이 문서에서는 Microsoft Entra 애플리케이션 프록시의 문제 및 오류 메시지를 해결하기 위해 수행할 수 있는 단계를 설명합니다.
시작하기 전 주의 사항:
가장 먼저 확인해야 할 것은 커넥터입니다. 프라이빗 네트워크 커넥터를 디버그하는 방법을 알아보려면 프라이빗 네트워크 커넥터 문제 디버그참조하세요. 애플리케이션에 연결하는 데 여전히 문제가 있는 경우 이 문서로 돌아가서 애플리케이션 문제를 해결합니다.
사용자가 애플리케이션에 액세스하거나 게시하는 동안 오류가 발생하는 경우 다음 단계를 사용하여 Microsoft Entra 애플리케이션 프록시가 제대로 작동하는지 확인합니다.
Windows 서비스 콘솔을 엽니다. Microsoft Entra 프라이빗 네트워크 커넥터 서비스가 활성화되어 실행 중인지 확인합니다. 애플리케이션 프록시 서비스 속성 페이지를 확인합니다.
이벤트 뷰어를 엽니다. 애플리케이션 및 서비스 로그>Microsoft>Microsoft Entra 프라이빗 네트워크>커넥터>관리자로 이동하여 프라이빗 네트워크 커넥터 이벤트를 확인합니다.
자세한 로그를 검토합니다. 프라이빗 네트워크 커넥터 세션 로그를 켜는 방법을 알아봅니다.
애플리케이션 구성 오류
일반적인 구성 문제 및 제안된 해결 방법은 다음 섹션을 검토하세요.
앱이 올바르게 렌더링되지 않음
애플리케이션 렌더링에 문제가 있거나 제대로 작동하지 않지만 특정 오류 메시지가 나타나지 않습니다.
이 문제는 애플리케이션에서 앱을 게시하는 데 사용한 경로 외부에 있는 콘텐츠가 필요한 경우에 발생합니다.
예를 들어 경로를 https://yourapp/app게시하지만 애플리케이션이 있는 https://yourapp/media이미지를 참조하는 경우 이미지는 애플리케이션에 표시되지 않습니다.
참조된 모든 콘텐츠와 파일을 포함해야 하는 가장 높은 수준의 경로를 사용하여 애플리케이션을 게시해야 합니다. 예제에서 해당 수준은 .입니다 http://yourapp/.
누락된 리소스로 인해 문제가 발생했는지 확인합니다.
- Fiddler 또는 브라우저 개발자 도구를 사용하는 등 네트워크 추적기를 엽니다(Internet Explorer 또는 Microsoft Edge에서 F12 선택).
- 페이지를 로드합니다.
- 오류 코드 404를 찾으세요.
404 오류는 페이지를 찾을 수 없고 페이지를 게시해야 한다는 것을 나타냅니다.
앱을 로드하는 데 너무 오래 걸립니다.
애플리케이션은 작동할 수 있지만 대기 시간이 길어질 수 있습니다.
네트워크 토폴로지 변경을 통해 애플리케이션 속도를 향상시킬 수 있습니다. 네트워크 고려 사항을 검토합니다.
단일 애플리케이션으로 게시하는 문제
동일한 애플리케이션에서 모든 리소스를 게시할 수 없는 경우 여러 애플리케이션을 게시하고 이들 간에 링크를 설정합니다. 이 시나리오에서는 사용자 지정 도메인을 사용하는 것이 좋습니다. 그러나 이 솔루션을 사용하려면 도메인에 대한 인증서를 소유하고 애플리케이션에서 FQDN(정규화된 도메인 이름)을 사용해야 합니다. 다른 옵션의 경우 끊어진 링크 문제를 해결합니다.
앱에 대한 연결 설정 문제
원인 및 제안된 해결 방법은 애플리케이션 프록시 애플리케이션에 대해 열려는 포트를 참조하세요.
관리 포털에서 Microsoft Entra 애플리케이션 프록시 구성 문제
원인 및 제안된 해결 방법은 애플리케이션 프록시 애플리케이션에서 Single Sign-On을 참조하세요.
