Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der private Microsoft Entra-Netzwerkconnector ist eine interne Domänenkomponente, die ausgehende Verbindungen verwendet, um die Konnektivität zwischen dem in der Cloud verfügbaren Endpunkt und der internen Domäne einzurichten. Der Connector wird sowohl für Microsoft Entra Private Access als auch für den Microsoft Entra-Anwendungsproxy verwendet. In diesem Artikel wird beschrieben, wie Sie Probleme mit der Connectorinstallation und nachfolgenden Funktionen beheben.
Allgemeine Problembereiche bei der Installation des Connectors
Wenn bei der Installation eines Connectors ein Fehler auftritt, stammt die Grundursache in der Regel aus einem der folgenden Bereiche. Im Vorfeld jeglicher Problembehandlung müssen Sie den Connector neu starten.
- Konnektivität: Zum Abschluss einer erfolgreichen Installation muss der neue Connector zukünftige Eigenschaften der Vertrauensstellung registrieren und einrichten. Die Vertrauensstellung wird durch eine Verbindung mit dem Microsoft Entra-Anwendungsproxy-Clouddienst hergestellt.
- Einrichtung einer Vertrauensstellung: Der neue Connector erstellt ein selbstsigniertes Zertifikat und registriert es beim Clouddienst.
- Authentifizierung des Admin: Während der Installation müssen Administratoranmeldeinformationen bereitgestellt werden, um die Connectorinstallation abzuschließen.
Hinweis
Die Protokolle der Connectorinstallation befinden sich im %TEMP%-Ordner und können zusätzliche Informationen zur Ursache eines Installationsfehlers bieten.
Verwenden Sie das Connectordiagnosetool, um Probleme bei der Connector-Installation und Netzwerkprobleme zu identifizieren.
Das Connectordiagnosetool ist eine Exe-Befehlszeilenanwendung, die im Connectorpaket enthalten ist. Dieses Tool wurde entwickelt, um allgemeine Setup- und Laufzeitfehler des Connectors zu diagnostizieren, um Installations- oder Netzwerkprobleme zu identifizieren. Derzeit unterstützt das Tool die folgenden Prüfungen:
- Gültigkeit des Zertifikats
- Ports 80/443 Barrierefreiheit
- Ausgehende Proxykonfiguration
- CRL-Barrierefreiheit
- Connectordienst läuft
- Zugänglichkeit des Backend-Dienstendpunkts
Das Tool enthält auch zusätzliche Informationen, z. B. Zertifikatdetails (sofern das Zertifikat gültig ist), Mandanten- und Connector-ID und TLS-Versionen. Um sicherzustellen, dass aufgrund von Netzwerk- oder unterbrechungsbedingten Problemen keine Überprüfungen verpasst werden, enthält das Tool Wiederholungsversuche und druckt Ausnahmemeldungen für Verbindungsfehler.
So erhalten Sie das Tool: Das Connectordiagnosetool ist ab Version 1.5.4287.0 im Connectorinstallationspaket verfügbar. Frühere Versionen enthalten das Tool nicht. Wenn Sie die vorherige Version verwenden, ist eine neue Connectorinstallation erforderlich, um das Tool abzurufen. Eine Benutzeroberfläche wird auch ab Version 1.5.4522.0 eingeführt.
Verwenden des Tools: Nachdem Sie die Installation überprüft haben, finden Sie das Tool im Installationsordner des Connectors. Der Standardspeicherort ist C:/Program Files/Microsoft Entra Private Network Connector. Wählen Sie die Anwendung ConnectorDiagnosticsTool aus, um das Tool zu starten.
PowerShell-Beispielausgabe:
Beispielausgabe der Benutzeroberfläche (Ab Version 1.5.4522.0):
Überprüfen der Konnektivität mit dem Cloudanwendungsproxy-Dienst und der Microsoft-Anmeldeseite
Ziel: Überprüfen Sie, ob der Connectorcomputer eine Verbindung mit dem Registrierungsendpunkt des Anwendungsproxys und der Microsoft-Anmeldeseite herstellen kann.
Führen Sie auf dem Connectorserver einen Porttest aus, indem Sie telnet oder ein anderes Tool zum Testen von Ports verwenden, um zu überprüfen, ob die Ports 443 und 80 geöffnet sind.
