本文介绍在 Microsoft Entra 应用程序代理中排查问题和错误消息时可以采取的步骤。
在您开始之前
检查的第一件事是连接器。 若要了解如何调试专用网络连接器,请参阅 调试专用网络连接器问题。 如果连接到应用程序时仍有问题,请返回到本文以排查应用程序问题。
如果用户在访问或发布应用程序时遇到错误,请使用以下步骤验证 Microsoft Entra 应用程序代理是否正常运行:
打开 Windows 服务控制台。 验证是否已启用 并运行 Microsoft Entra 专用网络连接器 服务。 查看应用程序代理服务属性页。
打开事件查看器。 转到 应用程序和服务日志>Microsoft>Microsoft Entra 专用网络>连接器>管理并检查专用网络连接器事件。
查看详细的日志。 了解如何 打开专用网络连接器会话日志。
应用程序配置错误
查看以下部分,了解常见的配置问题和建议的解决方法。
应用无法正确呈现
应用程序呈现出现问题,或者应用程序无法正常运行,但不会显示任何特定的错误消息。
如果应用程序要求在用于发布应用的路径之外存在内容,则会出现此问题。
例如,如果发布路径 https://yourapp/app,但应用程序引用位于 https://yourapp/media的图像,则不会在应用程序中显示图像。
请确保使用需要包括所有引用的内容和文件的最高级别路径发布应用程序。 在该示例中,该级别为 http://yourapp/.
验证缺少的资源是否导致问题:
- 打开网络跟踪器,例如使用 Fiddler 或浏览器开发人员工具(在 Internet Explorer 或 Microsoft Edge 中选择 F12)。
- 加载页面。
- 查找错误 ID 404。
404 错误指示找不到页面,并且需要发布它们。
应用加载时间过长
应用程序可以正常运行,但延迟较长。
可以更改网络拓扑以提高应用程序速度。 查看 网络注意事项。
作为单个应用程序发布时的问题
如果无法发布同一应用程序中的所有资源,请发布多个应用程序并设置它们之间的链接。 对于此方案,建议使用 自定义域。 但是,此解决方案要求你拥有域的证书,并且应用程序使用完全限定的域名(FQDN)。 对于其他选项, 对断开的链接进行故障排除 。
为应用设置连接时出现问题
有关原因和建议的解决方法,请参阅 要为应用程序代理应用程序打开的端口。
在管理门户中配置 Microsoft Entra 应用程序代理时出现问题
有关原因和建议的解决方案,请参阅 应用程序代理应用程序中的单一登录。
将后端身份验证设置为应用程序时出现问题
有关原因和建议的解决方案,请参阅以下文章:
无法登录到应用程序
如果看到错误 This corporate app can’t be accessed 并且无法登录到应用程序,则会发生配置错误。 有关建议的解决方法,请参阅 网关超时错误的解决方案。
专用网络连接器错误
有关原因和建议的解决方案,请参阅 安装专用网络连接器。
Kerberos 错误
下表介绍了 Kerberos 安装和配置中更常见的错误及其解决方法:
| 错误 | 说明和要执行的步骤 |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果连接器安装失败,请检查以确保未禁用 PowerShell 执行策略。 1. 打开组策略编辑器。 2. 转到 计算机配置>管理模板>Windows 组件>Windows PowerShell,然后双击“ 打开脚本执行”。 3. 可将执行策略设置为“未配置”或“已启用” 。 如果策略设置为 “已启用”,请确保在 “选项”下,执行策略设置为 “允许本地脚本”和“远程签名脚本 ”或 “允许所有脚本”。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
此错误表示Microsoft Entra ID 和后端应用程序服务器之间的配置不正确,或者这两台计算机上的时间和日期配置出现问题。 后端服务器拒绝了Microsoft Entra ID 创建的 Kerberos 票证。 验证是否已正确配置 Microsoft Entra ID 和后端应用程序服务器。 确保同步Microsoft Entra ID 和后端应用程序服务器上的时间和日期配置。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
安全令牌服务(STS)配置出现问题。 修复 STS 中的用户主体名称(UPN)声明配置。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
此事件指示Microsoft Entra ID 和域控制器服务器之间的配置不正确,或者这两台计算机的时间和日期配置出现问题。 域控制器拒绝了由 Microsoft Entra ID 创建的 Kerberos 票证。 验证是否已正确配置 Microsoft Entra ID 和后端应用程序服务器,尤其是服务主体名称(SPN)配置。 确保域控制器使用 Microsoft Entra ID 建立信任。 两者应使用相同的域。 确保Microsoft Entra ID 和域控制器上的时间和日期配置已同步。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
