Práce se stávajícími místními proxy servery
Nakonfigurujte privátní síťové konektory Microsoft Entra tak, aby používaly odchozí proxy servery. Článek předpokládá, že síťové prostředí už má proxy server.
Začneme tím, že se podíváme na tyto hlavní scénáře nasazení:
- Nakonfigurujte konektory pro obejití místních odchozích proxy serverů.
- Nakonfigurujte konektory tak, aby používaly odchozí proxy server pro přístup k proxy aplikací Microsoft Entra.
- Nakonfigurujte použití proxy serveru mezi konektorem a back-endovou aplikací.
Další informace o tom, jak konektory fungují, najdete v tématu Principy privátních síťových konektorů Microsoft Entra.
Obejití odchozích proxy serverů
Připojení orové mají základní komponenty operačního systému, které provádějí odchozí požadavky. Tyto komponenty se automaticky pokusí najít proxy server v síti pomocí automatického zjišťování webového proxy serveru (WPAD).
Komponenty operačního systému se pokusí vyhledat proxy server provedením vyhledávání wpad.domainsuffix
DNS (Domain Name System). Pokud se vyhledávání přeloží v DNS, odešle se požadavek HTTP na adresu IP (Internet Protocol) pro wpad.dat
. Tento požadavek se stane konfiguračním skriptem proxy serveru ve vašem prostředí. Konektor používá tento skript k výběru odchozího proxy serveru. Provoz konektoru ale může i nadále selhat, protože na proxy serveru je potřeba další nastavení konfigurace.
Konektor můžete nakonfigurovat tak, aby obešel místní proxy server, aby se zajistilo, že používá přímé připojení ke službě proxy aplikací Microsoft Entra. Přímá připojení se doporučují, protože vyžadují méně konfigurace. Některé zásady sítě ale vyžadují provoz procházející místním proxy serverem.
Pokud chcete zakázat odchozí využití proxy serveru pro konektor, upravte C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config
soubor a přidejte system.net
oddíl zobrazený v ukázce kódu:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Pokud chcete zajistit, aby služba Připojení or Updater obchází také proxy server, proveďte podobnou změnu MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config
souboru. Tento soubor se nachází na adrese C:\Program Files\Microsoft Entra private network connector Updater
.
Pokud se potřebujete vrátit k výchozím .config
souborům, nezapomeňte vytvořit kopie původních souborů.
Použití odchozího proxy serveru
Některá prostředí vyžadují, aby veškerý odchozí provoz procházel odchozím proxy serverem bez výjimky. V důsledku toho není obejití proxy serveru možnost.
Provoz konektoru můžete nakonfigurovat tak, aby procházel odchozím proxy serverem, jak je znázorněno v následujícím diagramu:
V důsledku toho, že máte jenom odchozí provoz, není potřeba konfigurovat příchozí přístup přes brány firewall.
Poznámka:
Proxy aplikace nepodporuje ověřování u jiných proxy serverů. Účty síťových služeb konektoru nebo aktualizátoru by měly být schopné připojit se k proxy serveru bez výzvy k ověření.
Krok 1: Konfigurace konektoru a souvisejících služeb pro průchod odchozím proxy serverem
Pokud je WPAD v prostředí povolený a správně nakonfigurovaný, konektor automaticky zjistí odchozí proxy server a pokusí se ho použít. Konektor ale můžete explicitně nakonfigurovat tak, aby procházel odchozím proxy serverem.
Uděláte to tak, že upravíte C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config
soubor a přidáte system.net
oddíl zobrazený v ukázce kódu. Změňte proxyserver:8080
název místního proxy serveru nebo IP adresu a port. Hodnota musí mít předponu http://
, i když používáte IP adresu.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Dále nakonfigurujte službu Připojení or Updater tak, aby používala proxy server provedením podobné změny C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config
souboru.
Poznámka:
Služba Připojení or vyhodnotí výchozí konfiguraciProxy pro použití v %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
případě, že výchozíProxy není nakonfigurovaná (ve výchozím nastavení) v MicrosoftEntraPrivateNetwork Připojení orService.exe.config. Totéž platí i pro službu Připojení or Updater (MicrosoftEntraPrivateNetwork Připojení orUpdaterService.exe.config).
