Microsoft Entra 专用网络连接器是一个内部域组件,该组件使用出站连接来建立从云可用终结点到内部域的连接性。 连接器的使用方为 Microsoft Entra 专用访问和 Microsoft Entra 应用程序代理。 本文介绍如何排查连接器安装和后续功能的问题。
连接器安装的常见问题区域
如果连接器安装失败,根本原因通常是以下方面之一。 进行任何故障排除的前提是,请务必重新启动连接器。
- 连接性 – 若要成功完成安装,新连接器需要注册并建立未来的信任属性。 可以通过连接到 Microsoft Entra 应用程序代理云服务来建立信任。
- 信任建立 – 新连接器创建自签名证书并注册到云服务。
- 管理员的身份验证 - 在安装过程中,用户必须提供管理员凭据才能完成连接器安装。
注意
连接器安装日志位于 %TEMP% 文件夹中,并可提供有关导致安装失败的原因的其他信息。
使用连接器诊断工具标识连接器安装和网络问题
连接器诊断工具是连接器包中包含的 exe 命令行应用程序。 此工具旨在诊断常见的连接器安装和运行时错误,以确定安装或网络问题。 目前,该工具支持以下检查:
- 证书有效性
- 端口 80/443 可访问性
- 出站代理配置
- CRL 辅助功能
- 连接器服务正在运行
- 后端服务终结点可访问性
该工具还提供其他信息,例如证书详细信息(如果证书有效)、租户和连接器 ID 以及 TLS 版本。 为了确保由于网络或间歇性问题而未错过任何检查,该工具包含重试并输出任何连接故障的异常消息。
如何获取该工具: 从版本 1.5.4287.0 开始,连接器安装包中提供了连接器诊断工具。 以前的版本不包含该工具。 如果使用以前的版本,则需要安装新的连接器才能获取该工具。
如何使用该工具: 验证安装成功后,可以在连接器安装文件夹中找到该工具,该文件夹默认位于 C:/Program Files/Microsoft Entra Private Network Connector 中。 双击应用程序“ConnectorDiagnosticsTool”启动该工具。
示例输出:
验证与云应用程序代理服务和 Microsoft 登录页的连接性
目标:验证连接器计算机是否可以连接到应用程序代理注册终结点和 Microsoft 登录页。
在连接器服务器上,使用 telnet 或其他端口测试工具运行端口测试,以验证端口 443 和 80 是否已打开。
验证防火墙或后端代理是否有权访问所需的域和端口,请参阅配置连接器。
打开浏览器选项卡并输入
https://login.microsoftonline.com。 确保可以登录。
验证计算机和后端组件证书支持
目的: 验证连接器计算机、后端代理和防火墙是否支持连接器创建的证书。 另外,请验证证书是否有效。
注意
连接器尝试创建 SHA512 支持传输层安全性 (TLS) 1.2 的证书。 如果计算机或后端防火墙和代理不支持 TLS 1.2,安装会失败。
查看所需的先决条件:
验证计算机是否支持传输层安全性 (TLS) 1.2 – 2012 R2 之后的所有 Windows 版本都应支持 TLS 1.2。 如果连接器计算机为 2012 R2 版本或更早的版本,请确保安装所需的更新。
联系网络管理员并要求验证后端代理和防火墙不会阻止
SHA512传出流量。
验证客户端证书:
验证当前客户端证书的指纹。 可以在 %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml 中找到证书存储。
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
可能的 IsInUserStore 值为 true 和 false 。 如果值为 true,则表示证书自动续订,且存储在网络服务的用户证书存储中的个人容器中。 false 值表示客户端证书是在安装或注册启动时创建的。 该证书存储在本地计算机的证书存储的个人容器中。
如果值为 true,请按照以下步骤验证证书:
- 下载 PsTools.zip。
- 从包中提取 PsExec,然后在提升的命令提示符下运行 psexec -i -u "nt authority\network service" cmd.exe。
- 在新出现的命令提示符下运行 certmgr.msc。
- 在管理控制台中,展开“个人”容器,然后选择“证书”。
- 找到为 connectorregistrationca.msappproxy.net 颁发的证书。
如果值为 false,请按照以下步骤验证证书:
- 运行 certlm.msc。
- 在管理控制台中,展开“个人”容器,然后选择“证书”。
- 找到为 connectorregistrationca.msappproxy.net 颁发的证书。
续订客户端证书:
