Práce se stávajícími místními proxy servery

Nakonfigurujte privátní síťové konektory Microsoft Entra tak, aby používaly odchozí proxy servery. Článek předpokládá, že síťové prostředí už má proxy server.

Začneme tím, že se podíváme na tyto hlavní scénáře nasazení:

• Nakonfigurujte konektory pro obejití místních odchozích proxy serverů.
• Nakonfigurujte konektory tak, aby používaly odchozí proxy server pro přístup k proxy aplikací Microsoft Entra.
• Nakonfigurujte použití proxy serveru mezi konektorem a back-endovou aplikací.

Další informace o tom, jak konektory fungují, najdete v tématu Vysvětlení konektorů privátní sítě Microsoft Entra.

Obejití odchozích proxy serverů

Konektory mají základní komponenty operačního systému, které provádějí odchozí požadavky. Tyto komponenty se automaticky pokusí najít proxy server v síti pomocí automatického zjišťování webového proxy serveru (WPAD).

Komponenty operačního systému se pokusí najít proxy server provedením vyhledávání DNS (Domain Name System) pro wpad.domainsuffix. Pokud se vyhledávání přeloží v DNS, odešle se požadavek HTTP na adresu IP (Internet Protocol) pro wpad.dat. Tento požadavek se stane konfiguračním skriptem proxy serveru ve vašem prostředí. Konektor používá tento skript k výběru odchozího proxy serveru. Provoz konektoru ale může i nadále selhat, protože na proxy serveru je potřeba další nastavení konfigurace.

Konektor můžete nakonfigurovat tak, aby obešel místní proxy server, aby se zajistilo, že používá přímé připojení ke službě proxy aplikací Microsoft Entra. Přímá připojení se doporučují, protože vyžadují méně konfigurace. Některé zásady sítě ale vyžadují provoz procházející místním proxy serverem.

Pokud chcete zakázat odchozí využití proxy serveru pro konektor, upravte soubor C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config a přidejte oddíl system.net zobrazený v ukázce kódu:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Pokud chcete zajistit, aby služba Connector Updater obchází proxy server, proveďte podobnou změnu souboru MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config. Tento soubor se nachází v C:\Program Files\Microsoft Entra private network connector Updater.

Pokud potřebujete vrátit výchozí .config soubory, nezapomeňte vytvořit kopie původních souborů.

Použití odchozího proxy serveru

Některá prostředí vyžadují, aby veškerý odchozí provoz procházel odchozím proxy serverem bez výjimky. V důsledku toho není obejití proxy serveru možnost.

Provoz konektoru můžete nakonfigurovat tak, aby procházel odchozím proxy serverem, jak je znázorněno v následujícím diagramu:

V důsledku toho, že máte jenom odchozí provoz, není potřeba konfigurovat příchozí přístup přes brány firewall.

Poznámka

Proxy aplikace nepodporuje ověřování u jiných proxy serverů. Účty síťových služeb konektoru/aktualizátoru by měly být schopny připojit se k proxy serveru bez nutnosti ověření.

Krok 1: Konfigurace konektoru a souvisejících služeb pro průchod odchozím proxy serverem

Pokud je WPAD v prostředí povolený a správně nakonfigurovaný, konektor automaticky zjistí odchozí proxy server a pokusí se ho použít. Konektor ale můžete explicitně nakonfigurovat tak, aby procházel odchozím proxy serverem.

Uděláte to tak, že upravíte C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config soubor a přidáte system.net oddíl zobrazený v ukázce kódu. Změňte proxyserver:8080 tak, aby odrážel název místního proxy serveru nebo IP adresu a port. Hodnota musí mít předponu http:// i v případě, že používáte IP adresu.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Dále nakonfigurujte službu Connector Updater tak, aby používala proxy server provedením podobné změny souboru C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.

Poznámka

Služba Connector vyhodnocuje konfiguraci defaultProxy pro použití v %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, pokud výchozí není nakonfigurovaný (ve výchozím nastavení) v MicrosoftEntraPrivateNetworkConnectorService.exe.config. Totéž platí i pro službu Connector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config).

Krok 2: Nakonfigurujte proxy server tak, aby umožňoval tok provozu z konektoru a souvisejících služeb.

