Meglévő helyszíni proxykiszolgálók használata

  • Cikk

Konfigurálja a Microsoft Entra privát hálózati összekötőit kimenő proxykiszolgálók használatára. A cikk feltételezi, hogy a hálózati környezet már rendelkezik proxykiszolgálóval.

Először az alábbi fő üzembehelyezési forgatókönyveket tekintjük át:

  • Konfigurálja az összekötőket a helyszíni kimenő proxyk megkerülésére.
  • Konfigurálja az összekötőket kimenő proxy használatára a Microsoft Entra alkalmazásproxy eléréséhez.
  • Konfiguráljon proxyt az összekötő és a háttéralkalmazás között.

Az összekötők működéséről további információt a Microsoft Entra magánhálózati összekötőinek ismertetése című témakörben talál.

Kimenő proxyk megkerülése

Csatlakozás orok mögöttes operációsrendszer-összetevőkkel rendelkeznek, amelyek kimenő kéréseket hajtanak végre. Ezek az összetevők automatikusan megkísérlik megkeresni a proxykiszolgálót a hálózaton a webes proxy automatikus felderítése (WPAD) használatával.

Az operációs rendszer összetevői proxykiszolgálót próbálnak megkeresni egy dns-keresés wpad.domainsuffixvégrehajtásával. Ha a keresés feloldódik a DNS-ben, a rendszer HTTP-kérést küld a következő ip-címre wpad.dat: . Ez a kérés lesz a környezet proxykonfigurációs szkriptje. Az összekötő ezzel a szkripttel választ ki egy kimenő proxykiszolgálót. Előfordulhat azonban, hogy az összekötő forgalma továbbra is meghiúsul, mert további konfigurációs beállításokra van szükség a proxyn.

Az összekötőt úgy konfigurálhatja, hogy megkerülje a helyszíni proxyt, hogy közvetlen kapcsolatot használjon a Microsoft Entra alkalmazásproxy szolgáltatással. A közvetlen kapcsolatok azért ajánlottak, mert kevesebb konfigurációt igényelnek. Egyes hálózati házirendek azonban megkövetelik a helyi proxykiszolgálón keresztüli forgalmat.

Az összekötő kimenő proxyhasználatának letiltásához szerkessze a C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config fájlt, és adja hozzá a system.net kódmintában látható szakaszt:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Annak érdekében, hogy a Csatlakozás or Updater szolgáltatás is áthaladjon a proxyn, végezze el a MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config fájlhoz hasonló módosítást. A fájl helye: C:\Program Files\Microsoft Entra private network connector Updater.

Győződjön meg arról, hogy másolatot készít az eredeti fájlokról, ha vissza kell térnie az alapértelmezett .config fájlokhoz.

A kimenő proxykiszolgáló használata

Egyes környezetek kivétel nélkül megkövetelik, hogy az összes kimenő forgalom kivétel nélkül haladjon át egy kimenő proxyn. Ennek eredményeképpen a proxy megkerülése nem lehetőség.

Az összekötő forgalmát úgy konfigurálhatja, hogy a kimenő proxyn haladjon keresztül, ahogy az az alábbi ábrán is látható:

Összekötő forgalmának konfigurálása kimenő proxyn keresztül a Microsoft Entra alkalmazásproxyhoz

A csak kimenő forgalom miatt nincs szükség a bejövő hozzáférés konfigurálására a tűzfalakon keresztül.

Feljegyzés

Az alkalmazásproxy nem támogatja más proxyk hitelesítését. Az összekötő/frissítő hálózati szolgáltatásfiókoknak képesnek kell lenniük a proxyhoz való csatlakozásra anélkül, hogy hitelesítést kérnek.

Ha a WPAD engedélyezve van a környezetben, és megfelelően van konfigurálva, az összekötő automatikusan felderíti a kimenő proxykiszolgálót, és megpróbálja használni. Az összekötőt azonban explicit módon konfigurálhatja úgy, hogy kimenő proxyn haladjon keresztül.

Ehhez szerkessze a C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config fájlt, és adja hozzá a system.net kódmintában látható szakaszt. Módosítsa proxyserver:8080 a helyi proxykiszolgáló nevét vagy IP-címét és portját. Az értéknek akkor is rendelkeznie kell az előtaggal http:// , ha IP-címet használ.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Ezután konfigurálja a Csatlakozás or Updater szolgáltatást a proxy használatára a fájlhoz C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config hasonló módosítással.