如果连接器几个月未连接到服务,则其证书可能已过时。 证书续订失败会导致证书过期。 证书过期会导致连接器服务停止工作。 在连接器的管理日志中记录事件 1000:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
在这种情况下,请卸载并重新安装连接器以触发注册,也可以运行以下 PowerShell 命令:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
若要详细了解 Register-MicrosoftEntraPrivateNetworkConnector 命令,请参阅为 Microsoft Entra 专用网络连接器创建无人参与安装脚本。
验证“admin”是否可用于安装连接器
目的:验证尝试安装连接器的用户是否是具有正确凭据的管理员。 目前,用户必须至少是应用程序管理员才能成功安装。
若要验证凭据是否正确:
连接到 https://login.microsoftonline.com 并使用相同的凭证。 确保登录成功。 检查用户角色,转到 Microsoft Entra ID ->Users and Groups ->All Users。
选择用户帐户,并在生成的菜单中选择“目录角色”。 验证所选角色是否为“应用程序管理员”。 如果按这些步骤操作无法访问任何页,则代表你不具有所需的角色。
注意
在连接器安装期间,应通过弹出窗口提示你提供管理员凭据。 如果未收到弹出窗口,请确保浏览器设置启用弹出窗口并启用 JavaScript。 在下一次安装尝试期间,系统会提示将站点添加到受信任的站点。 将站点添加到受信任的站点后,重新运行安装。
连接器错误
如果注册在连接器向导安装期间失败,有两种方法可查看失败原因。 查看 Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" 下的事件日志,或运行以下 Windows PowerShell 命令:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
从事件日志找到连接器错误后,使用此常见错误表解决问题:
| 错误 | 建议的步骤 |
|---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
如果关闭了注册窗口但没有登录到 Microsoft Entra ID,请再次运行连接器向导并注册连接器。 如果注册窗口打开后立即关闭,不允许你进行登录,则会看到此错误。 当系统上存在网络错误时,可能出现该错误。 确保可从浏览器连接到公共网站,并且端口以配置连接器中所指定的方式打开。 |
Clear error is presented in the registration window. Cannot proceed |
如果看到此错误,然后窗口关闭,这意味着输入的用户名或密码错误。 重试。 |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
正尝试使用 Microsoft 帐户登录,而不是使用作为正尝试访问的目录组织 ID 一部分的域进行登录。 管理员必须是与租户域相同的域名的一部分。 例如,如果 Microsoft Entra 域为 contoso.com,则管理员应为 admin@contoso.com。 |
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果连接器安装失败,请检查确保 PowerShell 执行策略未禁用。 1. 打开组策略编辑器。 2. 依次转到“计算机配置”“管理模板”>“Windows 组件”“Windows PowerShell”,并双击“打开脚本执行” 。 3. 可将执行策略设置为“未配置”或“已启用” 。 如果设置为“已启用”,请确保在“选项”下将“执行策略”设置为“允许本地脚本和远程签名脚本”或“允许所有脚本”。 |
Connector failed to download the configuration. |
用于身份验证的连接器客户端证书已过期。 如果你将连接器安装在代理后,则可能会发生此问题。 在此情况下,连接器无法访问 Internet,并且将无法向远程用户提供应用程序。 在 Windows PowerShell 中使用 Register-MicrosoftEntraPrivateNetworkConnector cmdlet 手动续订信任。 如果连接器在代理后,则必须向连接器帐户 network services 和 local system 授予 Internet 访问权限。 授予访问权限是通过授予对代理的访问权限或绕过代理来完成的。 |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
尝试登录时所使用的别名不是此域上的管理员。 始终为拥有用户域的目录安装连接器。 请确保尝试登录的管理员帐户至少具有Microsoft Entra 租户的应用程序管理员权限。 |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
