourapp/media
影像,則不會轉譯它們。 請務必使用您需要包含所有相關內容的最高層級路徑來發佈應用程式。 在此範例中會是 http://yourapp/
。
應用程式 Proxy 應用程式載入所需的時間太長
應用程式可以正常運作,但會有很長的延遲。 網路拓撲調整可以改善速度。 如需不同拓撲的評估,請參閱 網路考慮檔。
應用程式 Proxy 應用程式的應用程式頁面無法正確顯示
當您發佈應用程式 Proxy 應用程式時,只有在存取應用程式時,才能存取根目錄底下的頁面。 如果頁面未正確顯示,則應用程式所使用的根內部URL可能會遺漏某些頁面資源。 若要解決,請將頁面的所有資源發佈為應用程式的一部分。
確認遺漏的資源是否為問題。 在 Microsoft Edge 中開啟網路追蹤器,例如 Fiddler 或 F12 工具。 載入頁面,並尋找 404 錯誤。 錯誤表示找不到頁面,而且您需要發佈這些頁面。
例如,假設您使用內部 URL http://myapps/expenses
發佈費用應用程式,但應用程式會使用樣式表單 http://myapps/style.css
。 樣式表單不會在應用程式中發佈,因此載入費用應用程式會 404
擲回嘗試載入 style.css
的錯誤。 在此範例中,使用內部 URL http://myapp/
發佈應用程式來解決問題。
發行為一個應用程式的問題
如果無法發佈相同應用程式內的所有資源,您需要發佈多個應用程式,並啟用它們之間的連結。
若要這樣做,建議您使用 自定義網域 解決方案。 不過,此解決方案會要求您擁有網域的憑證,而且您的應用程式會使用完整功能變數名稱(FQDN)。 如需其他選項,請參閱 針對中斷的鏈接進行疑難解答檔。
我的應用程式發生連線問題
我不知道要為應用程式開啟哪些埠。
我在管理入口網站中設定 Microsoft Entra 應用程式 Proxy 時遇到問題
我在為應用程式設定後端驗證時遇到問題
我不知道如何設定 Kerberos 限制委派。 我不知道如何使用 PingAccess 設定應用程式。
我在登入應用程式時遇到問題
我收到下列錯誤 Can't Access this Corporate Application
。 若要解決此問題,請參閱 網關逾時錯誤。
我在專用網連接器時遇到問題
我在安裝專用網連接器時遇到問題。
Kerberos 錯誤
下表涵蓋 Kerberos 設定和設定中較常見的錯誤,並包含解決建議。
錯誤 | 建議的步驟 |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果連接器安裝失敗,請檢查以確定PowerShell執行原則未停用。 1.開啟組策略編輯器。 2.移至 [計算機設定>]管理員>[Windows 元件>] [Windows PowerShell] 範本,然後按兩下 [開啟腳本執行]。 3.執行原則可以設定為 [未設定] 或 [已啟用]。 如果設定為 [已啟用],請確定 [選項] 底下的 [執行原則] 設定為 [允許本機腳本和遠端簽署的腳本 ] 或 [ 允許所有腳本]。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
此錯誤表示 Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 後端伺服器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定。 請確定 Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步處理。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
安全性令牌服務 (STS) 設定發生問題。 修正 STS 中的用戶主體名稱 (UPN) 宣告設定。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
此事件指出 Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定,特別是服務主體名稱 (SPN) 組態。 請確定域控制器使用 Microsoft Entra ID 建立信任。 兩者都應該使用相同的網域。 請確定 Microsoft Entra ID 和域控制器上的時間和日期設定已同步。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
此事件指出 Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定,特別是 SPN 組態。 請確定域控制器使用 Microsoft Entra ID 建立信任。 兩者都應該使用相同的網域。 請確定 Microsoft Entra ID 和域控制器上的時間和日期設定已同步處理。 |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
此事件指出 Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 後端伺服器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定。 請確定 Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步處理。 如需詳細資訊,請參閱 針對應用程式 Proxy 的 Kerberos 限制委派組態進行疑難解答。 |
使用者錯誤
此清單涵蓋使用者嘗試存取應用程式並失敗時可能會遇到的錯誤。
錯誤 | 建議的步驟 |
---|---|
The website cannot display the page. |
如果應用程式是整合式 Windows 驗證 (IWA) 應用程式,則使用者嘗試存取您發佈的應用程式時,會收到此錯誤。 此應用程式的已定義SPN不正確。 針對 IWA 應用程式,請確定為此應用程式設定的 SPN 正確。 |
The website cannot display the page. |
如果您的使用者嘗試存取應用程式是 Outlook Web 應用程式 (OWA) 應用程式,則嘗試存取您發佈的應用程式時,會收到此錯誤。 問題產生於: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
當使用者嘗試存取您發佈的應用程式時,如果使用者使用 Microsoft 帳戶,而不是其公司帳戶登入,則會收到此錯誤。 來賓使用者會收到此錯誤。 Microsoft 帳戶用戶和來賓無法存取 IWA 應用程式。 請確定使用者使用符合已發行應用程式網域的公司帳戶登入。 您必須為此應用程式指派使用者。 移至 [應用程式] 索引標籤,然後在 [使用者和群組] 底下,將此使用者或使用者群組指派給此應用程式。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
當使用者嘗試存取您發佈的應用程式時,如果使用者未在內部部署端正確定義此應用程式,則會收到此錯誤。 請確定您的使用者具有內部部署電腦上此後端應用程式所定義的適當許可權。 |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
當使用者嘗試存取您發佈的應用程式時,如果使用者未透過訂閱者的系統管理員明確指派 進階版 授權,則會收到此錯誤。 移至訂閱者的 [Active Directory 授權] 索引標籤,並確定此使用者或使用者群組已獲指派 進階版 授權。 |
A server with the specified host name could not be found. |
當使用者嘗試存取您發佈的應用程式時,如果使用者的自定義網域未正確設定,就會收到此錯誤。 檢查網域的憑證,並正確設定功能變數名稱系統 (DNS) 記錄。 如需詳細資訊,請參閱 在 Microsoft Entra 應用程式 Proxy 中使用自定義網域。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
問題可能是存取授權資訊時發生問題。 若要深入瞭解,請參閱 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)。 簡言之,將專用網連接器計算機帳戶新增至「Windows 授權存取群組」內建網域群組以解析。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
連接器會使用用戶端憑證保護對 Microsoft Entra 應用程式 Proxy 雲端服務端點的輸出連線。 用戶端憑證無法連線到端點時,就會發生錯誤。 例如,執行傳輸層安全性 (TLS) 檢查或中斷 TLS 連線的網路裝置。 避免內嵌檢查和終止輸出 TLS 通訊。 Microsoft Entra 專用網連接器與 Microsoft Entra 應用程式 Proxy 雲端服務之間不得進行檢查和終止。 |