Verwenden von Azure Private Link zum sicheren Verbinden von Servern mit Azure Arc

  • Artikel

Mit Azure Private Link können Sie Azure-PaaS-Dienste über private Endpunkte sicher mit Ihrem virtuellen Netzwerk verknüpfen. Bei vielen Diensten richten Sie einfach für jede Ressource einen Endpunkt ein. Dies bedeutet, dass Sie Ihre lokalen Server oder Server in mehreren Clouds mit Azure Arc verbinden und den gesamten Datenverkehr über eine Azure ExpressRoute- oder Site-to-Site-VPN-Verbindung übertragen können, statt öffentliche Netzwerke zu verwenden.

Beginnend mit Azure Arc-fähigen Servern können Sie ein Private Link-Bereichsmodell verwenden, um mehreren Servern oder Computern die Kommunikation mit ihren Azure Arc-Ressourcen über einen einzelnen privaten Endpunkt zu ermöglichen.

In diesem Artikel wird erläutert, wie Sie einen Private Link-Bereich in Azure Arc einrichten und nutzen.

Vorteile

Private Link bietet folgende Möglichkeiten:

  • Herstellen einer privaten Verbindung mit Azure Arc ohne öffentlichen Netzwerkzugriff.
  • Sicherstellen, dass der Zugriff auf die Daten des Azure Arc-fähigen Computers oder Servers nur über autorisierte private Netzwerke erfolgt. Dies schließt auch Daten von VM-Erweiterungen ein, die auf dem Computer oder Server installiert sind und Unterstützung für die Verwaltung und Überwachung nach der Bereitstellung bieten.
  • Verhindern der Datenexfiltration aus Ihren privaten Netzwerken, indem Sie bestimmte Azure Arc-fähige Server und andere Ressourcen für Azure-Dienste wie Azure Monitor bestimmen, die über Ihren privaten Endpunkt eine Verbindung herstellen.
  • Sicheres Verbinden Ihres privaten lokalen Netzwerks mit Azure Arc über ExpressRoute und Private Link.
  • Kapseln des gesamten Datenverkehrs innerhalb des Microsoft Azure-Backbonenetzwerks.

Weitere Informationen finden Sie unter Hauptvorteile von Private Link.

Funktionsweise

Private Link-Bereich in Azure Arc verbindet private Endpunkte (und die virtuellen Netzwerke, in denen sie enthalten sind) mit einer Azure-Ressource, in diesem Fall mit Azure Arc-fähigen Servern. Wenn Sie eine der VM-Erweiterungen aktivieren, die von Servern mit Azure Arc-Unterstützung unterstützt werden (z. B. Azure Monitor), verbinden diese Ressourcen andere Azure-Ressourcen. Also beispielsweise:

  • Log Analytics-Arbeitsbereich, erforderlich für das Azure Automation-Feature „Änderungsnachverfolgung und Bestand“, Azure Monitor VM Insights und Azure Monitor-Protokollsammlung mit Log Analytics-Agent.
  • Azure Automation-Konto, erforderlich für Updateverwaltung sowie Änderungsnachverfolgung und Bestand
  • Azure Key Vault
  • Azure Blob Storage, erforderlich für benutzerdefinierte Skripterweiterung

Diagramm der grundlegenden Ressourcentopologie

Die Konnektivität zu einer anderen Azure-Ressource von einem Azure Arc-fähigen Server aus erfordert die Konfiguration von Private Link für jeden Dienst, was optional ist, aber empfohlen wird. Azure Private Link muss für jeden Dienst separat konfiguriert werden.

Weitere Informationen zur Konfiguration von Private Link für die oben aufgeführten Azure-Dienste finden Sie in den Artikeln Azure Automation, Azure Monitor, Azure Key Vault oder Azure Blob Speicher.

Wichtig

Azure Private Link ist jetzt allgemein verfügbar. Sowohl der Dienst für private Endpunkte als auch der Dienst „Private Link“ (Dienst im Hintergrund von Load Balancer Standard) ist allgemein verfügbar. Verschiedene Azure PaaS werden nach unterschiedlichen Zeitplänen in Azure Private Link eingebunden. Siehe Private Link Verfügbarkeit für einen aktualisierten Status von Azure PaaS auf Private Link. Weitere Informationen zu bekannten Einschränkungen finden Sie unter Privater Endpunkt und Private Link-Dienst.

