針對安裝私人網路連接器的問題進行疑難排解
Microsoft Entra 私人網路連接器是內部網域元件,它會使用輸出連線來建立雲端可用端點至內部網域的連線。 連接器是由 Microsoft Entra 私人存取和 Microsoft Entra 應用程式 Proxy 使用。
連接器安裝的一般問題區域
連接器安裝失敗時,根本原因通常是下列其中一個區域。 進行任何疑難排解的首要事項,是務必重新啟動連接器。
- 連線:若要成功完成安裝,新的連接器必須註冊並建立未來信任內容。 建立信任的方式是連線到 Microsoft Entra 應用程式 Proxy 雲端服務。
- 信任建立:新的連接器會建立自我簽署憑證,並向雲端服務註冊。
- 系統管理員的驗證:在安裝期間,使用者必須提供系統管理員認證才能完成連接器安裝。
注意
連接器安裝記錄可以在 %TEMP%
資料夾中找到,並可協助提供造成安裝失敗之項目的額外資訊。
確認與雲端應用程式 Proxy 服務和 Microsoft 登入頁面之間連線
目標:確認連接器電腦可以連線至應用程式 Proxy 註冊端點以及 Microsoft 登入頁面。
在連接器伺服器上,使用 telnet 或其他連接埠測試工具來執行連接埠測試,以確認是否已開啟連接埠 443 和 80。
確認防火牆或後端 Proxy 可以存取所需的網域和連接埠,請參閱設定連接器。
開啟瀏覽器索引標籤,然後輸入:
https://login.microsoftonline.com
。 請確定您可以登入。
確認機器和後端元件憑證支援
目標︰確認連接器電腦、後端 Proxy 和防火牆可支援由連接器所建立的憑證。 同時,確認憑證是否有效。
注意
連接器會嘗試建立由傳輸層安全性 (TLS) 1.2 所支援的 SHA512
憑證。 如果電腦或後端防火牆和 Proxy 不支援 TLS 1.2,則安裝會失敗。
檢閱所需的必要條件:
確認電腦支援傳輸層安全性 (TLS) 1.2 - 2012 R2 之後的所有 Windows 版本都應該支援 TLS 1.2。 如果您的連接器電腦是 2012 R2 或更舊版本,請確定已安裝必要更新。
連絡您的網路系統管理員,並要求確認後端 Proxy 和防火牆不會封鎖
SHA512
連出流量。
確認用戶端憑證:
確認目前用戶端憑證的指紋。 您可以在 %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml
中找到憑證存放區。
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
可能的 IsInUserStore 值為 true 和 false。 true 值表示憑證已自動續約,並且會儲存在網路服務使用者憑證存放區的個人容器中。 false 值表示安裝或註冊期間建立的用戶端憑證是由 Register-MicrosoftEntraPrivateNetworkConnector
起始的。 憑證會儲存在本機電腦憑證存放區的個人容器中。
如果值為 true,則請遵循下列步驟來確認憑證:
- 下載 PsTools.zip。
- 從套件中解壓縮 PsExec,然後從提高權限的命令提示字元中執行 psexec -i -u "nt authority\network service" cmd.exe。
- 在新出現的命令提示字元中,執行 certmgr.msc。
- 在管理主控台中,展開 [個人] 容器,然後選取 [憑證]。
- 找出 connectorregistrationca.msappproxy.net 所發出的憑證。
如果值為 false,則請遵循下列步驟來確認憑證:
- 執行 certlm.msc。
- 在管理主控台中,展開 [個人] 容器,然後選取 [憑證]。
- 找出 connectorregistrationca.msappproxy.net 所發出的憑證。
續約用戶端憑證:
如果連接器有數個月未連線至服務,其憑證可能會過期。 憑證更新若失敗,將會導致憑證過期。 過期的憑證會導致連接器服務停止運作。 連接器的管理員記錄中會記錄事件 1000:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
在此情況下,請先解除安裝再重新安裝連接器以觸發註冊,或者,您也可以執行下列 PowerShell 命令:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
若要深入了解 Register-MicrosoftEntraPrivateNetworkConnector
命令,請參閱建立 Microsoft Entra 私人網路連接器的自動安裝指令碼。
確認是以系統管理員身分安裝連接器
目標︰確認嘗試安裝連接器的使用者是具有正確認證的系統管理員。 目前,使用者至少必須是應用程式管理員,安裝才會成功。
確認認證是否正確:
連線至 https://login.microsoftonline.com
並使用相同的認證。 確定登入成功。 您可以檢查使用者角色,方法是移至 [Microsoft Entra ID] ->[使用者和群組] ->[所有使用者]。
選取您的使用者帳戶,然後在產生的功能表中選取 [目錄角色]。 確認所選取的角色為 [應用程式管理員]。 如果您無法存取這些步驟上的任何頁面,表示您沒有必要的角色。
連接器錯誤
如果在連接器精靈安裝期間註冊失敗,有兩種方式可以檢視失敗的原因。 請在 Windows Logs\Application (filter by Source = "Microsoft Entra private network connector"
底下查看事件記錄檔,或執行下列 Windows PowerShell 命令:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
