針對 Microsoft Purview 帳戶的私人端點設定進行疑難排解
本指南摘要說明使用 Microsoft Purview 私人端點的相關已知限制,並提供一份步驟和解決方案清單,以針對一些最常見的相關問題進行疑難排解。
已知限制
- 我們目前不支援使用 AWS 來源的擷取私人端點。
- 不支援使用自我裝載整合執行時間掃描 Azure 多個來源。
- 不支援使用 Azure 整合執行時間掃描私人端點後的資料來源。
- 您可以透過 此處步驟中所述的 Microsoft Purview 治理入口網站體驗來建立擷取私人端點。 無法從 Private Link 中心建立它們。
- 在現有的 Azure DNS 區域內建立擷取私人端點的 DNS 記錄,而 Azure 私用 DNS區域位於與私人端點不同的訂用帳戶中,但透過 Microsoft Purview 治理入口網站體驗並不支援。 您可以在其他訂用帳戶的目的地 DNS 區域中手動新增記錄。
- 如果您在部署擷取私人端點之後啟用受控事件中樞,則必須重新部署擷取私人端點。
- 自我裝載整合執行時間電腦必須部署在部署 Microsoft Purview 帳戶和擷取私人端點的相同 VNet 或對等互連 VNet 中。
- 我們目前不支援掃描跨租使用者 Power BI 租使用者,該租使用者已封鎖已設定公用存取的私人端點。
- 如需Private Link服務的相關限制,請參閱Azure Private Link限制。
建議的疑難排解步驟
為 Microsoft Purview 帳戶部署私人端點之後,請檢閱您的 Azure 環境,以確定已成功部署私人端點資源。 根據您的案例,下列一或多個 Azure 私人端點必須部署在您的 Azure 訂用帳戶中:
私人端點 指派給 的私人端點 範例 帳戶 Microsoft Purview 帳戶 mypurview-private-account 入口網站 Microsoft Purview 帳戶 mypurview-private-portal 攝入 受控儲存體帳戶 (Blob) mypurview-ingestion-blob 攝入 Managed 儲存體帳戶 (佇列) mypurview-ingestion-queue 攝入 事件中樞命名空間* mypurview-ingestion-namespace
注意事項
*只有在您的 Microsoft Purview 帳戶上已設定事件中樞命名空間時,才需要它。 您可以在 Azure 入口網站中 Microsoft Purview 帳戶頁面上的設定下簽入 Kafka 組態。
如果已部署入口網站私人端點,請確定您也部署帳戶私人端點。
如果已部署入口網站私人端點,且已在 Microsoft Purview 帳戶中將公用網路存取設定為拒絕,請務必從內部網路啟動 Microsoft Purview 治理入口 網站。
- 若要確認正確的名稱解析,您可以使用 NSlookup.exe 命令列工具來查詢
web.purview.azure.com。 結果必須傳回屬於入口網站私人端點的私人 IP 位址。 - 若要確認網路連線能力,您可以使用任何網路測試控管來測試端點與埠443的輸出聯
web.purview.azure.com機。 連接必須成功。
- 若要確認正確的名稱解析,您可以使用 NSlookup.exe 命令列工具來查詢
如果使用 Azure 私用 DNS 區域,請確定已部署必要的 Azure DNS 區域,而且每個私人端點都有 DNS (A) 記錄。
測試從管理電腦到 Microsoft Purview 端點和 purview Web URL 的網路連線能力和名稱解析。 如果已部署帳戶和入口網站私人端點,則必須透過私人 IP 位址解析端點。
Test-NetConnection -ComputerName web.purview.azure.com -Port 443透過私人 IP 位址成功輸出連線的範例:
ComputerName : web.purview.azure.com RemoteAddress : 10.9.1.7 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : TrueTest-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443透過私人 IP 位址成功輸出連線的範例:
ComputerName : purview-test01.purview.azure.com RemoteAddress : 10.9.1.8 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.9.0.10 TcpTestSucceeded : True如果您已在 2021 年 8 月 18 日之後建立 Microsoft Purview 帳戶,請務必從 Microsoft 下載中心下載並安裝最新版的自我裝載整合執行時間。
從自我裝載整合執行時間 VM,測試對 Microsoft Purview 端點的網路連線能力和名稱解析。
從自我裝載整合執行時間,透過埠 443 和私人 IP 位址,測試 Microsoft Purview 受控資源的網路連線能力和名稱解析,例如 Blob 佇列,以及事件中樞等次要資源。 (以對應的資源名稱取代受控儲存體帳戶和事件中樞命名空間) 。
Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443透過私人 IP 位址成功連至受控 Blob 儲存體的輸出連線範例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.6 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : TrueTest-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443透過私人 IP 位址成功輸出至受控佇列儲存體的範例:
ComputerName : scansoutdeastasiaocvseab.blob.core.windows.net RemoteAddress : 10.15.1.5 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : TrueTest-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443透過私人 IP 位址成功輸出至事件中樞命名空間的範例:
ComputerName : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net RemoteAddress : 10.15.1.4 RemotePort : 443 InterfaceAlias : Ethernet 2 SourceAddress : 10.15.0.4 TcpTestSucceeded : True從資料來源所在的網路,測試 Microsoft Purview 端點的網路連線能力和名稱解析,以及受控或設定的資源端點。
如果資料來源位於內部部署網路中,請檢閱您的 DNS 轉寄站設定。 測試資料來源位於自我裝載整合執行時間、Microsoft Purview 端點以及受控或設定資源的相同網路內的名稱解析。 預期會從每個端點的 DNS 查詢取得有效的私人 IP 位址。
如需詳細資訊,請參閱在Azure 私人端點 DNS設定中使用 DNS 轉寄站案例,而沒有自訂 DNS 伺服器的虛擬網路工作負載和內部部署工作負載。
如果管理機器和自我裝載整合執行時間 VM 部署在內部部署網路中,而且您已在環境中設定 DNS 轉寄站,請確認環境中的 DNS 和網路設定。
如果使用擷取私人端點,請確定自我裝載整合執行時間已在 Microsoft Purview 帳戶內成功註冊,並顯示為在自我裝載整合執行時間 VM 和 Microsoft Purview 治理入口網站 中執行。
常見錯誤和訊息
問題
執行掃描時,您可能會收到下列錯誤訊息:
Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.
原因
這可能表示執行自我裝載整合執行時間的 VM 與 Microsoft Purview 受控儲存體帳戶或已設定的事件中樞之間的連線或名稱解析相關問題。
解決方案
驗證執行 Self-Hosted Integration Runtime 的 VM 與 Microsoft Purview 受控 Blob 佇列之間的名稱解析是否成功,或透過上述步驟 8 (埠 443 和私人 IP 位址設定事件中樞。)
問題
執行新的掃描時,您可能會收到下列錯誤訊息:
message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)
原因
這可能表示執行較舊版本的自我裝載整合執行時間。 您必須使用自我裝載整合執行時間 5.9.7885.3 版或更新版本。
解決方案
將自我裝載整合執行時間升級至 5.9.7885.3。
問題
具有私人端點部署的 Microsoft Purview 帳戶在部署期間失敗,Azure 原則驗證錯誤。
原因
此錯誤表示您的 Azure 訂用帳戶上可能有現有的Azure 原則指派,導致無法部署任何必要的 Azure 資源。
解決方案
檢閱現有的Azure 原則指派,並確定您的 Azure 訂用帳戶中允許部署下列 Azure 資源。
注意事項
視您的案例而定,您可能需要部署下列一或多個 Azure 資源類型:
- Microsoft Purview (Microsoft.Purview/Accounts)
- 私人端點 (Microsoft.Network/privateEndpoints)
- 私用 DNS區域 (Microsoft.Network/privateDnsZones)
- Microsoft.EventHub/namespaces (事件中樞命名空間)
- Microsoft.Storage/storageAccounts (儲存體帳戶)
問題
未獲授權存取此 Microsoft Purview 帳戶。 此 Microsoft Purview 帳戶位於私人端點後方。 從已針對 Microsoft Purview 帳戶的私人端點設定的相同虛擬網路 (VNet) 中的用戶端存取帳戶。
原因
使用者嘗試從公用端點連線到 Microsoft Purview,或使用 公用網路存取 設定為 [拒絕] 的 Microsoft Purview 公用端點。
解決方案
在此情況下,若要開啟 Microsoft Purview 治理入口網站,請使用與 Microsoft Purview 治理入口網站私人端點部署在相同虛擬網路中的電腦,或使用連線到允許混合式連線的 CorpNet 的 VM。
問題
使用自我裝載整合執行時間掃描 SQL Server 時,您可能會收到下列錯誤訊息:
Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms
原因
自我裝載整合執行時間電腦已啟用 FIPS 模式。 聯邦資訊處理標準 (FIPS) 定義一組允許使用的密碼編譯演算法。 在電腦上啟用 FIPS 模式時,在某些情況下會封鎖叫用的進程所依存的某些密碼編譯類別。
解決方案
停用自我裝載整合伺服器上的 FIPS 模式。
後續步驟
如果您的問題未列在本文中,或您無法解決,請造訪下列其中一個通道來取得支援:
- 透過 Microsoft Q & A取得專家的解答。
- 與 @AzureSupport連線。 Twitter 上的這個官方 Microsoft Azure 資源可協助改善客戶體驗,方法是將 Azure 社群連線到正確的解答、支援和專家。
- 如果您仍然需要協助,請移至Azure 支援網站,然後選取[提交支援要求]。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應