  • Der private Endpunkt in Ihrem VNet ermöglicht, Azure Arc-fähige Server über private IP-Adressen im Pool Ihres Netzwerks zu erreichen, anstatt die öffentlichen IP-Adressen dieser Endpunkte zu verwenden. Auf diese Weise können Sie Ihre Azure Arc-fähigen Serverressourcen weiterhin nutzen, ohne das VNet für nicht angeforderten ausgehenden Datenverkehr zu öffnen.

  • Datenverkehr vom privaten Endpunkt zu Ihren Ressourcen wird über das Microsoft Azure-Backbone und nicht über öffentliche Netzwerke geroutet.

  • Sie können Ihre einzelnen Komponenten so konfigurieren, dass Erfassung und Abfragen aus öffentlichen Netzwerken zugelassen oder verweigert werden. Dies bietet Schutz auf Ressourcenebene, sodass Sie den Datenverkehr zu bestimmten Ressourcen kontrollieren können.

Beschränkungen und Einschränkungen

Es gelten eine Reihe von Einschränkungen für das Objekt „Private Link-Bereich“ von Azure Arc-fähigen Servern, die beim Planen der Einrichtung von Private Link zu beachten sind.

  • Sie können einem virtuellen Netzwerk mindestens einen Private Link-Bereich für Azure Arc zuordnen.
  • Ein Azure Arc-fähiger Computer oder eine Serverressource kann sich nur mit einem Private Link-Bereich eines Azure Arc-fähigen Servers verbinden.
  • Alle lokalen Computer müssen denselben privaten Endpunkt verwenden, indem die ordnungsgemäßen Informationen zum privaten Endpunkt (Name des FQDN-Eintrags und private IP-Adresse) mithilfe derselben DNS-Weiterleitung aufgelöst werden. Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
  • Der Azure Arc-fähige Computer oder Server, der Private Link-Bereich für Azure Arc und das virtuelle Netzwerk müssen sich in derselben Azure-Region befinden. Der private Endpunkt und das virtuelle Netzwerk müssen sich ebenfalls in derselben Azure-Region befinden, aber diese Region kann sich von der Ihres Azure Arc Private Link Bereichs- und Arc-fähigen Servers unterscheiden.
  • Der Netzwerkdatenverkehr für Microsoft Entra ID und Azure Resource Manager durchläuft nicht den Private Link-Bereich in Azure Arc und nutzt weiterhin Ihre Standardnetzwerkroute zum Internet. Sie können optional eine private Ressourcenmanagementverbindung konfigurieren, um Azure Resource Manager-Datenverkehr an einen privaten Endpunkt zu senden.
  • Andere genutzte Azure-Dienste, z. B. Azure Monitor, erfordern eigene private Endpunkte in Ihrem virtuellen Netzwerk.
  • Der Fernzugriff auf den Server mit Windows Admin Center oder SSH wird derzeit nicht über einen privaten Link unterstützt.

Um Ihren Server über eine private Verbindung mit Azure Arc zu verbinden, müssen Sie Ihr Netzwerk wie folgt konfigurieren:

  1. Richten Sie eine Verbindung zwischen Ihrem lokalen Netzwerk und einem virtuellen Azure-Netzwerk ein, indem Sie eine Site-to-Site-VPN-Verbindung oder ExpressRoute-Leitung verwenden.

  2. Stellen Sie einen Private Link-Bereich in Azure Arc bereit, der steuert, welche Computer oder Server über private Endpunkte mit Azure Arc kommunizieren können, und ordnen Sie ihn über einen privaten Endpunkt Ihrem virtuellen Azure-Netzwerk zu.

  3. Ändern Sie die DNS-Konfiguration in Ihrem lokalen Netzwerk so, dass die Adressen der privaten Endpunkte aufgelöst werden.

  4. Konfigurieren Sie Ihre lokale Firewall, um den Zugriff auf Microsoft Entra ID und Azure Resource Manager zu ermöglichen.

  5. Ordnen Sie die Computer oder Server, die bei Azure Arc-fähigen Servern registriert sind, dem Private Link-Bereich zu.

  6. Optional können Sie private Endpunkte für andere Azure-Dienste bereitstellen, von denen Ihr Computer oder Server verwaltet wird, z. B:

    • Azure Monitor
    • Azure Automation
    • Azure Blob Storage
    • Azure Key Vault

Dieser Artikel geht davon aus, dass Sie Ihre ExpressRoute-Leitung oder Site-to-Site-VPN-Verbindung bereits eingerichtet haben.

