本文說明在 Microsoft Entra 應用程式 Proxy 中,針對問題和錯誤訊息進行疑難排解的步驟。
開始之前
檢查的第一件事是連接器。 若要瞭解如何偵錯專用網連接器,請參閱 偵錯專用網連接器問題。 如果您仍然無法連線到應用程式,請返回本文以針對應用程式進行疑難解答。
如果使用者在存取或發佈應用程式時發生錯誤,請使用下列步驟來確認 Microsoft Entra 應用程式 Proxy 正常運作:
開啟 Windows 服務控制台。 確認 Microsoft Entra 專用網連接器 服務已啟用並執行。 查看應用程式 Proxy 服務屬性頁面。
開啟 [事件檢視器]。 移至 應用程式和服務記錄>Microsoft>Entra 專用網路連接器>的>Admin 並檢查專用網路連接器事件。
檢閱詳細的記錄。 瞭解如何 開啟專用網連接器會話記錄。
應用程式設定錯誤
請檢閱下列各節,以取得常見的設定問題和建議的解決方案。
應用程式無法正確顯示
您的應用程式轉譯有問題,或其功能不正確,但不會顯示任何特定的錯誤訊息。
如果應用程式需要內容存在於您用來發佈應用程式的路徑之外,就會發生此問題。
例如,如果您發佈路徑 https://yourapp/app,但應用程式參考的是位於 https://yourapp/media的影像,那麼這些影像將不會出現在應用程式中。
請務必使用您需要包含所有參考內容和檔案的最高層級路徑來發佈應用程式。 在這裡範例中,該層級為 http://yourapp/。
確認遺漏的資源造成問題:
- 開啟您的網路追蹤器,例如使用 Fiddler 或瀏覽器開發人員工具(在 Internet Explorer 或 Microsoft Edge 中選取 F12)。
- 載入頁面。
- 尋找錯誤代碼 404。
404 錯誤表示找不到頁面,而且您需要發佈頁面。
應用程式載入所需的時間太長
應用程式可以正常運作,但延遲很長。
您可以變更網路拓撲,以改善應用程式速度。 檢閱 網路注意事項。
單一應用程式發佈時出現問題
如果您無法發佈相同應用程式中的所有資源,請發佈多個應用程式,並設定它們之間的連結。 在此案例中,建議您使用 自定義網域。 不過,此解決方案會要求您擁有網域的憑證,而且您的應用程式使用完整功能變數名稱(FQDN)。 針對其他選項, 針對中斷的鏈接進行疑難解答。
設定應用程式的連線能力時發生問題
如需原因和建議的解決方案,請參閱 為應用程式 Proxy 應用程式開啟的埠。
在管理入口網站中設定Microsoft Entra 應用程式 Proxy 時發生問題
如需原因和建議的解決方案,請參閱 應用程式 Proxy 應用程式中的單一登錄。
將後端驗證設定為應用程式時發生問題
如需原因和建議的解決方案,請參閱下列文章:
無法登入應用程式
如果您看到錯誤 This corporate app can’t be accessed 且無法登入應用程式,則發生設定錯誤。 如需建議的解決方案,請參閱 針對不正確的閘道器超時錯誤進行疑難解答。
專用網連接器錯誤
如需原因和建議的解決方案,請參閱 安裝專用網連接器。
Kerberos 錯誤
下表描述 Kerberos 安裝和設定中較常見的錯誤及其解決方式:
| 錯誤 | 要採取的說明和步驟 |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果連接器安裝失敗,請檢查以確定PowerShell執行原則未停用。 1.開啟組策略編輯器。 2.移至 [計算機設定>系統管理範本>] [Windows 元件>] [Windows PowerShell],然後按兩下 [開啟腳本執行]。 3. 執行原則可以設定為 未設定 或 已啟用。 如果原則設定為 [已啟用],請確定在 [ 選項] 下,執行原則會設定為 [允許本機腳本] 和 [遠端簽署腳本 ] 或 [允許所有腳本]。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
此錯誤表示Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或兩部計算機上的時間和日期設定發生問題。 後端伺服器拒絕了由 Microsoft Entra ID 建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器。 請確定Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步處理。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
安全性令牌服務 (STS) 設定發生問題。 修正 STS 中的用戶主體名稱 (UPN) 宣告設定。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
此事件指出Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器,特別是服務主體名稱 (SPN) 組態。 請確定域控制器會使用 Microsoft Entra 識別碼建立信任。 兩者都應該使用相同的網域。 請確定Microsoft Entra ID 和域控制器上的時間和日期組態已同步。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
