Résoudre les problèmes d’installation du connecteur de réseau privé

Le connecteur de réseau privé Microsoft Entra est un composant de domaine interne qui utilise des connexions sortantes pour établir la connectivité du point de terminaison disponible dans le cloud vers le domaine interne. Le connecteur est utilisé à la fois par l’Accès privé Microsoft Entra et le proxy d’application Microsoft Entra.

Problèmes généraux avec l’installation du connecteur

Lorsque l'installation d'un connecteur échoue, la cause racine est généralement liée à l'un des aspects suivants. Avant de tenter de résoudre le problème, redémarrez le connecteur.

  • Connectivité : pour une installation réussie, le nouveau connecteur doit s’inscrire et établir les propriétés d’approbation ultérieures. La confiance est établie grâce à la connexion au service cloud du proxy d’application Microsoft Entra.
  • Établissement de l’approbation : le nouveau connecteur crée un certificat auto-signé et s’inscrit auprès du service cloud.
  • Authentification de l’administrateur : pendant l’installation, l’utilisateur doit fournir des informations d’identification d’administrateur pour terminer l’installation du connecteur.

Remarque

Les journaux d’installation du connecteur se trouvent dans le dossier %TEMP%et peuvent fournir des informations supplémentaires sur l’origine de l’échec de l’installation.

Vérifier la connectivité au service proxy d’applications cloud et à la page de connexion Microsoft

Objectif : vérifier que la machine du connecteur peut se connecter au point de terminaison d’inscription du proxy d’application et à la page de connexion Microsoft.

  1. Sur le serveur du connecteur, exécutez un test de port à l’aide de telnet ou autres outils de tests de port, pour vérifier que les ports 443 et 80 sont ouverts.

  2. Vérifiez que le pare-feu ou proxy de back-end a accès aux domaines et ports nécessaires. Consultez Configurer les connecteurs.

  3. Ouvrez un onglet de navigateur, puis entrez https://login.microsoftonline.com. Vérifiez que vous pouvez vous connecter.

Vérifier la prise en charge des certificats de l’ordinateur et des composants back-end

Objectif : vérifier que l’ordinateur connecteur, le pare-feu et le proxy principal peuvent prendre en charge le certificat créé par le connecteur. Vérifiez également la validité du certificat.

Remarque

Le connecteur tente de créer un certificat SHA512 pris en charge par le protocole TLS 1.2. Si l’ordinateur ou le pare-feu principal et le proxy ne prennent pas en charge TLS1.1.2, l’installation échoue.

Passez en revue les prérequis :

  1. Vérifiez que l’ordinateur prend en charge le protocole TLS 1.2 (toutes les versions de Windows supérieures à 2012 R2 doivent prendre en charge TLS 1.2). Si votre ordinateur connecteur dispose de la version 2012 R2 ou d’une version antérieure, vérifiez que les mises à jour requises sont installées.

  2. Contactez votre administrateur réseau et demandez-lui de vérifier que le proxy principal et le pare-feu ne bloquent le trafic sortant SHA512.

Pour vérifier le certificat client :

Vérifiez l’empreinte numérique du certificat client actuel. Le magasin de certificats est accessible sous %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Les valeurs IsInUserStore possibles sont true et false. Une valeur true signifie que le certificat est renouvelé automatiquement et stocké dans le conteneur personnel du magasin de certificats de l’utilisateur du service réseau. Une valeur false signifie que le certificat client est créé pendant l’installation ou l’inscription lancée par Register-MicrosoftEntraPrivateNetworkConnector. Le certificat est stocké dans le conteneur personnel du magasin de certificats de la machine locale.

Si la valeur est true, procédez comme suit pour vérifier le certificat :

  1. Téléchargez PsTools.zip.
  2. Extrayez PsExec du package et exécutez psexec -i -u "nt authority\network service" cmd.exe à partir d’une invite de commandes avec élévation de privilèges.
  3. Exécutez certmgr.msc dans l’invite de commandes nouvellement apparue.
  4. Dans la console de gestion, développez le conteneur personnel, puis sélectionnez Certificats.
  5. Localisez le certificat émis par connectorregistrationca.msappproxy.net.

Si la valeur est false, procédez comme suit pour vérifier le certificat :

  1. Exécutez certlm.msc.
  2. Dans la console de gestion, développez le conteneur personnel, puis sélectionnez Certificats.
  3. Localisez le certificat émis par connectorregistrationca.msappproxy.net.

