Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver de steg du kan vidta för att felsöka problem och felmeddelanden i Microsoft Entra-programproxy.
Innan du börjar
Det första du bör kontrollera är anslutningsappen. Mer information om hur du felsöker en privat nätverksanslutning finns i Felsöka problem med privata nätverksanslutningar. Om du fortfarande har problem med att ansluta till ditt program går du tillbaka till den här artikeln för att felsöka programmet.
Om en användare får ett fel vid åtkomst till eller publicering av ett program använder du de här stegen för att kontrollera att Microsoft Entra-programproxyn fungerar korrekt:
Öppna Windows Services-konsolen. Kontrollera att den privata Microsoft Entra-nätverksanslutningstjänsten är aktiverad och körs. Titta på egenskapssidan för programproxytjänsten.
Öppna Händelsevisaren. Gå till Program- och tjänstloggar>Microsoft>Microsoft Entra privat nätverk>Kontakt>Admin och kontrollera händelser för privata nätverkskopplingar.
Granska detaljerade loggar. Lär dig hur du aktiverar sessionsloggar för privata nätverksanslutningar.
Programkonfigurationsfel
Gå igenom följande avsnitt för vanliga konfigurationsproblem och föreslagna lösningar.
Appen renderas inte korrekt
Du har problem med programåtergivningen eller fungerar felaktigt, men inget specifikt felmeddelande visas.
Det här problemet uppstår om ett program kräver innehåll som finns utanför den sökväg som du använde för att publicera appen.
Om du till exempel publicerar sökvägen https://yourapp/app, men programmet refererar till bilder som finns i https://yourapp/media, visas inte bilderna i programmet.
Se till att du publicerar programmet med hjälp av den sökväg på högsta nivån som du behöver för att inkludera allt refererat innehåll och filer. I exemplet är den nivån http://yourapp/.
Kontrollera att de saknade resurserna orsakade problemet:
- Öppna nätverksspåraren, till exempel med fiddler- eller webbläsarutvecklarverktyg (välj F12 i Internet Explorer eller Microsoft Edge).
- Läs in sidan.
- Leta efter fel-ID 404.
Ett 404-fel anger att sidor inte kan hittas och att du behöver publicera dem.
Det tar för lång tid att läsa in appen
Program kan vara funktionella men har långa svarstider.
Du kan göra ändringar i nätverkstopologin för att förbättra programhastigheten. Granska nätverksöverväganden.
Problem med att publicera som ett enda program
Om du inte kan publicera alla resurser i samma program publicerar du flera program och konfigurerar länkar mellan dem. I det här scenariot rekommenderar vi att du använder anpassade domäner. Den här lösningen kräver dock att du äger certifikatet för din domän och att dina program använder fullständigt kvalificerade domännamn (FQDN). Felsöka brutna länkar för andra alternativ.
Problem med att konfigurera anslutning för en app
Orsaker och föreslagna lösningar finns i Portar som ska öppnas för ett programproxyprogram.
Problem med att konfigurera Microsoft Entra-programproxyn i administratörsportalen
Information om orsaker och föreslagna lösningar finns i Enkel inloggning i ett programproxyprogram.
Problem med att ange serverdelsautentisering för programmet
Information om orsaker och föreslagna lösningar finns i följande artiklar:
Det går inte att logga in på programmet
Om du ser felet This corporate app can’t be accessed och du inte kan logga in på ditt program inträffade ett konfigurationsfel. Förslag på lösningar finns i Felsöka fel med felaktig gateway-timeout.
Fel vid anslutning till privat nätverk
Information om orsaker och föreslagna lösningar finns i Installera den privata nätverksanslutningen.
