Verwenden vorhandener lokaler Proxyserver

Konfigurieren Sie private Microsoft Entra-Netzwerkconnectors für die Verwendung ausgehender Proxyserver. In diesem Artikel wird davon ausgegangen, dass die Netzwerkumgebung bereits über einen Proxyserver verfügt.

Zunächst betrachten wir diese wichtigsten Bereitstellungsszenarien:

• Konfigurieren Sie Connectors, um Ihre lokalen ausgehenden Proxys zu umgehen.
• Konfigurieren Sie Connectors, um einen ausgehenden Proxy zur Nutzung des Microsoft Entra-Anwendungsproxys zu verwenden.
• Konfigurieren Sie einen Proxy zwischen dem Connector und der Back-End-Anwendung.

Weitere Informationen zur Funktionsweise von Connectors finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors.

Umgehen ausgehender Proxys

Connectors verfügen über zugrunde liegende Betriebssystemkomponenten, die ausgehende Anforderungen stellen. Diese Komponenten versuchen automatisch, einen Proxyserver im Netzwerk mithilfe der Webproxy-AutoErmittlung (Web Proxy Auto-Discovery, WPAD) zu finden.

Die Betriebssystemkomponenten versuchen, einen Proxyserver zu suchen, indem sie eine DNS-Suche (Domain Name System) ausführen wpad.domainsuffix. Sollte die Suche im DNS aufgelöst werden, wird eine HTTP-Anforderung an die IP-Adresse (Internetprotokoll) für wpad.dat gesendet. Diese Anforderung wird zum Proxykonfigurationsskript in Ihrer Umgebung. Der Connector verwendet dieses Skript, um einen ausgehenden Proxyserver auszuwählen. Der Datenverkehr des Connectors wird jedoch weiterhin fehlschlagen, da weitere Einstellungen am Proxy erforderlich sind.

Sie können den Connector so konfigurieren, dass Ihr lokaler Proxy umgangen wird, um sicherzustellen, dass er eine direkte Verbindung mit dem Microsoft Entra-Anwendungsproxydienst verwendet. Direkte Verbindungen werden empfohlen, da sie weniger Konfiguration erfordern. Einige Netzwerkrichtlinien erfordern jedoch Datenverkehr, der über einen lokalen Proxyserver geleitet wird.

Um die ausgehende Proxyverwendung für den Connector zu deaktivieren, bearbeiten Sie die C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config Datei, und fügen Sie den system.net Abschnitt hinzu, der im Codebeispiel gezeigt wird:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Um sicherzustellen, dass der Connector Updater-Dienst auch den Proxy umgeht, nehmen Sie eine ähnliche Änderung an der MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config Datei vor. Diese Datei befindet sich unter C:\Program Files\Microsoft Entra private network connector Updater.

Stellen Sie sicher, dass Sie Kopien der Originaldateien erstellen, falls Sie die Standarddateien .config wiederherstellen müssen.

Verwenden Sie den ausgehenden Proxyserver

In einigen Umgebungen muss der gesamte ausgehende Datenverkehr ohne Ausnahme über einen ausgehenden Proxy geleitet werden. Daher ist die Umgehung des Proxys keine Option.

Sie können den Connectordatenverkehr so konfigurieren, dass er den ausgehenden Proxy durchläuft, wie im folgenden Diagramm dargestellt:

Da nur ausgehender Datenverkehr vorhanden ist, ist es nicht erforderlich, den eingehenden Zugriff über Ihre Firewalls zu konfigurieren.

Hinweis

Der Anwendungsproxy unterstützt keine Authentifizierung für andere Proxys. Die Connector-/Updater-Netzwerkdienstkonten sollten in der Lage sein, eine Verbindung mit dem Proxy herzustellen, ohne dass eine Authentifizierung angefordert wird.

Schritt 1: Konfigurieren Sie den Connector und die verwandten Dienste, um sie über den ausgehenden Proxy zu leiten.

