Общие сведения о соединителе частной сети Microsoft Entra

Соединители — это то, что делает Частный доступ Microsoft Entra и прокси приложения возможным. Они просты в использовании, развертывании и обслуживании. К тому же они очень производительны. В этой статье объясняется, что такое соединители, как они работают, и приводится несколько рекомендаций по оптимизации развертывания.

Что такое соединитель частной сети?

Соединители — это упрощенные агенты, которые находятся в частной сети и упрощают исходящее подключение к службам Частный доступ Microsoft Entra и прокси приложения. Соединители должны быть установлены на сервере Windows Server с доступом к внутренним ресурсам. Соединители можно упорядочить в группы соединителей, при этом каждая группа обрабатывает трафик к определенным ресурсам. Дополнительные сведения о прокси-сервере приложения и схемном представлении архитектуры прокси приложения см. в статье "Использование прокси приложения Microsoft Entra для публикации локальных приложений для удаленных пользователей".

Чтобы узнать, как настроить соединитель частной сети Microsoft Entra, см. инструкции по настройке соединителей частной сети для Частный доступ Microsoft Entra.

Соединители частной сети — это упрощенные агенты, развернутые локально, которые упрощают исходящее подключение к службе прокси приложения в облаке. Соединители необходимо установить на сервере Windows с доступом к внутреннему приложению. Пользователи подключаются к облачной службе прокси приложения, которая направляет трафик к приложениям через соединители.

Настройка и регистрация между соединителем и службой прокси приложения выполняется следующим образом:

  1. ИТ-администратор открывает порты 80 и 443 для исходящего трафика и разрешает доступ к нескольким URL-адресам, необходимым соединителю, службе прокси приложения и идентификатору Microsoft Entra.
  2. Администратор входит в Центр администрирования Microsoft Entra и запускает исполняемый файл для установки соединителя на локальном сервере Windows.
  3. Соединитель начинает прослушивать службу прокси приложения.
  4. Администратор добавляет локальное приложение в идентификатор Microsoft Entra ИД и настраивает такие параметры, как URL-адреса пользователей, необходимых для подключения к приложениям.

Рекомендуется развернуть несколько соединителей для обеспечения избыточности и нужного масштаба. Соединители в сочетании со службой берут на себя все задачи по обеспечению высокого уровня доступности и могут динамически добавляться или удаляться. Когда поступает новый запрос, он перенаправляется на один из доступных соединителей. Выполняясь, соединитель остается активным, так как подключается к службе. Если соединитель временно недоступен, он перестает реагировать на трафик. Неиспользуемые соединители помечаются как неактивные и удаляются спустя 10 дней бездействия.

Соединители также опрашивает сервер, чтобы узнать, есть ли более новая версия соединителя. Хотя вы можете выполнить обновление вручную, соединители будут обновляться автоматически, пока запущена служба обновления соединителя частной сети. Если клиент имеет несколько соединителей, автоматическое обновление производится для каждого соединителя поочередно в каждой группе, что позволяет избежать простоев в среде.

Примечание.

Вы можете отслеживать страницу журнала версий, чтобы оставаться в курсе последних обновлений.

Каждый соединитель частной сети назначается группе соединителей. Соединители в одной группе соединителей действуют как единый модуль в контексте обеспечения высокого уровня доступности и балансировки нагрузки. Вы можете создать новые группы, назначить соединители им в Центре администрирования Microsoft Entra, а затем назначить определенные соединители для обслуживания определенных приложений. Рекомендуется иметь по крайней мере два соединителя в каждой группе соединителей для обеспечения высокой доступности.

Группы соединителей удобны в тех случаях, когда требуется реализовать следующие сценарии:

  • публикация приложений в разных регионах;
  • сегментация или изоляции приложений;
  • публикация веб-приложений, работающих в облаке или локальной среде.

Дополнительные сведения о выборе места установки соединителей и оптимизации сети см . в рекомендациях по топологии сети при использовании прокси приложения Microsoft Entra.

Обслуживание

Соединители и служба отвечают за выполнение задач, связанных с высоким уровнем доступности. Их можно добавлять или удалять динамически. Новые запросы направляются в один из доступных соединителей. Если соединитель временно недоступен, он перестает реагировать на трафик.

Соединители не поддерживают отслеживание состояния и не хранят данные конфигурации на компьютере. Единственные данные, которые они хранят, — это параметры подключения к службе и ее сертификат аутентификации. При подключении к службе соединители извлекают все необходимые данные конфигурации и обновляют их каждые несколько минут.

Соединители также опрашивает сервер, чтобы узнать, есть ли более новая версия соединителя. Если такая версия будет найдена, соединители обновятся.

Соединители можно отслеживать с компьютера, на котором они работают, с помощью журналов событий и счетчиков производительности. Дополнительные сведения см. в разделе "Мониторинг и проверка журналов" для локальной версии Microsoft Entra.

