Konektory privátní sítě Microsoft Entra

Konektory umožňují Microsoft Entra Private Access a aplikační proxy. Tento článek vysvětluje, co jsou konektory, jak fungují a jak optimalizovat nasazení.

Co je privátní síťový konektor?

Konektory privátní sítě jsou odlehčené agenty, které nainstalujete na Windows Server ve vaší síti. Vytvářejí odchozí připojení ke službám soukromého přístupu a službám aplikačního proxy serveru pro přístup k back-endovým prostředkům.

Uživatelé se připojují ke cloudové službě, která směruje provoz do aplikací prostřednictvím konektorů. Přehled architektury najdete v tématu Použití proxy aplikací Microsoft Entra k publikování místních aplikací pro vzdálené uživatele.

Nastavení a registrace konektoru ve službě proxy aplikací:

1. Otevřete odchozí porty 80 a 443 a povolte přístup k požadovaným službám a adresám URL ID Microsoft Entra.
2. Přihlaste se do Centra pro správu Microsoft Entra a spusťte instalační program na místním počítači s Windows Serverem.
3. Spusťte konektor tak, aby naslouchal službě proxy aplikací.
4. Přidejte místní aplikaci do ID Microsoft Entra a nastavte adresy URL pro uživatele.

Další informace o nastavení naleznete v tématu Konfigurace privátních síťových konektorů pro Microsoft Entra Private Access a proxy aplikací.

Konektory a služba zajišťují vysokou dostupnost. Konektory můžete kdykoli přidat nebo odebrat.

Skupiny konektorů

Konektory můžete uspořádat do skupin konektorů, které zpracovávají provoz pro konkrétní prostředky. Konektory ve stejné skupině fungují jako jedna jednotka pro zajištění vysoké dostupnosti a vyrovnávání zatížení.

Vytvořte skupiny a přiřaďte konektory v Centru pro správu Microsoft Entra a pak namapujte skupiny na konkrétní aplikace. Pro zajištění vysoké dostupnosti používejte alespoň dva konektory v každé skupině.

Skupiny konektorů použijte pro:

• Publikování geografických aplikací
• Segmentace a izolace aplikací
• Publikování webových aplikací běžících v cloudu nebo v místním prostředí

Skupiny konektorů zjednodušují správu velkých nasazení. Můžou snížit latenci pro tenanty, kteří mají prostředky a aplikace v různých oblastech. Vytvořte skupiny konektorů založených na poloze, které budou obsluhovat pouze místní aplikace.

Další informace najdete ve skupinách privátních síťových konektorů Microsoft Entra.

Údržba

Služba směruje nové požadavky na dostupný konektor. Pokud je konektor dočasně nedostupný, nebude přijímat provoz.

Konektory jsou bezstavové a neukládají na počítači žádná konfigurační data. Ukládají pouze nastavení pro připojení ke službě a ověřovacímu certifikátu. Když se připojí ke službě, vyžádají si požadovaná konfigurační data a aktualizují je každých několik minut.

Stav konektoru

Stav konektorů můžete zobrazit v Centru pro správu Microsoft Entra:

• Pro přístup k privátnímu: Přejděte na Global Secure Access>Connect>Connectors.
• Proxy aplikací: Přejděte do identit>aplikací>podnikových aplikací, a poté vyberte aplikaci. Na stránce aplikace vyberte proxy aplikace.

Záznamy

Konektory se instalují na Windows Server, takže mají většinu stejných nástrojů pro správu. K monitorování konektorů můžete použít protokoly událostí Windows a čítače výkonu Windows.

Konektory mají jak administrátorské, tak sestavení protokoly. Protokol správce obsahuje klíčové události a jejich chyby. Záznam relace obsahuje všechny transakce a podrobnosti o jejich zpracování.

Zobrazení protokolů:

1. Otevřete Prohlížeč událostí a přejděte do Protokolů aplikací a služeb>Microsoft>, soukromá síť Entra>, Konektor.

   Protokol Admin je ve výchozím nastavení viditelný.

2. Chcete-li zobrazit protokol relace, v nabídce Zobrazení vyberte možnost Zobrazit analytické a ladicí protokoly.

   Protokol Sezení se obvykle používá k řešení potíží a ve výchozím nastavení je zakázaný. Povolte ho, aby začal shromažďovat události a zakažte je, když už je nepotřebujete.