Feljegyzés

A Csatlakozás or szolgáltatás kiértékeli a használat %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configalapértelmezettProxy-konfigurációját, ha az alapértelmezettProxy nincs konfigurálva (alapértelmezés szerint) a MicrosoftEntraPrivateNetwork Csatlakozás orService.exe.config alkalmazásban. Ugyanez vonatkozik a Csatlakozás or Updater szolgáltatásra (MicrosoftEntraPrivateNetwork Csatlakozás orUpdaterService.exe.config) is.

A kimenő proxyn négy szempontot érdemes figyelembe venni:

  • Proxy kimenő szabályai
  • Proxyhitelesítés
  • Proxyportok
  • Transport Layer Security (TLS) ellenőrzése

Proxy kimenő szabályai

Hozzáférés engedélyezése a következő URL-címekhez:

URL-cím Kikötő Használat
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Az összekötő és az alkalmazásproxy felhőszolgáltatás közötti kommunikáció
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Az összekötő ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com		 443/HTTPS Az összekötő ezeket az URL-címeket használja a regisztrációs folyamat során.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP Az összekötő ezeket az URL-címeket használja a regisztrációs folyamat során.

Ha a tűzfal vagy a proxy lehetővé teszi a DNS-engedélyezési listák konfigurálását, engedélyezheti a *.msappproxy.net*.servicebus.windows.netkapcsolatok és a .

Ha nem tudja engedélyezni a teljes tartománynévvel (FQDN) történő kapcsolatot, és ehelyett IP-tartományokat kell megadnia, használja az alábbi beállításokat:

  • Az összekötő kimenő hozzáférésének engedélyezése az összes célhelyhez.
  • Az összekötő kimenő hozzáférésének engedélyezése az Összes Azure-adatközpont IP-tartományához. Az Azure-adatközpontOK IP-tartományainak listájának használatával az a kihívás, hogy hetente frissülnek. Be kell állítania egy folyamatot, hogy a hozzáférési szabályok ennek megfelelően frissüljenek. Ha csak az IP-címek egy részhalmazát használja, a konfiguráció megszakad. A legújabb Azure Data Center IP-tartományok a következő címen https://download.microsoft.comtöltődnek le: . Használja a keresőkifejezést. Azure IP Ranges and Service Tags Mindenképpen válassza ki a megfelelő felhőt. A nyilvános felhő IP-tartományai például a kereséssel Azure IP Ranges and Service Tags – Public Cloudtalálhatók. Az USA kormányzati felhője a kereséssel Azure IP Ranges and Service Tags – US Government Cloudérhető el.

Proxyhitelesítés

A proxyhitelesítés jelenleg nem támogatott. Jelenlegi javaslatunk az, hogy az összekötő névtelen hozzáférést biztosíthasson az internetes célhelyekhez.

Proxyportok

Az összekötő a CONNECT metódussal kimenő TLS-alapú kapcsolatokat hoz létre. Ez a módszer lényegében beállít egy alagutat a kimenő proxyn keresztül. Konfigurálja a proxykiszolgálót úgy, hogy engedélyezze a bújtatást a 443-at és a 80-at.

Feljegyzés

Amikor a Service Bus HTTPS-en fut, a 443-es portot használja. Alapértelmezés szerint azonban a Service Bus közvetlen átviteli vezérlési protokoll (TCP) kapcsolatokat kísérel meg, és csak akkor áll vissza HTTPS-kapcsolatra, ha a közvetlen kapcsolat meghiúsul.

TLS-vizsgálat

Ne használjon TLS-ellenőrzést az összekötő forgalmához, mert az problémákat okoz az összekötő forgalmában. Az összekötő tanúsítványt használ az alkalmazásproxy szolgáltatásban való hitelesítéshez, és ez a tanúsítvány elveszhet a TLS-ellenőrzés során.

Konfigurálás proxy használatával az összekötő és a háttéralkalmazás között

Bizonyos környezetekben speciális követelmény a háttéralkalmazás felé irányuló kommunikáció továbbítási proxy használata. A továbbítási proxy engedélyezéséhez kövesse az alábbi lépéseket:

1. lépés: Adja hozzá a szükséges beállításjegyzék-értéket a kiszolgálóhoz

  1. Az alapértelmezett proxy használatának engedélyezéséhez adja hozzá a beállításjegyzék-értéket (DWORD)UseDefaultProxyForBackendRequests = 1 a következő helyen található összekötő konfigurációs beállításkulcsához HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector: .