애플리케이션에 대한 백 엔드 인증 설정 문제
원인 및 제안된 해결 방법은 다음 문서를 참조하세요.
애플리케이션에 로그인할 수 없습니다.
오류가 This corporate app can’t be accessed 표시되고 애플리케이션에 로그인할 수 없는 경우 구성 오류가 발생했습니다. 제안된 해결 방법은 잘못된 게이트웨이 시간 제한 오류 문제를 참조하세요.
프라이빗 네트워크 커넥터 오류
원인 및 제안된 해결 방법은 프라이빗 네트워크 커넥터 설치를 참조하세요.
Kerberos 오류
다음 표에서는 Kerberos 설정 및 구성에서 보다 일반적인 오류 및 해결에 대해 설명합니다.
| 오류 | 수행할 설명 및 단계 |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
커넥터 설치에 실패하는 경우 PowerShell 실행 정책을 사용하지 않도록 설정하지 않았는지 확인합니다. 1. 그룹 정책 편집기를 엽니다. 2. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Windows PowerShell로 이동한 다음 스크립트 실행 켜기를 두 번 클릭합니다. 3. 실행 정책은 구성 안 함 또는 사용으로 설정될 수 있습니다. 정책이 사용으로 설정된 경우 옵션에서 실행 정책이 로컬 스크립트 및 원격 서명된 스크립트 허용 또는 모든 스크립트 허용으로 설정되어 있는지 확인합니다. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
이 오류는 Microsoft Entra ID와 백 엔드 애플리케이션 서버 간에 잘못된 구성을 나타내거나 두 컴퓨터의 시간 및 날짜 구성에 문제가 있음을 나타냅니다. 백 엔드 서버가 Microsoft Entra ID에서 만든 Kerberos 티켓을 거부했습니다. Microsoft Entra ID 및 백 엔드 애플리케이션 서버가 올바르게 구성되었는지 확인합니다. Microsoft Entra ID 및 백 엔드 애플리케이션 서버의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
STS(보안 토큰 서비스) 구성에 문제가 있습니다. STS에서 UPN(사용자 계정 이름) 클레임 구성을 수정합니다. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
이 이벤트는 Microsoft Entra ID와 도메인 컨트롤러 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타냅니다. 도메인 컨트롤러가 Microsoft Entra ID로 만든 Kerberos 티켓을 거부했습니다. Microsoft Entra ID 및 백 엔드 애플리케이션 서버, 특히 SPN(서비스 사용자 이름) 구성이 올바르게 구성되었는지 확인합니다. 도메인 컨트롤러가 Microsoft Entra ID를 사용하여 트러스트를 설정했는지 확인합니다. 둘 다 동일한 도메인을 사용해야 합니다. Microsoft Entra ID 및 도메인 컨트롤러의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
이 이벤트는 Microsoft Entra ID와 도메인 컨트롤러 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타냅니다. 도메인 컨트롤러가 Microsoft Entra ID로 만든 Kerberos 티켓을 거부했습니다. Microsoft Entra ID 및 백 엔드 애플리케이션 서버, 특히 SPN 구성이 올바르게 구성되었는지 확인합니다. 도메인 컨트롤러가 Microsoft Entra ID를 사용하여 트러스트를 설정했는지 확인합니다. 둘 다 동일한 도메인을 사용해야 합니다. Microsoft Entra ID 및 도메인 컨트롤러의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
이 이벤트는 Microsoft Entra ID와 백 엔드 애플리케이션 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타냅니다. 백 엔드 서버가 Microsoft Entra ID로 만든 Kerberos 티켓을 거부했습니다. Microsoft Entra ID 및 백 엔드 애플리케이션 서버가 올바르게 구성되었는지 확인합니다. Microsoft Entra ID 및 백 엔드 애플리케이션 서버의 시간 및 날짜 구성이 동기화되었는지 확인합니다. 자세한 내용은 애플리케이션 프록시에 대한 Kerberos 제한 위임 구성 문제를 참조하세요. |
앱 사용자 오류
다음 표에서는 앱 사용자가 애플리케이션 프록시 앱에 액세스하려고 할 때 발생할 수 있는 오류를 설명합니다.
