Sdílet prostřednictvím


Práce se stávajícími místními proxy servery

Nakonfigurujte privátní síťové konektory Microsoft Entra tak, aby používaly odchozí proxy servery. Článek předpokládá, že síťové prostředí už má proxy server.

Začneme tím, že se podíváme na tyto hlavní scénáře nasazení:

  • Nakonfigurujte konektory pro obejití místních odchozích proxy serverů.
  • Nakonfigurujte konektory tak, aby používaly odchozí proxy server pro přístup k proxy aplikací Microsoft Entra.
  • Nakonfigurujte použití proxy serveru mezi konektorem a back-endovou aplikací.

Další informace o tom, jak konektory fungují, najdete v tématu Principy privátních síťových konektorů Microsoft Entra.

Obejití odchozích proxy serverů

Připojení orové mají základní komponenty operačního systému, které provádějí odchozí požadavky. Tyto komponenty se automaticky pokusí najít proxy server v síti pomocí automatického zjišťování webového proxy serveru (WPAD).

Komponenty operačního systému se pokusí vyhledat proxy server provedením vyhledávání wpad.domainsuffixDNS (Domain Name System). Pokud se vyhledávání přeloží v DNS, odešle se požadavek HTTP na adresu IP (Internet Protocol) pro wpad.dat. Tento požadavek se stane konfiguračním skriptem proxy serveru ve vašem prostředí. Konektor používá tento skript k výběru odchozího proxy serveru. Provoz konektoru ale může i nadále selhat, protože na proxy serveru je potřeba další nastavení konfigurace.

Konektor můžete nakonfigurovat tak, aby obešel místní proxy server, aby se zajistilo, že používá přímé připojení ke službě proxy aplikací Microsoft Entra. Přímá připojení se doporučují, protože vyžadují méně konfigurace. Některé zásady sítě ale vyžadují provoz procházející místním proxy serverem.

Pokud chcete zakázat odchozí využití proxy serveru pro konektor, upravte C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config soubor a přidejte system.net oddíl zobrazený v ukázce kódu:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Pokud chcete zajistit, aby služba Připojení or Updater obchází také proxy server, proveďte podobnou změnu MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config souboru. Tento soubor se nachází na adrese C:\Program Files\Microsoft Entra private network connector Updater.

Pokud se potřebujete vrátit k výchozím .config souborům, nezapomeňte vytvořit kopie původních souborů.

Použití odchozího proxy serveru

Některá prostředí vyžadují, aby veškerý odchozí provoz procházel odchozím proxy serverem bez výjimky. V důsledku toho není obejití proxy serveru možnost.

Provoz konektoru můžete nakonfigurovat tak, aby procházel odchozím proxy serverem, jak je znázorněno v následujícím diagramu:

Konfigurace provozu konektoru pro průchod odchozím proxy serverem na proxy aplikace Microsoft Entra

V důsledku toho, že máte jenom odchozí provoz, není potřeba konfigurovat příchozí přístup přes brány firewall.

Poznámka:

Proxy aplikace nepodporuje ověřování u jiných proxy serverů. Účty síťových služeb konektoru nebo aktualizátoru by měly být schopné připojit se k proxy serveru bez výzvy k ověření.

Pokud je WPAD v prostředí povolený a správně nakonfigurovaný, konektor automaticky zjistí odchozí proxy server a pokusí se ho použít. Konektor ale můžete explicitně nakonfigurovat tak, aby procházel odchozím proxy serverem.

Uděláte to tak, že upravíte C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config soubor a přidáte system.net oddíl zobrazený v ukázce kódu. Změňte proxyserver:8080 název místního proxy serveru nebo IP adresu a port. Hodnota musí mít předponu http:// , i když používáte IP adresu.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Dále nakonfigurujte službu Připojení or Updater tak, aby používala proxy server provedením podobné změny C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config souboru.

Poznámka:

Služba Připojení or vyhodnotí výchozí konfiguraciProxy pro použití v %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configpřípadě, že výchozíProxy není nakonfigurovaná (ve výchozím nastavení) v MicrosoftEntraPrivateNetwork Připojení orService.exe.config. Totéž platí i pro službu Připojení or Updater (MicrosoftEntraPrivateNetwork Připojení orUpdaterService.exe.config).