Netzwerkkonfiguration

Azure Arc-fähige Server lassen sich in verschiedene Azure-Dienste integrieren, um Ihren Hybridcomputern oder -servern Verwaltungs- und Governancefunktionen in der Cloud zu ermöglichen. Die meisten dieser Dienste bieten bereits private Endpunkte, aber Sie müssen Ihre Firewall- und Routingregeln so konfigurieren, dass der Zugriff auf Microsoft Entra ID und Azure Resource Manager über das Internet möglich ist, bis diese Dienste private Endpunkte anbieten.

Dazu stehen zwei Möglichkeiten zur Verfügung:

  • Wenn Ihr Netzwerk so konfiguriert ist, dass der gesamte internetgebundene Datenverkehr über die Azure-VPN-Verbindung oder ExpressRoute-Leitung geroutet wird, können Sie die Netzwerksicherheitsgruppe (NSG), die Ihrem Subnetz in Azure zugeordnet ist, so konfigurieren, dass ausgehender TCP 443-Zugriff (HTTPS) auf Microsoft Entra ID und Azure mithilfe von Diensttags erlaubt wird. Die NSG-Regeln sollten wie folgt aussehen:

    Einstellung Microsoft Entra ID-Regel Azure-Regel
    Quelle Virtuelles Netzwerk Virtuelles Netzwerk
    Source port ranges * *
    Destination Diensttag Diensttag
    Zieldiensttag AzureActiveDirectory AzureResourceManager
    Zielportbereiche 443 443
    Protokoll TCP TCP
    Aktion Zulassen Allow
    Priorität 150 (muss niedriger sein als alle Regeln, die Internetzugriff blockieren) 151 (muss niedriger sein als alle Regeln, die Internetzugriff blockieren)
    Name AllowAADOutboundAccess AllowAzOutboundAccess

  • Konfigurieren Sie die Firewall in Ihrem lokalen Netzwerk so, dass ausgehender TCP 443-Zugriff (HTTPS) auf Microsoft Entra ID und Azure mithilfe der herunterladbaren Diensttagdateien zulässig ist. Die JSON-Datei enthält alle öffentlichen IP-Adressbereiche, die von Microsoft Entra ID und Azure verwendet werden, und wird monatlich aktualisiert, um alle Änderungen zu widerspiegeln. Das Diensttag von Azure AD ist AzureActiveDirectory, das von Azure ist AzureResourceManager. Wenden Sie sich an Ihren Netzwerkadministrator und Netzwerkfirewallanbieter, um zu erfahren, wie Sie Ihre Firewallregeln konfigurieren.

Weitere Informationen finden Sie im visuellen Diagramm unter dem Abschnitt zur Funktionsweise des Flusses des Netzwerkdatenverkehrs.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie im Azure-Portal zu Ressource erstellen und dann zu Private Link-Bereich für Azure Arc. Sie können auch den folgenden Link verwenden, um die Seite Private Link-Bereich für Azure Arc im Portal zu öffnen.

    Screenshot der Homepage des privaten Bereichs mit der Schaltfläche „Erstellen“.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie auf der Registerkarte Grundlagen ein Abonnement und eine Ressourcengruppe aus.

  5. Geben Sie dem Private Link-Bereich für Azure Arc einen Namen. Es empfiehlt sich ein aussagekräftiger Name.

    Optional können Sie verlangen, dass jeder Azure Arc-fähige Computer oder Server, der mit diesem Private Link-Bereich in Azure Arc verbunden ist, Daten über den privaten Endpunkt an den Dienst sendet. Aktivieren Sie hierzu das Kontrollkästchen Zugriff aus öffentlichen Netzwerken zulassen, damit Computer oder Server, die diesem Private Link-Bereich in Azure Arc zugeordnet sind, über private oder öffentliche Netzwerke mit dem Dienst kommunizieren können. Sie können diese Einstellung nach Erstellen des Bereichs ändern, falls Sie Ihre Meinung ändern sollten.

  6. Wählen Sie die Registerkarte Privater Endpunkt und dann Erstellen aus.

  7. Gehen Sie im Fenster Privaten Endpunkt erstellen wie folgt vor:

    1. Geben Sie einen Namen für den Endpunkt ein.

    2. Wählen Sie für In private DNS-Zone integrieren die Option Ja aus, und lassen Sie die neue private DNS-Zone automatisch erstellen.

