Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Используйте эти действия для устранения неполадок и сообщений об ошибках в прокси-сервере приложения Microsoft Entra.
Перед тем как начать
Сначала проверьте соединитель. Сведения об отладке соединителя частной сети см. в статье "Устранение неполадок с соединителями частной сети". Если у вас по-прежнему возникли проблемы с подключением к приложению, вернитесь к этой статье, чтобы устранить неполадки с приложением.
Если пользователь сталкивается с ошибкой при доступе к приложению или публикации, выполните следующие действия, чтобы убедиться, что прокси приложения Microsoft Entra работает правильно:
Откройте консоль служб Windows. Убедитесь, что служба соединителя частной сети Microsoft Entra включена и запущена. Просмотрите страницу свойств службы прокси приложения.
Откройте окно просмотра событий. Перейдите в Журналы приложений и служб>Microsoft>Microsoft Entra частная сеть>Соединитель>Админ и проверьте события соединителя частной сети.
Просмотрите подробные логи. Узнайте, как включить журналы сеансов соединителя частной сети.
Ошибки конфигурации приложения
Ознакомьтесь со следующими разделами, чтобы выявить распространенные проблемы конфигурации и рассмотреть предлагаемые решения.
Приложение неправильно отображается
Приложение не отображается правильно или неправильно работает, но не отображается определенное сообщение об ошибке.
Эта проблема возникает, если приложению требуется содержимое, существующее за пределами пути, используемого для публикации приложения.
Например, если вы публикуете путь https://yourapp/app, но приложение ссылается на изображения, расположенные в https://yourapp/media, изображения не отображаются в приложении.
Убедитесь, что приложение публикуется с помощью пути высокого уровня, необходимо включить все ссылки на содержимое и файлы. В примере это уровень https://yourapp/.
Убедитесь, что отсутствующие ресурсы вызвали проблему:
- Откройте средство отслеживания сети, такие как Fiddler или средства разработчика браузера (нажмите клавишу F12 в Microsoft Edge).
- Загрузите страницу.
- Найдите ошибки HTTP 404.
Ошибка 404 указывает на то, что страницы не удается найти и что их нужно опубликовать.
Загрузка приложения занимает слишком много времени
Ваше приложение может работать, но загружаться медленно.
Измените топологию сети, чтобы повысить скорость приложения. Ознакомьтесь с рекомендациями по сети.
Не удается опубликовать как одно приложение
Если вы не можете опубликовать все ресурсы в одном приложении, опубликуйте несколько приложений и настроите связи между ними. Для этого сценария рекомендуется использовать личные домены. Однако для этого решения требуется, чтобы вы владели сертификатом для домена и что приложения используют полные доменные имена (FQDN). Для других параметров устранит неполадки с неисправными ссылками.
Проблемы с подключением для приложения
Сведения о причинах и предлагаемых разрешениях см. в статье Порты для открытия прикладного прокси-сервера.
Проблемы с конфигурацией на портале администрирования
Сведения о причинах и предлагаемых решениях см. в разделе Единый вход в приложении-прокси.
Проблемы с проверкой подлинности серверной части
Сведения о причинах и предлагаемых решениях см. в следующих статьях:
- Устранение неполадок ограниченного делегирования Kerberos
- Единый вход с помощью прокси приложения и PingAccess
Не удается войти в приложение
Если вы видите ошибку This corporate app can’t be accessed и не можете войти в приложение, возможно, произошла ошибка конфигурации. Рекомендуемые разрешения см. в разделе "Устранение ошибок с неправильным временем ожидания шлюза".
Ошибки соединителя частной сети
Сведения о причинах и предлагаемых разрешениях см. в разделе "Установка соединителя частной сети".
Ошибки Kerberos
В следующей таблице описываются распространенные ошибки и их решение в настройке и конфигурации Kerberos.