Stellen Sie sicher, dass der Firewall- oder Back-End-Proxy Zugriff auf die erforderlichen Domänen und Ports hat, siehe Connectors konfigurieren.
Öffnen Sie eine Browserregisterkarte, und geben Sie
https://login.microsoftonline.comein. Stellen Sie sicher, dass Sie sich anmelden können.
Überprüfen der Unterstützung von Zertifikaten für Computer und Back-End-Komponenten
Objektiv: Stellen Sie sicher, dass der Connectorcomputer, der Back-End-Proxy und die Firewall das vom Connector erstellte Zertifikat unterstützen. Vergewissern Sie sich außerdem, dass das Zertifikat gültig ist.
Hinweis
Der Connector versucht, ein SHA512 Zertifikat zu erstellen, das Transport Layer Security (TLS) 1.2 unterstützt. Wenn der Computer oder die Back-End-Firewall und der Proxy TLS 1.2 nicht unterstützt, schlägt die Installation fehl.
Überprüfen Sie die erforderlichen Voraussetzungen:
Überprüfen Sie, ob der Computer Transport Layer Security (TLS) 1.2 unterstützt – Alle Windows-Versionen nach 2012 R2 sollten TLS 1.2 unterstützen. Wenn für Ihren Connectorcomputer eine Version von 2012 R2 oder früher verwendet wird, sollten Sie sicherstellen, dass die erforderlichen Updates installiert sind.
Wenden Sie sich an die für die Netzwerkadministration zuständige Person, um den Back-End-Proxy und die Firewall überprüfen zu lassen, damit ausgehender
SHA512-Datenverkehr nicht blockiert wird.
So überprüfen Sie das Clientzertifikat
Überprüfen Sie den Fingerabdruck des aktuellen Clientzertifikats. Der Zertifikatspeicher befindet sich in %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
Die möglichen IsInUserStore-Werte lauten true und false. Der Wert true bedeutet, dass das Zertifikat automatisch erneuert und im persönlichen Container im Benutzerzertifikatspeicher des Netzwerkdienstes gespeichert wird. Der Wert "false" bedeutet, dass das Clientzertifikat bei der Installation erstellt wird oder die Registrierung Register-MicrosoftEntraPrivateNetworkConnector beginnt. Das Zertifikat wird im persönlichen Container im Zertifikatspeicher des lokalen Computers gespeichert.
Wenn der Wert true lautet, führen Sie zur Überprüfung des Zertifikats die folgenden Schritte aus:
- Laden Sie PsTools.zip herunter.
- Extrahieren Sie PsExec aus dem Paket, und führen Sie psexec -i -u "nt authority\network service" cmd.exe an einer Eingabeaufforderung mit erhöhten Rechten aus.
- Führen Sie certmgr.msc in der neu angezeigten Eingabeaufforderung aus.
- Erweitern Sie in der Verwaltungskonsole den persönlichen Container, und wählen Sie „Zertifikate“ aus.
- Suchen Sie das für connectorregistrationca.msappproxy.net ausgestellte Zertifikat.
Wenn der Wert false lautet, führen Sie zur Überprüfung des Zertifikats die folgenden Schritte aus:
- Führen Sie certlm.msc aus.
- Erweitern Sie in der Verwaltungskonsole den persönlichen Container, und wählen Sie „Zertifikate“ aus.
- Suchen Sie das für connectorregistrationca.msappproxy.net ausgestellte Zertifikat.
So erneuern Sie das Clientzertifikat
Wenn ein Connector über mehrere Monate hinweg keine Verbindung mit dem Dienst herstellt, könnten die Zertifikate veraltet sein. Der Fehler bei der Zertifikaterneuerung führt zu einem abgelaufenen Zertifikat. Das abgelaufene Zertifikat führt dazu, dass der Connector-Dienst nicht mehr funktioniert. Das Ereignis 1000 wird im Verwaltungsprotokoll des Connectors aufgezeichnet:
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
In diesem Fall müssen Sie den Connector deinstallieren und neu installieren, um die Registrierung auszulösen, oder Sie führen die folgenden PowerShell-Befehle aus:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Weitere Informationen zum Befehl Register-MicrosoftEntraPrivateNetworkConnector finden Sie unter Erstellen eines Skripts für die unbeaufsichtigte Installation des privaten Microsoft Entra-Netzwerkconnectors.
