アプリケーション プロキシの問題とエラー メッセージのトラブルシューティング
まず、プライベート ネットワーク コネクタが正しく構成されていることを確認します。 詳しくは、プライベート ネットワーク コネクタの問題のデバッグに関する記事と「アプリケーション プロキシ アプリケーションの問題をデバッグする」をご覧ください。
発行されたアプリケーションへのアクセス中、またはアプリケーションの発行中にエラーが発生する場合は、Microsoft Entra アプリケーション プロキシが正しく機能しているかどうかを次のオプションで確認します。
- Windows サービス コンソールを開きます。 Microsoft Entra プライベート ネットワーク コネクタ サービスが有効で実行されていることを確認します。 図に示すように、アプリケーション プロキシ サービスのプロパティ ページを確認します。
- イベント ビューアーを開き、[アプリケーションとサービス ログ] > [Microsoft>] [Microsoft Entra プライベート ネットワーク] > [コネクタ] > [管理者] でプライベート ネットワーク コネクタ イベントを探します。
- 詳細なログを確認します。 プライベート ネットワーク コネクタのセッション ログを有効にします。
ページが正しく表示されない
特定のエラー メッセージを受け取らずに、アプリケーションが正しくレンダリングまたは機能しない問題が発生しています。 この問題は、ユーザーが記事のパスを発行しましたが、アプリケーションではそのパスの外部に存在するコンテンツが必要な場合に発生します。
たとえば、ユーザーが https://yourapp/app というパスを発行しても、アプリケーションが https://yourapp/media 内の画像を呼び出した場合、それはレンダリングされません。 アプリケーションの発行には、関連するコンテンツをすべて含めるために必要な最上位のパスを使用するようにしてください。 この例では http://yourapp/ になります。
アプリケーション プロキシのアプリケーション読み込みに時間がかかりすぎる
アプリケーションは機能したまま、待ち時間が長くなることがあります。 ネットワーク トポロジを調整することで、速度が改善する場合があります。 さまざまなトポロジの評価については、ネットワークに関する考慮事項のマニュアルをご覧ください。
アプリケーション プロキシ アプリケーションでアプリケーション ページが正しく表示されない
アプリケーション プロキシ アプリを発行し、アプリケーションにアクセスすると、ルートの下にあるページにしかアクセスできません。 ページが正しく表示されない場合、アプリケーションで使用するルートの内部 URL で、ページ リソースの一部が見つからない可能性があります。 この問題を解決するには、ページの "すべて" のリソースをアプリケーションの一部として公開します。
不足しているリソースが問題になっているかどうかを確認します。 Fiddler や Microsoft Edge の F12 ツールなどのネットワーク トラッカーを開きます。 ページを読み込み、404 エラーを探します。 このエラーは、ページが見つからないこと、およびそのページを発行する必要があることを示します。
たとえば、内部 URL http://myapps/expenses を使用して経費アプリケーションを発行しましたが、そのアプリではスタイルシート http://myapps/style.css が使用されているとします。 そのスタイル シートはアプリケーションでは発行されていないため、経費アプリを読み込むと、style.css を読み込もうとしたときに 404 エラーがスローされます。 この例では、内部 URL http://myapp/ を使用してアプリケーションを発行することで、問題を解決します。
1 つのアプリケーションとしての発行による問題
同じアプリケーション内で発行できないリソースがある場合は、複数のアプリケーションを発行し、そのアプリケーション間のリンクを有効にする必要があります。
その場合は、カスタム ドメイン ソリューションを使用することをお勧めします。 ただし、このソリューションでは、ドメイン用の証明書を所有し、アプリケーションが完全修飾ドメイン名 (FQQN) を使用する必要があります。 その他のオプションについては、「壊れたリンクのトラブルシューティングに関するドキュメント」を参照してください。
アプリケーションにはアクセスできますが、アプリケーション ページのリンクが動作しません。
アプリケーションで接続に関する問題が発生する
アプリケーションのために開く必要があるポートがわかりません。
管理ポータルで Microsoft Entra アプリケーション プロキシを構成するときに問題が発生する
アプリケーション プロキシ アプリケーションへのシングル サインオンの構成方法がわかりません。
アプリケーションに対するバックエンド認証を設定するときに問題が発生する
Kerberos の制約付き委任の構成方法がわかりません。 PingAccess を使ってアプリケーションを構成する方法がわかりません。
アプリケーションにサインインするときに問題が発生する
エラー Can't Access this Corporate Application が発生します。 この問題を解決するには、無効なゲートウェイ タイムアウト エラーに関する記事をご覧ください。
プライベート ネットワーク コネクタで問題が発生する
プライベート ネットワーク コネクタのインストールに問題があります。
Kerberos のエラー
この表では、Kerberos のセットアップと構成に関連する一般的なエラーと、推奨される解決策を示します。
| エラー | 推奨される手順 |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
コネクタのインストールが失敗する場合は、PowerShell の実行ポリシーが無効になっていないことを確認します。 1.グループ ポリシー エディターを開きます。 2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows PowerShell] の順に移動して、 [スクリプトの実行を有効にする] をダブルクリックします。 3.実行ポリシーは、 [未構成] または [有効] に設定できます。 [有効] に設定した場合は、[オプション] で実行ポリシーが [ローカル スクリプトおよびリモートの署名済みスクリプトを許可する] または [すべてのスクリプトを許可する] に設定されていることを確認します。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
このエラーは、Microsoft Entra ID とバックエンド アプリケーション サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示しています。 バックエンド サーバーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認してください。 Microsoft Entra ID とバックエンド アプリケーション サーバーの日付と時刻の構成が同期されていることを確認してください。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
