Устранение неполадок при установке соединителя частной сети

Соединитель частной сети Microsoft Entra — это внутренний компонент домена, использующий исходящие подключения для установления подключения из облачной доступной конечной точки к внутреннему домену. Соединитель используется как Частный доступ Microsoft Entra, так и прокси приложения Microsoft Entra.

Общие проблемы с установкой соединителя

При сбое установки соединителя первопричина обычно относится к одной из следующих областей. Прежде чем начинать устранение неполадок, не забудьте перезагрузить соединитель.

  • Подключение — для успешной установки новому соединителю нужно зарегистрироваться и установить свойства доверия. Доверие устанавливается путем подключения к облачной службе прокси приложения Microsoft Entra.
  • Установление отношений доверия — новый соединитель создает самозаверяющий сертификат и регистрируется в облачной службе.
  • Проверка подлинности администратора — во время установки пользователь должен предоставить учетные данные администратора для завершения установки соединителя.

Примечание.

Журналы установки соединителя можно найти в %TEMP% папке и предоставить дополнительные сведения о том, что вызывает сбой установки.

Проверка подключения к службе прокси-сервера облачных приложений и странице входа Майкрософт

Цель. Убедитесь, что компьютер соединителя может подключиться к конечной точке регистрации прокси приложения и странице входа Майкрософт.

  1. На сервере соединителя с помощью telnet или другого средства тестирования портов выполните проверку и убедитесь, что открыты порты 443 и 80.

  2. Убедитесь, что брандмауэр или серверный прокси-сервер имеет доступ к необходимым доменам и портам, настройте соединители.

  3. Откройте вкладку браузера и введите: https://login.microsoftonline.com Убедитесь, что вы можете войти.

Поддержка проверки сертификатов компьютера и внутренних компонентов

Цель. Убедитесь, что компьютер соединителя, внутренний прокси-сервер и брандмауэр могут поддерживать сертификат, созданный соединителем. Кроме того, убедитесь, что сертификат действителен.

Примечание.

Соединитель пытается создать сертификат, поддерживаемый SHA512 протоколом TLS 1.2. Если компьютер или серверный брандмауэр и прокси-сервер не поддерживают TLS 1.2, установка завершается ошибкой.

Проверьте соблюдение предварительных требований:

  1. Убедитесь, что компьютер поддерживает протокол TLS 1.2. Все версии Windows после 2012 R2 должны поддерживать TLS 1.2. Если на компьютере соединителя используется версия 2012 R2 или более ранняя, убедитесь, что на нем установлены обязательные обновления.

  2. Обратитесь к администратору сети и попросите убедиться, что серверный прокси-сервер и брандмауэр не блокируют SHA512 исходящий трафик.

Чтобы проверить сертификат клиента, выполните следующие действия:

Проверьте отпечаток используемого сертификата клиента. Хранилище сертификатов можно найти по пути %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Параметр IsInUserStore может принимать значения true и false. Значение true означает, что сертификат автоматически обновляется и хранится в личном контейнере в хранилище сертификатов пользователя сетевой службы. Значение false означает, что сертификат клиента создается во время установки или регистрации, инициированной Register-MicrosoftEntraPrivateNetworkConnector. Сертификат хранится в личном контейнере в хранилище сертификатов локального компьютера.

Если это значение равно true, выполните следующие действия для проверки сертификата:

  1. Скачайте PsTools.zip.
  2. Извлеките из этого пакета PsExec и выполните команду psexec-i-u "nt authority\network service" cmd.exe в командной строке с повышенными привилегиями.
  3. Запустите certmgr.msc в только что появившейся командной строке.
  4. В консоль управления разверните личный контейнер и выберите сертификаты.
  5. Найдите сертификат, выданный connectorregistrationca.msappproxy.net.

Если это значение равно false, выполните следующие действия для проверки сертификата:

  1. Запустите certlm.msc.
  2. В консоль управления разверните личный контейнер и выберите сертификаты.
  3. Найдите сертификат, выданный connectorregistrationca.msappproxy.net.

Чтобы продлить срок действия сертификата клиента, выполните следующие действия.