Überprüfen, dass der Connector vom Administrator installiert wird
Ziel: Überprüfen Sie, ob der Benutzer, der versucht, den Connector zu installieren, ein Administrator mit den richtigen Anmeldeinformationen ist. Derzeit muss der Benutzer mindestens ein Anwendungsadministrator sein, damit die Installation erfolgreich ausgeführt werden kann.
So überprüfen Sie, ob die Anmeldeinformationen korrekt sind:
Stellen Sie eine Verbindung mit https://login.microsoftonline.com her, und verwenden Sie die gleichen Anmeldeinformationen. Stellen Sie sicher, dass die Anmeldung erfolgreich ist. Überprüfen Sie die Benutzerrolle: Gehen Sie zu Microsoft Entra ID>Benutzer und Gruppen>Alle Benutzer.
Wählen Sie Ihr Benutzerkonto und dann im daraufhin angezeigten Menü Verzeichnisrolle aus. Stellen Sie sicher, dass die Rolle Anwendungsadmin ausgewählt ist. Wenn Sie nicht auf die in diesen Schritten verwendeten Seiten zugreifen können, verfügen Sie nicht über die erforderliche Rolle.
Hinweis
Sie sollten während der Connectorinstallation über ein Popup zur Eingabe Ihrer Administratoranmeldeinformationen aufgefordert werden. Wenn Sie kein Popup erhalten, stellen Sie sicher, dass Ihre Browsereinstellungen Popups aktivieren und JavaScript aktiviert ist. Während des nächsten Installationsversuchs werden Sie aufgefordert, Websites zu vertrauenswürdigen Websites hinzuzufügen. Nachdem die Websites zu vertrauenswürdigen Websites hinzugefügt wurden, führen Sie die Installation erneut aus.
Connectorfehler
Wenn während der Installation des Verbindungsassistenten ein Fehler bei der Registrierung auftritt, gibt es zwei Möglichkeiten, den Grund hierfür zu erfahren. Suchen Sie entweder im Ereignisprotokoll unter Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" oder führen Sie den folgenden Windows PowerShell-Befehl aus:
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
Sobald Sie den Connectorfehler im Ereignisprotokoll gefunden haben, beheben Sie das Problem anhand dieser Tabelle mit häufig auftretenden Fehlern:
| Fehler | Empfohlene Schritte |
|---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Wenn Sie das Registrierungsfenster geschlossen haben, ohne sich bei Microsoft Entra ID anzumelden, führen Sie den Connector-Assistenten erneut aus, und registrieren Sie den Connector. Wenn sich das Registrierungsfenster öffnet und dann sofort wieder schließt, ohne dass Sie sich anmelden können, erhalten Sie den Fehler. Der Fehler tritt auf, wenn in Ihrem System ein Netzwerkfehler vorliegt. Stellen Sie sicher, dass sie mit einem Browser eine Verbindung mit einer öffentlichen Website herstellen können, und dass die Ports wie unter Connectors konfigurieren angegeben geöffnet sind. |
Clear error is presented in the registration window. Cannot proceed |
Wenn die Fehlermeldung angezeigt und das Fenster dann geschlossen wird, haben Sie den Benutzernamen oder das Kennwort falsch eingegeben. Versuchen Sie es erneut. |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
Sie versuchen, sich mithilfe eines Microsoft-Kontos und nicht mithilfe einer Domäne anzumelden, die Bestandteil der Organisations-ID des Verzeichnisses ist, auf das Sie zugreifen möchten. Der Administrator muss Teil desselben Domänennamens wie die Mandantendomäne sein. Wenn die Microsoft Entra-Domäne beispielsweise contoso.com ist, muss der Administrator admin@contoso.com sein. |
Failed to retrieve the current execution policy for running PowerShell scripts. |
Falls die Installation des Connectors nicht erfolgreich verläuft, stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist. 1. Öffnen Sie den Gruppenrichtlinien-Editor. 2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows PowerShell, und doppelklicken Sie auf Skriptausführung aktivieren. 3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Stellen Sie bei der Einstellung Aktiviert sicher, dass die Ausführungsrichtlinie unter „Optionen“ auf Lokale Skripts und remote signierte Skripts zulassen oder Alle Skripts zulassen festgelegt ist. |
