プライベート ネットワーク コネクタのインストールに関する問題のトラブルシューティング
Microsoft Entra プライベート ネットワーク コネクタは、送信接続を使用して、クラウドで使用可能なエンドポイントから内部のドメインへの接続を確立する内部ドメイン コンポーネントです。 このコネクタは、Microsoft Entra Private Access と Microsoft Entra アプリケーション プロキシの両方で使用されます。
コネクタのインストールに関する一般的な問題領域
コネクタのインストールに失敗する場合、根本原因は通常、次の領域のいずれかにあります。 トラブルシューティングの前段階として、コネクタを再起動してください。
- 接続 – インストールを正常に完了するには、新しいコネクタを登録し、将来の信頼プロパティを確立する必要があります。 信頼は、Microsoft Entra アプリケーション プロキシ クラウド サービスに接続して確立します。
- 信頼の確立 – 新しいコネクタは、自己署名証明書を作成し、クラウド サービスに登録します。
- 管理者の認証 – コネクタのインストールを完了するために、ユーザーはインストール時に管理者の資格情報を提供する必要があります。
Note
コネクタのインストール ログは %TEMP%
フォルダーにあり、インストール エラーの原因に関する追加情報を提供するのに役立ちます。
クラウド アプリケーション プロキシ サービスと Microsoft のサインイン ページへの接続を確認する
目的: コネクタ マシンからアプリケーション プロキシの登録エンドポイントと Microsoft のサインイン ページに接続できることを確認します。
telnet またはその他のポート テスト ツールを使用して、コネクタ サーバー上でポートのテストを実行して、ポート 443 と 80 が開いているかどうかを確認します。
ファイアウォールまたはバックエンド プロキシが必要なドメインとポートにアクセスできることを確認します。「コネクタを構成する」を参照してください。
ブラウザー タブを開いて、「
https://login.microsoftonline.com
」と入力します。 サインインできることを確認します。
マシンとバックエンド コンポーネントの証明書のサポートを確認する
目的: コネクタ マシンおよびバックエンドのプロキシとファイアウォールで、コネクタによって作成された証明書をサポートできることを確認します。 また、証明書が有効なことを確認します。
Note
コネクタでは、トランスポート層セキュリティ (TLS) 1.2 でサポートされる SHA512
証明書を作成しようとします。 マシンまたはバックエンドのファイアウォールとプロキシで TLS 1.2 がサポートされていない場合、インストールに失敗します。
必要な前提条件の確認:
マシンで トランスポート層セキュリティ (TLS) 1.2 がサポートされていることを確認します。2012 R2 より後のすべてのバージョンの Windows では、TLS 1.2 をサポートしています。 コネクタ コンピューターで 2012 R2 以前のバージョンを使用している場合は、必要な更新プログラムがインストールされていることを確認してください。
ネットワーク管理者に連絡し、バックエンドのプロキシとファイアウォールによって発信トラフィック
SHA512
がブロックされていないことを確認するよう依頼します。
クライアント証明書を確認するには:
現在のクライアント証明書のサムプリントを確認します。 証明書ストアは %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml
にあります。
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
ありえる IsInUserStore の値は、true と false です。 値が true の場合、証明書は、自動的に更新されてネットワーク サービスのユーザー証明書ストアの個人用コンテナーに保存されることを意味します。 値が false の場合、クライアント証明書は、Register-MicrosoftEntraPrivateNetworkConnector
によって開始されたインストールまたは登録時に作成されることを意味します。 証明書は、ローカル マシンの証明書ストアの個人用コンテナーに保存されます。
値が true の場合は、以下の手順に従って証明書を検証します。
- PsTools.zip をダウンロードします。
- パッケージから PsExec を抽出し、管理者特権でのコマンド プロンプトから psexec -i -u "nt authority\network service" cmd.exe を実行します。
- 新しく表示されたコマンド プロンプトで certmgr.msc を実行します。
- 管理コンソールで、[個人用] コンテナーを展開し、[証明書] を選びます。
- connectorregistrationca.msappproxy.net によって発行された証明書を見つけます。
値が false の場合は、以下の手順に従って証明書を検証します。
- certlm.msc を実行します。
- 管理コンソールで、[個人用] コンテナーを展開し、[証明書] を選びます。
- connectorregistrationca.msappproxy.net によって発行された証明書を見つけます。
クライアント証明書を更新するには:
コネクタが数か月間サービスに接続されない場合、その証明書は期限切れになっている可能性があります。 証明書の更新に失敗すると、証明書が期限切れになります。 有効期限が切れた証明書が原因で、コネクタ サービスが動作しなくなります。 イベント 1000 がコネクタの管理ログに記録されます。
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
このような場合は、コネクタをアンインストールしてから再インストールして、登録をトリガーするか、次の PowerShell コマンドを実行します。