Stav služby

Konektor se skládá ze dvou služeb Systému Windows: skutečného konektoru a aktualizátoru. Obě musí běžet pořád. Stav služeb můžete prozkoumat v okně Služby .

Zpracování problémů se serverem konektoru

Pokud jeden nebo více serverů konektorů nefunguje kvůli výpadku serveru, sítě nebo podobného výpadku, postupujte podle těchto kroků, abyste zachovali kontinuitu:

1. Identifikujte a odeberte ovlivněné servery ze skupiny konektorů.
2. Pokud chcete obnovit kapacitu, přidejte do skupiny konektorů dostupné servery, které jsou v pořádku, nebo záložní servery.
3. Restartujte ovlivněné servery, aby se vyprázdnily všechna existující připojení. Stávající probíhající připojení se okamžitě nevyprázdní se změnami skupin konektorů.

Pomocí této sekvence můžete udržovat službu stabilní a minimalizovat přerušení, když mají servery konektorů problémy.

Aktualizace konektorů

Microsoft Entra ID občas poskytuje automatické aktualizace pro konektory, které nasadíte. Konektory kontaktují službu aktualizací kvůli aktualizacím. Pokud je pro automatickou aktualizaci k dispozici novější verze, konektory se aktualizují samy. Pokud je služba aktualizátoru spuštěná, můžou se vaše konektory automaticky aktualizovat na nejnovější hlavní verzi konektoru. Pokud na serveru nevidíte službu aktualizátoru, musíte konektor přeinstalovat, abyste získali aktualizace.

Ne všechny verze jsou naplánované pro automatické aktualizace. Sledujte stránku historie verzí a zjistěte, jestli je aktualizace nasazena automaticky, nebo vyžaduje ruční nasazení na portálu Microsoft Entra. Pokud potřebujete provést ruční aktualizaci, na serveru, který je hostitelem vašeho konektoru, přejděte na stránku pro stažení konektoru a vyberte Stáhnout. Tato akce spustí aktualizaci místního konektoru.

V tenantech, kteří mají více konektorů, cílí automatické aktualizace vždy na jeden konektor v každé skupině, aby se zabránilo výpadkům. Během aktualizace může dojít k výpadku, pokud:

• Máte pouze jeden konektor. Pokud se chcete vyhnout výpadkům a zajistit vyšší dostupnost, přidejte druhý konektor a skupinu konektorů.
• Aktualizace se spustí, když konektor zpracuje transakci. Počáteční transakce je ztracena, ale prohlížeč automaticky opakuje operaci, nebo můžete aktualizovat stránku. Opětovně odesílaný požadavek se přesměruje do záložního konektoru.

Podrobnosti o předchozích verzích a jejich změnách najdete v tématu Microsoft Entra Private Network Connector: Historie verzí.

Zabezpečení a sítě

Konektory je možné nainstalovat kdekoli v síti, které jim umožňují odesílat požadavky do služeb privátního přístupu a proxy aplikací. Důležité je, že počítač, na kterém je spuštěný konektor, má také přístup k vašim aplikacím a prostředkům.

Konektory můžete nainstalovat v podnikové síti nebo na virtuální počítač, který běží v cloudu. Konektory se můžou spouštět v perimetrické síti, ale není to nutné, protože veškerý provoz směřuje ven kvůli zabezpečení sítě.

Konektory odesílají jenom odchozí požadavky. Odchozí provoz je odesílán do služby a do publikovaných prostředků a aplikací. Příchozí porty nemusíte otevírat, protože provoz po navázání relace prochází oběma způsoby. Nemusíte také konfigurovat příchozí přístup přes brány firewall.

Výkon a škálovatelnost

Škálování pro služby privátního přístupu a proxy aplikací je transparentní, ale škálování je faktorem pro konektory. Potřebujete dostatek konektorů pro zpracování provozu ve špičce.

Konektory jsou bezstavové a počet uživatelů nebo relací na ně nemá vliv. Místo toho reagují na počet požadavků a velikost datového balíčku. U standardního webového provozu dokáže průměrný počítač zpracovat 2 000 požadavků za sekundu. Konkrétní kapacita závisí na přesných vlastnostech stroje.

Cpu a síť definují výkon konektoru. K šifrování a dešifrování protokolu TLS je potřeba výkon procesoru, zatímco pro zajištění rychlého připojení k aplikacím a online službě je důležité síť.