| 오류 | 수행할 설명 및 단계 |
|---|---|
The website cannot display the page. |
사용자가 게시한 IWA(Windows 통합 인증) 앱에 액세스하려고 할 때 오류가 표시됩니다. 애플리케이션에 대해 정의된 SPN이 잘못되었습니다. 애플리케이션의 SPN이 올바른지 확인합니다. |
The website cannot display the page. |
사용자가 게시한 OWA(Outlook Web Application) 앱에 액세스하려고 할 때 오류가 표시됩니다. 이 문제는 다음에서 발생합니다. - 애플리케이션에 대해 정의된 SPN이 잘못되었습니다. 애플리케이션의 SPN이 올바른지 확인합니다. - 애플리케이션에 액세스하려고 시도한 사용자가 회사 계정 대신 Microsoft 계정을 사용하여 로그인하거나 사용자가 게스트 사용자입니다. 사용자가 게시된 애플리케이션의 도메인과 일치하는 회사 계정을 사용하여 로그인해야 합니다. Microsoft 계정 사용자 및 게스트는 IWA 애플리케이션에 액세스할 수 없습니다. - 애플리케이션에 액세스하려고 한 사용자가 온-프레미스 구성에서 애플리케이션에 대해 올바르게 정의되지 않았습니다. 사용자에게 백 엔드 애플리케이션에 액세스하는 데 필요한 온-프레미스 권한이 있는지 확인합니다. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
이 오류는 사용자가 Microsoft 계정을 사용하거나 게스트 사용자로 앱에 액세스하려고 할 때 발생합니다. Microsoft 계정 사용자 및 게스트는 IWA 애플리케이션에 액세스할 수 없습니다. 사용자가 앱의 도메인과 일치하는 회사 계정으로 로그인하는지 확인합니다. 이 문제를 해결하려면 사용자 및 그룹 아래의 애플리케이션 탭으로 이동하여 사용자 또는 그룹을 앱에 할당합니다. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
애플리케이션에 액세스하려고 한 사용자가 온-프레미스 구성에서 애플리케이션에 대해 올바르게 정의되지 않았습니다. 사용자에게 백 엔드 애플리케이션에 액세스하는 데 필요한 온-프레미스 권한이 있는지 확인합니다. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
구독자의 관리자가 프리미엄 라이선스를 명시적으로 할당하지 않은 경우, 사용자가 앱에 액세스하려고 할 때 오류가 발생합니다. 구독자의 Microsoft Entra ID 라이선스 탭에서 사용자 또는 사용자 그룹에 프리미엄 라이선스가 할당되어 있는지 확인합니다. |
A server with the specified host name could not be found. |
사용자가 게시한 앱에 액세스하려고 할 때 오류가 표시되고 애플리케이션의 사용자 지정 도메인이 올바르게 구성되지 않았습니다. 도메인에 대한 인증서를 확인하고 DNS(도메인 이름 시스템) 레코드를 올바르게 구성합니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시에서 사용자 지정 도메인 작업을 참조하세요. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
권한 부여 정보에 액세스하는 데 문제가 있을 수 있습니다. 자세한 내용은 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)를 참조하세요. 오류를 해결하려면 프라이빗 네트워크 커넥터 컴퓨터 계정을 Windows 권한 부여 액세스 그룹 기본 제공 도메인 그룹에 추가합니다. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
커넥터는 클라이언트 인증서를 사용하여 Microsoft Entra 애플리케이션 프록시 클라우드 서비스 엔드포인트에 대한 아웃바운드 연결을 보호합니다. 클라이언트 인증서가 엔드포인트에 도달하지 못하면 오류가 발생합니다. 예를 들어 네트워크 디바이스가 TLS(전송 계층 보안) 검사를 수행하거나 TLS 연결을 끊을 때 발생할 수 있습니다. 오류를 해결하려면 인라인 검사 및 아웃바운드 TLS 통신 종료를 피합니다. Microsoft Entra 프라이빗 네트워크 커넥터와 Microsoft Entra 애플리케이션 프록시 클라우드 서비스 간에 검사 및 종료가 수행되어서는 안 됩니다. |