Pour renouveler le certificat client :

Si un connecteur n’est pas connecté au service pendant plusieurs mois, ses certificats ont peut-être expiré. L’échec du renouvellement du certificat aboutit à un certificat expiré. Le certificat expiré entraîne l’arrêt du service connecteur. L’événement 1000 est enregistré dans le journal d’administration du connecteur :

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Dans ce cas, désinstallez et réinstallez le connecteur pour déclencher l’inscription, ou exécutez les commandes PowerShell suivantes :

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Pour en savoir plus sur la commande Register-MicrosoftEntraPrivateNetworkConnector, consultez Créer un script d’installation sans assistance pour le connecteur de réseau privé Microsoft Entra.

Vérification de l’utilisation d’une connexion administrateur pour l’installation du connecteur

Objectif : vérifier que l’utilisateur qui tente d’installer le connecteur est un administrateur disposant des informations d’identification correctes. Actuellement, l’installation requiert que l’utilisateur soit au moins un administrateur d’application.

Pour vérifier que les informations d’identification sont correctes :

Connectez-vous à https://login.microsoftonline.com en utilisant les mêmes informations d’identification. Vérifiez que la connexion a réussi. Vous pouvez vérifier le rôle utilisateur en sélectionnant Microsoft Entra ID ->Utilisateurs et groupes - >Tous les utilisateurs.

Sélectionnez votre compte d’utilisateur, puis Rôle d’annuaire dans le menu qui s’affiche. Vérifiez que le rôle sélectionné est Administrateur d’application. Si vous ne pouvez accéder à aucune des pages de ces étapes, vous n’avez pas de rôle requis.

Erreurs de connecteur

Si l’inscription échoue au cours de l’installation de l’assistant du connecteur, il existe deux façons d’afficher la raison de l’échec. Regardez dans le journal des événements sous Windows Logs\Application (filter by Source = "Microsoft Entra private network connector", ou exécutez la commande Windows PowerShell suivante :

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Une fois l’erreur de connecteur identifiée dans le journal des événements, reportez-vous à cette table d’erreurs courantes pour résoudre le problème :

Error Étapes recommandées
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Si vous avez fermé la fenêtre d’inscription sans vous connecter à Microsoft Entra ID, réexécutez l’Assistant du connecteur et enregistrez-le.

Si la fenêtre d’inscription s’ouvre puis se ferme immédiatement sans vous permettre de vous connecter, vous allez recevoir une erreur. L’erreur se produit lorsqu’il existe une erreur de réseau sur votre système. Vérifiez que vous pouvez vous connecter à partir d’un navigateur à un site web public et que les ports sont ouverts, comme spécifié dans Configurer les connecteurs.
Clear error is presented in the registration window. Cannot proceed Si l’erreur se produit et que la fenêtre se ferme, cela signifie que vous avez saisi un nom d’utilisateur ou un mot de passe incorrect. Réessayez.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Vous tentez de vous connecter avec un compte Microsoft et non un domaine qui fait partie de l’ID d’organisation de l’annuaire auquel vous tentez d’accéder. L’administrateur doit faire partie du même nom du domaine que le domaine du locataire. Par exemple, si le domaine Microsoft Entra est contoso.com, l’administrateur doit être admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. En cas d’échec de l’installation du connecteur, vérifiez que la stratégie d’exécution de PowerShell n’est pas désactivée.

1. Ouvrez l’Éditeur de stratégie de groupe.
2. Accédez à Configuration ordinateur>Modèles d’administration>Composants Windows>Windows PowerShell et double-cliquez sur Activer l’exécution des scripts.
3. Cette stratégie d’exécution peut être définie sur Non configuré ou Activé. Si elle est définie sur Activé, vérifiez que sous Options, la stratégie d’exécution est définie sur Autoriser les scripts locaux et les scripts signés distants ou sur Autoriser tous les scripts.
Connector failed to download the configuration. Le certificat client du connecteur, qui est utilisé pour l’authentification, est expiré. Le problème se produit si le connecteur est installé derrière un proxy. Dans ce cas, le connecteur ne peut pas accéder à Internet et n’est pas en mesure de fournir des applications aux utilisateurs distants. Renouvelez l’approbation manuellement à l’aide de l’applet de commande Register-MicrosoftEntraPrivateNetworkConnector dans Windows PowerShell. Si votre connecteur se trouve derrière un proxy, il est nécessaire d’accorder à Internet l’accès aux comptes de connecteur network services et local system. L’octroi de l’accès est effectué en lui accordant l’accès au proxy ou en contournant le proxy.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' L’alias avec lequel vous essayez de vous connecter n’est pas un administrateur sur ce domaine. Votre connecteur est toujours installé pour l’annuaire qui détient le domaine de l’utilisateur. Vérifiez que le compte Administrateur avec lequel vous essayez de vous connecter dispose au moins des autorisations d’administrateur d’application sur l’abonné Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Le connecteur ne peut pas se connecter au service cloud de proxy d’application. Le problème se produit si vous avez une règle de pare-feu qui bloque la connexion. Autorisez l’accès aux ports et URL appropriés listés dans Configurer les connecteurs.