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Register-MicrosoftEntraPrivateNetworkConnector
コマンドの詳細については、「Microsoft Entra プライベート ネットワーク コネクタ用の無人インストール スクリプトの作成」を参照してください。
コネクタのインストールに管理者を使用していることを確認する
目的: コネクタをインストールするユーザーが適切な資格情報を持つ管理者であることを確認します。 現時点では、正常にインストールするには、そのユーザーは、少なくともアプリケーション管理者である必要があります。
資格情報が適切であることを確認するには:
https://login.microsoftonline.com
に接続し、同じ資格情報を使用します。 サインインに成功したことを確認します。 [Microsoft Entra ID] ->[ユーザーとグループ] ->[すべてのユーザー] に移動すると、ユーザー ロールを確認できます。
ユーザー アカウントを選択してから、表示されたメニューの [ディレクトリ ロール] を選択します。 選択されているロールが [アプリケーション管理者] であることを確認します。 これらの手順に従っても、どのページにもアクセスできない場合、必要なロールを持っていません。
コネクタのエラー
コネクタ ウィザードでのインストール中に登録が失敗する場合、2 つの方法でエラーの原因を確認できます。 Windows Logs\Application (filter by Source = "Microsoft Entra private network connector"
のイベント ログを確認するか、次の Windows PowerShell コマンドを実行します。
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
イベント ログでコネクタ エラーが見つかったら、次の一般的なエラーの表を使って問題を解決します。
エラー | 推奨される手順 |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Microsoft Entra ID にサインインせずに登録ウィンドウを閉じた場合は、コネクタ ウィザードをもう一度実行してコネクタを登録します。 登録ウィンドウが開いても、すぐに閉じるためサインインできない場合は、エラーが発生しています。 このエラーは、システムにネットワーク エラーがあると発生します。 ブラウザーからパブリック Web サイトに接続できること、および「コネクタを構成する」で指定されているようにポートが開いていることを確認します。 |
Clear error is presented in the registration window. Cannot proceed |
このエラーが表示されてウィンドウが閉じる場合は、入力したユーザー名かパスワードが間違っています。 やり直してください。 |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
Microsoft アカウントと、アクセスしようとしているディレクトリの組織 ID の一部であるドメイン以外を使用して、サインインしようとしています。 admin は、テナント ドメインと同じドメイン名の一部である必要があります。 たとえば、Microsoft Entra ドメインが contoso.com である場合、admin は admin@contoso.com でなければなりません。 |
Failed to retrieve the current execution policy for running PowerShell scripts. |
コネクタのインストールが失敗する場合は、PowerShell の実行ポリシーが無効になっていないことを確認します。 1.グループ ポリシー エディターを開きます。 2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows PowerShell] の順に移動して、 [スクリプトの実行を有効にする] をダブルクリックします。 3.実行ポリシーは、 [未構成] または [有効] に設定できます。 [有効] に設定した場合は、[オプション] で実行ポリシーが [ローカル スクリプトおよびリモートの署名済みスクリプトを許可する] または [すべてのスクリプトを許可する] に設定されていることを確認します。 |
Connector failed to download the configuration. |
認証に使われたコネクタのクライアント証明書は、有効期限が切れています。 この問題は、コネクタをプロキシの内側にインストールした場合に発生します。 この場合、コネクタはインターネットにアクセスできず、リモート ユーザーにアプリケーションを提供できません。 Windows PowerShell で Register-MicrosoftEntraPrivateNetworkConnector コマンドレットを使用して、手動で信頼を更新します。 コネクタがプロキシの内側にある場合は、コネクタ アカウントの network services と local system にインターネットへのアクセスを許可する必要があります。 アクセスの許可は、プロキシへのアクセスを許可するか、プロキシをバイパスすることによって実現されます。 |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
サインインに使用しようとしているエイリアスは、このドメインの管理者ではありません。 コネクタは、ユーザーのドメインを所有しているディレクトリに対して常にインストールされます。 サインインに使用している管理者アカウントが、Microsoft Entra テナントに対して少なくともアプリケーション管理者のアクセス許可を持っていることを確認してください。 |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
