Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Schritte beschrieben, die Sie ausführen können, um Probleme und Fehlermeldungen im Microsoft Entra-Anwendungsproxy zu beheben.
Bevor Sie anfangen
Das erste Zu überprüfen ist der Verbinder. Informationen zum Debuggen eines privaten Netzwerkconnectors finden Sie unter Debuggen von Problemen mit dem privaten Netzwerkconnector. Wenn weiterhin Probleme beim Herstellen einer Verbindung mit Ihrer Anwendung auftreten, kehren Sie zu diesem Artikel zurück, um die Anwendung zu beheben.
Wenn beim Zugriff oder Veröffentlichen einer Anwendung ein Fehler auftritt, führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Microsoft Entra-Anwendungsproxy ordnungsgemäß funktioniert:
Öffnen Sie die Windows-Dienste-Konsole. Stellen Sie sicher, dass der Dienst Microsoft Entra Private Network Connector einsatzbereit ist und läuft. Sehen Sie sich die Seite mit den Eigenschaften des Anwendungsproxydiensts an.
Öffnen Sie die Ereignisanzeige. Wechseln Sie zu Anwendungen und Dienstenprotokolle>Microsoft>Microsoft Entra Private Network>Connector>Administrator, und suchen Sie nach Ereignissen des privaten Netzwerkconnectors.
Überprüfen Sie detaillierte Protokolle. Erfahren Sie, wie Sie Sitzungsprotokolle für private Netzwerkconnectors aktivieren.
Fehler bei der Anwendungskonfiguration
Lesen Sie die folgenden Abschnitte für häufige Konfigurationsprobleme und vorgeschlagene Lösungen.
Die App wird nicht korrekt dargestellt.
Sie haben Probleme mit dem Rendern der Anwendung, oder es funktioniert falsch, aber es wird keine bestimmte Fehlermeldung angezeigt.
Dieses Problem tritt auf, wenn eine Anwendung Inhalte erfordert, die außerhalb des Pfads vorhanden sind, den Sie zum Veröffentlichen der App verwendet haben.
Wenn Sie beispielsweise den Pfad https://yourapp/appveröffentlichen, die Anwendung jedoch auf Bilder verweist, die sich in https://yourapp/mediader Anwendung befinden, werden die Bilder nicht in der Anwendung angezeigt.
Stellen Sie sicher, dass Sie die Anwendung mithilfe des Pfads der höchsten Ebene veröffentlichen, den Sie benötigen, um alle referenzierten Inhalte und Dateien einzuschließen. Im Beispiel ist diese Ebene http://yourapp/.
Überprüfen Sie, ob die fehlenden Ressourcen das Problem verursacht haben:
- Öffnen Sie Ihre Netzwerkverfolgung, z. B. mithilfe von Fiddler- oder Browserentwicklertools (wählen Sie F12 in Internet Explorer oder Microsoft Edge aus).
- Laden Sie die Seite.
- Suchen Sie nach Fehlern mit ID 404.
Ein 404-Fehler gibt an, dass Seiten nicht gefunden werden können und dass Sie sie veröffentlichen müssen.
Das Laden der App dauert zu lange.
Anwendungen können funktionsfähig sein, weisen jedoch eine lange Latenz auf.
Sie können Änderungen an Ihrer Netzwerktopologie vornehmen, um die Anwendungsgeschwindigkeit zu verbessern. Überprüfen Sie die Netzwerküberlegungen.
Problem beim Veröffentlichen als einzelne Anwendung
Wenn Sie nicht alle Ressourcen in derselben Anwendung veröffentlichen können, veröffentlichen Sie mehrere Anwendungen, und richten Sie Verknüpfungen zwischen ihnen ein. Für dieses Szenario wird empfohlen, benutzerdefinierte Domänen zu verwenden. Diese Lösung erfordert jedoch, dass Sie das Zertifikat für Ihre Domäne besitzen und ihre Anwendungen vollqualifizierte Domänennamen (FQDNs) verwenden. Problembehandlung bei fehlerhaften Links für andere Optionen.
Problem beim Einrichten der Konnektivität für eine App
Ursachen und vorgeschlagene Auflösungen finden Sie unter Ports, die für eine Anwendungsproxyanwendung geöffnet werden sollen.
Problem beim Konfigurieren des Microsoft Entra-Anwendungsproxys im Verwaltungsportal
Ursachen und vorgeschlagene Lösungen finden Sie unter Einmaliges Anmelden in einer Anwendungsproxyanwendung.