此事件指出Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器,特別是SPN組態。 請確定域控制器會使用 Microsoft Entra 識別碼建立信任。 兩者都應該使用相同的網域。 請確定Microsoft Entra ID 和域控制器上的時間和日期組態已同步。 |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
此事件指出Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 後端伺服器拒絕了 Microsoft Entra ID 所建立的 Kerberos 票證。 確認已正確設定Microsoft Entra ID 和後端應用程式伺服器。 請確定Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步。 如需詳細資訊,請參閱 針對應用程式 Proxy 的 Kerberos 限制委派組態進行疑難解答。 |
應用程式用戶錯誤
下表描述應用程式使用者嘗試存取應用程式 Proxy 應用程式時可能會遇到的錯誤:
| 錯誤 | 要採取的說明和步驟 |
|---|---|
The website cannot display the page. |
當使用者嘗試存取您發佈的整合式 Windows 驗證 (IWA) 應用程式時,會看到錯誤。 應用程式的已定義SPN不正確。 請確定應用程式的SPN正確。 |
The website cannot display the page. |
當使用者嘗試存取您發佈的 Outlook Web 應用程式 (OWA) 應用程式時,會看到錯誤。 問題產生於: - 為應用程式定義的SPN不正確。 請確定應用程式的SPN正確。 - 嘗試存取應用程式的使用者是使用Microsoft帳戶,而不是其公司帳戶登入,或使用者是來賓使用者。 請確定使用者使用符合已發行應用程式網域的公司帳戶登入。 Microsoft帳戶用戶和來賓無法存取 IWA 應用程式。 - 嘗試存取應用程式的使用者在內部配置設定中未正確設定應用程式。 請確定使用者具有存取後端應用程式所需的內部部署許可權。 |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
當用戶嘗試使用Microsoft帳戶或來賓使用者存取應用程式時,就會發生此錯誤。 Microsoft帳戶用戶和來賓無法存取 IWA 應用程式。 請確定使用者使用符合應用程式網域的公司帳戶登入。 若要修正此問題,請移至 [應用程式 ] 索引標籤,在 [ 使用者和群組] 底下,將使用者或群組指派給應用程式。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
嘗試存取應用程式的使用者在內部部署系統配置中的應用程式中沒有被正確定義。 請確定使用者具有存取後端應用程式所需的內部部署許可權。 |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
當使用者嘗試存取您發佈的應用程式時,如果使用者未由訂閱者的系統管理員以 Premium 授權明確指派,就會看到錯誤。 在訂閱者的 Microsoft Entra ID 授權 索引標籤上,確定使用者或使用者群組已獲指派 Premium 授權。 |
A server with the specified host name could not be found. |
當使用者嘗試存取您發佈的應用程式,且應用程式的自定義網域未正確設定時,就會看到錯誤。 檢查網域的憑證,並正確設定域名系統 (DNS) 記錄。 如需詳細資訊,請參閱 在 Microsoft Entra 應用程式 Proxy 中使用自定義網域。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
問題可能是存取授權資訊時發生問題。 若要深入瞭解,請參閱 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)。 若要解決此錯誤,請將專用網連接器計算機帳戶新增至 Windows 授權存取群組內建網域群組。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
連接器使用用戶端憑證確保對外連線的安全性,Microsoft Entra 應用程式代理雲端服務端點。 用戶端憑證無法連線到端點時,就會發生錯誤。 例如,當網路裝置執行傳輸層安全性 (TLS) 檢查或中斷 TLS 連線時,可能會發生此問題。 若要解決錯誤,請避免內嵌檢查和終止輸出 TLS 通訊。 Microsoft Entra 專用網連接器和Microsoft Entra 應用程式 Proxy 雲端服務之間,不得進行檢查和終止。 |