Connector failed to download the configuration. |
Das Clientzertifikat des Connectors, das für die Authentifizierung verwendet wird, ist abgelaufen. Das Problem tritt auf, wenn der Connector hinter einem Proxy installiert ist. In diesem Fall kann der Connector nicht auf das Internet zugreifen und ist nicht in der Lage, Anwendungen für Remotebenutzer bereitzustellen. Erneuern Sie die Vertrauensstellung manuell mithilfe des Cmdlets Register-MicrosoftEntraPrivateNetworkConnector in Windows PowerShell. Wenn sich der Connector hinter einem Proxy befindet, ist es notwendig, den Connectorkonten network services und local system Zugriff auf das Internet zu gewähren. Das Gewähren des Zugriffs erfolgt durch Gewähren des Zugriffs auf den Proxy oder durch Umgehen des Proxys. |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
Der Alias, mit dem Sie sich anzumelden versuchen, ist kein Administrator für diese Domäne. Ihr Connector wird immer für das Verzeichnis installiert, das die Domäne des Benutzers besitzt. Stellen Sie sicher, dass das Administratorkonto, mit dem Sie sich anmelden möchten, mindestens über Anwendungsadministratorberechtigungen für den Microsoft Entra-Mandanten verfügt. |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
Der Connector kann keine Verbindung mit dem Cloud-Dienst des Anwendungsproxys herstellen. Das Problem tritt auf, wenn eine Firewallregel die Verbindung blockiert. Zugriff auf die richtigen Ports und URLs zulassen, die in Connectors konfigurieren aufgeführt sind. |
Flussdiagramm für Anschlussprobleme
In diesem Flussdiagramm werden die Schritte zum Debuggen von einigen häufigeren Connectorproblemen beschrieben. Ausführliche Informationen zu den einzelnen Schritten finden Sie in der Tabelle unter dem Flussdiagramm.
| Schritt | Handlung | BESCHREIBUNG |
|---|---|---|
| 1 | Finden Sie die Connectorgruppe, die der App zugewiesen ist | Vermutlich haben Sie einen Connector auf mehreren Servern installiert. In diesem Fall sollten die Connectors einer Connectorgruppe zugewiesen sein. Weitere Informationen zu Connectorgruppen finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectorgruppen. |
| 2 | Installieren des Connectors und Zuweisen einer Gruppe | Wenn Sie keinen Connector installiert haben, lesen Sie die Konfiguration von Connectors. Lesen Sie den Abschnitt zum Zuweisen des Connectors zu einer Gruppe, wenn der Connector keiner Gruppe zugewiesen ist. Lesen Sie den Abschnitt Zuweisen von Anwendungen zu Ihren Connectorgruppen, wenn die Anwendung keiner Connectorgruppe zugewiesen ist. |
| 3 | Ausführen eines Porttests auf dem Connectorserver | Führen Sie auf dem Connectorserver einen Porttest aus, indem Sie telnet oder ein anderes Tool zum Testen von Ports verwenden, um zu überprüfen, ob die Ports richtig konfiguriert sind. Weitere Informationen finden Sie unter Connectors konfigurieren. |
| 4 | Konfigurieren der Domänen und Ports | Konfigurieren Sie Connectors für den Connector. Einige Ports müssen offen und URLs sein, auf die Ihr Server zugreifen kann. Weitere Informationen finden Sie unter Connectors konfigurieren. |
| 5 | Überprüfen, ob ein Back-End-Proxy verwendet wird | Überprüfen Sie, ob die Connectors Back-End-Proxyserver nutzen oder diese umgehen. Ausführliche Informationen finden Sie unter Problembehandlung für Proxyprobleme des Connectors und Verbindungsprobleme von Diensten. |