Kerberos-fel
I följande tabell beskrivs de vanligaste felen och deras lösning i Kerberos-konfiguration:
| Fel | Förklaring och åtgärder att vidta |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Om installationen av anslutningen misslyckas kontrollerar du att PowerShell-körningsprincipen inte är inaktiverad. 1. Öppna gruppolicyredigeraren. 2. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Windows PowerShell och dubbelklicka sedan på Aktivera skriptkörning. 3. Körningsprincipen kan anges till antingen Inte Konfigurerad eller Aktiverad. Om principen är inställd på Aktiverad kontrollerar du att under Alternativ är körningsprincipen inställd på Tillåt lokala skript och fjärrsignerade skript eller Tillåt alla skript. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Det här felet anger felaktig konfiguration mellan Microsoft Entra-ID och serverdelsprogramservern, eller så är det problem med tids- och datumkonfigurationen på båda datorerna. Backend-servern nekade Kerberos-biljetten som Microsoft Entra-ID skapade. Kontrollera att Microsoft Entra-ID och programservern i bakgrunden är korrekt konfigurerade. Kontrollera att tids- och datumkonfigurationen på Microsoft Entra-ID:t och serverdelens programserver är synkroniserade. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Det finns ett problem med konfigurationen av säkerhetstokentjänsten (STS). Åtgärda upn-anspråkskonfigurationen (User Principal Name) i STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Den här händelsen anger felaktig konfiguration mellan Microsoft Entra-ID och domänkontrollantservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. Domänkontrollanten nekade Kerberos-biljetten som skapats av Microsoft Entra-ID. Kontrollera att Microsoft Entra-ID, och applikationsservern för backend är korrekt konfigurerade, särskilt SPN-konfigurationen (tjänstens huvudnamn). Kontrollera att domänkontrollanten upprättar förtroende med Microsoft Entra-ID. Båda bör använda samma domän. Kontrollera att tids- och datumkonfigurationen för Microsoft Entra-ID:t och domänkontrollanten är synkroniserade. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Den här händelsen anger felaktig konfiguration mellan Microsoft Entra-ID och domänkontrollantservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. Domänkontrollanten nekade Kerberos-biljetten som skapats av Microsoft Entra-ID. Kontrollera att Microsoft Entra ID och backend-applikationsservern är korrekt konfigurerade, särskilt SPN-konfigurationen. Kontrollera att domänkontrollanten upprättar förtroende med Microsoft Entra-ID. Båda bör använda samma domän. Kontrollera att tids- och datumkonfigurationen för Microsoft Entra-ID:t och domänkontrollanten är synkroniserade. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Den här händelsen anger felaktig konfiguration mellan Microsoft Entra-ID och serverdelens programserver, eller ett problem med tids- och datumkonfigurationen på båda datorerna. Bakgrundsservern nekade Kerberos-biljetten som skapats av Microsoft Entra ID. Kontrollera att Microsoft Entra-ID och programservern i bakgrunden är korrekt konfigurerade. Kontrollera att tids- och datumkonfigurationen på Microsoft Entra ID och backend-applikationsservern är synkroniserade med varandra. Mer information finns i Felsöka Kerberos-begränsade delegeringskonfigurationer för programproxy. |
Appanvändarfel
I följande tabell beskrivs fel som en appanvändare kan stöta på när de försöker komma åt en programproxyapp:
| Fel | Förklaring och åtgärder att vidta |
|---|---|
The website cannot display the page. |
En användare ser felet när de försöker komma åt en IWA-app (Integrerad Windows-autentisering) som du publicerade. Det definierade SPN för programmet är felaktigt. Kontrollera att SPN för programmet är korrekt. |
The website cannot display the page. |
En användare ser felet när de försöker komma åt en Outlook Web Application-app (OWA) som du publicerade. Problemet beror på: – Det definierade SPN för programmet är felaktigt. Kontrollera att SPN för programmet är korrekt. – Användaren som försökte komma åt programmet använder ett Microsoft-konto i stället för sitt företagskonto för att logga in, eller så är användaren gästanvändare. Kontrollera att användaren loggar in med hjälp av ett företagskonto som matchar domänen för det publicerade programmet. Användare och gäster med Microsoft-konto kan inte komma åt IWA-program. – Den användare som försökte komma åt programmet har inte definierats korrekt för programmet i den lokala konfigurationen. Kontrollera att användaren har nödvändiga lokala behörigheter för att få åtkomst till serverdelsprogrammet. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Det här felet uppstår när en användare försöker komma åt en app med ett Microsoft-konto eller som gästanvändare. Användare och gäster med Microsoft-konto kan inte komma åt IWA-program. Se till att användaren loggar in med ett företagskonto som matchar appens domän. Åtgärda problemet genom att gå till fliken Program under Användare och grupper och tilldela användaren eller gruppen till appen. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Användaren som försökte komma åt programmet har inte definierats korrekt för programmet i den lokala konfigurationen. Kontrollera att användaren har nödvändiga lokala behörigheter för att få åtkomst till serverdelsprogrammet. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
En användare ser felet när de försöker komma åt appen som du publicerade om de inte uttryckligen tilldelades en Premium-licens av prenumerantens administratör. På fliken Microsoft Entra-ID-licenser för prenumeranten kontrollerar du att användaren eller användargruppen har tilldelats en Premium-licens. |
A server with the specified host name could not be found. |
En användare ser felet när de försöker komma åt appen som du publicerade och programmets anpassade domän inte är korrekt konfigurerad. Kontrollera certifikatet för domänen och konfigurera DNS-posten (Domain Name System) korrekt. Mer information finns i Arbeta med anpassade domäner i Microsoft Entra-programproxy. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Problemet kan vara ett problem med åtkomst till auktoriseringsinformation. Mer information finns i (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Lös felet genom att lägga till det privata nätverksanslutningsdatorkontot i den inbyggda domängruppen Windows Authorization Access Group. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Anslutningsappen använder ett klientcertifikat för att skydda utgående anslutningar till molntjänstslutpunkter för Microsoft Entra-programproxy. Felet uppstår när klientcertifikatet inte når slutpunkten. Det kan till exempel inträffa när en nätverksenhet utför TLS-inspektion (Transport Layer Security) eller bryter TLS-anslutningen. Åtgärda felet genom att undvika inspektion i realtid och förhindra avslutning av utgående TLS-kommunikation. Inspektion och avslutning får inte ske mellan privata Microsoft Entra-nätverksanslutningar och Molntjänster för Microsoft Entra-programproxy. |