Wenn WPAD in der Umgebung aktiviert und entsprechend konfiguriert ist, ermittelt der Connector automatisch den ausgehenden Proxyserver und versucht, ihn zu verwenden. Sie können den Connector jedoch explizit so konfigurieren, dass er einen ausgehenden Proxy durchläuft.

Bearbeiten Sie dazu die C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config Datei, und fügen Sie den system.net im Codebeispiel gezeigten Abschnitt hinzu. Ändern Sie proxyserver:8080, um den Namen oder die IP-Adresse und den Port Ihres lokalen Proxyservers anzupassen. Der Wert muss das Präfix http:// aufweisen, auch wenn Sie eine IP-Adresse verwenden.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Konfigurieren Sie als Nächstes den Connector Updater-Dienst für die Verwendung des Proxys, indem Sie eine ähnliche Änderung an der C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config Datei vornehmen.

Hinweis

Der Connectordienst wertet die defaultProxy-Konfiguration für die Verwendung in %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configaus, wenn der defaultProxy in MicrosoftEntraPrivateNetworkConnectorService.exe.confignicht konfiguriert ist (standardmäßig). Das gleiche gilt auch für den Connector Updater-Dienst (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config).

Schritt 2: Konfigurieren Sie den Proxy, um den durchgehenden Verkehr vom Connector und verwandten Diensten zu ermöglichen.

Es gibt vier Aspekte, die beim ausgehenden Proxy berücksichtigt werden müssen:

• Ausgehende Proxyregeln
• Proxyauthentifizierung
• Proxyports
• Überprüfung von Transport Layer Security (TLS)

Ausgehende Proxyregeln

Lassen Sie den Zugriff auf die folgenden URLs zu:

URL	Hafen	Verwendung
*.msappproxy.net *.servicebus.windows.net	443/HTTPS	Kommunikation zwischen dem Connector und dem Anwendungsproxy-Clouddienst
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com	80/HTTP	Der Connector verwendet diese URLs, um Zertifikate zu überprüfen.
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com	443/HTTPS	Der Connector verwendet diese URLs während der Registrierung.
ctldl.windowsupdate.com www.microsoft.com/pkiops	80/HTTP	Der Connector verwendet diese URLs während der Registrierung.

Wenn Ihre Firewall oder Ihr Proxy es Ihnen ermöglicht, DNS-Zulassungslisten zu konfigurieren, können Sie Verbindungen mit *.msappproxy.net und *.servicebus.windows.netzulassen.

Wenn Sie die Konnektivität nicht durch vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zulassen und stattdessen IP-Bereiche angeben müssen, verwenden Sie die folgenden Optionen:

• Zulassen des ausgehenden Connectorszugriffs auf alle Ziele.
• Erlauben Sie dem Connector ausgehenden Zugriff auf alle IP-Adressbereiche des Azure-Rechenzentrums. Die Herausforderung bei der Verwendung der Liste der IP-Bereiche des Azure-Rechenzentrums besteht darin, dass sie wöchentlich aktualisiert werden. Sie müssen einen Prozess einfügen, um sicherzustellen, dass Ihre Zugriffsregeln entsprechend aktualisiert werden. Wenn Sie nur eine Teilmenge der IP-Adressen verwenden, führt das dazu, dass Ihre Konfiguration nicht mehr funktioniert. Die neuesten IP-Bereiche des Azure Data Center werden heruntergeladen unter https://download.microsoft.com. Verwenden Sie den Suchbegriff. Azure IP Ranges and Service Tags Achten Sie darauf, die relevante Cloud auszuwählen. Beispielsweise können die IP-Bereiche der öffentlichen Cloud durch Suchen nach Azure IP Ranges and Service Tags – Public Cloudgefunden werden. Die US Government Cloud kann gefunden werden, indem Sie nach suchen Azure IP Ranges and Service Tags – US Government Cloud.

Proxyauthentifizierung

Die Proxyauthentifizierung wird derzeit nicht unterstützt. Unsere aktuelle Empfehlung ist es, dem Connector anonymen Zugriff auf die Internetziele zu ermöglichen.

