Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
In dit artikel worden de stappen beschreven die u kunt uitvoeren om problemen en foutberichten op te lossen in de Microsoft Entra-toepassingsproxy.
Voordat u begint
Het eerste wat u moet controleren, is de connector. Zie Problemen met privénetwerkconnector opsporenvoor meer informatie over het opsporen van fouten in een privénetwerkconnector. Als u nog steeds problemen ondervindt met het maken van verbinding met uw toepassing, gaat u terug naar dit artikel om problemen met de toepassing op te lossen.
Als een gebruiker een fout tegenkomt tijdens het openen of publiceren van een toepassing, gebruikt u deze stappen om te controleren of de proxy van de Microsoft Entra-toepassing correct werkt:
Open de Windows Services-console. Controleer of de Microsoft Entra-privénetwerkconnector-dienst is ingeschakeld en actief is. Bekijk de eigenschappenpagina van de proxyservice voor toepassingen.
Open Logboekviewer. Ga naar Toepassingen en services logboeken>Microsoft>Entra privénetwerk>Connector>Admin en controleer op gebeurtenissen voor de privénetwerkconnector.
Bekijk gedetailleerde logboeken. Meer informatie over het inschakelen van sessielogboeken van de privénetwerkconnector.
Toepassingsconfiguratiefouten
Bekijk de volgende secties voor veelvoorkomende configuratieproblemen en voorgestelde oplossingen.
App wordt niet correct weergegeven
Er zijn problemen met het weergeven van uw toepassing of deze werkt onjuist, maar er wordt geen specifiek foutbericht weergegeven.
Dit probleem treedt op als een toepassing inhoud vereist die zich buiten het pad bevindt dat u hebt gebruikt om de app te publiceren.
Als u bijvoorbeeld het pad https://yourapp/apppubliceert, maar de toepassing verwijst naar afbeeldingen die zich in https://yourapp/mediabevinden, worden de afbeeldingen niet weergegeven in de toepassing.
Zorg ervoor dat u de toepassing publiceert door het pad op het hoogste niveau te gebruiken dat nodig is om alle verwijzingen naar inhoud en bestanden op te nemen. In het voorbeeld is dat niveau http://yourapp/.
Controleer of de ontbrekende resources het probleem hebben veroorzaakt:
- Open uw netwerktracker, zoals met fiddler of hulpprogramma's voor browserontwikkelaars (selecteer F12 in Internet Explorer of Microsoft Edge).
- Laad de pagina.
- Zoek naar fout-id 404-fouten.
Een 404-fout geeft aan dat pagina's niet kunnen worden gevonden en dat u deze moet publiceren.
Het laden van de app duurt te lang
Toepassingen kunnen functioneel zijn, maar hebben een lange latentie.
U kunt wijzigingen aanbrengen in uw netwerktopologie om de snelheid van de toepassing te verbeteren. Controleer de netwerkfactoren.
Probleem bij het publiceren als één toepassing
Als u niet alle resources in dezelfde toepassing kunt publiceren, publiceert u meerdere toepassingen en stelt u er koppelingen tussen in. Voor dit scenario raden we u aan aangepaste domeinen te gebruiken. Voor deze oplossing moet u echter eigenaar zijn van het certificaat voor uw domein en dat uw toepassingen FQDN's (Fully Qualified Domain Names) gebruiken. Voor andere opties kunt u problemen met verbroken koppelingen oplossen.
Probleem bij het instellen van connectiviteit voor een app
Zie Poorten voor een toepassingsproxytoepassing openen voor oorzaken en voorgestelde oplossingen.
Probleem bij het configureren van de Microsoft Entra-toepassingsproxy in de beheerportal
Zie Eenmalige aanmelding in een toepassingsproxytoepassing voor oorzaken en voorgestelde oplossingen.