Naproti tomu je paměť pro konektory menší problém. Online služba se stará o většinu zpracování a veškerého neověřeného provozu. Všechno, co je možné udělat v cloudu, se provádí v cloudu.

Pokud konektory nebo počítače nejsou dostupné, provoz přejde do jiného konektoru ve skupině. Odolnost zajišťuje více konektorů ve skupině konektorů.

Dalším faktorem, který ovlivňuje výkon, je kvalita sítě mezi konektory, včetně:

• Online služba: Pomalé nebo vysoká latence připojení ke službě Microsoft Entra ovlivňují výkon konektoru. Pokud chcete dosáhnout nejlepšího výkonu, připojte svou organizaci k Microsoftu prostřednictvím Azure ExpressRoute. V opačném případě požádejte váš síťový tým, aby ta připojení k Microsoftu byla zpracována co nejefektivněji.
• Back-endové aplikace: V některých případech existují další proxy servery mezi konektorem a back-endovými prostředky a aplikacemi, které můžou zpomalit nebo zabránit připojení. Pokud chcete tento scénář vyřešit, otevřete prohlížeč ze serveru konektoru a zkuste získat přístup k aplikaci nebo prostředku. Pokud konektory spouštíte v cloudu, ale aplikace jsou místní, nemusí být prostředí to, co uživatelé očekávají.
• Řadiče domény: Pokud konektory provádějí jednotné přihlašování (SSO) pomocí omezeného delegování protokolu Kerberos (KCD), před odesláním požadavku na back-end kontaktují řadiče domény. Konektory mají mezipaměť lístků Kerberos, ale rychlost odezvy řadičů domény může ovlivnit výkon v zaneprázdněném prostředí. Tento problém je častější u konektorů, které běží v Azure, ale komunikují s řadiči domény, které jsou místní.

Pokyny k instalaci konektorů a postupu optimalizace sítě najdete v tématu Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.

Rozšíření rozsahu dočasných portů

Konektory privátní sítě iniciují připojení TCP a UDP k určeným cílovým koncovým bodům. Tato připojení vyžadují dostupné zdrojové porty na hostitelském počítači konektoru. Rozšíření rozsahu dočasných portů může zlepšit dostupnost zdrojových portů, zejména při správě velkého objemu souběžných připojení.

Pokud chcete zobrazit aktuální dynamický rozsah portů v systému, použijte následující netsh příkazy:

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• netsh int ipv6 show dynamicport tcp
• netsh int ipv6 show dynamicport udp

Tady jsou ukázkové netsh příkazy pro zvýšení počtu portů:

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• netsh int ipv6 set dynamicport udp start=1025 num=64511

Tyto příkazy nastaví rozsah dynamického portu od 1025 do maximálního počtu 65535. Minimální počáteční port je 1025.

Specifikace a požadavky na velikost

Pro každý konektor privátní sítě Microsoft Entra doporučujeme následující specifikace:

• Paměť: 8 GiB nebo více.
• CPU: Čtyři jádra procesoru nebo více.

Udržujte maximální využití procesoru a paměti na konektor pod 70%. Pokud trvalé využití překročí 70%, přidejte do skupiny konektory nebo vertikálně navyšte kapacitu hostitele pro distribuci zatížení. Monitorujte čítače výkonu Windows a ověřte, že se využití vrací do přijatelného rozsahu.

Na virtuálním počítači Azure s velikostí čtyř virtuálních procesorů a 8 GiB paměti RAM se standardní sítí můžete očekávat až 1,5 Gb/s agregovanou propustnost TCP (kombinovaná příchozí a odchozí) na konektoru. Vyšší propustnost můžete dosáhnout pomocí větších velikostí virtuálních počítačů (více virtuálních procesorů, větší paměti a akcelerovaných síťových karet nebo síťových karet s velkou šířkou pásma) nebo přidáním dalších konektorů ve stejné skupině pro horizontální navýšení kapacity.

Tyto pokyny k výkonu jsme odvodili z kontrolovaných laboratorních testů, které používaly datové toky TCP pomocí iPerf3 ve vyhrazeném testovacím tenantovi. Skutečná propustnost se může lišit v závislosti na:

• Generování procesoru.
• Možnosti síťových adaptérů (akcelerované síťové karty, odkládání síťových zátěží)
• Šifrovací sady PROTOKOLU TLS.
• Latence a zpoždění sítě
• Ztráta paketů.
• Souběžná kombinace protokolů (HTTPS, SMB, RDP).
• Zprostředkující zařízení (brány firewall, IDS/IPS, kontrola SSL).
• Odezva back-endové aplikace

Data srovnávacích testů založená na scénářích (smíšené úlohy, souběžnost připojení, aplikace citlivé na latenci) se přidají do této dokumentace, jakmile budou k dispozici.