| 6 | Aktualisieren des Connectors und Updaters mit den Informationen des Back-End-Proxys | Wenn ein Back-End-Proxy verwendet wird, sollten Sie sicherstellen, dass für den Connector derselbe Proxy genutzt wird. Ausführliche Informationen zur Problembehandlung und Konfiguration für Connectors in Bezug auf die Zusammenarbeit mit Proxyservern finden Sie unter Verwenden von vorhandenen lokalen Proxyservern. |
| 7 | Laden der internen URL der App auf dem Connectorserver | Laden Sie auf dem Connectorserver die interne URL der App. |
| 8 | Überprüfen der internen Netzwerkkonnektivität | In Ihrem internen Netzwerk besteht ein Konnektivitätsproblem, das von diesem Debugvorgang nicht diagnostiziert werden kann. Für die Anwendung muss der interne Zugriff möglich sein, damit die Connectors funktionieren. Sie können Protokolle für Connectorereignisse wie unter Private Netzwerkconnectors beschrieben aktivieren und anzeigen. |
| 9 | Erhöhen des Timeoutwerts auf dem Back-End | Ändern Sie unter Zusätzliche Einstellungen für Ihre Anwendung die Einstellung Timeout der Back-End-Anwendung in Lang. Weitere Informationen finden Sie unter Hinzufügen einer lokalen App zu Microsoft Entra ID. |
| 10 | Wenn die Probleme weiterhin bestehen, debuggen Sie die Anwendungen. | Debuggen von Problemen mit Anwendungsproxyanwendungen. |
Problembehandlung der Verbindungsknotenfunktionalität
Wenn die Installation und Registrierung des Connectors erfolgreich ist, Sie aber nicht auf private Ressourcen zugreifen können, überprüfen Sie Folgendes:
- Clouddienst-Konnektivitätsfehler: Ihr Connector hat möglicherweise Probleme beim Herstellen einer Verbindung mit dem Microsoft Entra Private Access-Clouddienst. Während der Status des Connectors im Microsoft Entra Admin Center möglicherweise als aktiv angezeigt wird, kann der Connector weiterhin Probleme beim Herstellen einer Verbindung mit den Clouddienstendpunkten haben. Wenden Sie sich an Ihr Netzwerkteam, um festzustellen, ob verbindungsversuche von der Connector-IP fehlgeschlagen sind.
- Fehler beim Überprüfen der Zertifikatkette: Dieser Fehler wird in der erweiterten Protokollierung des Connectors angezeigt, wenn die Zertifikatkette für ein Zertifikat für einen globalen Sicheren Zugriffsdienst wie *.msappproxy.net nicht überprüft werden kann. Dies tritt häufig auf, wenn auf MicrosoftEntraPrivateNetworkConnectorService.exe.config ein Proxyserver konfiguriert ist, aber kein Systemproxyserver konfiguriert ist. Sie können den Systemproxy mit netsh winhttp set proxy address:port festlegen.
- Die TLS-Inspektion ist konfiguriert: Die TLS-Inspektion wird für Datenverkehr über den Private Network Connector nicht unterstützt. Der Versuch, TLS-Überprüfungen für diesen Datenverkehr durchzuführen, beeinträchtigt die Fähigkeit des Connectors, eine Verbindung mit dem globalen Sicheren Zugriffsdienst herzustellen, und beeinträchtigt daher die Fähigkeit, private Zugriffsanforderungen zu verarbeiten. Stellen Sie sicher, dass die Netzwerkgeräte, die den Internetzugriff auf Ihren privaten Netzwerkconnector zulassen, keine TLS-Inspektion durchführen.
- Proxyserver existiert zwischen Connector und Ressource: Der Connector erfordert eine direkte Sichtverbindung zur Ressource und funktioniert nicht, wenn zwischen dem Connector und der Ressource ein Proxyserver existiert. Testen Sie die Konnektivität vom Connector zu der Ressource, die Sie in Ihrer globalen Anwendung für den sicheren Zugriff definiert haben, z. B. Dateifreigabe oder RDP-Server, um sicherzustellen, dass der Connector auf die Ressource zugreifen kann. Wenn Sie keine Verbindung mit der Ressource vom Connectorserver herstellen können, müssen Sie das Netzwerkkonnektivitätsproblem zwischen dem Connector und der Ressource beheben, das u. U. das Umstellen des Connectors an einen Netzwerkstandort mit Sichtzugriff auf die Ressource umfasst.