セキュリティ トークン サービス (STS) の構成に問題があります。 STS でユーザー プリンシパル名 (UPN) 要求の構成を修正します。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
このイベントは、Microsoft Entra ID とドメイン コントローラー サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示しています。 ドメイン コントローラーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認します (特にサービス プリンシパル名 (SPN) の構成)。 ドメイン コントローラーが Microsoft Entra ID との信頼を確立していることを確認します。 どちらも同じドメインを使う必要があります。 Microsoft Entra ID とドメイン コントローラーでの日付と時刻の構成が同期されていることを確認します。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
このイベントは、Microsoft Entra ID とドメイン コントローラー サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示しています。 ドメイン コントローラーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認してください (特に SPN 構成)。 ドメイン コントローラーが Microsoft Entra ID との信頼を確立していることを確認します。 どちらも同じドメインを使う必要があります。 Microsoft Entra ID とドメイン コントローラーの日付と時刻の構成が同期されていることを確認してください。 |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
このイベントは、Microsoft Entra ID とバックエンド アプリケーション サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示しています。 バックエンド サーバーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認してください。 Microsoft Entra ID とバックエンド アプリケーション サーバーの日付と時刻の構成が同期されていることを確認してください。 詳細については、「アプリケーション プロキシ用の Kerberos 制約付き委任構成のトラブルシューティング」を参照してください。 |
エンド ユーザーのエラー
ここでは、エンド ユーザーがアプリにアクセスしようとして失敗たときに表示される可能性のあるエラーについて説明します。
| エラー | 推奨される手順 |
|---|---|
The website cannot display the page. |
アプリケーションが統合 Windows 認証 (IWA) アプリケーションの場合、発行されたアプリにユーザーがアクセスしようとするとこのエラーが発生します。 このアプリケーションのために定義された SPN が正しくありません。 IWA アプリの場合: このアプリケーションのために構成された SPN が正しいことを確認してください。 |
The website cannot display the page. |
アプリケーションが Outlook Web アプリ (OWA) アプリケーションの場合、発行されたアプリにユーザーがアクセスしようとするとこのエラーが発生します。 問題の原因は次のとおりです。 |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
サインインに企業アカウントではなく Microsoft アカウントを使用しているユーザーが、発行済みのアプリにアクセスしようとしたときに、このエラーが表示されます。 このエラーはゲスト ユーザーにも表示されます。 Microsoft アカウントのユーザーとゲストは、IWA アプリケーションにアクセスできません。 ユーザーが、発行されたアプリケーションのドメインに一致する企業アカウントを使用してサインインするようにします。 このアプリケーションに対してユーザーを割り当てる必要があります。 [アプリケーション] タブに移動し、 [ユーザーとグループ] でこのユーザーまたはユーザー グループをこのアプリケーションに割り当てます。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
発行されたアプリにアクセスしようとしたユーザーが、オンプレミス側でこのアプリケーションに対して適切に定義されていない場合、このエラーが発生します。 ユーザーが、オンプレミス コンピューターでこのバックエンド アプリケーションに対して定義されているような適切なアクセス許可を持っていることを確認します。 |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
サブスクライバーの管理者によってユーザーに対して Premium ライセンスが明示的に割り当てられていない場合、発行されたアプリにそのユーザーがアクセスしようとすると、このエラーが発生します。 サブスクライバーの Active Directory [ライセンス] タブに移動し、このユーザーまたはユーザー グループに Premium ライセンスが割り当てられていることを確認します。 |
A server with the specified host name could not be found. |
アプリケーションのカスタム ドメインが正しく構成されていない場合、発行されたアプリにユーザーがアクセスしようとすると、このエラーが発生します。 ドメインの証明書を調べて、ドメイン ネーム システム (DNS) レコードを正しく構成します。 詳しくは、Microsoft Entra アプリケーション プロキシでのカスタム ドメインの使用に関する記事をご覧ください。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
この問題は、認可情報へのアクセスに関する問題である可能性があります。 詳しくは、https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information をご覧ください。 簡単に言うと、プライベート ネットワーク マシン アカウントを組み込みの "Windows Authorization Access Group" ドメイン グループに追加して解決します。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
このコネクタは、クライアント証明書を使って、Microsoft Entra アプリケーション プロキシ クラウド サービス エンドポイントへの送信接続をセキュリティ保護します。 このエラーは、クライアント証明書がエンドポイントに到達できない場合に発生します。 たとえば、ネットワーク デバイスによるトランスポート層セキュリティ (TLS) 検査の実行や、TLS 接続の切断などです。 送信 TLS 通信のインライン検査や終了が行われないようにします。 Microsoft Entra プライベート ネットワーク コネクタと Microsoft Entra アプリケーション プロキシ クラウド サービスの間で、検査や終了が発生してはなりません。 |