Если соединитель не подключен к службе в течение нескольких месяцев, его сертификаты могут быть устаревшими. Сбой продления сертификата приводит к тому, что срок действия сертификата истечет. Истекший срок действия сертификата приводит к остановке работы службы соединителя. Событие 1000 регистрируется в журнале администратора соединителя:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

В этом случае удалите и переустановите соединитель для повторной регистрации или выполните следующие команды PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Дополнительные сведения о команде Register-MicrosoftEntraPrivateNetworkConnector см. в статье "Создание скрипта автоматической установки" для соединителя частной сети Microsoft Entra.

Проверка прав администратора у пользователя, устанавливающего соединитель

Цель: убедитесь, что пользователь, пытающийся установить соединитель, является администратором с подходящими учетными данными. В настоящее время для успешной установки пользователь должен иметь права не ниже администратора приложений.

Проверка правильности учетных данных:

Подключитесь к https://login.microsoftonline.com и используйте те же учетные данные. Убедитесь, что вход выполнен успешно. Чтобы проверить роль пользователя, перейдите к идентификатору Microsoft Entra ->Users and Groups ->All Users.

Выберите учетную запись пользователя, а затем роль каталога в результирующем меню. Убедитесь, что выбранная роль является администратором приложений. Если вы не сможете получить доступ к любой из страниц на этих шагах, у вас нет требуемой роли.

Ошибки соединителя

Если регистрация завершается ошибкой во время установки мастера соединителя, существует два способа просмотреть причину сбоя. Просмотрите журнал Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" событий или выполните следующую команду Windows PowerShell:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Когда вы найдете ошибку соединителя из журнала событий, используйте эту таблицу распространенных ошибок, чтобы устранить проблему:

Ошибка Рекомендуемые действия
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Если вы закрыли окно регистрации без входа в идентификатор Microsoft Entra ID, запустите мастер соединителя еще раз и зарегистрируйте соединитель.

Если откроется окно регистрации, а затем немедленно закрывается без разрешения входа, вы получите ошибку. Эта ошибка возникает при возникновении ошибки сети в системе. Убедитесь, что вы можете подключиться из браузера к общедоступному веб-сайту и что порты открыты, как указано в настройках соединителей.
Clear error is presented in the registration window. Cannot proceed Если отображается ошибка, а затем окно закрывается, вы ввели неправильное имя пользователя или пароль. Повторите попытку.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Вы пытаетесь выполнить вход с помощью учетной записи Майкрософт, а не домена, который является частью идентификатора организации в каталоге, к которому вы пытаетесь получить доступ. Администратор должен быть частью того же доменного имени, что и домен клиента. Например, если домен Microsoft Entra является contoso.com, администратор должен быть admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Если установка соединителя завершается ошибкой, убедитесь, что политика выполнения PowerShell не отключена.

1. Откройте редактор групповой политики.
2. Выберите Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Windows PowerShell и дважды щелкните пункт Включить выполнение сценариев.
3. Возможные значения политики выполнения: Не настроено и Включено. Если установлено значение Включено, убедитесь, что в разделе "Параметры" для параметра "Политика выполнения" установлено значение Разрешать локальные сценарии и удаленные подписанные сценарии или Разрешать все сценарии.
Connector failed to download the configuration. Срок действия сертификата клиента соединителя, который используется для проверки подлинности, истек. Проблема возникает, если у вас установлен соединитель за прокси-сервером. В этом случае соединитель не может получить доступ к Интернету и не может предоставлять приложения удаленным пользователям. Обновите отношение доверия вручную с помощью командлета Register-MicrosoftEntraPrivateNetworkConnector в Windows PowerShell. Если соединитель находится за прокси-сервером, необходимо предоставить доступ к Интернету учетным network services записям соединителя и local system. Предоставление доступа осуществляется путем предоставления доступа к прокси-серверу или обхода прокси-сервера.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Псевдоним, с которым вы пытаетесь войти, не является администратором в этом домене. Соединитель всегда устанавливается для каталога, который владеет доменом пользователя. Убедитесь, что учетная запись администратора, с которым вы пытаетесь войти, имеет по крайней мере разрешения администратора приложения для клиента Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Соединитель не может подключиться к облачной службе прокси приложения. Проблема возникает, если у вас есть правило брандмауэра, блокирующее подключение. Разрешить доступ к правильным портам и URL-адресам, перечисленным в настройках соединителей.