Aktivieren der erweiterten Connectorprotokollierung
Wenn Sie eine Verbindung mit der Ressource vom Server, aber nicht vom Global Secure Access-Client herstellen können, treten möglicherweise andere Probleme mit dem Connector auf. Um dies zu untersuchen, aktivieren Sie die erweiterte Connectorprotokollierung, indem Sie die Datei MicrosoftEntraPrivateNetworkConnectorService.exe.config bearbeiten, die sich im Installationsordner des Connectors befindet (standardmäßig C:\Program Files\Microsoft Entra Private Network Connector). ** Suchen Sie den folgenden Abschnitt in der Datei, entfernen Sie die Kommentarzeilenindikatoren, die diesen Abschnitt einleiten und abschließen, und stellen Sie sicher, dass der angegebene Ordner existiert.
Der Dateiinhalt sollte wie folgt aussehen:
Nachdem Sie die Protokollierung aktiviert haben, versuchen Sie, auf die Ressource vom Global Secure Access-Client zuzugreifen, um den Fehler zu reproduzieren. Überprüfen Sie dann die Protokolldatei auf Fehler.
Häufig gestellte Fragen
Warum verwendet mein Connector noch eine ältere Version und wird nicht automatisch auf die neueste Version aktualisiert?
Dieses Verhalten kann entweder darauf zurückzuführen sein, dass der Updaterdienst nicht ordnungsgemäß funktioniert oder wenn keine neuen Updates verfügbar sind, die der Dienst installieren kann.
Der Updaterdienst ist fehlerfrei, wenn er ausgeführt wird und keine Fehler im Ereignisprotokoll aufgezeichnet werden (Anwendungs- und Dienstprotokolle -> Microsoft -> Microsoft Entra privates Netzwerk -> Updater -> Administrator).
Wichtig
Nur Hauptversionen werden für das automatische Upgrade veröffentlicht. Es wird empfohlen, Ihren Connector nur dann manuell zu aktualisieren, wenn dies unbedingt erforderlich ist. Sie können z. B. nicht auf eine Hauptversion warten, da Sie ein bekanntes Problem beheben müssen oder ein neues Feature verwenden möchten. Weitere Informationen zu neuen Versionen, dem Typ der Version (Download, automatisches Upgrade), Fehlerbehebungen und neuen Features finden Sie unter Microsoft Entra Private Network Connector: Versionsversionsverlauf.
So aktualisieren Sie einen Connector manuell
- Laden Sie die neueste Version des Connectors herunter. (Suchen Sie es im Microsoft Entra Admin Center unter globaler sicherer Zugriff>Verbinden>Connectors)
- Das Installationsprogramm startet die Dienste der Microsoft Entra-Netzwerk-Privatverbindung neu. In einigen Fällen ist möglicherweise ein Neustart des Servers erforderlich, wenn das Installationsprogramm nicht alle Dateien ersetzen kann. Daher empfiehlt es sich, alle Anwendungen (d. h. die Ereignisanzeige) zu schließen, bevor Sie das Upgrade starten.
- Führen Sie das Installationsprogramm aus. Der Upgradevorgang ist schnell und erfordert keine Anmeldeinformationen, und der Connector wird nicht erneut registriert.
Können Dienste für private Netzwerkconnectors in einem anderen als dem Standardbenutzerkontext ausgeführt werden?
Nein, dieses Szenario wird nicht unterstützt. Die Standardeinstellungen sind folgende:
- Microsoft Entra privater Netzwerk-Connector – WAPCSvc – Netzwerkdienst
- Updater für den privaten Microsoft Entra-Netzwerkconnector – WAPCUpdaterSvc – NT Authority\System
Können Gastbenutzende mit einer aktiven Administratorrollenzuweisung den Connector für den (Gast)-Mandanten registrieren?
Nein, dies ist derzeit nicht möglich. Der Registrierungsversuch erfolgt immer beim Basismandanten der Benutzenden.
Meine Back-End-Anwendung wird auf mehreren Webservern gehostet und erfordert Benutzersitzungspersistenz (Bindung). Wie kann ich Sitzungspersistenz erreichen?
Empfehlungen finden Sie unter Hochverfügbarkeit und Lastenausgleich von privaten Netzwerkconnectors und -anwendungen.