Proxyports

Der Connector stellt ausgehende TLS-basierte Verbindungen mithilfe der CONNECT-Methode her. Diese Methode richtet im Wesentlichen einen Tunnel über den ausgehenden Proxy ein. Konfigurieren Sie den Proxyserver so, dass tunneln zu den Ports 443 und 80 zugelassen wird.

Hinweis

Wenn service bus über HTTPS ausgeführt wird, verwendet er Port 443. Standardmäßig versucht Service Bus jedoch direkte TCP-Verbindungen (Transmission Control Protocol) und greift nur dann auf HTTPS zurück, wenn die direkte Verbindung fehlschlägt.

TLS-Überprüfung

Verwenden Sie keine TLS-Überprüfung für den Connectordatenverkehr, da sie Probleme für den Connectordatenverkehr verursacht. Der Connector verwendet ein Zertifikat, um sich beim Anwendungsproxydienst zu authentifizieren, und dieses Zertifikat kann bei der TLS-Überprüfung verloren gehen.

Konfigurieren eines Proxys zwischen connector und Back-End-Anwendung

Die Verwendung eines Weiterleitungsproxys für die Kommunikation mit der Back-End-Anwendung ist in einigen Umgebungen eine besondere Anforderung. Führen Sie die folgenden Schritte aus, um einen Vorwärtsproxy zu aktivieren:

Schritt 1: Hinzufügen des erforderlichen Registrierungswerts zum Server

1. Um die Verwendung des Standardproxys zu aktivieren, fügen Sie den Registrierungswert (DWORD)UseDefaultProxyForBackendRequests = 1 zum Registrierungsschlüssel der Connectorkonfiguration hinzu, der sich befindet HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.

Schritt 2: Manuelles Konfigurieren des Proxyservers mithilfe des Netsh-Befehls

1. Aktivieren Sie die Gruppenrichtlinie Make proxy settings per-machine. Die Gruppenrichtlinie befindet sich in: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. Die Gruppenrichtlinie muss festgelegt werden, anstatt die Richtlinie pro Benutzer festzulegen.
2. Führen Sie gpupdate /force auf dem Server aus. Um sicherzustellen, dass die Gruppenrichtlinie aktualisiert wird, starten Sie den Server neu.
3. Starten Sie eine erhöhte Eingabeaufforderung als Administrator und geben Sie control inetcpl.cpl ein.
4. Konfigurieren Sie die erforderlichen Proxyeinstellungen.

Die Einstellungen lassen den Connector denselben Weiterleitungsproxy für die Kommunikation mit Azure und der Backend-Anwendung verwenden. Ändern Sie die Datei MicrosoftEntraPrivateNetworkConnectorService.exe.config , um den Weiterleitungsproxy zu ändern. Die Weiterleitungsproxykonfiguration wird in den Abschnitten "Umgehen ausgehender Proxys" und "Verwenden des ausgehenden Proxyservers" beschrieben.

Hinweis

Es gibt verschiedene Möglichkeiten zum Konfigurieren des Internetproxys im Betriebssystem. Proxyeinstellungen, die über NETSH WINHTTP konfiguriert wurden, setzen die Proxyeinstellungen, die Sie in Schritt 2 konfiguriert haben, außer Kraft (führen Sie NETSH WINHTTP SHOW PROXY aus, um dies zu überprüfen).

Der Dienst zum Aktualisieren von Verbindern verwendet den Rechner-Proxy. Die Einstellung befindet sich in der MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config Datei.

Verbindungsproxyprobleme und Probleme mit der Dienstverbindung beheben

Jetzt sollten Sie sehen, dass der gesamte Datenverkehr über den Proxy fließt. Wenn Probleme auftreten, sollten die folgenden Informationen zur Problembehandlung hilfreich sein.

Die beste Möglichkeit zum Identifizieren und Beheben von Verbindungsproblemen bei Connectors besteht darin, beim Starten des Connector-Dienstes eine Netzwerkaufnahme durchzuführen. Hier sind einige schnelle Tipps zum Erfassen und Filtern von Netzwerkablaufverfolgungen.