Блок-схема для проблем с соединителем

На этой блок-схеме описана последовательность действий по отладке некоторых самых распространенных проблем с соединителями. Дополнительные сведения о каждом шаге см. в таблице после блок-схемы.

Блок-схема, показывающая шаги по отладке соединителя.

Этап Действие Description
1 Поиск группы соединителей, назначенной приложению Возможно, у вас есть соединитель, установленный на нескольких серверах, в этом случае соединители должны быть назначены группе соединителей. Дополнительные сведения о группах соединителей см. в статье "Общие сведения о группах соединителей частной сети Microsoft Entra".
2 Установка соединителя и назначение группы Если у вас нет установленного соединителя, ознакомьтесь со сведениями о настройке соединителей.

Если соединитель не назначен группе, см. раздел Назначение соединителя группе.

Если приложение не назначено группе соединителей, см. раздел Назначение приложения группе соединителей.
3 Проверка порта на сервере соединителя На сервере соединителя запустите тест порта с помощью telnet или другого средства тестирования портов, чтобы проверить правильность настройки портов. Дополнительные сведения см. в статье о настройке соединителей.
4 Настройка доменов и портов Настройте соединители для соединителя. Некоторые порты должны быть открыты и URL-адреса, к которым должен иметь доступ сервер. Дополнительные сведения см. в разделе "Настройка соединителей".
5 Проверка использования прокси серверной части Проверьте, используют ли соединители прокси серверной части или обходят их. Подробные сведения см. в статье Устранение неполадок в работе соединителя через прокси-сервер и с подключением к службе.
6 Обновление параметров соединителя и обновления с помощью сведений о прокси-сервере Если серверный прокси-сервер используется, убедитесь, что соединитель использует тот же прокси-сервер. Дополнительные сведения об устранении неполадок и настройке соединителей для работы с прокси-серверами см. в статье Работа с существующими локальными прокси-серверами.
7 Загрузка внутреннего URL-адреса приложения на сервере соединителя На сервере соединителя загрузите внутренний URL-адрес приложения.
8 Проверка подключения ко внутренней сети В вашей внутренней сети возникла проблема с подключением, которую поток отладки не может диагностировать. Для работы соединителей приложение должно быть доступно внутри сети. Журналы событий соединителя можно включить и просмотреть, как описано в соединителях частной сети.
9 Увеличение времени ожидания в серверной части В дополнительных параметрах приложения измените значение параметра для времени ожидания серверного приложения на Long. См. статью "Добавление локального приложения в идентификатор Microsoft Entra".
10 Если проблемы сохраняются, отладить приложения. Отладка проблем с прокси-приложением приложения.

Часто задаваемые вопросы

Почему соединитель по-прежнему использует старую версию и не обновляется до последней версии?

Это может быть вызвано неправильной работой службы обновления или отсутствием новых обновлений, которые может установить служба.

Служба обновления работает, если она запущена, и в журнале событий отсутствуют ошибки (журналы приложений и служб — Microsoft —>> частная сеть Microsoft — Microsoft Entra —> Updater —> Admin).

Внимание

Автоматическое обновление применяется только для основных версий. Рекомендуется обновлять соединитель вручную, только если это необходимо. Например, вы не можете ожидать выпуска основной версии, так как необходимо устранить известную проблему или использовать новую функцию. Дополнительные сведения о новых выпусках, тип выпуска (скачивание, автоматическое обновление), исправления ошибок и новые функции см. в разделе " Соединитель частной сети Microsoft Entra: журнал выпусков версий".

Чтобы вручную обновить соединитель, выполните следующие действия.

  • Скачайте последнюю версию соединителя. (Найдите его в Центре администрирования Microsoft Entra в Соединители global Secure Access>Connect>)
  • Установщик перезапускает службы соединителя частной сети Microsoft Entra. В некоторых случаях может потребоваться перезагрузка сервера, если установщик не может заменить все файлы. Поэтому перед началом обновления рекомендуется закрыть все приложения (то есть Просмотр событий).
  • Запустите установщик. Процесс обновления выполняется быстро и не требует предоставления учетных данных, и соединитель не регистрируется повторно.

