針對應用程式 Proxy 問題和錯誤訊息進行疑難排解
首先,請確定已正確設定私人網路連接器。 如需詳細資訊,請參閱偵錯私人網路連接器問題和偵錯應用程式 Proxy 應用程式問題。
如果在存取已發佈的應用程式或發佈應用程式時發生錯誤,請檢查下列選項以查看 Microsoft Entra 應用程式 Proxy 是否運作正常︰
- 開啟 Windows 服務主控台。 確認已啟用並執行 Microsoft Entra 私人網路連接器服務。 查看應用程式 Proxy 服務屬性頁面,如圖所示。
- 開啟 [事件檢視器],然後在 [應用程式及服務記錄檔]>[Microsoft]>[Microsoft Entra 私人網路]>[連接器]>[管理員] 中尋找私人網路連接器事件。
- 檢閱詳細記錄。 開啟私人網路連接器工作階段記錄。
無法正確轉譯頁面
您遇到應用程式轉譯有問題或運作不正確,但沒有收到特定錯誤訊息的情況。 如果您已發佈文章路徑,但應用程式需要存在於該路徑以外的內容,就會發生此問題。
例如,如果您發佈的路徑是 https://yourapp/app,但應用程式呼叫的是 https://yourapp/media 中的影像,系統就不會轉譯那些影像。 請確定您是使用包含所有相關內容所需的最高層級路徑來發佈應用程式。 在此範例中會是 http://yourapp/。
應用程式 Proxy 應用程式載入時間過長
應用程式可以正常運作,但發生延遲時間很長。 網路拓撲調整可以改善速度。 若要評估不同的拓樸,請參閱網路考量文件。
應用程式 Proxy 應用程式的應用程式頁面未正確顯示
當您發佈應用程式 Proxy 應用程式時,在存取該應用程式時只有您根目錄下的頁面才可供存取。 如果頁面未正確顯示,則用於該應用程式的根目錄內部 URL 可能遺漏某些頁面資源。 若要解決此問題,請發佈該頁面的所有資源做為您應用程式的一部分。
確認遺漏資源是不是問題所在。 在 Microsoft Edge 中開啟網路追蹤器,例如 Fiddler 或 F12 工具。 載入頁面,並尋找 404 錯誤。 錯誤指出找不到頁面,且您必須發佈這些頁面。
例如,假設您使用內部 URL http://myapps/expenses 發佈了一個費用應用程式,但該應用程式使用樣式表 http://myapps/style.css。 該樣式表未在您的應用程式中發佈,因此若載入費用應用程式,則會在嘗試載入 style.css 時擲回 404 錯誤。 在此範例中,使用內部 URL http://myapp/ 發佈應用程式,就能解決問題。
發佈為一個應用程式時的問題
如果無法在同一個應用程式內發佈所有的資源,您必須發佈多個應用程式,並啟用之間的連結。
若要這樣做,我們建議使用自訂網域解決方案。 不過,此解決方案需要您擁有您網域的憑證,且您的應用程式使用完整的網域名稱 (FQDN)。 如需其他選項,請參閱為連結中斷的文件疑難排解。
我的應用程式在連線時遇到問題
我在管理入口網站中設定 Microsoft Entra 應用程式 Proxy 時遇到問題
我不知道如何為使用應用程式 Proxy 的應用程式設定單一登入。
我在為應用程式設定後端驗證時遇到問題
我不知道如何設定 Kerberos 限制委派。 我不知道如何使用 PingAccess 設定我的應用程式。
我在登入應用程式時遇到問題
我收到下列錯誤 Can't Access this Corporate Application。 若要解決此問題,請參閱不當的閘道逾時錯誤。
我的私人網路連接器發生問題
Kerberos 錯誤
這個表格涵蓋有關 Kerberos 設定和組態的常見錯誤,並建議解決辦法。
| 錯誤 | 建議的步驟 |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
若連接器安裝失敗,請檢查以確定並未停用 PowerShell 執行原則。 1.開啟 [群組原則編輯器]。 2.移至 [電腦設定]>[系統管理範本]>[Windows 元件]>[Windows PowerShell],按兩下 [開啟指令碼執行]。 3.執行原則可以設定為 [未設定] 或 [已啟用]。 如果是設定為 [已啟用],請確定 [選項] 底下的 [執行原則] 是設定為 [允許本機指令碼和遠端已簽署的指令碼] 或 [允許所有指令碼]。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
此錯誤表示 Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或兩台電腦上的日期和時間設定有問題。 後端伺服器拒絕了 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器的設定正確無誤。 確定 Microsoft Entra ID 與後端應用程式伺服器的日期和時間設定已同步。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Security Token Service (STS) 設定發生問題。 修正 STS 中的使用者主體名稱 (UPN) 宣告設定。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