コネクタがアプリケーション プロキシ クラウド サービスに接続できません。 この問題は、接続をブロックするファイアウォール規則がある場合に発生します。 「コネクタを構成する」に記載されている正しいポートと URL へのアクセスを許可します。 |
コネクタの問題のフローチャート
このフローチャートでは、いくつかのコネクタの一般的な問題をデバッグする手順について説明します。 各手順の詳細については、フローチャートの下の表を参照してください。
Step | アクション | 説明 |
---|---|---|
1 | アプリに割り当てられたコネクタ グループを検索する | 複数のサーバーにインストールされているコネクタがある場合があります。その場合、コネクタはコネクタ グループに割り当てられている必要があります。 コネクタ グループの詳細については、「Microsoft Entra プライベート ネットワーク コネクタ グループについて」を参照してください。 |
2 | コネクタをインストールして、グループを割り当てる | コネクタがインストールされていない場合は、「コネクタの構成」を参照してください)。 コネクタがグループに割り当てられていない場合は、コネクタをグループに割り当てることに関するページを参照してください。 アプリケーションがコネクタ グループに割り当てられていない場合は、アプリケーションをコネクタ グループに割り当てることに関するページを参照してください。 |
3 | コネクタ サーバーでポートのテストを実行する | コネクタ サーバーで、telnet またはその他のポート テスト ツールを使用してポートのテストを実行して、ポートが正しく構成されているかどうかを確認します。 詳細については、「コネクタを構成する」を参照してください。 |
4 | ドメインとポートを構成する | コネクタについては「コネクタを構成する」。 特定のポートが開いていて、サーバーがアクセスできる URL である必要があります。 詳細については、「コネクタを構成する」を参照してください。 |
5 | バックエンド プロキシが使用されているかどうかを確認する | コネクタがバックエンド プロキシ サーバーを使用しているか、またはそれらをバイパスしているかどうかを確認します。 詳細については、「コネクタのプロキシの問題とサービスの接続の問題のトラブルシューティング」を参照してください。 |
6 | バックエンド プロキシ情報でコネクタとアップデーターの設定を更新する | バックエンド プロキシが使用されている場合は、コネクタで同じプロキシが使用されていることを確認します。 コネクタをプロキシ サーバーと連携させるためのトラブルシューティングと構成の詳細については、「既存のオンプレミス プロキシ サーバーと連携する」を参照してください。 |
7 | コネクタ サーバーでアプリの内部 URL を読み込む | コネクタ サーバーでアプリの内部 URL を読み込みます。 |
8 | 内部ネットワークの接続を確認する | このデバッグ フローで診断することができない内部ネットワーク内の接続の問題があります。 コネクタが機能するには、アプリケーションに内部的にアクセスできる必要があります。 プライベート ネットワーク コネクタで説明されているように、コネクタ イベント ログを有効にして表示することができます。 |
9 | バックエンドでタイムアウト値を延長する | アプリケーションの [追加設定] で、 [バックエンド アプリケーションのタイムアウト] 設定を [長い] に変更します。 「Microsoft Entra ID にオンプレミス アプリを追加する」を参照してください。 |
10 | 問題が解決しない場合は、アプリケーションをデバッグする。 | アプリケーション プロキシ アプリケーションの問題をデバッグする。 |
よく寄せられる質問
コネクタでまだ古いバージョンが使用されていて、最新バージョンに自動アップグレードされていないのはなぜですか?
アップデーター サービスが正常に動作していないか、このサービスでインストールできる新しい更新プログラムがないことが原因の可能性があります。
アップデーター サービスが実行されていて、イベント ログにエラーが記録されていない場合は、正常です ([アプリケーションとサービス ログ] -> [Microsoft] -> [Microsoft Entra private network](Microsoft Entra プライベート ネットワーク) -> [アップデーター] -> [管理者])。
重要
自動アップグレードでは、メジャー バージョンのみがリリースされます。 コネクタは、必要な場合にのみ手動で更新することをお勧めします。 たとえば、既知の問題を修正したり、新機能を使用したりする必要があるため、メジャー リリースまで待てないような場合です。 新しいリリース、リリースの種類 (ダウンロード、自動アップグレード)、バグ修正、および新機能の詳細については、「Microsoft Entra プライベート ネットワーク コネクタ: バージョン リリース履歴」を参照してください。
コネクタを手動でアップグレードするには、次の手順を実行します。
- 最新バージョンのコネクタをダウンロードします。 (Microsoft Entra 管理センター ([グローバル セキュア アクセス]>[接続]>[コネクタ]) で確認してください)
- インストーラーによって、Microsoft Entra プライベート ネットワーク コネクタ サービスが再起動されます。 場合によっては、インストーラーですべてのファイルを置き換えることができない場合、サーバーの再起動が必要になることがあります。 そのため、アップグレードを開始する前に、すべてのアプリケーション (つまり、イベント ビューアー) を終了することをお勧めします。
- インストーラーを実行します。 アップグレード プロセスは短時間で済み、資格情報を提供する必要はなく、コネクタは再登録されません。
プライベート ネットワーク コネクタ サービスを、既定とは異なるユーザー コンテキストで実行することはできますか?