Na odchozím proxy serveru je potřeba vzít v úvahu čtyři aspekty:

  • Odchozí pravidla proxy serveru
  • Ověřování proxy serverem
  • Porty proxy serveru
  • Kontrola protokolu TLS (Transport Layer Security)

Odchozí pravidla proxy serveru

Povolte přístup k následujícím adresám URL:

Adresa URL Port Používání
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Komunikace mezi konektorem a cloudovou službou proxy aplikací
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Konektor používá tyto adresy URL k ověření certifikátů.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
443/HTTPS Konektor používá tyto adresy URL během procesu registrace.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP Konektor používá tyto adresy URL během procesu registrace.

Pokud vaše brána firewall nebo proxy umožňuje konfigurovat seznamy povolených serverů DNS, můžete povolit připojení k *.msappproxy.net a *.servicebus.windows.net.

Pokud nemůžete povolit připojení pomocí plně kvalifikovaného názvu domény (FQDN) a potřebujete místo toho zadat rozsahy IP adres, použijte tyto možnosti:

  • Povolte odchozí přístup ke všem cílům konektoru.
  • Povolte konektoru odchozí přístup ke všem rozsahům IP adres datacentra Azure. Problém s používáním seznamu rozsahů IP adres datacentra Azure je, že se aktualizují každý týden. Musíte zavést proces, abyste měli jistotu, že se pravidla přístupu odpovídajícím způsobem aktualizují. Pokud použijete podmnožinu IP adres, konfigurace se přeruší. Nejnovější rozsahy IP adres datacentra Azure se stáhnou na adrese https://download.microsoft.com. Použijte hledaný termín Azure IP Ranges and Service Tags. Nezapomeňte vybrat příslušný cloud. Například rozsahy IP adres veřejného cloudu najdete vyhledáním Azure IP Ranges and Service Tags – Public Cloud. Cloud pro státní správu USA najdete vyhledáním Azure IP Ranges and Service Tags – US Government Cloud.

Ověřování proxy serverem

Ověřování proxy serverem se v současné době nepodporuje. Naším aktuálním doporučením je umožnit konektoru anonymní přístup k internetovým cílům.

Porty proxy serveru

Konektor provádí odchozí připojení založená na protokolu TLS pomocí metody CONNECT. Tato metoda v podstatě nastaví tunel přes odchozí proxy server. Nakonfigurujte proxy server tak, aby umožňoval tunelování na porty 443 a 80.

Poznámka:

Když service Bus běží přes HTTPS, používá port 443. Ve výchozím nastavení se ale Service Bus pokusí o přímé připojení TCP (Transmission Control Protocol) a vrátí se zpět na HTTPS jenom v případě, že přímé připojení selže.

Kontrola protokolu TLS

Nepoužívejte pro provoz konektoru kontrolu protokolu TLS, protože způsobuje problémy s provozem konektoru. Konektor používá certifikát k ověření ve službě proxy aplikací a tento certifikát je možné během kontroly protokolu TLS ztratit.

Konfigurace pomocí proxy serveru mezi konektorem a back-endovou aplikací

Použití přesměrového proxy serveru pro komunikaci k back-endové aplikaci je v některých prostředích zvláštním požadavkem. Pokud chcete povolit přesměrovací proxy server, postupujte takto:

Krok 1: Přidání požadované hodnoty registru na server

  1. Pokud chcete povolit použití výchozího proxy serveru, přidejte hodnotu registru (DWORD)UseDefaultProxyForBackendRequests = 1 do klíče registru konfigurace konektoru umístěného v HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.

Krok 2: Ruční konfigurace proxy serveru pomocí příkazu netsh

  1. Povolte zásadu Make proxy settings per-machineskupiny . Zásada skupiny se nachází v: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. Zásady skupiny je potřeba nastavit místo nastavení zásad pro jednotlivé uživatele.
  2. Spusťte gpupdate /force na serveru. Případně pokud chcete zajistit, aby se zásady skupiny aktualizovaly, restartujte server.
  3. Spusťte příkazový řádek se zvýšenými oprávněními správce a zadejte control inetcpl.cpl.
  4. Nakonfigurujte požadovaná nastavení proxy serveru.