Вы также можете просмотреть их состояние в Центре администрирования Microsoft Entra. Для Частный доступ Microsoft Entra перейдите в раздел "Глобальный безопасный доступ", "Подключиться" и выберите "Соединители". Для прокси приложения перейдите к Identity, Applications, Enterprise applications и выберите приложение. На странице приложения выберите прокси приложения.

Вам не требуется вручную удалять неиспользуемые соединители. Выполняясь, соединитель остается активным, так как подключается к службе. Неиспользуемые соединители помечены как _inactive_ и удаляются через 10 дней бездействия. Если вы хотите удалить соединитель, то удалите с сервера службу соединителя и службу средства обновления. Перезапустите компьютер, чтобы полностью удалить службу.

Автоматические обновления

Идентификатор Microsoft Entra предоставляет автоматические обновления для всех развернутых соединителей. Если служба обновления соединителя частной сети запущена, соединители обновляются автоматически с помощью последнего основного выпуска соединителя. Если на сервере не отображается служба обновления соединителя, необходимо переустановить соединитель, чтобы получить обновления.

Если вы не хотите дожидаться, когда ваш соединитель обновится автоматически, вы можете выполнить обновление вручную. Перейдите на страницу скачивания соединителя на сервере, где находится соединитель, и выберите команду Скачать. Запустится обновление локального соединителя.

Если клиент имеет несколько соединителей, автоматическое обновление производится для каждого соединителя поочередно в каждой группе, что позволяет избежать простоев в среде.

Вы можете столкнуться с простоем при обновлении соединителя, если:

  • У вас только один соединитель. Второй соединитель и группа соединителей рекомендуется избежать простоя и обеспечить более высокую доступность.
  • Соединитель выполнял транзакцию в момент начала обновления. Хотя исходная транзакция утеряна, браузер должен автоматически повторить операцию. Вы также можете обновить страницу. При повторном запросе трафик направляется на резервный соединитель.

Сведения о ранее выпущенных версиях и изменениях, которые они включают, см. в журнале выпуска прокси-версий приложения.

Создание групп соединителей

Группы соединителей позволяют назначить определенные соединители для конкретных приложений. Вы можете объединить множество соединителей, а затем назначить каждому ресурсу или приложению группе.

Группы соединителей упрощают управление крупными развертываниями. Они также повышают задержку для клиентов, имеющих ресурсы и приложения, размещенные в разных регионах, так как можно создавать группы соединителей на основе расположения для обслуживания только локальных приложений.

Дополнительные сведения о группах соединителей см. в статье "Общие сведения о группах соединителей частной сети Microsoft Entra".

Безопасность и сеть

Соединители можно установить в любой точке сети, которая позволяет отправлять запросы в службу Частный доступ Microsoft Entra и прокси приложения. Важно, чтобы компьютер, на котором запущен соединитель, также имеет доступ к приложениям и ресурсам. Можно установить соединители в корпоративной сети или на виртуальной машине, работающей в облаке. Соединители могут работать в промежуточной подсети, также называемой демилитаризованной зоной (ДМЗ), но в этом нет необходимости, поскольку весь трафик является исходящим, сеть остается в безопасности.

Соединители отправляют только исходящие запросы. Исходящий трафик отправляется службе и опубликованным ресурсам и приложениям. Нет необходимости открывать входящие порты, так как после установления сеанса трафик передается в обе стороны. Вам также не нужно настраивать входящий доступ через брандмауэры.

Дополнительные сведения о настройке правил брандмауэра для исходящего трафика см. в статье Работа с имеющимися локальными прокси-серверами.

Производительность и масштабируемость   

Масштабирование для Частный доступ Microsoft Entra и прокси-служб приложений является прозрачным, но масштабирование является фактором для соединителей. Для обработки пикового трафика необходимо иметь достаточное количество соединителей. Соединители являются без отслеживания состояния, а количество пользователей или сеансов не влияет на них. Но они зависят от количества запросов и объема полезных данных в этих запросах. При использовании стандартного веб-трафика средний компьютер может обрабатывать 2000 запросов в секунду. Этот показатель зависит от точных характеристик компьютера.

Производительность ЦП и сети определяет производительность соединителя. Производительность ЦП необходима для шифрования и расшифровки TLS, а сеть важна для быстрого подключения к приложениям и веб-службе.

Память, напротив, меньше всего важна для соединителей. Веб-служба выполняет большую часть операций обработки и отвечает за весь трафик, не прошедший аутентификацию. Все, что можно сделать в облаке, осуществляется в облаке.

Если соединители или компьютеры недоступны, трафик переходит к другому соединителю в группе. Несколько соединителей в группе соединителей обеспечивают устойчивость.

На производительность также влияет качество сетевого подключения между соединителями, которое определяется следующими факторами.