Problem beim Festlegen der Back-End-Authentifizierung auf die Anwendung
Ursachen und vorgeschlagene Lösungen finden Sie in den folgenden Artikeln:
- Problembehandlung bei der eingeschränkten Kerberos-Delegierung
- Einmaliges Anmelden mithilfe von Anwendungsproxy und PingAccess
Anmeldung bei der Anwendung nicht möglich
Wenn der Fehler This corporate app can’t be accessed angezeigt wird und Sie sich nicht bei Ihrer Anwendung anmelden können, ist ein Konfigurationsfehler aufgetreten. Informationen zu vorgeschlagenen Lösungen finden Sie unter "Problembehandlung bei fehlerhaften Gatewaytimeoutfehlern.
Fehler des privaten Netzwerkanschlusses
Ursachen und vorgeschlagene Auflösungen finden Sie unter Installieren des privaten Netzwerkconnectors.
Kerberos-Fehler
In der folgenden Tabelle werden die häufigeren Fehler und deren Auflösung im Kerberos-Setup und in der Konfiguration beschrieben:
| Fehler | Erläuterungen und zu ergreifende Schritte |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Wenn die Connectorinstallation fehlschlägt, überprüfen Sie, ob die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist. 1. Öffnen Sie den Gruppenrichtlinien-Editor. 2. Wechseln Sie zu Computerkonfiguration>, Administrative Vorlagen>, Windows-Komponenten>, Windows PowerShell, und doppelklicken Sie dann auf "Skriptausführung aktivieren". 3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Wenn die Richtlinie auf "Aktiviert" festgelegt ist, stellen Sie sicher, dass unter "Optionen" die Ausführungsrichtlinie auf " Lokale Skripts zulassen" und "Remotesignaturen zulassen " oder auf "Alle Skripts zulassen" festgelegt ist. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Dieser Fehler zeigt eine falsche Konfiguration zwischen Microsoft Entra ID und dem Back-End-Anwendungsserver an, oder es liegt ein Problem mit der Uhrzeit- und Datumskonfiguration auf beiden Computern vor. Der Back-End-Server hat das Kerberos-Ticket abgelehnt, das von Microsoft Entra ID erstellt wurde. Stellen Sie sicher, dass die Microsoft Entra-ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind. Stellen Sie sicher, dass die Zeit- und Datumskonfiguration auf dem Microsoft Entra-ID- und Back-End-Anwendungsserver synchronisiert werden. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Es gibt ein Problem mit der Sicherheitstokendienstkonfiguration (SECURITY Token Service, STS). Korrigieren Sie die Anspruchskonfiguration des Benutzerprinzipalnamens (User Principal Name, UPN) im STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Dieses Ereignis gibt eine falsche Konfiguration zwischen Der Microsoft Entra-ID und dem Domänencontrollerserver oder ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern an. Der Domänencontroller hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra-ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind, insbesondere die Konfiguration des Dienstprinzipalnamens (Service Principal Name, SPN). Stellen Sie sicher, dass der Domänencontroller eine Vertrauensstellung mit der Microsoft Entra-ID herstellt. Beide sollten dieselbe Domäne verwenden. Stellen Sie sicher, dass die Uhrzeit- und Datumskonfiguration in der Microsoft Entra-ID und dem Domänencontroller synchronisiert werden. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Dieses Ereignis gibt eine falsche Konfiguration zwischen Der Microsoft Entra-ID und dem Domänencontrollerserver oder ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern an. Der Domänencontroller hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra-ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind, insbesondere die SPN-Konfiguration. Stellen Sie sicher, dass der Domänencontroller eine Vertrauensstellung mit der Microsoft Entra-ID herstellt. Beide sollten dieselbe Domäne verwenden. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Domänencontroller synchronisiert ist. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Dieses Ereignis gibt eine falsche Konfiguration zwischen Microsoft Entra-ID und dem Back-End-Anwendungsserver oder ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern an. Der Back-End-Server hat das kerberos-Ticket abgelehnt, das von Microsoft Entra ID erstellt wurde. Stellen Sie sicher, dass die Microsoft Entra-ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind. Stellen Sie sicher, dass die Zeit- und Datumskonfiguration auf der Microsoft Entra-ID und dem Back-End-Anwendungsserver synchronisiert werden. Weitere Informationen finden Sie unter Problembehandlung für eingeschränkte Kerberos-Delegierungskonfigurationen für den Anwendungsproxy. |