Nastavení nastaví, aby konektor pro komunikaci s Azure a back-endovou aplikací používal stejný předávací proxy server. Upravte soubor MicrosoftEntraPrivateNetworkConnectorService.exe.config tak, aby se změnil předávaný proxy server. Konfigurace přesměrového proxy serveru je popsaná v částech Obejití odchozích proxy serverů a použití odchozího proxy serveru.

Poznámka:

Existují různé způsoby konfigurace internetového proxy serveru v operačním systému. Nastavení proxy serveru nakonfigurované prostřednictvím NETSH WINHTTP (spuštěním NETSH WINHTTP SHOW PROXY pro ověření) přepíší nastavení proxy serveru, které jste nakonfigurovali v kroku 2.

Služba aktualizátoru konektoru používá proxy počítač. Nastavení se nachází v MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config souboru.

Řešení potíží s proxy serverem konektoru a problémy s připojením ke službám

Teď by se měl zobrazit veškerý provoz procházející přes proxy server. Pokud máte problémy, měly by vám pomoct následující informace o řešení potíží.

Nejlepším způsobem, jak identifikovat a řešit problémy s připojením konektoru, je zachytávání sítě při spuštění služby konektoru. Tady je několik rychlých tipů k zachytávání a filtrování trasování sítě.

Můžete použít nástroj pro monitorování podle svého výběru. Pro účely tohoto článku jsme použili Microsoft Message Analyzer.

Poznámka:

Nástroj Microsoft Message Analyzer (MMA) byl vyřazen a jeho balíčky pro stahování byly odebrány z microsoft.com webů 25. listopadu 2019. Microsoft Message Analyzer v současné době ve vývoji nenahradí. Pro podobné funkce zvažte použití nástroje analyzátoru síťových protokolů třetích stran, jako je Wireshark.

Následující příklady jsou specifické pro Message Analyzer, ale principy je možné použít u libovolného analytického nástroje.

Zachycení provozu konektoru

Při počátečním řešení potíží proveďte následující kroky:

  1. Zastavte službu konektoru privátní sítě Microsoft Entra.services.msc

    Služba konektoru privátní sítě Microsoft Entra v services.msc

  2. Spusťte Nástroj Message Analyzer jako správce.

  3. Vyberte Spustit místní trasování.

  4. Spusťte službu konektoru privátní sítě Microsoft Entra.

  5. Zastavte zachytávání sítě.

    Snímek obrazovky znázorňující tlačítko Zastavit zachytávání sítě

Kontrola, jestli provoz konektoru obchází odchozí proxy servery

Pokud očekáváte, že konektor provede přímé připojení ke službám proxy aplikací, SynRetransmit odpovědi na portu 443 značí, že máte problém se sítí nebo bránou firewall.

Pomocí filtru Analyzátor zpráv identifikujte neúspěšné pokusy o připojení TCP (Transmission Control Protocol). Zadejte property.TCPSynRetransmit do pole filtru a vyberte Použít.

Paket synchronizace (SYN) je první paket odeslaný za účelem navázání připojení TCP. Pokud tento paket nevrací odpověď, syn se znovu obnoví. Pomocí filtru můžete zobrazit všechny přeposílané pakety SYN. Potom můžete zkontrolovat, jestli tyto pakety SYN odpovídají jakémukoli provozu souvisejícímu s konektory.

Kontrola, jestli provoz konektoru používá odchozí proxy servery

Pokud jste nakonfigurovali provoz privátního síťového konektoru tak, aby procházel proxy servery, vyhledejte neúspěšná https připojení k vašemu proxy serveru.

Pomocí filtru Analyzátoru zpráv identifikujte neúspěšné pokusy o připojení HTTPS k vašemu proxy serveru. Zadejte (https.Request or https.Response) and tcp.port==8080 filtr Analyzátoru zpráv a nahraďte 8080 portem proxy služby. Výběrem možnosti Použít zobrazíte výsledky filtru.

Předchozí filtr zobrazuje pouze požadavky a odpovědi HTTPs na/z portu proxy serveru. Hledáte požadavky CONNECT, které zobrazují komunikaci s proxy serverem. Po úspěchu získáte odpověď HTTP OK (200).

Pokud se zobrazí jiné kódy odpovědí, například 407 nebo 502, znamená to, že proxy server vyžaduje ověření nebo nepovoluje provoz z nějakého jiného důvodu. V tuto chvíli zapojíte tým podpory proxy serveru.

Další kroky