Sie können das Überwachungstool Ihrer Wahl verwenden. Für die Zwecke dieses Artikels haben wir Microsoft Message Analyzer verwendet.

Hinweis

Microsoft Message Analyzer (MMA) wurde eingestellt und die Downloadpakete wurden am 25. November 2019 von microsoft.com Websites entfernt. Zurzeit gibt es keinen Microsoft-Ersatz für microsoft Message Analyzer in der Entwicklung. Für ähnliche Funktionen sollten Sie ein Nicht-Microsoft-Partner-Netzwerkprotokollanalysetool wie Wireshark verwenden.

Die folgenden Beispiele sind spezifisch für die Nachrichtenanalyse, aber die Prinzipien können auf jedes Analysetool angewendet werden.

Erfassung des Datenverkehrs von Verbindern

Führen Sie für die erste Problembehandlung die folgenden Schritte aus:

1. Von services.msc aus beenden Sie den Dienst für den privaten Netzwerk-Connector von Microsoft Entra.

   

2. Führen Sie die Nachrichtenanalyse als Administrator aus.

3. Wählen Sie "Lokale Verfolgung starten" aus.

4. Starten Sie den privaten Netzwerk-Connectordienst von Microsoft Entra.

5. Beenden Sie die Netzwerkaufnahme.

   

Prüfen Sie, ob der Connector-Datenverkehr ausgehende Proxys umgeht

Wenn Sie erwarten, dass der Connector direkte Verbindungen mit Anwendungsproxydiensten herstellt, SynRetransmit stellen Antworten auf Port 443 einen Hinweis darauf dar, dass Sie ein Netzwerk- oder Firewallproblem haben.

Verwenden Sie den Message Analyzer-Filter, um fehlgeschlagene TCP-Verbindungsversuche (Transmission Control Protocol) zu identifizieren. Geben Sie property.TCPSynRetransmit in das Filterfeld ein und wählen Sie Übernehmen aus.

Ein Synchronisierungspaket (SYN) ist das erste Paket, das gesendet wird, um eine TCP-Verbindung herzustellen. Wenn dieses Paket keine Antwort erhält, wird das SYN erneut versucht. Sie können den Filter verwenden, um alle erneut übertragenen SYN-Pakete anzuzeigen. Anschließend können Sie überprüfen, ob diese SYN-Pakete jedem connectorbezogenen Datenverkehr entsprechen.

Überprüfen, ob der Konnektorverkehr ausgehende Proxys verwendet

Wenn Sie den Datenverkehr des privaten Netzwerkconnectors so konfiguriert haben, dass er die Proxyserver durchläuft, suchen Sie nach fehlgeschlagenen https Verbindungen mit Ihrem Proxy.

Verwenden Sie den Nachrichtenanalysefilter, um fehlgeschlagene HTTPS-Verbindungsversuche mit Ihrem Proxy zu identifizieren. Geben Sie (https.Request or https.Response) and tcp.port==8080 in den Nachrichtenfilter des Analysetools ein und ersetzen Sie 8080 mit dem Port Ihres Proxydienstes. Wählen Sie "Übernehmen" aus, um die Filterergebnisse anzuzeigen.

Der vorstehende Filter zeigt nur die HTTPs-Anforderungen und -Antworten an/vom Proxyport. Sie suchen nach den CONNECT-Anforderungen, die die Kommunikation mit dem Proxyserver anzeigen. Nach Erfolg erhalten Sie eine HTTP OK (200)-Antwort.

Wenn andere Antwortcodes wie 407 oder 502 angezeigt werden, bedeutet dies, dass der Proxy eine Authentifizierung erfordert oder den Datenverkehr aus einem anderen Grund nicht zulässt. An diesem Punkt kontaktieren Sie Ihr Proxyserver-Supportteam.

Nächste Schritte

• Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors
• Besuchen Sie die Microsoft-Seite "Frage und Antwort" für die Microsoft Entra-ID