Могут ли службы соединителей частной сети выполняться в другом контексте пользователя, отличном от стандартного?

Нет, этот сценарий не поддерживается. Параметры по умолчанию:

  • Соединитель частной сети Microsoft Entra — WAPCSvc — сетевая служба
  • Обновление соединителя частной сети Microsoft Entra — WAPCUpdaterSvc — NT Authority\System

Может ли гостевой пользователь с назначением ролей администратора зарегистрировать соединитель для клиента (гостевой) ?

Нет, в настоящее время это невозможно. Попытка регистрации всегда выполняется в домашнем клиенте пользователя.

Мое серверное приложение размещается на нескольких веб-серверах и требует сохранения пользовательского сеанса ("закрепления"). Как можно добиться сохранения сеанса?

Рекомендации см. в разделе "Высокая доступность" и балансировка нагрузки соединителей и приложений частной сети.

Поддерживается ли прерывание TLS (проверка или ускорение TLS/HTTPS) на трафике с серверов соединителей в Azure?

Соединитель частной сети выполняет проверку подлинности на основе сертификатов в Azure. Прерывание TLS (проверка или ускорение TLS/HTTPS) нарушает работу этого метода проверки подлинности и не поддерживается. Трафик из соединителя в Azure должен обходить любые устройства, выполняющие завершение TLS.

Требуется ли TLS 1.2 для всех подключений?

Да. Чтобы обеспечить лучшее шифрование в классе для наших клиентов, служба прокси приложения ограничивает доступ только к протоколам TLS 1.2. Эти изменения внедрялись поэтапно и окончательно вступили в силу 31 августа 2019 г. Убедитесь, что все сочетания сервера клиента и браузера обновляются, чтобы использовать TLS 1.2 для поддержания подключения к службе прокси приложения. К ним относятся клиенты, которые используются для доступа к приложениям, опубликованным через прокси приложения. Полезные ссылки и ресурсы см. в статье Подготовка к использованию TLS 1.2 в Office 365.

Можно ли разместить прокси-устройство пересылки между серверами соединителей и сервером сервером внутренних приложений?

Да, этот сценарий поддерживается начиная с соединителя версии 1.5.1526.0. См. Работа с имеющимися локальными прокси-серверами.

Следует ли создать выделенную учетную запись для регистрации соединителя с помощью прокси приложения Microsoft Entra?

Нет оснований для создания выделенной учетной записи. Любая учетная запись с ролью администратора приложений работает. Учетные данные, указанные во время установки, не используются после процесса регистрации. Вместо этого соединителю выдается сертификат, который используется для проверки подлинности с этого момента.

Как отслеживать производительность соединителя частной сети Microsoft Entra?

Существуют счетчики системного монитора, которые устанавливаются вместе с соединителем. Чтобы просмотреть эти элементы:

  1. Нажмите кнопку Пуск, введите "Perfmon" и нажмите клавишу ВВОД.
  2. Выберите Системный монитор и щелкните зеленый значок +.
  3. Добавьте счетчики соединителя частной сети Microsoft Entra, которые вы хотите отслеживать.

Должен ли соединитель частной сети Microsoft Entra находиться в той же подсети, что и ресурс?

Соединитель не обязательно должен находиться в той же подсети. Однако для ресурса требуется разрешение имен (DNS, файл узлов) и необходимое сетевое подключение (маршрутизация к ресурсу, портам, открытым в ресурсе и т. д.). Рекомендации см. в рекомендациях по топологии сети при использовании прокси приложения Microsoft Entra.

Почему соединитель по-прежнему отображается в Центре администрирования Microsoft Entra после удаления соединителя с сервера?

Выполняясь, соединитель остается активным, так как подключается к службе. Удаленные или неиспользуемые соединители помечены как неактивные и удаляются через 10 дней бездействия на портале. Не удается удалить неактивный соединитель вручную из Центра администрирования Microsoft Entra.

Следующие шаги