连接器无法连接到应用程序代理云服务。 如果存在阻止连接的防火墙规则,则可能会发生该问题。 允许访问配置连接器中列出的正确端口和 URL。 |
连接器问题的流程图
此流程图指导你完成调试某些更常见连接器问题的步骤。 有关每个步骤的详细信息,请参阅流程图后面的表。
| 步骤 | 行动 | 说明 |
|---|---|---|
| 1 | 查找分配给应用的连接器组 | 你可能在多台服务器上安装了连接器,在这种情况下,应将连接器分配给连接器组。 若要详细了解连接器组,请参阅了解 Microsoft Entra 专用网络连接器组。 |
| 2 | 安装连接器并分配组 | 如果没有安装连接器,请参阅配置连接器。 如果未将连接器分配给组,请参阅将连接器分配给组。 如果未将应用程序分配到连接器组,请参阅将应用程序分配到连接器组。 |
| 3 | 在连接器服务器上运行端口测试 | 在连接器服务器上,使用 telnet 或其他端口测试工具运行端口测试,检查端口配置是否正确。 若要了解详细信息,请参阅配置连接器。 |
| 4 | 配置域和端口 | 为该连接器配置连接器。 某些端口必须打开,并且您的服务器必须能够访问这些 URL。 有关详细信息,请参阅配置连接器。 |
| 5 | 检查后端代理是否正在使用中 | 检查连接器是正在使用后端代理服务器还是绕过了这些服务器。 有关详细信息,请参阅排查连接器代理问题和服务连接问题。 |
| 6 | 使用后端代理信息更新连接器和更新程序设置 | 如果正在使用后端代理,请确保连接器使用相同的代理。 有关故障排除和配置连接器以与代理服务器一起使用的详细信息,请参阅使用现有的本地代理服务器。 |
| 7 | 在连接器服务器上加载应用的内部 URL | 在连接器服务器上,加载应用的内部 URL。 |
| 8 | 检查内部网络连接 | 在您的内部网络中存在一个连接问题,而此调试流无法诊断该问题。 应用程序必须在内部进行访问,连接器才能工作。 可以按专用网络连接器中所述来启用和查看连接器事件日志。 |
| 9 | 延长后端的超时值 | 在应用程序的“其他设置”中,将“后端应用程序超时”设置更改为“长” 。 请参阅将本地应用添加到 Microsoft Entra ID。 |
| 10 | 如果问题仍然存在,请调试应用程序。 | 调试应用程序代理应用程序问题。 |
连接器功能疑难解答
如果连接器安装和注册成功,但无法访问专用资源,请检查以下各项。
- 云服务连接失败:连接器在连接到 Entra Private Access 云服务时遇到问题。 尽管连接器在 Microsoft Entra 管理中心的状态可能显示为“活动”,但连接器仍然可能在连接到云服务连接点时遇到问题。 请与网络团队联系,查看连接器 IP 的连接尝试是否失败。
- 未能验证证书链错误:当全局安全访问服务证书(如 *.msappproxy.net)的证书链无法验证时,连接器高级日志记录中会出现此错误。 通常,当在 MicrosoftEntraPrivateNetworkConnectorService.exe.config 上配置了代理服务器,但没有配置系统代理服务器时,通常会发生这种情况。 可以使用 netsh winhttp set proxy address:port 设置系统代理。
- 已配置 TLS 检查:专用网络连接器流量不支持 TLS 检查。 尝试对此流量执行 TLS 检查会干扰连接器连接到全局安全访问服务的能力,因此会干扰其服务专用访问请求的能力。 确保允许对专用网络连接器进行 Internet 访问的网络设备不会执行 TLS 检查。
- 连接器和资源之间存在代理服务器:连接器需要与资源建立视线连接,如果连接器与资源之间存在代理服务器,则无法正常工作。 若要确认,请测试从连接器到在全局安全访问应用程序中定义的资源(如文件共享或 RDP 服务器)的连接,以确保连接器可以访问该资源。 如果无法从连接器服务器连接到资源,则需要解决连接器与资源之间的网络连接问题,其中包括将连接器重新定位到具有对资源的视线访问的网络位置。
启用高级连接器日志记录
如果可以从服务器连接到资源,但不能从全局安全访问客户端连接到资源,连接器可能存在其他问题。 若要进行调查,请启用高级连接器日志记录。 为此,请编辑连接器安装文件夹中的文件 MicrosoftEntraPrivateNetworkConnectorService.exe.config(默认情况下,C:\Program Files\Microsoft Entra 专用网络连接器)。 找到文件内的以下部分,删除引导和尾随的注释行指示器,并确认引用的文件夹是否存在。
文件内容应如下所示:
启用日志记录后,尝试从全局安全访问客户端访问资源以重现错误。 然后,检查日志文件是否有错误。
常见问题解答
为何我的连接器仍使用旧版本,而不自动升级到最新版本?