      Hinweis

      Wenn Sie Nein wählen und die manuelle Verwaltung von DNS-Einträgen bevorzugen, müssen Sie zuerst die Einrichtung Ihrer Private Link-Instanz einschließlich dieses privaten Endpunkts und der Konfiguration des Private Link-Bereichs abschließen. Konfigurieren Sie anschließend Ihr DNS gemäß den Anweisungen unter DNS-Konfiguration für private Azure-Endpunkte . Stellen Sie sicher, dass Sie keine leeren Datensätze als Vorbereitung für Ihre Private Link-Einrichtung erstellen. Die von Ihnen erstellten DNS-Einträge können bestehende Einstellungen überschreiben und Ihre Konnektivität mit Azure Arc-fähigen Servern beeinträchtigen.

    3. Klickan Sie auf OK.

  8. Klicken Sie auf Überprüfen + erstellen.

    Screenshot mit dem Fenster „Private Link-Bereich erstellen“

  9. Warten Sie die Überprüfung ab, und wählen Sie dann Erstellen aus.

Konfigurieren der lokalen DNS-Weiterleitung

Ihre lokalen Computer oder Server müssen in der Lage sein, die DNS-Einträge der privaten Verbindung in die IP-Adressen des privaten Endpunkts aufzulösen. Wie Sie dies konfigurieren, hängt davon ab, ob Sie private Azure-DNS-Zonen zur Verwaltung von DNS-Einträgen verwenden, ob Sie Ihren eigenen DNS-Server lokal einsetzen und wie viele Server Sie konfigurieren.

DNS-Konfiguration mit in Azure integrierten privaten DNS-Zonen

Wenn Sie bei der Erstellung des privaten Endpunkts private DNS-Zonen für Azure Arc-fähige Server und die Gastkonfiguration einrichten, müssen Ihre lokalen Computer oder Server in der Lage sein, DNS-Abfragen an die integrierten Azure DNS-Server weiterzuleiten, um die Adressen des privaten Endpunkts ordnungsgemäß aufzulösen. Sie benötigen eine DNS-Weiterleitung in Azure (entweder eine eigens eingerichtete VM oder eine Azure Firewall-Instanz mit aktiviertem DNS-Proxy). Anschließend können Sie Ihren lokalen DNS-Server so konfigurieren, dass er Abfragen an Azure weiterleitet, um IP-Adressen privater Endpunkte aufzulösen.

Die Dokumentation zu privaten Endpunkten enthält Anleitungen zum Konfigurieren lokaler Workloads mithilfe einer DNS-Weiterleitung.

Manuelle DNS-Serverkonfiguration

Wenn Sie sich bei der Erstellung des privaten Endpunkts gegen die Verwendung privater Azure-DNS-Zonen entschieden haben, müssen Sie die erforderlichen DNS-Einträge auf Ihrem lokalen DNS-Server erstellen.

  1. Öffnen Sie das Azure-Portal.

  2. Navigieren Sie zu der privaten Endpunktressource, die Ihrem virtuellen Netzwerk und dem Private Link-Bereich zugeordnet ist.

  3. Wählen Sie im linken Bereich DNS-Konfiguration aus, um eine Liste der DNS-Einträge und der entsprechenden IP-Adressen anzuzeigen, die Sie auf Ihrem DNS-Server einrichten müssen. Die FQDNs und IP-Adressen ändern sich basierend auf der Region, die Sie für Ihren privaten Endpunkt ausgewählt haben, und den verfügbaren IP-Adressen in Ihrem Subnetz.

    DNS-Konfigurationsdetails

  4. Befolgen Sie die Anweisungen Ihres DNS-Serveranbieters, um die erforderlichen DNS-Zonen und A-Einträge hinzuzufügen, die mit der Tabelle im Portal übereinstimmen müssen. Stellen Sie sicher, dass Sie einen DNS-Server auswählen, der für Ihr Netzwerk geeignet ist. Jeder Computer oder Server, der diesen DNS-Server verwendet, löst nun die IP-Adressen der privaten Endpunkte auf und muss mit dem Private Link-Bereich in Azure Arc verbunden sein, da sonst die Verbindung abgelehnt wird.