Krok 2: Nakonfigurujte proxy server tak, aby umožňoval tok provozu z konektoru a souvisejících služeb.
Na odchozím proxy serveru je potřeba vzít v úvahu čtyři aspekty:
- Odchozí pravidla proxy serveru
- Ověřování proxy serverem
- Porty proxy serveru
- Kontrola protokolu TLS (Transport Layer Security)
Odchozí pravidla proxy serveru
Povolte přístup k následujícím adresám URL:
Adresa URL | Port | Používání |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Komunikace mezi konektorem a cloudovou službou proxy aplikací |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Konektor používá tyto adresy URL k ověření certifikátů. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | Konektor používá tyto adresy URL během procesu registrace. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Konektor používá tyto adresy URL během procesu registrace. |
Pokud vaše brána firewall nebo proxy umožňuje konfigurovat seznamy povolených serverů DNS, můžete povolit připojení k *.msappproxy.net
a *.servicebus.windows.net
.
Pokud nemůžete povolit připojení pomocí plně kvalifikovaného názvu domény (FQDN) a potřebujete místo toho zadat rozsahy IP adres, použijte tyto možnosti:
- Povolte odchozí přístup ke všem cílům konektoru.
- Povolte konektoru odchozí přístup ke všem rozsahům IP adres datacentra Azure. Problém s používáním seznamu rozsahů IP adres datacentra Azure je, že se aktualizují každý týden. Musíte zavést proces, abyste měli jistotu, že se pravidla přístupu odpovídajícím způsobem aktualizují. Pokud použijete podmnožinu IP adres, konfigurace se přeruší. Nejnovější rozsahy IP adres datacentra Azure se stáhnou na adrese https://download.microsoft.com. Použijte hledaný termín
Azure IP Ranges and Service Tags
. Nezapomeňte vybrat příslušný cloud. Například rozsahy IP adres veřejného cloudu najdete vyhledánímAzure IP Ranges and Service Tags – Public Cloud
. Cloud pro státní správu USA najdete vyhledánímAzure IP Ranges and Service Tags – US Government Cloud
.
Ověřování proxy serverem
Ověřování proxy serverem se v současné době nepodporuje. Naším aktuálním doporučením je umožnit konektoru anonymní přístup k internetovým cílům.
Porty proxy serveru
Konektor provádí odchozí připojení založená na protokolu TLS pomocí metody CONNECT. Tato metoda v podstatě nastaví tunel přes odchozí proxy server. Nakonfigurujte proxy server tak, aby umožňoval tunelování na porty 443 a 80.
Poznámka:
Když service Bus běží přes HTTPS, používá port 443. Ve výchozím nastavení se ale Service Bus pokusí o přímé připojení TCP (Transmission Control Protocol) a vrátí se zpět na HTTPS jenom v případě, že přímé připojení selže.
Kontrola protokolu TLS
Nepoužívejte pro provoz konektoru kontrolu protokolu TLS, protože způsobuje problémy s provozem konektoru. Konektor používá certifikát k ověření ve službě proxy aplikací a tento certifikát je možné během kontroly protokolu TLS ztratit.
Konfigurace pomocí proxy serveru mezi konektorem a back-endovou aplikací
Použití přesměrového proxy serveru pro komunikaci k back-endové aplikaci je v některých prostředích zvláštním požadavkem. Pokud chcete povolit přesměrovací proxy server, postupujte takto:
Krok 1: Přidání požadované hodnoty registru na server
- Pokud chcete povolit použití výchozího proxy serveru, přidejte hodnotu registru (DWORD)
UseDefaultProxyForBackendRequests = 1
do klíče registru konfigurace konektoru umístěného vHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector
.
Krok 2: Ruční konfigurace proxy serveru pomocí příkazu netsh
- Povolte zásadu
Make proxy settings per-machine
skupiny . Zásada skupiny se nachází v:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer
. Zásady skupiny je potřeba nastavit místo nastavení zásad pro jednotlivé uživatele. - Spusťte
gpupdate /force
na serveru. Případně pokud chcete zajistit, aby se zásady skupiny aktualizovaly, restartujte server. - Spusťte příkazový řádek se zvýšenými oprávněními správce a zadejte
control inetcpl.cpl
. - Nakonfigurujte požadovaná nastavení proxy serveru.