若您在事件記錄檔中找到連接器錯誤,則使用這份常見錯誤表格來解決問題:
錯誤 | 建議的步驟 |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
如果您在未登入 Microsoft Entra ID 的情況下關閉註冊視窗,請再次執行連接器精靈,並註冊連接器。 若隨即開啟註冊視窗,然後在不讓您登入的情況下立即關閉,即是發生錯誤。 您的系統有網路錯誤時,就會發生錯誤。 確定您可以從瀏覽器連線至公開網站,而且連接埠會如設定連接器中的指定開啟。 |
Clear error is presented in the registration window. Cannot proceed |
如果您看到錯誤且視窗隨後關閉,表示您輸入錯誤的使用者名稱或密碼。 然後再試一次。 |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
您目前嘗試使用 Microsoft 帳戶進行登入,且不是嘗試存取目錄的組織識別碼所屬之網域。 系統管理員必須是與租用戶網域相同的網域名稱一部分。 例如,如果 Microsoft Entra 網域是 contoso.com ,則系統管理員應該是 admin@contoso.com 。 |
Failed to retrieve the current execution policy for running PowerShell scripts. |
若連接器安裝失敗,請檢查以確定並未停用 PowerShell 執行原則。 1.開啟 [群組原則編輯器]。 2.移至 [電腦設定]>[系統管理範本]>[Windows 元件]>[Windows PowerShell],按兩下 [開啟指令碼執行]。 3.執行原則可以設定為 [未設定] 或 [已啟用]。 如果是設定為 [已啟用],請確定 [選項] 底下的 [執行原則] 是設定為 [允許本機指令碼和遠端已簽署的指令碼] 或 [允許所有指令碼]。 |
Connector failed to download the configuration. |
連接器用於驗證的用戶端憑證已過期。 如果您將連接器安裝在 Proxy 後面,也會發生問題。 在此情況下,連接器無法存取網際網路,且無法將應用程式提供給遠端使用者。 在 Windows PowerShell 中使用 Register-MicrosoftEntraPrivateNetworkConnector Cmdlet,手動更新信任。 如果您的連接器位於 Proxy 後面,則必須將網際網路存取權授與連接器帳戶 network services 和 local system 。 授與存取權可藉由授與 Proxy 的存取權或略過 Proxy 來完成。 |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
您嘗試用以登入的別名不是此網域的系統管理員。 您的連接器永遠都會針對擁有使用者網域的目錄進行安裝。 請確定您目前嘗試用以登入的管理帳戶,至少擁有 Microsoft Entra 租用戶的應用程式系統管理員權限。 |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
該連接器無法連線至應用程式 Proxy 雲端服務。 如有封鎖連線的防火牆規則,則會發生問題。 允許存取設定連接器中所列的正確連接埠和 URL。 |
連接器問題的流程圖
本流程圖將逐步引導您進行連接器常見問題的偵錯步驟。 如需每個步驟的詳細資訊,請參閱流程圖後面的表格。
步驟 | 動作 | 描述 |
---|---|---|
1 | 尋找指派給應用程式的連接器群組 | 您可能已在多部伺服器上安裝連接器,在這種情況下,連接器應已指派給連接器群組。 若要深入了解連接器群組,請參閱了解 Microsoft Entra 私人網路連接器群組。 |
2 | 安裝連接器並指派群組 | 如果您尚未安裝連接器,請參閱設定連接器。 如果未將連接器指派給群組,請參閱將連接器指派給群組。 如果未將應用程式指派給連接器群組,請參閱將應用程式指派給連接器群組。 |
3 | 在連接器伺服器上執行連接埠測試 | 在連接器伺服器上,使用 telnet 或其他連接埠測試工具來執行連接埠測試,以檢查連接埠是否已正確設定。 若要深入了解,請參閱設定連接器。 |
4 | 設定網域和連接埠 | 針對連接器設定連接器。 某些連接埠必須開啟,而且您的伺服器必須能夠存取某些 URL。 如需詳細資訊,請參閱設定連接器。 |
5 | 檢查後端 Proxy 是否正在使用中 | 檢查連接器是否正在使用後端 Proxy 伺服器,或是略過這些伺服器。 如需詳細資訊,請參閱針對連接器 Proxy 問題和服務連線問題進行疑難排解。 |
6 | 使用後端 Proxy 資訊更新連接器和更新程式設定 | 如果後端 Proxy 正在使用中,請確保連接器使用相同的 Proxy。 如需疑難排解和設定連接器以使用 Proxy 伺服器的詳細資訊,請參閱使用現有的內部部署 Proxy 伺服器。 |
7 | 在連接器伺服器上載入應用程式的內部 URL | 在連接器伺服器上,載入應用程式的內部 URL。 |
8 | 檢查內部網路連線能力 | 您的內部網路發生此偵錯工具無法診斷的連線問題。 您必須能夠在內部存取應用程式,連接器才能運作。 您可以啟用和檢視連接器事件記錄檔,如私人網路連接器中所述。 |
9 | 延長後端的逾時值 | 在您應用程式的 [其他設定] 中,將 [後端應用程式逾時] 設定變更為 [長]。 請參閱將內部部署應用程式新增至 Microsoft Entra ID。 |
10 | 如果問題持續發生,請偵錯應用程式。 | 針對應用程式 Proxy 應用程式問題進行偵錯。 |
常見問題集
為什麼我的連接器仍使用較舊的版本,沒有自動升級到最新版本?