Na odchozím proxy serveru je potřeba vzít v úvahu čtyři aspekty:

• Odchozí pravidla proxy serveru
• Ověřování proxy serverem
• Porty proxy serveru
• Kontrola protokolu TLS (Transport Layer Security)

Odchozí pravidla proxy serveru

Povolte přístup k následujícím adresám URL:

Adresa URL	Přístav	Používat
*.msappproxy.net *.servicebus.windows.net	443/HTTPS	Komunikace mezi konektorem a cloudovou službou proxy aplikací
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com	80/protokol HTTP	Konektor používá tyto adresy URL k ověření certifikátů.
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com	443/HTTPS	Konektor používá tyto adresy URL během procesu registrace.
ctldl.windowsupdate.com www.microsoft.com/pkiops	80/protokol HTTP	Konektor používá tyto adresy URL během procesu registrace.

Pokud vaše brána firewall nebo proxy umožňuje konfigurovat povolené seznamy DNS, můžete povolit připojení k *.msappproxy.net a *.servicebus.windows.net.

Pokud nemůžete povolit připojení pomocí plně kvalifikovaného názvu domény (FQDN) a potřebujete místo toho zadat rozsahy IP adres, použijte tyto možnosti:

• Povolte konektoru odchozí přístup ke všem cílům.
• Povolte konektoru odchozí přístup ke všem rozsahům IP adres datacentra Azure. Problém s používáním seznamu rozsahů IP adres datacentra Azure je, že se aktualizují každý týden. Musíte zavést proces, abyste měli jistotu, že se pravidla přístupu odpovídajícím způsobem aktualizují. Pokud použijete pouze podmnožinu IP adres, může to způsobit selhání konfigurace. Nejnovější rozsahy IP adres datacentra Azure jsou staženy na https://download.microsoft.com. Použijte hledaný termín Azure IP Ranges and Service Tags. Nezapomeňte vybrat příslušný cloud. Rozsahy IP adres veřejného cloudu lze například najít vyhledáním Azure IP Ranges and Service Tags – Public Cloud. Cloud pro státní správu USA najdete vyhledáním Azure IP Ranges and Service Tags – US Government Cloud.

Ověřování proxy serverem

Ověřování proxy serverem se v současné době nepodporuje. Naším aktuálním doporučením je umožnit konektoru anonymní přístup k internetovým adresám.

Porty proxy serveru

Konektor provádí odchozí připojení založená na protokolu TLS pomocí metody CONNECT. Tato metoda v podstatě nastaví tunel přes odchozí proxy server. Nakonfigurujte proxy server tak, aby umožňoval tunelování na porty 443 a 80.

Poznámka

Když service Bus běží přes HTTPS, používá port 443. Ve výchozím nastavení se ale Service Bus pokusí o přímé připojení TCP (Transmission Control Protocol) a vrátí se zpět na HTTPS jenom v případě, že přímé připojení selže.

Kontrola protokolu TLS

Nepoužívejte pro provoz konektoru kontrolu protokolu TLS, protože způsobuje problémy s provozem konektoru. Konektor používá certifikát k ověření ve službě proxy aplikací a tento certifikát je možné během kontroly protokolu TLS ztratit.

Konfigurace pomocí proxy serveru mezi konektorem a back-endovou aplikací

Použití přesměrového proxy serveru pro komunikaci k back-endové aplikaci je v některých prostředích zvláštním požadavkem. Pokud chcete povolit přesměrovací proxy server, postupujte takto:

Krok 1: Přidání požadované hodnoty registru na server

1. Pokud chcete povolit použití výchozího proxy serveru, přidejte hodnotu registru (DWORD)UseDefaultProxyForBackendRequests = 1 do klíče registru konfigurace konektoru umístěného v HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.

Krok 2: Ruční konfigurace proxy serveru pomocí příkazu netsh

1. Povolte zásadu skupiny Make proxy settings per-machine. Zásady skupiny najdete v: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. Zásady skupiny je potřeba nastavit místo nastavení zásad pro jednotlivé uživatele.
2. Na serveru spusťte gpupdate /force. Případně pokud chcete zajistit, aby se zásady skupiny aktualizovaly, restartujte server.
3. Spusťte příkazový řádek se zvýšenými oprávněními správce a zadejte control inetcpl.cpl.
4. Nakonfigurujte požadovaná nastavení proxy serveru.