此事件表示 Microsoft Entra ID 與網域控制站伺服器之間的設定不正確,或兩台電腦上的日期和時間設定有問題。 網域控制站拒絕了 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器的設定正確無誤,尤其是服務主體名稱 (SPN) 設定。 確定網域控制站使用 Microsoft Entra ID 建立信任。 兩者都應該使用相同的網域。 確定 Microsoft Entra ID 與網域控制站的日期和時間設定已同步。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
此事件表示 Microsoft Entra ID 與網域控制站伺服器之間的設定不正確,或兩台電腦上的日期和時間設定有問題。 網域控制站拒絕了 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器的設定正確無誤,尤其是 SPN 設定。 確定網域控制站使用 Microsoft Entra ID 建立信任。 兩者都應該使用相同的網域。 確定 Microsoft Entra ID 與網域控制站的日期和時間設定已同步。 |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
此事件表示 Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或兩台電腦上的日期和時間設定有問題。 後端伺服器拒絕了 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器的設定正確無誤。 確定 Microsoft Entra ID 與後端應用程式伺服器的日期和時間設定已同步。 如需詳細資訊,請參閱針對應用程式 Proxy 的 Kerberos 限制委派設定進行疑難排解。 |
使用者錯誤
這份清單涵蓋您的終端使用者嘗試存取應用程式並失敗時可能會遇到的錯誤。
| 錯誤 | 建議的步驟 |
|---|---|
The website cannot display the page. |
如果應用程式是 整合式 Windows 驗證 (IWA) 應用程式,則使用者在嘗試存取此應用程式時就會發生此錯誤。 為此應用程式定義的 SPN 不正確。 若是 IWA 應用程式,確定為此應用程式設定的 SPN 正確無誤。 |
The website cannot display the page. |
如果應用程式是 Outlook Web 應用程式 (OWA) 應用程式,則使用者在嘗試存取此應用程式時就會發生此錯誤。 問題的發生原因: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
若使用者使用 Microsoft 帳戶而非其公司帳戶進行登入,則在嘗試存取您發佈的應用程式時,就會發生此錯誤。 來賓使用者發生此錯誤。 Microsoft 帳戶使用者和來賓無法存取 IWA 應用程式。 確定使用者是使用符合已發佈應用程式之網域的公司帳戶進行登入。 您必須為此應用程式指派使用者。 移至 [應用程式] 索引標籤,在 [使用者和群組] 底下,將此使用者或使用者群組指派給此應用程式。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
若在內部部署端中未針對此應用程式正確地定義使用者,則使用者在嘗試存取應用程式時,就會發生此錯誤。 請確定您的使用者在內部部署電腦上,針對此後端應用程式,定義有適當的權限。 |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
若訂閱者的系統管理員未對使用者明確地指派 Premium 授權,則使用者在嘗試存取您發佈的應用程式時,就會發生此錯誤。 前往訂閱者的 Active Directory [授權] 索引標籤,並確定已為此使用者或使用者群組指派 Premium 授權。 |
A server with the specified host name could not be found. |
若未正確設定應用程式的自訂網域,則使用者在嘗試存取您發佈的應用程式時,就會發生此錯誤。 請檢查網域的憑證,並正確設定網域名稱系統 (DNS) 記錄。 如需詳細資訊,請參閱在 Microsoft Entra 應用程式 Proxy 中使用自訂網域。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
問題可能是存取授權資訊時發生問題。 若要深入了解,請參閱 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)。 簡單地說,將私人網路連接器電腦帳戶新增至「Windows Authorization Access 群組」內建網域群組,即可解決此問題。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
連接器會使用用戶端憑證來保護 Microsoft Entra 應用程式 Proxy 雲端服務端點的輸出連線。 用戶端憑證無法連線到端點時,即會發生此錯誤。 例如,執行傳輸層安全性 (TLS) 檢查或中斷 TLS 連線的網路裝置。 請避免內嵌檢查和終止輸出 TLS 通訊。 Microsoft Entra 私人網路連接器和 Microsoft Entra 應用程式 Proxy 雲端服務之間,不得發生檢查和終止。 |