可能是因為更新程式服務無法正常運作,或是沒有較新的更新可供服務安裝。
若更新程式服務正常執行,且在事件記錄檔 (應用程式及服務記錄檔 -> Microsoft -> Microsoft Entra 私人網路 -> Updater -> Admin) 中沒有錯誤記錄,代表更新程式服務運作良好。
重要
只有主要版本的發行可供自動升級。 我們建議您只有在必要時才手動更新連接器。 例如,因為您必須修正已知問題或您想要使用新功能,所以無法等候主要發行版本。 如需新版本、版本類型 (下載、自動升級)、錯誤 (Bug) 修正和新功能的詳細資訊,請參閱 Microsoft Entra 私人網路連接器:版本發行記錄。
手動升級連接器:
- 下載最新的連接器版本。 (在 Microsoft Entra 系統管理中心的 [全球安全存取]>[連線]>[連接器] 尋找它)
- 安裝程式會重新啟動 Microsoft Entra 私人網路連接器服務。 在一些情況下,如果安裝程式無法取代所有檔案,則可能需要將伺服器重新開機。 因此,建議您關閉所有應用程式 (例如事件檢視器),然後再開始進行升級。
- 執行安裝程式。 升級程序很快速且不需提供任何認證,而且不會重新註冊連接器。
私人網路連接器服務是否可在與預設值不同的使用者內容中執行?
否,不支援此案例。 預設設定包括:
- Microsoft Entra 私人網路連接器 - WAPCSvc - 網路服務
- Microsoft Entra 私人網路連接器更新程式 - WAPCUpdaterSvc - NT Authority\System
具有作用中系統管理員角色指派的來賓使用者是否可以註冊 (guest) 租使用者的連接器?
否,目前無法這麼做。 註冊嘗試一律會在使用者的主租用戶上進行。
我的後端應用程式裝載在多部 Web 伺服器上,且需要使用者工作階段持續性 (黏著度)。 如何達成工作階段持續性?
如需建議,請參閱私人網路連接器和應用程式的高可用性和負載平衡。
是否支援針對從連接器伺服器至 Azure 的流量進行 TLS 終止 (TLS/HTTPS 檢查或加速)?
私人網路連接器會對 Azure 執行憑證型驗證。 TLS 終止 (TLS/HTTPS 檢查或加速) 會中斷此驗證方法,而且不受支援。 從連接器到 Azure 的流量,必須略過執行 TLS 終止的所有裝置。
所有連線是否都需要 TLS 1.2?
是。 為了將頂級的加密提供給客戶,應用程式 Proxy 服務會限制僅接受 TLS 1.2 通訊協定的存取。 這些變更已逐漸推出,並於 2019 年 8 月 31 日起生效。 請確定所有用戶端-伺服器和瀏覽器-伺服器組合都已更新為使用 TLS 1.2,以保持與應用程式 Proxy 服務的連線。 其中包括使用者存取透過應用程式 Proxy 發佈的應用程式時,所使用的用戶端。 請參閱準備 Office 365 中的 TLS 1.2,以取得實用的參考和資源。
是否可以在連接器伺服器和後端應用程式伺服器之間放置轉接 Proxy 裝置?
是,從連接器 1.5.1526.0 版開始即支援此案例。 請參閱使用現有的內部部署 Proxy 伺服器。
是否應該建立專用帳戶來向 Microsoft Entra 應用程式 Proxy 註冊連接器?
沒有理由建立專用帳戶。 具有應用程式管理員角色的帳戶都可用。 於安裝期間所輸入的認證並不會在註冊程序之後繼續使用。 相反地,會將憑證發行至連接器,並從那刻開始將其用於驗證。
如何監視 Microsoft Entra 私人網路連接器的效能?
可以使用與連接器一起安裝的效能監視器計數器。 檢視方法:
- 選取 [開始],輸入「Perfmon」,然後按 ENTER。
- 選取 [效能監視器],然後按一下綠色的 + 圖示。
- 新增您想要監視的 [Microsoft Entra 私人網路連接器] 計數器。
Microsoft Entra 私人網路連接器是否必須與資源位於相同的子網路上?
連接器不需要位於相同的子網路上。 不過,其需要針對該資源的名稱解析 (DNS、主機檔案) 和必要的網路連線能力 (路由傳送至該資源、在該資源上開啟連接埠等)。 如需建議,請參閱使用 Microsoft Entra 應用程式 Proxy 時的網路拓撲考量。
我從伺服器解除安裝連接器之後,為何連接器仍顯示在 Microsoft Entra 系統管理中心中?
當連接器執行時,它在連接到服務時會保持作用中。 已解除安裝或未使用的連接器會標記為非使用中,且將在未作用 10 天後從入口網站中移除。 沒有任何方法可以從 Microsoft Entra 系統管理中心手動移除非使用中的連接器。