Szenarien mit Einzelserver

Wenn Sie Private Link nur zur Unterstützung einiger Computer oder Server verwenden möchten, werden Sie eventuell nicht die DNS-Konfiguration Ihres gesamten Netzwerks ändern wollen. In diesem Fall können Sie die Hostnamen und IP-Adressen der privaten Endpunkte in die Datei Hosts Ihres Betriebssystems aufnehmen. Abhängig von der Betriebssystemkonfiguration kann die Datei „Hosts“ die primäre oder alternative Methode zum Auflösen des Hostnamens in die IP-Adresse sein.

Windows

  1. Öffnen Sie unter Verwendung eines Kontos mit Administratorrechten C:\Windows\System32\drivers\etc\hosts.

  2. Fügen Sie die IP-Adressen und Hostnamen des privaten Endpunkts hinzu, wie in der Tabelle in Schritt 3 unter Manuelle DNS-Serverkonfiguration gezeigt. Die Datei „Hosts“ erfordert zuerst die IP-Adresse, gefolgt von einem Leerzeichen und dem Hostnamen.

  3. Speichern Sie die Datei mit Ihren Änderungen. Möglicherweise müssen Sie die Datei zuerst in einem anderen Verzeichnis speichern und dann in den ursprünglichen Pfad kopieren.

Linux

  1. Öffnen Sie die /etc/hosts Hostdatei in einem Text-Editor.

  2. Fügen Sie die IP-Adressen und Hostnamen des privaten Endpunkts hinzu, wie in der Tabelle in Schritt 3 unter Manuelle DNS-Serverkonfiguration gezeigt. Die Datei „Hosts“ erfordert zuerst die IP-Adresse, gefolgt von einem Leerzeichen und dem Hostnamen.

  3. Speichern Sie die Datei mit Ihren Änderungen.

Herstellen einer Verbindung mit einem Azure Arc-fähigen Server

Hinweis

Die unterstützte Mindestversion des Connected Machine-Agents für Azure Arc mit privatem Endpunkt ist Version 1.4. Mithilfe des im Portal generierten Skripts zur Bereitstellung Azure Arc-fähiger Servern wird die neueste Version heruntergeladen.

Wenn Sie einen Computer oder Server zum ersten Mal mit Azure Arc-fähigen Servern verbinden, können Sie ihn optional mit einem Private Link-Bereich verbinden. Gehen Sie wie folgt vor:

  1. Navigieren Sie in Ihrem Browser zum Azure-Portal.

  2. Navigieren Sie zu "Computer" – Azure Arc.

  3. Wählen Sie auf der Seite Computer – Azure Arc oben links zuerst Hinzufügen/Erstellen und dann im Dropdownmenü Computer hinzufügenaus.

  4. Wählen Sie auf der Seite Server mit Azure Arc hinzufügen je nach Bereitstellungsszenario entweder die Option Einen einzelnen Server hinzufügen oder Mehrere Server hinzufügen und dann Skript generieren aus.

  5. Wählen Sie auf der Seite Skript generieren das Abonnement und die Ressourcengruppe für die Verwaltung des Computers in Azure aus. Wählen Sie einen Azure-Standort zum Speichern der Computermetadaten aus. Bei diesem Standort kann es sich um denselben Standort wie bei der Ressourcengruppe oder um einen anderen Standort handeln.

  6. Geben Sie unter Grundlagen die Folgendes an:

    1. Wählen Sie Abonnement und Ressourcengruppe für Ihren Computer.

    2. Wählen Sie in der Dropdownliste Region die Azure-Region aus, in der die Metadaten des Computers oder Servers gespeichert werden sollen.

    3. Wählen Sie in der Dropdownliste Betriebssystem das Betriebssystem aus, für das das Skript konfiguriert ist.

    4. Wählen Sie unter Konnektivitätsmethode die Option Privater Endpunkt und dann in der Dropdownliste den Private Link-Bereich in Azure Arc aus, der in Teil 1 erstellt wurde.

      Auswählen der Konnektivitätsoption „Privater Endpunkt“

    5. Klicken Sie auf Weiter: Tags.

  7. Wenn Sie auf der Seite Authentifizierung die Option Mehrere Server hinzufügen ausgewählt haben, wählen Sie in der Dropdownliste den Dienstprinzipal aus, der für Azure Arc-fähige Server erstellt wurde. Wenn Sie keinen Dienstprinzipal für Azure Arc-fähige Server erstellt haben, lesen Sie zunächst, wie Sie einen Dienstprinzipal erstellen, um sich mit den erforderlichen Berechtigungen und den Schritten zu dessen Erstellung vertraut zu machen. Wählen SieWeiter: Tags aus, um fortzufahren.