Nastavení nastaví, aby konektor pro komunikaci s Azure a back-endovou aplikací používal stejný předávací proxy server. Upravte soubor MicrosoftEntraPrivateNetworkConnectorService.exe.config
tak, aby se změnil předávaný proxy server. Konfigurace přesměrového proxy serveru je popsaná v částech Obejití odchozích proxy serverů a použití odchozího proxy serveru.
Poznámka:
Existují různé způsoby konfigurace internetového proxy serveru v operačním systému. Nastavení proxy serveru nakonfigurované prostřednictvím NETSH WINHTTP
(spuštěním NETSH WINHTTP SHOW PROXY
pro ověření) přepíší nastavení proxy serveru, které jste nakonfigurovali v kroku 2.
Služba aktualizátoru konektoru používá proxy počítač. Nastavení se nachází v MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config
souboru.
Řešení potíží s proxy serverem konektoru a problémy s připojením ke službám
Teď by se měl zobrazit veškerý provoz procházející přes proxy server. Pokud máte problémy, měly by vám pomoct následující informace o řešení potíží.
Nejlepším způsobem, jak identifikovat a řešit problémy s připojením konektoru, je zachytávání sítě při spuštění služby konektoru. Tady je několik rychlých tipů k zachytávání a filtrování trasování sítě.
Můžete použít nástroj pro monitorování podle svého výběru. Pro účely tohoto článku jsme použili Microsoft Message Analyzer.
Poznámka:
Nástroj Microsoft Message Analyzer (MMA) byl vyřazen a jeho balíčky pro stahování byly odebrány z microsoft.com webů 25. listopadu 2019. Microsoft Message Analyzer v současné době ve vývoji nenahradí. Pro podobné funkce zvažte použití nástroje analyzátoru síťových protokolů třetích stran, jako je Wireshark.
Následující příklady jsou specifické pro Message Analyzer, ale principy je možné použít u libovolného analytického nástroje.
Zachycení provozu konektoru
Při počátečním řešení potíží proveďte následující kroky:
Zastavte službu konektoru privátní sítě Microsoft Entra.
services.msc
Spusťte Nástroj Message Analyzer jako správce.
Vyberte Spustit místní trasování.
Spusťte službu konektoru privátní sítě Microsoft Entra.
Zastavte zachytávání sítě.
Kontrola, jestli provoz konektoru obchází odchozí proxy servery
Pokud očekáváte, že konektor provede přímé připojení ke službám proxy aplikací, SynRetransmit
odpovědi na portu 443 značí, že máte problém se sítí nebo bránou firewall.
Pomocí filtru Analyzátor zpráv identifikujte neúspěšné pokusy o připojení TCP (Transmission Control Protocol). Zadejte property.TCPSynRetransmit
do pole filtru a vyberte Použít.
Paket synchronizace (SYN) je první paket odeslaný za účelem navázání připojení TCP. Pokud tento paket nevrací odpověď, syn se znovu obnoví. Pomocí filtru můžete zobrazit všechny přeposílané pakety SYN. Potom můžete zkontrolovat, jestli tyto pakety SYN odpovídají jakémukoli provozu souvisejícímu s konektory.
Kontrola, jestli provoz konektoru používá odchozí proxy servery
Pokud jste nakonfigurovali provoz privátního síťového konektoru tak, aby procházel proxy servery, vyhledejte neúspěšná https
připojení k vašemu proxy serveru.
Pomocí filtru Analyzátoru zpráv identifikujte neúspěšné pokusy o připojení HTTPS k vašemu proxy serveru. Zadejte (https.Request or https.Response) and tcp.port==8080
filtr Analyzátoru zpráv a nahraďte 8080
portem proxy služby. Výběrem možnosti Použít zobrazíte výsledky filtru.
Předchozí filtr zobrazuje pouze požadavky a odpovědi HTTPs na/z portu proxy serveru. Hledáte požadavky CONNECT, které zobrazují komunikaci s proxy serverem. Po úspěchu získáte odpověď HTTP OK (200).
Pokud se zobrazí jiné kódy odpovědí, například 407 nebo 502, znamená to, že proxy server vyžaduje ověření nebo nepovoluje provoz z nějakého jiného důvodu. V tuto chvíli zapojíte tým podpory proxy serveru.