Solución de problemas al instalar el conector de proxy de aplicación

El conector del proxy de aplicación de Microsoft Entra es un componente de dominio interno que utiliza conexiones salientes para establecer la conectividad desde el punto de conexión disponible en la nube hacia el dominio interno.

Áreas problemáticas generales con la instalación del conector

Cuando se produce un error en la instalación de un conector, la causa principal suele pertenecer a una de las áreas siguientes. Como precursor de cualquier solución de problemas, asegúrese de reiniciar el conector.

  1. Conectividad: para completar una instalación correcta, el nuevo conector necesita registrarse y establecer propiedades de confianza futuras. La confianza se establece mediante la conexión al servicio en la nube del proxy de aplicación de Microsoft Entra.

  2. Establecimiento de confianza: el nuevo conector crea un certificado autofirmado y se registra en el servicio en la nube.

  3. Autenticación del administrador: durante la instalación, el usuario debe proporcionar credenciales de administrador para completar la instalación del conector.

Nota:

Los registros de instalación del conector pueden encontrarse en la carpeta %TEMP% y pueden ayudar a proporcionar información adicional sobre lo que provoca un error de instalación.

Comprobación de la conectividad con el servicio del proxy de aplicaciones en la nube y la página de inicio de sesión de Microsoft

Objetivo: compruebe que la máquina del conector puede conectarse al punto de conexión de registro del proxy de aplicación y a la página de inicio de sesión de Microsoft.

  1. En el servidor del conector, ejecute una prueba de puertos con telnet u otra herramienta para este fin y compruebe si los puertos 443 y 80 están abiertos.

  2. Compruebe que el firewall o el proxy de back-end tengan acceso a los dominios y puertos necesarios; consulte Preparación del entorno local.

  3. Abra una pestaña del explorador y escriba https://login.microsoftonline.com. Asegúrese de iniciar sesión.

Comprobación de la compatibilidad con certificados de componente de back-end y máquina

Objetivo: compruebe que la máquina del conector, el proxy de back-end y el firewall admitan el certificado creado por el conector. Además, compruebe que el certificado es válido.

Nota:

El conector intenta crear un certificado SHA512 compatible con la seguridad de la capa de transporte (TLS) 1.2. Si la máquina o el firewall y el proxy de back-end no admiten TLS 1.2, la instalación producirá un error.

Revise los requisitos previos necesarios:

  1. Compruebe que la máquina sea compatible con la Seguridad de la capa de transporte 1.2: todas las versiones de Windows posteriores a 2012 R2 deberían admitir TLS 1.2. Si la máquina del conector es de la versión 2012 R2 o una anterior, asegúrese de que las actualizaciones necesarias estén instaladas.

  2. Póngase en contacto con el administrador de red y pida que compruebe que el proxy de back-end y el firewall no bloquean el tráfico saliente de SHA512.

Para comprobar el certificado de cliente:

compruebe la huella digital del certificado de cliente actual. El almacén de certificados se puede encontrar en %ProgramData%\microsoft\Microsoft AAD Application Proxy Connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Los valores de IsInUserStore posibles son true y false. Un valor de true significa que el certificado se renueva y almacena automáticamente en el contenedor personal en el almacén de certificados de usuario del servicio de red. Un valor de false significa que el certificado de cliente se creó durante la instalación o el registro que inició Register-AppProxyConnector. El certificado se almacena en el contenedor personal del almacén de certificados de la máquina local.

Si el valor es true, siga estos pasos para comprobar el certificado:

  1. Descargue PsTools.zip.
  2. Extraiga PsExec del paquete y ejecute psexec -i -u "nt authority\network service" cmd.exe desde un símbolo del sistema con privilegios elevados.
  3. Ejecute certmgr.msc en el símbolo del sistema recién aparecido.
  4. En la consola de administración, expanda el contenedor Personal y seleccione Certificados.
  5. Busque el certificado emitido por connectorregistrationca.msappproxy.net.

Si el valor es false, siga estos pasos para comprobar el certificado:

  1. Ejecute certlm.msc.
  2. En la consola de administración, expanda el contenedor Personal y seleccione Certificados.
  3. Busque el certificado emitido por connectorregistrationca.msappproxy.net.

Para renovar el certificado de cliente:

Si un conector no se conecta al servicio durante varios meses, puede que tenga los certificados caducados. El error de la renovación del certificado conduce a un certificado expirado. Un certificado caducado hace que el servicio del conector deje de funcionar. El evento 1000 se registra en el registro de administración del conector:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-AppProxyConnector on the computer on which the Connector is running to re-register your Connector.

En este caso, desinstale y vuelva a instalar el conector para desencadenar el registro, o bien puede ejecutar estos comandos de PowerShell:

Import-module AppProxyPSModule
Register-AppProxyConnector

Para más información sobre el comando Register-AppProxyConnector, consulte Creación de un script de instalación desatendida para el conector de Application Proxy de Microsoft Entra.

Comprobación de que se use el administrador para instalar el conector

Objetivo: compruebe que el usuario que intenta instalar el conector sea un administrador con las credenciales correctas. Actualmente, el usuario debe ser como mínimo administrador de aplicaciones para que la instalación se complete correctamente.

Para comprobar que las credenciales sean correctas:

Conéctese a https://login.microsoftonline.com y use las mismas credenciales. Asegúrese de que el inicio de sesión se haya realizado correctamente. Para comprobar el rol de usuario, vaya a Microsoft Entra ID ->Usuarios y grupos ->Todos los usuarios.

Seleccione su cuenta de usuario y Rol del directorio en el menú resultante. Compruebe que el rol seleccionado sea Administrador de aplicaciones. Si no puede acceder a alguna de las páginas en estos pasos, significa que no tiene el rol necesario.

Pasos siguientes