  • Веб-служба: медленные или высокие задержки подключения к службе Microsoft Entra влияют на производительность соединителя. Для повышения производительности подключите организацию к Microsoft с помощью Express Route. В противном случае ваша сетевая команда гарантирует, что подключения к Корпорации Майкрософт обрабатываются максимально эффективно.
  • Серверные приложения: в некоторых случаях между соединителем и внутренними ресурсами и приложениями, которые могут замедлить или предотвратить подключения, существуют дополнительные прокси-серверы. Чтобы устранить эту проблему, откройте браузер с сервера соединителя и попытайтесь получить доступ к приложению или ресурсу. Если вы запускаете соединители в облаке, но приложения находятся в локальной среде, это может быть не то, что ожидают ваши пользователи.
  • Контроллеры домена. Если соединители выполняют единый вход (SSO) на основе ограниченного делегирования Kerberos, они устанавливают связь с контроллерами домена перед отправкой запроса на сервер. Соединители содержат кэш билетов Kerberos, но в среде с высокой нагрузкой скорость реагирования контроллеров домена может снизить производительность. Такая проблема наиболее характерна для ситуации, когда соединители выполняются в Azure, но взаимодействуют с контроллерами домена в локальной среде.

Дополнительные сведения о оптимизации сети см . в рекомендациях по топологии сети при использовании прокси приложения Microsoft Entra.

Присоединение к домену

Соединители могут работать на компьютере, который не присоединен к домену. Но если вам нужен единый вход (SSO) в приложения, использующие Встроенную проверку подлинности Windows (IWA), компьютер должен быть присоединен к домену. В этом случае компьютеры соединителя должны быть присоединены к домену, который может выполнить ограниченное делегирование Kerberos от имени пользователей для опубликованных приложений.

Соединители также могут присоединяться к доменам в лесах с частичным доверием или к контроллерам домена только для чтения.

Развертывание соединителей в средах с усиленной защитой

Развертывание соединителей обычно не вызывает сложностей и не требует дополнительной настройки.

Но для некоторых редких сценариев есть определенные условия.

  • Для исходящего трафика требуется открыть определенные порты. Дополнительные сведения см. в статье о настройке соединителей.
  • Компьютеры, совместимые с FIPS, могут потребовать изменения конфигурации, чтобы разрешить процессам соединителя создавать и хранить сертификат.
  • Исходящие прокси-серверы могут нарушить двухсторонняя проверка подлинности сертификата и привести к сбою связи.

Проверка подлинности соединителя

Чтобы предоставить доступ к защищенной службе, соединители должны пройти проверку подлинности в службе, а служба должна пройти проверку подлинности в соединителе. Такая аутентификация выполняется с использованием сертификатов клиента и сервера, когда соединители инициируют подключение. Таким образом имя пользователя и пароль администратора не хранятся на компьютере соединителя.

Используемые сертификаты относятся к службе. Они создаются во время первоначальной регистрации и автоматически обновляются каждые пару месяцев.

После первого успешного продления сертификата служба соединителя частной сети Microsoft Entra (сетевая служба) не имеет разрешения на удаление старого сертификата из локального хранилища компьютеров. Если срок действия сертификата истекает или не используется службой, его можно удалить безопасно.

Чтобы избежать проблем с продлением сертификата, убедитесь, что сетевое подключение от соединителя к документированных назначениям включено.

Если соединитель не подключен к службе в течение нескольких месяцев, его сертификаты могут быть устаревшими. В этом случае следует удалить соединитель и установить его заново, чтобы запустить процесс регистрации. Вы можете выполнить следующие команды PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Для государственных организаций используйте -EnvironmentName "AzureUSGovernment". Дополнительные сведения см. в разделе "Агент установки" для облака Azure для государственных организаций.

Сведения о проверке сертификата и устранении неполадок см. в статье "Проверка компонентов компьютера и серверной части" для сертификата доверия прокси приложения.

Внутренняя логика

Соединители устанавливаются на Windows Server, поэтому они имеют большинство средств управления, включая журналы событий Windows и счетчики производительности Windows.

Для соединителей настроен журнал Администратор и журнал Сеанс. В журнале Администратор регистрируются основные события и соответствующие ошибки. В журнале Сеанс содержатся все транзакции и подробные сведения об их обработке.

Чтобы просмотреть журналы, откройте Просмотр событий и перейдите в журналы>приложений и служб Microsoft>Entra private network>Connector. Чтобы сделать журнал Сеанс видимым, в меню Просмотр выберите Показать журналы аналитики и отладки. Журнал сеансов обычно используется для устранения неполадок и по умолчанию отключен. Включите его, чтобы начать сбор событий, и отключите, когда он больше не требуется.

Состояние службы можно проверить в окне "Служба". Соединитель состоит из двух служб Windows: собственно соединитель и служба обновления. Они должны работать постоянно.

Неактивные соединители

Распространенная проблема заключается в том, что соединители отображаются как неактивные в группе соединителей. Брандмауэр блокирует необходимые порты — это распространенная причина неактивных соединителей.

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Следующие шаги