Organigramme des problèmes de connecteur

Cet organigramme vous guide à travers les étapes du débogage des problèmes de connecteur plus courants. Pour plus d’informations sur chaque étape, consultez le tableau suivant l’organigramme.

Organigramme montrant les étapes de débogage d’un connecteur.

Étape Action Description
1 Recherchez le groupe de connecteurs attribué à l’application Vous avez probablement un connecteur installé sur plusieurs serveurs, auquel cas les connecteurs doivent être attribués à un groupe de connecteurs. Pour en savoir plus sur les groupes de connecteurs, consultez Présentation des groupes de connecteurs de réseau privé Microsoft Entra.
2 Installez le connecteur et attribuez-lui un groupe Si vous n’avez pas de connecteur installé, consultez Configurer les connecteurs.

Si le connecteur n’est pas attribué à un groupe, consultezAttribuer le connecteur à un groupe.

Si l’application n’est pas attribuée à un groupe de connecteurs, consultez Attribuer l’application à un groupe de connecteurs.
3 Exécutez un test de port sur le serveur du connecteur Sur le serveur du connecteur, exécutez un test de port avec telnet ou un autre outil de test de port pour vérifier que les ports sont correctement configurés. Pour plus d’informations, consultez Configurer les connecteurs.
4 Configurez les domaines et les ports Configurer les connecteurs pour le connecteur. Certains ports doivent être ouverts pour les URL auxquelles votre serveur doit être en mesure d’accéder. Pour plus d’informations, consultez Configurer les connecteurs.
5 Vérifiez si un proxy de serveur principal est en cours d’utilisation Vérifiez si les connecteurs utilisent des serveurs proxy principaux ou les ignorent. Pour en savoir plus, consultez Résoudre les problèmes courants de proxy de connecteur et de connectivité du service.
6 Mettre à jour les paramètres du connecteur et du programme de mise à jour avec les informations du proxy back-end Si un proxy back-end est en cours d’utilisation, vérifiez que le connecteur utilise le même proxy. Pour plus d’informations sur le dépannage et la configuration des connecteurs pour les utiliser avec des serveurs proxy, consultez Travailler avec des serveurs proxy locaux existants.
7 Chargez l’URL interne de l’application sur le serveur du connecteur Sur le serveur de connecteur, chargez l’URL interne de l’application.
8 Vérifiez la connectivité de réseau interne Votre réseau interne est soumis à un problème de connectivité que cette procédure de débogage ne peut pas diagnostiquer. L’application doit être accessible en interne pour que les connecteurs puissent fonctionner. Vous pouvez activer et voir les journaux des événements du connecteur, comme décrit dans les connecteurs de réseau privé.
9 Augmentez la valeur du délai d’attente sur le serveur principal Dans les Paramètres supplémentaires de votre application, définissez la valeur du champ Expiration de l’application principale sur Long. Consultez Ajouter une application locale à Microsoft Entra ID.
10 Si les problèmes persistent, déboguez les applications. Déboguer les problèmes d’application de proxy d’application

Forum aux questions

Pourquoi mon connecteur utilise-t-il toujours une version ancienne et n'est-il pas automatiquement mis à niveau vers la dernière version ?

Le service de mise à jour ne fonctionne peut-être pas correctement, ou bien aucune nouvelle mise à jour n'est disponible.

Le service de mise à jour est sain s’il fonctionne et qu’aucune erreur n’est enregistrée dans le journal des événements (Applications and Services logs – >Microsoft –> Réseau privé Microsoft Entra –> Updater –> Administrateur(-trice)).

Important

Seules les versions principales sont disponibles pour la mise à niveau automatique. Nous vous recommandons de mettre à jour votre connecteur manuellement uniquement si nécessaire. Par exemple, vous ne pouvez pas attendre une mise en production majeure parce que vous devez résoudre un problème connu ou utiliser une nouvelle fonctionnalité. Si vous souhaitez en savoir plus sur les nouvelles versions, le type de version (téléchargement, mise à niveau automatique), les correctifs de bogues et les nouvelles fonctionnalités, veuillez consulter la rubrique Connecteur de réseau privé Microsoft Entra : historique de publication des versions.

Pour procéder à la mise à niveau manuelle d'un connecteur :

  • Téléchargez la dernière version du connecteur. (Recherchez-le dans le Centre d’administration Microsoft Entra à l’adresse Accès global sécurisé>Se connecter>Connecteurs)
  • Le programme d’installation redémarre les services de connecteur de réseau privé Microsoft Entra. Dans certains cas, un redémarrage du serveur peut être nécessaire si le programme d'installation ne peut pas remplacer tous les fichiers. Par conséquent, nous vous recommandons de fermer toutes les applications via l’observateur d’événements avant de lancer la mise à niveau.
  • Exécutez le programme d’installation. Le processus de mise à niveau est rapide, ne nécessite aucune information d’identification, et le connecteur n’est pas réinscrit.