Nastavení nastaví, aby konektor pro komunikaci s Azure a back-endovou aplikací používal stejný předávací proxy server. Upravte soubor MicrosoftEntraPrivateNetworkConnectorService.exe.config tak, aby se změnil předávaný proxy server. Konfigurace přesměrového proxy serveru je popsaná v částech Obejití odchozích proxy serverů a Použít odchozí proxy server.

Poznámka

Existují různé způsoby konfigurace internetového proxy serveru v operačním systému. Nastavení proxy serveru nakonfigurované prostřednictvím NETSH WINHTTP (spuštěním NETSH WINHTTP SHOW PROXY k ověření) přepíší nastavení proxy serveru, které jste nakonfigurovali v kroku 2.

Služba aktualizátoru konektoru používá strojový proxy server. Nastavení se nachází v souboru MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.

Řešení problémů s proxy konektorem a problémy s připojením ke službě

Teď by se měl zobrazit veškerý provoz procházející přes proxy server. Pokud máte problémy, měly by vám pomoct následující informace o řešení potíží.

Nejlepším způsobem, jak identifikovat a řešit problémy s připojením konektoru, je zachytávání sítě při spuštění služby konektoru. Zde je několik rychlých tipů pro zachytávání a filtrování síťových dat.

Můžete použít nástroj pro monitorování podle svého výběru. Pro účely tohoto článku jsme použili Microsoft Message Analyzer.

Poznámka

nástroj Microsoft Message Analyzer (MMA) byl vyřazen a jeho balíčky pro stahování odebrány ze stránek microsoft.com 25. listopadu 2019. V současné době neexistuje žádná náhrada za Microsoft Message Analyzer, kterou by Microsoft vyvíjel. V případě podobných funkcí zvažte použití nástroje pro analyzátor síťových protokolů od jiných společností než Microsoft, jako je Wireshark.

Následující příklady jsou specifické pro Message Analyzer, ale principy je možné použít u libovolného analytického nástroje.

Zachycení provozu konektoru

Při počátečním řešení potíží proveďte následující kroky:

1. Od services.msczastavte službu konektoru privátní sítě „Microsoft Entra“.

   

2. Spusťte Message Analyzer jako správce.

3. Vyberte Spustit místní trasování.

4. Spusťte službu konektoru privátní sítě Microsoft Entra.

5. Zastavte zachytávání sítě.

   

Kontrola, jestli provoz konektoru obchází odchozí proxy servery

Pokud očekáváte, že konektor provede přímé připojení ke službám proxy aplikací, odpověď SynRetransmit na portu 443 naznačuje, že máte problém se sítí nebo bránou firewall.

Pomocí filtru Analyzátor zpráv identifikujte neúspěšné pokusy o připojení TCP (Transmission Control Protocol). Do pole filtru zadejte property.TCPSynRetransmit a vyberte Použít.

Paket synchronizace (SYN) je první paket odeslaný za účelem navázání připojení TCP. Pokud tento paket nevrací odpověď, SYN je znovu pokusován. Pomocí filtru můžete zobrazit všechny přeposílané pakety SYN. Potom můžete zkontrolovat, jestli tyto pakety SYN odpovídají jakémukoli provozu souvisejícímu s konektory.

Kontrola, jestli provoz konektoru používá odchozí proxy servery

Pokud jste nakonfigurovali provoz privátního síťového konektoru tak, aby procházel proxy servery, vyhledejte neúspěšná https připojení k vašemu proxy serveru.

Pomocí filtru Analyzátoru zpráv identifikujte neúspěšné pokusy o připojení HTTPS k vašemu proxy serveru. Do filtru Analyzátor zpráv zadejte (https.Request or https.Response) and tcp.port==8080 a nahraďte 8080 portem proxy služby. Zvolte Použít pro zobrazení výsledků filtru.

Předchozí filtr zobrazuje pouze požadavky a odpovědi HTTPs na/z portu proxy serveru. Hledáte požadavky CONNECT, které naznačují komunikaci s proxy serverem. Po úspěchu získáte odpověď HTTP OK (200).

Pokud se zobrazí jiné kódy odpovědí, například 407 nebo 502, znamená to, že proxy server vyžaduje ověření nebo nepovoluje provoz z nějakého jiného důvodu. V tuto chvíli zapojíte tým podpory proxy serveru.

Další kroky

• Porozumění privátním síťovým konektorům Microsoft Entra
• Navštivte stránku Microsoft Question and Answer (Otázka a odpověď) pro Microsoft Entra ID