此事件指示Microsoft Entra ID 和域控制器服务器之间的配置不正确,或者这两台计算机的时间和日期配置出现问题。 域控制器拒绝了由 Microsoft Entra ID 创建的 Kerberos 票证。 验证是否正确配置了 Microsoft Entra ID 和后端应用程序服务器,尤其是 SPN 配置。 确保域控制器使用 Microsoft Entra ID 建立信任。 两者应使用相同的域。 确保 Microsoft Entra ID 和域控制器上的时间和日期配置已同步。 |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
此事件指示Microsoft Entra ID 和后端应用程序服务器之间的配置不正确,或者这两台计算机上的时间和日期配置出现问题。 后端服务器拒绝了由 Microsoft Entra ID 创建的 Kerberos 票证。 验证是否已正确配置 Microsoft Entra ID 和后端应用程序服务器。 确保同步Microsoft Entra ID 和后端应用程序服务器上的时间和日期配置。 有关详细信息,请参阅 排查应用程序代理的 Kerberos 约束委派配置问题。 |
应用用户错误
下表描述了应用用户尝试访问应用程序代理应用时可能遇到的错误:
| 错误 | 说明和要执行的步骤 |
|---|---|
The website cannot display the page. |
用户在尝试访问已发布的集成 Windows 身份验证 (IWA) 应用时看到错误。 为应用程序定义的 SPN 不正确。 确保应用程序的 SPN 正确。 |
The website cannot display the page. |
用户在尝试访问已发布的 Outlook Web 应用程序(OWA)应用时看到错误。 问题产生于: - 为应用程序定义的 SPN 不正确。 确保应用程序的 SPN 正确。 - 尝试访问应用程序的用户是使用Microsoft帐户而不是其公司帐户登录,或者用户是来宾用户。 确保用户使用与已发布应用程序的域匹配的公司帐户登录。 Microsoft帐户用户和来宾无法访问 IWA 应用程序。 - 尝试访问应用程序的用户在本地配置中未正确为应用程序定义。 确保用户具有访问后端应用程序所需的本地权限。 |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
当用户尝试使用Microsoft帐户或来宾用户访问应用时,会出现此错误。 Microsoft帐户用户和来宾无法访问 IWA 应用程序。 确保用户使用与应用域匹配的公司帐户登录。 若要解决此问题,请转到“用户和组”下的“应用程序”选项卡,并将用户或组分配给应用。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
尝试访问应用程序的用户在本地配置中未正确为应用程序定义。 确保用户具有访问后端应用程序所需的本地权限。 |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
如果订阅者的管理员没有显式为用户分配高级许可证,那么当用户尝试访问你发布的应用时,他们会看到错误提示。 在订阅者的“Microsoft Entra ID 许可证 ”选项卡上,确保为用户或用户组分配高级许可证。 |
A server with the specified host name could not be found. |
用户在尝试访问已发布的应用时看到错误,并且未正确配置应用程序的自定义域。 检查域的证书,并正确配置域名系统(DNS)记录。 有关详细信息,请参阅 在 Microsoft Entra 应用程序代理中使用自定义域。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
此问题可能是访问授权信息时出现问题。 若要了解详细信息,请参阅 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)。 若要解决此错误,请将专用网络连接器计算机帐户添加到 Windows 授权访问组内置域组。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
连接器使用客户端证书来保护到 Microsoft Entra 应用程序代理云服务终结点的出站连接。 当客户端证书无法访问终结点时,会发生此错误。 例如,当网络设备执行传输层安全性(TLS)检查或中断 TLS 连接时,可能会发生这种情况。 若要解决此错误,应避免内联检查和终止出站 TLS 通信。 Microsoft Entra 专用网络连接器和 Microsoft Entra 应用程序代理云服务之间不得进行检查和终止。 |