Probleem bij het instellen van back-endverificatie voor de toepassing
Zie de volgende artikelen voor oorzaken en voorgestelde oplossingen:
- Problemen met beperkte delegatie van Kerberos oplossen
- Eenmalige aanmelding met behulp van toepassingsproxy en PingAccess
Kan niet aanmelden bij de toepassing
Als u de fout This corporate app can’t be accessed ziet en u zich niet kunt aanmelden bij uw toepassing, is er een configuratiefout opgetreden. Zie Problemen met time-outfouten voor gateways oplossen voor voorgestelde oplossingen.
Fouten voor privénetwerkverbinding
Zie De privénetwerkconnector installeren voor oorzaken en voorgestelde oplossingen.
Kerberos-fouten
In de volgende tabel worden de meest voorkomende fouten en de oplossing ervan in de Installatie en configuratie van Kerberos beschreven:
| Fout | Uitleg en stappen die moeten worden uitgevoerd |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Als de connectorinstallatie mislukt, controleert u of het PowerShell-uitvoeringsbeleid niet is uitgeschakeld. 1. Open de editor voor groepsbeleid. 2. Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Windows PowerShell en dubbelklik op Scriptuitvoering inschakelen. 3. Het uitvoeringsbeleid kan worden ingesteld op Niet Geconfigureerd of Ingeschakeld. Als het beleid is ingesteld op Ingeschakeld, moet u ervoor zorgen dat onder Opties het uitvoeringsbeleid is ingesteld op Lokale scripts en externe ondertekende scripts toestaan of alle scripts toestaan. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Deze fout geeft een onjuiste configuratie aan tussen Microsoft Entra-id en de back-endtoepassingsserver, of er is een probleem met de configuratie van de tijd en datum op beide computers. De back-endserver heeft het Kerberos-ticket geweigerd dat Microsoft Entra ID heeft gemaakt. Controleer of De Microsoft Entra-id en de back-endtoepassingsserver juist zijn geconfigureerd. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de back-endtoepassingsserver zijn gesynchroniseerd. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Er is een probleem met de configuratie van de beveiligingstokenservice (STS). Herstel de configuratie van de User Principal Name (UPN)-claim in de STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Deze gebeurtenis geeft een onjuiste configuratie aan tussen Microsoft Entra-id en de domeincontrollerserver, of een probleem in de configuratie van tijd en datum op beide computers. De domeincontroller heeft het Kerberos-ticket geweigerd dat is gemaakt door Microsoft Entra ID. Controleer of De Microsoft Entra-id en de back-endtoepassingsserver correct zijn geconfigureerd, met name de SPN-configuratie (Service Principal Name). Zorg ervoor dat de domeincontroller een vertrouwensrelatie tot stand brengt met de Microsoft Entra-id. Beide moeten hetzelfde domein gebruiken. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de domeincontroller zijn gesynchroniseerd. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Deze gebeurtenis geeft een onjuiste configuratie aan tussen Microsoft Entra-id en de domeincontrollerserver, of een probleem in de configuratie van tijd en datum op beide computers. De domeincontroller heeft het Kerberos-ticket geweigerd dat is gemaakt door Microsoft Entra ID. Controleer of De Microsoft Entra-id en de back-endtoepassingsserver juist zijn geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat de domeincontroller een vertrouwensrelatie tot stand brengt met de Microsoft Entra-id. Beide moeten hetzelfde domein gebruiken. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de domeincontroller zijn gesynchroniseerd. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Deze gebeurtenis geeft een onjuiste configuratie aan tussen Microsoft Entra-id en de back-endtoepassingsserver, of een probleem in de configuratie van tijd en datum op beide computers. De back-endserver heeft het Kerberos-ticket geweigerd dat is gemaakt door Microsoft Entra ID. Controleer of De Microsoft Entra-id en de back-endtoepassingsserver juist zijn geconfigureerd. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de back-endtoepassingsserver zijn gesynchroniseerd. Zie Problemen met beperkte Kerberos-delegeringsconfiguraties voor toepassingsproxy oplossen voor meer informatie. |