原因可能是更新服务未正常工作,或者没有新的更新可供该服务安装。
如果更新服务正在运行,并且事件日志(“应用程序和服务日志”->“Microsoft”->“Microsoft Entra 专用网络”->“更新服务”->“管理员”)中未记录任何错误,则表示该服务运行正常。
重要
只会发布主版本供自动升级。 建议仅在必要时手动更新连接器。 例如,不能等待主要版本,因为你必须修复已知问题或想要使用新功能。 有关新发行版、发布类型(下载、自动升级)、bug 修复和新功能的详细信息,请参阅 Microsoft Entra 专用网络连接器:版本发布历史记录。
若要手动升级连接器:
- 下载最新版本的连接器。 (可以在 Microsoft Entra 管理中心的“全球安全访问”“连接”>“连接器”下找到它)>
- 安装程序将重启 Microsoft Entra 专用网络连接器服务。 在某些情况下,如果安装程序无法替换所有文件,则可能需要重新启动服务器。 因此,建议在开始升级之前关闭所有应用程序(例如事件查看器)。
- 运行安装程序。 升级过程很快就能完成,且不需要提供任何凭据,连接器不会重新注册。
专用网络连接器服务是否可以在非默认的用户上下文中运行?
不可以,不支持这种方案。 默认设置为:
- Microsoft Entra 专用网络连接器 - WAPCSvc - 网络服务
- Microsoft Entra 专用网络连接器更新服务 - WAPCUpdaterSvc - NT Authority\System
具有活跃管理员角色分配的来宾用户是否可以为(来宾)租户注册连接器?
目前无法做到这一点。 注册尝试始终在用户的主租户上进行。
我的后端应用程序托管在多个 Web 服务器上,需要用户会话持久性(粘性)。 如何实现会话持久性?
有关建议,请参阅专用网络连接器和应用程序的高可用性与负载均衡。
是否支持对从连接器服务器到 Azure 的流量执行 TLS 终止(TLS/HTTPS 检查或加速)?
专用网络连接器对 Azure 执行基于证书的身份验证。 TLS 终止(TLS/HTTPS 检查或加速)会破坏这种身份验证方法,因此不受支持。 从连接器到 Azure 的流量必须绕过任何正在执行 TLS 终止的设备。
是否需要对所有连接使用 TLS 1.2?
是的。 为了向我们的客户提供一流的加密,应用程序代理服务将访问限制为仅允许使用 TLS 1.2 协议。 这些更改已自 2019 年 8 月 31 日起逐步推出并生效。 请确保将所有客户端-服务器和浏览器-服务器组合更新为使用 TLS 1.2,以便保持连接到应用程序代理服务。 这包括用户用来访问那些通过应用程序代理发布的应用程序的客户端。 请查看如何为 Office 365 中的 TLS 1.2 做准备,了解有用的参考和资源。
是否可以在连接器服务器与后端应用程序服务器之间放置转发代理设备?
从连接器版本 1.5.1526.0 开始,Microsoft Entra 应用程序代理支持此方案,但不支持 Microsoft Entra Private Access。 有关对此应用代理的支持的信息,请参阅使用现有本地代理服务器。
是否应创建一个专用帐户来向 Microsoft Entra 应用程序代理注册连接器?
没有理由创建专用帐户。 可以使用任何具有应用程序管理员角色的帐户。 注册过程完成后,不会使用安装期间输入的凭据, 而会向连接器颁发一个证书,此后,该证书将用于身份验证。
如何监视 Microsoft Entra 专用网络连接器的性能?
将连同连接器一起安装一些性能监视器计数器。 若要查看它们,请执行以下操作:
- 选择开始,键入“Perfmon”并按 ENTER。
- 选择“性能监视器”,然后单击绿色的 图标。
- 添加要监视的“Microsoft Entra 专用网络连接器”计数器。
Microsoft Entra 专用网络连接器是否必须位于资源所在的同一子网中?
连接器不需要位于同一子网中。 但是,它需要对资源进行名称解析(DNS、hosts 文件),并建立必要的网络连接(路由到资源、在资源上打开端口等)。 有关建议,请参阅使用 Microsoft Entra 应用程序代理时的网络拓扑注意事项。
为什么从服务器卸载连接器后,连接器仍会显示在 Microsoft Entra 管理中心内?
当连接器运行时,它会在连接到服务时保持活动状态。 卸载或未使用的连接器被标记为非活动状态,并在 10 天后从 Microsoft Entra 管理中心中删除。 无法从 Microsoft Entra 管理中心手动移除非活动连接器。