Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra Private Access bietet eine schnelle und einfache Möglichkeit, ältere VPNs zu ersetzen. Sie bietet präzisen und sicheren Zugriff auf interne Ressourcen, ohne Ihr vollständiges Netzwerk verfügbar zu machen. DNS spielt eine wichtige Rolle, indem die Namensauflösung für wichtige interne Ressourcen aktiviert wird, und Remotebenutzer müssen die Konfiguration interner DNS-Systeme nicht kennen. Microsoft Entra Private DNS mit Quick Access bietet ein einfaches Setup, das Connector-Lokale Resolver verwendet, um DNS-Abfragen für interne Ressourcen zu beantworten.
Mit dem privaten DNS-Dienst können Sie der Konfiguration für den Schnellzugriff Domänensuffixe für die Organisation hinzufügen. Dadurch wird das Datenverkehrsweiterleitungsprofil für Clients automatisch aktualisiert. Nach der Konfiguration werden alle DNS-Abfragen für einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), der mit den übereinstimmenden Suffixen von Clientgeräten endet, zur Auflösung an den DNS-Proxy an einen GSA-Edge gesendet. Wenn ein zwischengespeichertes Ergebnis verfügbar ist, werden DNS-Antworten an die Clients zurückgegeben. Andernfalls leitet der DNS-Proxy die Anforderung an den Connector weiter, der die DNS-Abfrage zur Auflösung an seinen DNS-Server sendet. Der Connector übergibt dann die Antworten an den Rand zurück, wodurch die Abfrage an den Client zurückgegeben wird. Der GSA-Client weist dann eine synthetische IP-Adresse zu und gibt sie an die Anwendung zurück. Die synthetische IP wird verwendet, um den Anwendungsverkehr zu den GSA-Edges zu leiten.
Der allgemeine private DNS-Fluss für Windows-Clients wird im folgenden Diagramm gezeigt.
Konfiguration
Ein Administrator aktiviert privates DNS und fügt ein DNS-Suffix aus dem Schnellzugriff hinzu.
Auf dem Client wird ein Eintrag in der Namensauflösungsrichtlinientabelle (NAME Resolution Policy Table, NRPT) generiert, damit das Suffix über den GSA-Client aufgelöst werden kann.
Das Weiterleitungsprofil für den Client-Datenverkehr wird aktualisiert, um private DNS-Abfragen an den GSA edge zu senden.
Datenpfad
- Der Benutzer fordert eine DNS-Abfrage für
app.contoso.com. Wenn sie nicht lokal zwischengespeichert wird, wird die DNS-Abfrage an den DNS-Proxy am GSA-Edge gesendet. - Der DNS-Proxy antwortet entweder aus dem Cache oder leitet die Abfrage an die im Schnellzugriff definierte Connectorgruppe weiter.
1.Der Connectorserver sendet die DNS-Abfrage an die DNS-Server, die auf Betriebssystemebene konfiguriert sind. - DNS-Proxy antwortet dem Client mit der internen IP. Der Client speichert die interne IP-Adresse und gibt eine synthetische IP an die Anwendung zurück.
Wenn ein DNS-Suffix im Schnellzugriff konfiguriert ist, werden alle DNS-Abfragen für einen vollqualifizierten Domänennamen (FQDN), der mit den übereinstimmenden Suffixen endet, von privatem DNS aufgelöst, einschließlich derjenigen, die zum Definieren von Unternehmensanwendungen verwendet werden.
SLD-Auflösung (Single-Label Domain)
Das private DNS stellt die Namensauflösung für SLD ohne Domänensuffix bereit. Es wird ein NRPT-Eintrag erstellt, um GSA-Suffix globalsecureaccess.local. an DNS-Proxy zu senden, wenn privates DNS konfiguriert ist. Der Clientcomputer fügt das <appid>.globalsecureaccess.local. Suffix an die SLD an und sendet die DNS-Anforderung an den DNS-Proxy. DER DNS-Proxy entfernt das Suchsuffix, bevor die DNS-Abfrage an den Connector gesendet wird. Der Connector verwendet dann seine lokalen Suchsuffixe, um die SLD-Abfrage aufzulösen. Die aufgelöste IP-Adresse für die Ressource wird an den DNS-Proxy zurückgegeben und an den Client übergeben.
Hinweis
Für einige Anwendungen wie die Kerberos-Authentifizierung ist es wichtig, über das richtige SPN zu verfügen. Das synthetische Suffix GSA kann den Kerberos-Fluss unterbrechen, daher wird empfohlen, FQDN für Anwendungen zu verwenden, die kerberos-Authentifizierung erfordern.
Verwandte Inhalte
Informationen zum Aktivieren von privatem DNS mit Schnellzugriff finden Sie unter Konfigurieren des Schnellzugriffs.
Informationen zur Verwendung von privatem DNS mit SSO finden Sie unter Verwenden von Kerberos für einmaliges Anmelden (Single Sign-On, SSO) für Ihre Ressourcen mit Microsoft Entra Private Access.
Weitere Informationen zur DNS-Problembehandlung finden Sie unter "Problembehandlung beim Anwendungszugriff – Globaler sicherer Zugriff".
Informationen zur erweiterten Diagnose des Hostnamenerwerbs finden Sie unter Problembehandlung für den globalen Client für den sicheren Zugriff: Diagnose – Globaler sicherer Zugriff.