App-gebruikersfouten
In de volgende tabel worden fouten beschreven die een app-gebruiker kan tegenkomen wanneer deze toegang probeert te krijgen tot een toepassingsproxy-app:
| Fout | Uitleg en stappen die moeten worden uitgevoerd |
|---|---|
The website cannot display the page. |
Een gebruiker ziet de fout wanneer hij probeert toegang te krijgen tot een IWA-app (Integrated Windows Authentication) die u hebt gepubliceerd. De gedefinieerde SPN voor de toepassing is onjuist. Zorg ervoor dat de SPN voor de toepassing juist is. |
The website cannot display the page. |
Een gebruiker ziet de fout wanneer hij probeert toegang te krijgen tot een OWA-app (Outlook Web Application) die u hebt gepubliceerd. Het probleem wordt veroorzaakt door: - De gedefinieerde SPN voor de toepassing is onjuist. Zorg ervoor dat de SPN voor de toepassing juist is. - De gebruiker die probeert toegang te krijgen tot de toepassing, gebruikt een Microsoft-account in plaats van zijn bedrijfsaccount om zich aan te melden, of de gebruiker is een gastgebruiker. Zorg ervoor dat de gebruiker zich aanmeldt met een bedrijfsaccount dat overeenkomt met het domein van de gepubliceerde toepassing. Gebruikers en gasten van Microsoft-accounts hebben geen toegang tot IWA-toepassingen. - De gebruiker die probeert toegang te krijgen tot de toepassing, is niet juist gedefinieerd voor de toepassing in de on-premises configuratie. Zorg ervoor dat de gebruiker beschikt over de vereiste on-premises machtigingen voor toegang tot de back-endtoepassing. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Deze fout treedt op wanneer een gebruiker probeert toegang te krijgen tot een app met een Microsoft-account of als gastgebruiker. Gebruikers en gasten van Microsoft-accounts hebben geen toegang tot IWA-toepassingen. Zorg ervoor dat de gebruiker zich aanmeldt met een bedrijfsaccount dat overeenkomt met het domein van de app. Als u het probleem wilt oplossen, gaat u naar het tabblad Toepassing , onder Gebruikers en groepen en wijst u de gebruiker of groep toe aan de app. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
De gebruiker die probeert toegang te krijgen tot de toepassing, is niet juist gedefinieerd voor de toepassing in de on-premises configuratie. Zorg ervoor dat de gebruiker beschikt over de vereiste on-premises machtigingen voor toegang tot de back-endtoepassing. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Een gebruiker ziet de fout wanneer hij toegang probeert te krijgen tot de app die u hebt gepubliceerd als deze niet expliciet is toegewezen aan een Premium-licentie door de beheerder van de abonnee. Zorg ervoor dat op het tabblad Microsoft Entra ID-licenties van de abonnee een Premium-licentie is toegewezen aan de gebruiker of gebruikersgroep. |
A server with the specified host name could not be found. |
Een gebruiker ziet de fout wanneer deze probeert toegang te krijgen tot de app die u hebt gepubliceerd en het aangepaste domein van de toepassing niet juist is geconfigureerd. Controleer het certificaat voor het domein en configureer de DNS-record (Domain Name System) correct. Zie Werken met aangepaste domeinen in de Microsoft Entra-toepassingsproxy voor meer informatie. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Het probleem kan een probleem zijn met toegang tot autorisatiegegevens. Zie (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information) voor meer informatie. Als u de fout wilt oplossen, voegt u het computeraccount van de privénetwerkconnector toe aan de ingebouwde domeingroep voor Windows-autorisatietoegang. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
De connector gebruikt een clientcertificaat om uitgaande verbindingen met cloudservice-eindpunten van de Microsoft Entra-toepassingsproxy te beveiligen. De fout treedt op wanneer het clientcertificaat het eindpunt niet kan bereiken. Dit kan bijvoorbeeld gebeuren wanneer een netwerkapparaat TLS-inspectie (Transport Layer Security) uitvoert of de TLS-verbinding onderbreekt. U kunt de fout oplossen door inline-inspectie en beëindiging van uitgaande TLS-communicatie te voorkomen. Inspectie en beëindiging mogen niet plaatsvinden tussen Microsoft Entra private network connectors en Microsoft Entra application proxy cloud services. |