App-Benutzerfehler
In der folgenden Tabelle werden Fehler beschrieben, die bei dem Versuch, auf eine Anwendungsproxy-App zuzugreifen, auftreten können:
| Fehler | Erläuterungen und zu ergreifende Schritte |
|---|---|
The website cannot display the page. |
Ein Benutzer sieht den Fehler, wenn er versucht, auf eine von Ihnen veröffentlichte integrierte Windows-Authentifizierungs-App (IWA) zuzugreifen. Der definierte SPN für die Anwendung ist falsch. Stellen Sie sicher, dass der SPN für die Anwendung korrekt ist. |
The website cannot display the page. |
Ein Benutzer sieht den Fehler, wenn er versucht, auf eine veröffentlichte Outlook Web Application (OWA)-App zuzugreifen. Das Problem ergibt sich aus: – Der definierte SPN für die Anwendung ist falsch. Stellen Sie sicher, dass der SPN für die Anwendung korrekt ist. – Der Benutzer, der versucht hat, auf die Anwendung zuzugreifen, verwendet ein Microsoft-Konto anstelle seines Unternehmenskontos, um sich anzumelden, oder der Benutzer ist ein Gastbenutzer. Stellen Sie sicher, dass sich der Benutzer mit einem Unternehmenskonto anmeldet, das der Domäne der veröffentlichten Anwendung entspricht. Microsoft-Kontobenutzer und Gäste können nicht auf IWA-Anwendungen zugreifen. – Der Benutzer, der versucht hat, auf die Anwendung zuzugreifen, ist in der lokalen Konfiguration nicht ordnungsgemäß für die Anwendung definiert. Stellen Sie sicher, dass der Benutzer über die erforderlichen lokalen Berechtigungen für den Zugriff auf die Back-End-Anwendung verfügt. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Dieser Fehler tritt auf, wenn ein Benutzer versucht, mithilfe eines Microsoft-Kontos oder als Gastbenutzer auf eine App zuzugreifen. Microsoft-Kontobenutzer und Gäste können nicht auf IWA-Anwendungen zugreifen. Stellen Sie sicher, dass sich der Benutzer mit einem Unternehmenskonto anmeldet, das der Domäne der App entspricht. Um das Problem zu beheben, wechseln Sie unter "Benutzer und Gruppen" zur Registerkarte "Anwendung", und weisen Sie der App den Benutzer oder die Gruppe zu. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
Der Benutzer, der versucht hat, auf die Anwendung zuzugreifen, ist für die Anwendung in der lokalen Konfiguration nicht ordnungsgemäß definiert. Stellen Sie sicher, dass der Benutzer über die erforderlichen lokalen Berechtigungen für den Zugriff auf die Back-End-Anwendung verfügt. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Ein Benutzer sieht den Fehler, wenn er versucht, auf die app zuzugreifen, die Sie veröffentlicht haben, wenn er nicht explizit einer Premium-Lizenz durch den Administrator des Abonnenten zugewiesen wurde. Stellen Sie auf der Registerkarte "Microsoft Entra-ID-Lizenzen " des Abonnenten sicher, dass dem Benutzer oder der Benutzergruppe eine Premium-Lizenz zugewiesen ist. |
A server with the specified host name could not be found. |
Ein Benutzer sieht den Fehler, wenn er versucht, auf die app zuzugreifen, die Sie veröffentlicht haben, und die benutzerdefinierte Domäne der Anwendung ist nicht ordnungsgemäß konfiguriert. Überprüfen Sie das Zertifikat für die Domäne, und konfigurieren Sie den DNS-Eintrag (Domain Name System). Weitere Informationen finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Microsoft Entra-Anwendungsproxy. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
Das Problem kann ein Problem mit dem Zugriff auf Autorisierungsinformationen sein. Weitere Informationen finden Sie unter (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Um den Fehler zu beheben, fügen Sie das Rechnerkonto des privaten Netzwerkconnectors zur integrierten Domänengruppe „Windows-Autorisierungszugriffsgruppe“ hinzu. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
Der Connector verwendet ein Clientzertifikat, um ausgehende Verbindungen mit Microsoft Entra-Anwendungsproxy-Clouddienstendpunkten zu sichern. Der Fehler tritt auf, wenn das Clientzertifikat den Endpunkt nicht erreicht. Beispielsweise kann es auftreten, wenn ein Netzwerkgerät Transport Layer Security (TLS)-Inspektion durchführt oder die TLS-Verbindung unterbrochen wird. Um den Fehler zu beheben, vermeiden Sie die Inlineüberprüfung und das Beenden ausgehender TLS-Kommunikation. Das Überprüfen und Beenden darf nicht zwischen privaten Microsoft Entra-Netzwerkconnectors und Clouddiensten des Microsoft Entra-Anwendungsproxys geschehen. |