Les services de connecteur de réseau privé peuvent-ils s’exécuter dans un contexte utilisateur différent de celui par défaut ?

Non, ce scénario n’est pas pris en charge. Les paramètres par défaut sont :

  • Connecteur de réseau privé Microsoft Entra - WAPCSvc - Service réseau
  • Mise à jour du connecteur de réseau privé Microsoft Entra - WAPCUpdaterSvc - NT Authority\System

Un utilisateur invité disposant d’une attribution de rôle Administrateur actif peut-il inscrire le connecteur pour le locataire (invité) ?

Non, ce n’est pas possible actuellement. La tentative d’inscription est toujours effectuée sur le locataire de base de l’utilisateur.

Mon application back-end est hébergée sur plusieurs serveurs web et exige une persistance de session utilisateur (adhérence). Comment puis-je obtenir celle-ci ?

Pour obtenir des recommandations, consultez haute disponibilité et équilibrage de charge de vos connecteurs et applications de réseau privé.

L’arrêt TLS (inspection ou accélération TLS/HTTPS) sur le trafic entre les serveurs du connecteur et Azure est-il pris en charge ?

Le connecteur de réseau privé effectue l’authentification basée sur des certificats sur Azure. L’arrêt TLS (inspection ou accélération TLS/HTTPS) interrompt cette méthode d’authentification et n’est pas pris en charge. Le trafic entre le connecteur et Azure doit ignorer tous les appareils qui effectuent un arrêt TLS.

TLS 1.2 est-il requis pour toutes les connexions ?

Oui. Pour offrir le meilleur chiffrement à nos clients, le service proxy d’application limite l’accès aux seuls protocoles TLS 1.2. Ces changements ont été progressivement déployés et sont en vigueur depuis le 31 août 2019. Vérifiez que toutes vos combinaisons client-serveur et navigateur-serveur sont mises à jour pour utiliser TLS 1.2 afin de maintenir la connexion au service proxy d’application. Cela comprend notamment les clients que vos utilisateurs utilisent pour accéder aux applications publiées par le biais du proxy d’application. Pour accéder à des ressources et des références utiles, consultez Préparation à l’utilisation de TLS 1.2 dans Office 365.

Puis-je placer un appareil proxy de transfert entre le ou les serveurs du connecteur et le serveur d’applications back-end ?

Oui, ce scénario est pris en charge à compter de la version 1.5.1526.0 du connecteur. Consultez Travailler avec des serveurs proxy locaux existants.

Dois-je créer un compte dédié pour inscrire le connecteur auprès du proxy d’application Microsoft Entra ?

Il n’y a aucune raison de créer un compte dédié. Tout compte avec le rôle Administrateur d’application fonctionne. Les informations d’identification entrées pendant l’installation ne sont pas utilisées après le processus d’inscription. En revanche, un certificat est émis pour le connecteur, puis utilisé à des fins d’authentification par la suite.

Comment puis-je surveiller les performances du connecteur de réseau privé Microsoft Entra ?

Des compteurs Analyseur de performances sont installés de concert avec le connecteur. Pour les voir :

  1. Sélectionnez Démarrer, tapez « Perfmon », puis appuyez sur Entrée.
  2. Sélectionnez Analyseur de performances, puis cliquez sur l’icône + verte.
  3. Ajoutez le connecteur réseau privé Microsoft Entra compteurs que vous souhaitez surveiller.

Le connecteur de réseau privé Microsoft Entra doit-il se trouver sur le même sous-réseau que la ressource ?

Le connecteur ne doit pas obligatoirement se trouver sur le même sous-réseau. En revanche, il a besoin d’une résolution de noms (DNS, fichier hosts) pour la ressource et de la connectivité réseau appropriée (routage vers la ressource, ports ouverts sur la ressource, etc.). Pour obtenir les recommandations correspondantes, consultez les considérations sur la topologie du réseau lors de l’utilisation du proxy d’application Microsoft Entra.

Pourquoi le connecteur s'affiche-t-il toujours dans le centre d'administration Microsoft Entra après que j’ai désinstallé le connecteur du serveur ?

Lorsqu’un connecteur est en cours d’exécution, il reste actif car il se connecte au service. Les connecteurs désinstallés ou inutilisés sont marqués comme inactifs, puis supprimés du portail après 10 jours d’inactivité. Il n’existe aucun moyen de supprimer manuellement le connecteur inactif du centre d’administration Microsoft Entra.

Étapes suivantes