いいえ、このシナリオはサポートされていません。 既定の設定は次のとおりです。
- Microsoft Entra プライベート ネットワーク コネクタ - WAPCSvc - ネットワーク サービス
- Microsoft Entra プライベート ネットワーク Connector Updater - WAPCUpdaterSvc - NT Authority\System
アクティブな管理者ロールの割り当てを持つゲスト ユーザーは、(ゲスト) テナントのコネクタを登録できますか?
いいえ、現時点ではできません。 登録の試行は、常にユーザーのホーム テナントで行われます。
バックエンド アプリケーションが複数の Web サーバーでホストされ、ユーザー セッションの永続性 (持続性) が必要です。 セッションの永続化を実現するにはどうすればよいですか。
推薦事項については、「プライベート ネットワーク コネクタとアプリケーションの高可用性と負荷分散」を参照してください。
コネクタ サーバーから Azure へのトラフィックに対する TLS 終了 (TLS/HTTPS 検査またはアクセラレーション) はサポートされていますか。
プライベート ネットワーク コネクタは、Azure に対する証明書ベースの認証を実行します。 TLS 終了 (TLS/HTTPS 検査またはアクセラレーション) は、この認証方法を中断するため、サポートされていません。 コネクタから Azure へのトラフィックは、TLS 終了を実行しているデバイスをすべてバイパスする必要があります。
すべての接続に TLS 1.2 が必要ですか。
はい。 アプリケーション プロキシ サービスでは、お客様にクラス最高の暗号化を提供するために、アクセスが TLS 1.2 プロトコルのみに制限されています。 これらの変更は段階的にロールアウトされ、2019 年 8 月 31 日以降に有効となりました。 すべてのクライアントとサーバーおよびブラウザーとサーバーの組み合わせが、TLS 1.2 を使用してアプリケーション プロキシ サービスへの接続を維持するように更新されていることを確認してください。 これらには、アプリケーション プロキシを通じて公開されたアプリケーションにアクセスするためにユーザーが使用しているクライアントも含まれます。 便利な参考資料とリソースについては、「Office 365 での TLS 1.2 に対する準備」を参照してください。
コネクタ サーバーとバックエンド アプリケーション サーバーの間に転送プロキシ デバイスを配置できますか?
はい。このシナリオは、コネクタ バージョン 1.5.1526.0 以降でサポートされています。 「既存のオンプレミス プロキシ サーバーと連携する」を参照してください。
コネクタを Microsoft Entra アプリケーション プロキシに登録するための専用アカウントを作成する必要がありますか?
専用のアカウントを作成する必要はありません。 アプリケーション管理者ロールを持っていればどのアカウントでも機能します。 インストール時に入力した資格情報は、登録プロセスの後は使用されません。 代わりに、その後の認証に使用される証明書がコネクタに発行されます。
Microsoft Entra プライベート ネットワーク コネクタのパフォーマンスを監視するにはどうすればよいですか?
コネクタと一緒にインストールされるパフォーマンス モニター カウンターが利用できます。 表示するには、次の手順に従います。
- [スタート] を選択し、「Perfmon」と入力して、ENTER キーを押します。
- [パフォーマンス モニター] を選択し、緑の + アイコンをクリックします。
- 監視する Microsoft Entra プライベート ネットワーク コネクタ カウンターを追加します。
Microsoft Entra プライベート ネットワーク コネクタは、リソースと同じサブネット上にある必要がありますか?
コネクタは、同じサブネット上に存在している必要はありません。 ただし、リソースへの名前解決 (DNS、ホスト ファイル) と必要なネットワーク接続 (リソースへのルーティング、リソースのポート開放など) が必要です。 推薦事項に関しては、「Microsoft Entra アプリケーション プロキシを使用する場合のネットワーク トポロジに関する注意事項」を参照してください。
コネクタをサーバーからアンインストールした後も Microsoft Entra管理センターにコネクタがまだ表示されているのはなぜですか?
コネクタが動作してサービスに接続すると、アクティブな状態が保たれます。 インストールされていない/使用していないコネクタには非アクティブのタグが付けられ、非アクティブな状態が 10 日間続くとポータルから削除されます。 非アクティブなコネクタを Microsoft Entra 管理センターから手動で削除する方法はありません。