| Ошибка | Объяснение и шаги, которые необходимо выполнить |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Если установка соединителя завершается ошибкой, убедитесь, что политика выполнения скриптов PowerShell не отключена. 1. Откройте редактор групповой политики. 2. Перейдите в Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Windows PowerShell, а затем дважды щелкните на Включить выполнение сценариев. 3. Для политики выполнения можно задать значение Не настроено или Включено. Если для политики задано значение Включено, убедитесь, что в разделе Параметры задано значение либо Разрешить локальные скрипты и удаленные подписанные скрипты, либо Разрешить все скрипты. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Эта ошибка указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером внутренних приложений, или возникает проблема с конфигурацией времени и даты на обоих компьютерах. Сервер отклонил билет Kerberos, созданный Microsoft Entra ID. Убедитесь, что идентификатор Microsoft Entra и сервер внутренних приложений настроены правильно. Убедитесь, что конфигурация времени и даты на идентификаторе Microsoft Entra и сервере внутренних приложений синхронизируются. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there's no UPN in the edge token or in the access cookie. |
Возникла проблема с конфигурацией службы маркеров безопасности (STS). Исправьте конфигурацию утверждения о учетной записи пользователя (UPN) в STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером контроллера домена или проблемой с конфигурацией времени и даты на обоих компьютерах. Контроллер домена отклонил билет Kerberos, созданный Microsoft Entra ID. Убедитесь, что ID Microsoft Entra и сервер внутренних приложений настроены правильно, особенно конфигурация названия субъекта службы (SPN). Убедитесь, что контроллер домена устанавливает доверительные отношения с Microsoft Entra ID. Оба должны использовать один и тот же домен. Убедитесь, что конфигурация времени и даты в идентификаторе Microsoft Entra и контроллере домена синхронизируются. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером контроллера домена или проблемой с конфигурацией времени и даты на обоих компьютерах. Контроллер домена отклонил билет Kerberos, созданный Microsoft Entra ID. Убедитесь, что Microsoft Entra ID и сервер внутренних приложений настроены правильно, в частности конфигурация SPN. Убедитесь, что контроллер домена устанавливает доверительные отношения с Microsoft Entra ID. Оба должны использовать один и тот же домен. Убедитесь, что конфигурация времени и даты в идентификаторе Microsoft Entra и контроллере домена синхронизируются. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Это событие указывает на неправильную конфигурацию между идентификатором Microsoft Entra и сервером внутренних приложений или проблемой с конфигурацией времени и даты на обоих компьютерах. Сервер отказался от билета Kerberos, созданного Microsoft Entra ID. Убедитесь, что идентификатор Microsoft Entra и сервер внутренних приложений настроены правильно. Убедитесь, что конфигурация времени и даты на идентификаторе Microsoft Entra и сервере внутренних приложений синхронизируются. Дополнительные сведения см. в разделе "Устранение неполадок конфигураций ограниченного делегирования Kerberos" для прокси приложения. |
Ошибки пользователя приложения
В следующей таблице описываются ошибки, с которыми пользователь приложения может столкнуться при попытке получить доступ к прокси приложению.
| Ошибка | Объяснение и шаги, которые необходимо выполнить |
|---|---|
The website cannot display the page. |
Пользователь видит ошибку при попытке получить доступ к опубликованному приложению встроенной проверки подлинности Windows (IWA). Определенное именное имя службы (SPN) для приложения неверно. Убедитесь, что SPN (имя субъекта-службы) для приложения правильное. |
The website cannot display the page. |
Пользователь видит ошибку при попытке получить доступ к опубликованному приложению Outlook Web Application (OWA). Проблема возникает из-за: — Указанное SPN для приложения указано неверно. Убедитесь, что SPN (имя субъекта-службы) для приложения правильное. — Пользователь, который пытался получить доступ к приложению, использует учетную запись Майкрософт вместо своей корпоративной учетной записи для входа или является гостевым пользователем. Убедитесь, что пользователь входит в систему с помощью корпоративной учетной записи, которая соответствует домену опубликованного приложения. Пользователи и гости учетной записи Майкрософт не могут получить доступ к приложениям IWA. — Пользователь, который пытался получить доступ к приложению, неправильно определен для приложения в локальной конфигурации. Убедитесь, что у пользователя есть необходимые локальные разрешения для доступа к внутреннему приложению. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Эта ошибка возникает, когда пользователь пытается получить доступ к приложению с помощью учетной записи Майкрософт или в качестве гостевого пользователя. Пользователи и гости учетной записи Майкрософт не могут получить доступ к приложениям IWA. Убедитесь, что пользователь входит в систему с помощью корпоративной учетной записи, соответствующей домену приложения. Чтобы устранить проблему, перейдите на вкладку "Приложение " в разделе "Пользователи и группы" и назначьте пользователю или группе приложение. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Пользователь, который пытался получить доступ к приложению, неправильно определен для приложения в локальной конфигурации. Убедитесь, что у пользователя есть необходимые локальные разрешения для доступа к внутреннему приложению. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Пользователь видит ошибку при попытке доступа к приложению, которое вы опубликовали, если администратор подписчика не назначил им лицензию Premium. На вкладке Лицензии в Microsoft Entra ID подписчика убедитесь, что пользователю или группе пользователей назначена лицензия Premium. |
A server with the specified host name could not be found. |
Пользователь видит ошибку при попытке получить доступ к опубликованному приложению, а личный домен приложения настроен неправильно. Проверьте сертификат для домена и правильно настройте запись системы доменных имен (DNS). Дополнительные сведения см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Проблема может быть проблемой с доступом к сведениям о авторизации. Дополнительные сведения см. в разделе https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information. Чтобы устранить эту ошибку, добавьте учетную запись компьютера частного сетевого соединителя в встроенную доменную группу Windows Authorization Access Group. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Соединитель использует сертификат клиента для защиты исходящих подключений к конечным точкам облачной службы прокси приложения Microsoft Entra. Ошибка возникает, когда сертификат клиента не достигнет конечной точки. Например, это может произойти, когда сетевое устройство выполняет инспекцию TLS или нарушает подключение TLS. Чтобы устранить эту ошибку, избегайте встроенной проверки и прекращения исходящих подключений TLS. Проверка и завершение не должны происходить между соединителями частной сети Microsoft Entra и облачными службами прокси приложения Microsoft Entra. |