Po registraci konektoru vytvoří odchozí tunely TLS s infrastrukturou cloudu privátního přístupu. Tyto tunely zpracovávají veškerý datový provoz. Kromě toho kanál řídicí roviny používá minimální šířku pásma k řízení prezenčních signálů, generování sestav o stavu systému, aktualizaci konektorů a plnění dalších funkcí.

Pokud je k dispozici odpovídající síť a připojení k internetu, můžete nasadit více konektorů ve stejné skupině konektorů, abyste zvýšili celkovou propustnost. Doporučujeme udržovat minimálně dva konektory, které jsou v pořádku, abyste zajistili odolnost a konzistentní dostupnost.

Další informace najdete v tématu Osvědčené postupy pro vysokou dostupnost konektorů.

Připojení k doméně

Konektory se můžou spouštět na počítači, který není připojený k doméně. Pokud ale chcete jednotné přihlašování k aplikacím, které používají integrované ověřování systému Windows, potřebujete počítač připojený k doméně. V takovém případě musí být počítače konektorů připojené k doméně, která může provádět KCD jménem uživatelů publikovaných aplikací.

Konektory můžete také připojit k:

• Domény v lesích, které mají částečnou důvěru.
• Řadiče domény jen pro čtení.

Nasazení konektorů v posílených prostředích

Nasazení konektoru je obvykle jednoduché a nevyžaduje žádnou speciální konfiguraci. Zvažte ale tyto jedinečné podmínky:

• Odchozí provoz vyžaduje, aby byly otevřené konkrétní porty (80 a 443).
• Počítače kompatibilní se standardem FIPS můžou vyžadovat změnu konfigurace, aby procesy konektoru mohly generovat a ukládat certifikáty.
• Odchozí proxy servery můžou dvoucestné ověřování certifikátu přerušit a způsobit selhání komunikace.

Ověřování konektoru

Aby bylo možné zajistit zabezpečenou službu, musí se konektory ověřit ve službě a služba se musí ověřit vůči konektoru. Toto ověřování používá certifikáty klienta a serveru, když konektory zahájí připojení. Tímto způsobem se uživatelské jméno a heslo správce neukládají na zařízení konektoru.

Certifikáty jsou specifické pro službu. Vytvoří se během počáteční registrace a automaticky se obnoví každých pár měsíců.

Po prvním úspěšném obnovení certifikátu nemá služba konektoru žádné oprávnění k odebrání starého certifikátu z místního úložiště počítačů. Pokud platnost certifikátu vyprší nebo ji služba nepoužívá, můžete ho bezpečně odstranit.

Abyste se vyhnuli problémům s obnovením certifikátu, ujistěte se, že je povolená síťová komunikace z konektoru směrem k zdokumentovaným cílům.

Pokud konektor není připojený ke službě několik měsíců, můžou být jeho certifikáty zastaralé. V takovém případě odinstalujte a znovu nainstalujte konektor, aby se aktivovala registrace. Můžete spustit následující příkazy PowerShellu:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Pro Azure Government použijte -EnvironmentName "AzureUSGovernment". Další informace najdete v tématu Instalace agenta pro cloud Azure Government.

Informace o ověření certifikátu a řešení potíží najdete v tématu Řešení potíží s instalací privátního síťového konektoru.

Neaktivní konektory

Nepoužívané konektory nemusíte odstraňovat ručně. Služba označí neaktivní konektory jako _inactive_ a po 10 dnech je odebere.

Pokud chcete odinstalovat konektor, odinstalujte službu konektoru i službu aktualizátoru. Potom restartujte počítač.

Pokud se konektory, které očekáváte jako aktivní, zobrazí jako neaktivní ve skupině konektorů, může brána firewall blokovat požadované porty. Další informace o konfiguraci odchozích pravidel brány firewall najdete v tématu Práce se stávajícími místními proxy servery.

Související obsah

• Skupiny privátních síťových konektorů Microsoft Entra
• Řešení chyb proxy aplikací a konektorů
• Vytvoření bezobslužného instalačního skriptu pro konektor privátní sítě Microsoft Entra