  8. Überprüfen Sie auf der Seite Tags die vorgeschlagenen standardmäßigen physischen Speicherorttags, und geben Sie einen Wert ein, oder geben Sie mindestens ein benutzerdefiniertes Tag an, um Ihre Standards zu unterstützen.

  9. Klicken Sie auf Weiter: Skript herunterladen und ausführen.

  10. Überprüfen Sie die auf der Seite Skript herunterladen und ausführen die Zusammenfassungsinformationen, und wählen Sie dann Herunterladen aus. Sollten noch Änderungen erforderlich sein, wählen Sie Zurück aus.

Nach dem Herunterladen des Skripts müssen Sie es auf Ihrem Computer oder Server mit einem privilegierten Konto (Administrator oder root) ausführen. Je nach Netzwerkkonfiguration müssen Sie den Agent möglicherweise von einem Computer mit Zugriff auf das Internet herunterladen und auf Ihren Computer oder Server übertragen und dann das Skript mit dem Pfad zum Agent ändern.

Der Windows-Agent kann von https://aka.ms/AzureConnectedMachineAgent heruntergeladen werden, der Linux-Agent von https://packages.microsoft.com. Suchen Sie in Ihrem Verzeichnis mit der Betriebssystemdistribution nach der neuesten Version von azcmagent, und installieren Sie sie mit Ihrem lokalen Paket-Manager.

Das Skript gibt nach Abschluss des Onboardings Statusmeldungen zurück, die Sie darüber informieren, ob das Onboarding erfolgreich war.

Tipp

Netzwerkdatenverkehr vom Azure Connected Machine-Agent zu Microsoft Entra ID (login.windows.net, login.microsoftonline.com, pas.windows.net) und Azure Resource Manager (management.azure.com) verwenden weiterhin öffentliche Endpunkte. Wenn Ihr Server über einen Proxyserver kommunizieren muss, um diese Endpunkte zu erreichen, konfigurieren Sie den Agent mit der Proxyserver-URL, bevor Sie ihn mit Azure verbinden. Möglicherweise müssen Sie auch eine Proxyumgehung für die Azure Arc-Dienste konfigurieren, wenn ihr privater Endpunkt von Ihrem Proxyserver aus nicht erreichbar ist.

Konfigurieren eines vorhandenen Azure Arc-fähigen Servers

Azure Arc-fähigen Servern, die vor Ihrem Private Link-Bereich eingerichtet wurden, können Sie erlauben, den Private Link-Bereich für Arc-fähige Server zu verwenden, indem Sie die folgenden Schritte ausführen.

  1. Navigieren Sie im Azure-Portal zu Ihrer Ressource „Private Link-Bereich für Azure Arc“.

  2. Wählen Sie im linken Bereich Azure Arc-Ressourcen und dann + Hinzufügen aus.

  3. Wählen Sie die Server in der Liste aus, die Sie dem Private Link-Bereich zuordnen möchten, und dann Auswählen aus, um die Änderungen zu speichern.

Auswählen von Azure Arc-Ressourcen

Es kann u.U. bis zu 15 Minuten dauern, bis der Private Link-Bereich Verbindungen mit den kurz zuvor zugeordneten Servern akzeptiert.

Problembehandlung

  1. Überprüfen Sie Ihre lokalen DNS-Server, um sicherzustellen, dass sie entweder zu Azure DNS weitergeleitet werden oder mit den entsprechenden A-Einträgen in Ihrer Private Link-Zone konfiguriert sind. Diese Lookupbefehle müssen private IP-Adressen in Ihrem virtuellen Azure-Netzwerk zurückgeben. Wenn sie öffentliche IP-Adressen auflösen, überprüfen Sie die DNS-Konfiguration Ihres Computers oder Servers und Netzwerks.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com

  2. Wenn Sie Probleme mit dem Onboarding eines Computers oder Servers haben, vergewissern Sie sich, dass Sie Ihrer lokalen Netzwerkfirewall Diensttags für Microsoft Entra ID und Azure Resource Manager hinzugefügt haben. Der Agent muss mit diesen Diensten über das Internet kommunizieren, bis private Endpunkte für diese Dienste verfügbar sind.

Nächste Schritte