Wird die TLS-Terminierung (TLS/HTTPS-Prüfung oder -Beschleunigung) für Datenverkehr von den Connectorservern zu Azure unterstützt?
Der private Netzwerkconnector führt eine zertifikatbasierte Authentifizierung bei Azure durch. Die TLS-Terminierung (TLS/HTTPS-Prüfung oder -Beschleunigung) unterbricht diese Authentifizierungsmethode und wird nicht unterstützt. Der Datenverkehr vom Connector zu Azure muss alle Geräte umgehen, die eine TLS-Terminierung ausführen.
Ist TLS 1.2 für alle Verbindungen erforderlich?
Ja. Zur Bereitstellung erstklassiger Verschlüsselung für unsere Kundschaft beschränkt der Anwendungsproxydienst den Zugriff ausschließlich auf TLS 1.2-Protokolle. Diese Änderungen wurden nach und nach bereitgestellt und sind seit dem 31. August 2019 wirksam. Vergewissern Sie sich, dass alle Kombinationen aus Client/Server und Browser/Server für die Verwendung von TLS 1.2 aktualisiert wurden, um die Verbindung mit dem Anwendungsproxydienst sicherzustellen. Dazu gehören Clients, mit denen Ihre Benutzer auf Anwendungen zugreifen, die über den Anwendungsproxy veröffentlicht werden. Nützliche Referenzen und Ressourcen finden Sie unter Vorbereiten der Verwendung von TLS 1.2 in Office 365.
Kann ich ein Weiterleitungsproxygerät zwischen den Connectorservern und dem Back-End-Anwendungsserver platzieren?
Dieses Szenario wird ab der Connectorversion 1.5.1526.0 für den Microsoft Entra-Anwendungsproxy unterstützt, wird jedoch für Microsoft Entra Private Access nicht unterstützt. Informationen zu dieser Unterstützung für App-Proxy finden Sie unter "Arbeiten mit vorhandenen lokalen Proxyservern ".
Sollte ich ein dediziertes Konto erstellen, um den Connector beim Microsoft Entra-Anwendungsproxy zu registrieren?
Es gibt keinen Grund, ein dediziertes Konto zu erstellen. Jedes Konto mit der Rolle „Anwendungsadministrator“ funktioniert. Die bei der Installation eingegebenen Anmeldeinformationen werden nach dem Registrierungsprozess nicht verwendet. Stattdessen wird ein Zertifikat für den Connector ausgestellt, das ab diesem Zeitpunkt für die Authentifizierung verwendet wird.
Wie kann ich die Leistung des Microsoft Entra-Connectors für private Netzwerke überwachen?
Es gibt Leistungsüberwachungszähler, die zusammen mit dem Connector installiert werden. Gehen Sie wie folgt vor, um diese anzuzeigen:
- Wählen Sie Start aus, geben Sie „Perfmon“ ein, und drücken Sie die EINGABETASTE.
- Wählen Sie "Leistungsmonitor" aus, und wählen Sie das grüne + Symbol aus.
- Fügen Sie die Leistungsindikatoren des privaten Microsoft Entra-Netzwerkconnectors hinzu, die Sie überwachen möchten.
Muss sich der Microsoft Entra-Connector für private Netzwerke im selben Subnetz befinden wie die Ressource befinden?
Der Connector muss sich nicht in demselben Subnetz befinden. Er benötigt jedoch eine Namensauflösung (DNS, Hostdatei) für die Ressource und die erforderliche Netzwerkkonnektivität (Routing an die Ressource, für die Ressource geöffnete Ports usw.). Empfehlungen finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Microsoft Entra-Anwendungsproxys.
Warum wird der Connector weiterhin im Microsoft Entra Admin Center angezeigt, nachdem ich den Connector auf dem Server deinstalliert habe?
Wenn ein Connector ausgeführt wird, bleibt er beim Herstellen der Verbindung mit dem Dienst aktiv. Deinstallierte oder nicht verwendete Connectors werden als inaktiv markiert und werden nach 10 Tagen Inaktivität aus dem Microsoft Entra Admin Center entfernt. Es gibt keine Möglichkeit, den inaktiven Connector manuell aus dem Microsoft Entra Admin Center zu entfernen.