2. lépés: A proxykiszolgáló manuális konfigurálása a netsh paranccsal

  1. Engedélyezze a csoportházirendet Make proxy settings per-machine. A csoportházirend a következő helyen található: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. A csoportházirendet nem felhasználónként kell beállítani, hanem a csoportházirendet.
  2. Futtassa gpupdate /force a kiszolgálón. Másik lehetőségként a csoportházirend frissítéséhez indítsa újra a kiszolgálót.
  3. Nyisson meg egy rendszergazdai jogosultságokkal rendelkező rendszergazdai jogokkal rendelkező rendszergazdai parancssort, és írja be a következőt control inetcpl.cpl:
  4. Konfigurálja a szükséges proxybeállításokat.

A beállítások azt teszik lehetővé, hogy az összekötő ugyanazt a továbbítási proxyt használja az Azure-ral és a háttéralkalmazással való kommunikációhoz. Módosítsa a fájlt MicrosoftEntraPrivateNetworkConnectorService.exe.config a továbbítási proxy módosításához. A továbbítási proxy konfigurációját a kimenő proxyk megkerülése és a kimenő proxykiszolgáló használata című szakaszban találja.

Feljegyzés

Az internetproxy többféleképpen konfigurálható az operációs rendszerben. A (futtatás NETSH WINHTTP SHOW PROXY az ellenőrzéshez) konfigurált NETSH WINHTTP proxybeállítások felülbírálják a 2. lépésben konfigurált proxybeállításokat.

Az összekötő-frissítő szolgáltatás a gépproxyt használja. A beállítás a MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config fájlban található.

Összekötőproxyval és szolgáltatáskapcsolattal kapcsolatos problémák elhárítása

Most már látnia kell a proxyn áthaladó összes forgalmat. Ha problémákat tapasztal, az alábbi hibaelhárítási információknak kell segíteniük.

Az összekötők csatlakozási problémáinak azonosítására és elhárítására az összekötő szolgáltatás indításakor érdemes hálózatrögzítést végezni. Íme néhány gyors tipp a hálózati nyomkövetések rögzítéséhez és szűréséhez.

A választott monitorozási eszközt használhatja. A cikk alkalmazásában a Microsoft Message Analyzert használtuk.

Feljegyzés

A Microsoft Message Analyzer (MMA) 2019. november 25-én ki lett vonva microsoft.com webhelyekről. A Microsoft Message Analyzer jelenleg nem áll fejlesztés alatt. Hasonló funkciók esetén fontolja meg egy külső hálózati protokollelemző eszköz, például a Wireshark használatát.

Az alábbi példák az Üzenetelemzőre vonatkoznak, de az alapelvek bármely elemzőeszközre alkalmazhatók.

Az összekötők forgalmának rögzítése

A kezdeti hibaelhárításhoz hajtsa végre a következő lépéseket:

  1. Innen services.mscállítsa le a Microsoft Entra magánhálózati összekötő szolgáltatást.

    Microsoft Entra privát hálózati összekötő szolgáltatás a services.msc-ben

  2. Futtassa az Üzenetelemzőt rendszergazdaként.

  3. Válassza a Helyi nyomkövetés indítása lehetőséget.

  4. Indítsa el a Microsoft Entra privát hálózati összekötő szolgáltatást.

  5. Állítsa le a hálózati rögzítést.

    Képernyőkép a Hálózatrögzítés leállítása gombról

Ellenőrizze, hogy az összekötő forgalma túllépi-e a kimenő proxykat

Ha arra számít, hogy az összekötő közvetlen kapcsolatot létesít az alkalmazásproxy-szolgáltatásokkal, SynRetransmit a 443-as porton kapott válaszok azt jelzik, hogy hálózati vagy tűzfalproblémája van.

Az Üzenetelemző szűrővel azonosíthatja a sikertelen Átviteli vezérlési protokoll (TCP) csatlakozási kísérleteket. Írja be property.TCPSynRetransmit a szűrőmezőbe, és válassza az Alkalmaz lehetőséget.

A szinkronizálási (SYN) csomag az első, TCP-kapcsolat létrehozásához küldött csomag. Ha ez a csomag nem ad vissza választ, a SYN újra meg lesz etetve. A szűrővel megtekintheti az újraközvetített SYN-csomagokat. Ezután ellenőrizheti, hogy ezek a SYN-csomagok megfelelnek-e az összekötőkkel kapcsolatos forgalomnak.

Ellenőrizze, hogy az összekötő forgalma kimenő proxykat használ-e

Ha úgy konfigurálta a privát hálózati összekötő forgalmát, hogy a proxykiszolgálókon haladjon át, keresse meg a proxyval létesített https sikertelen kapcsolatokat.

Az Üzenetelemző szűrővel azonosíthatja a proxyra irányuló sikertelen HTTPS-kapcsolati kísérleteket. Írja be (https.Request or https.Response) and tcp.port==8080 az Üzenetelemző szűrőt, és cserélje le 8080 a proxyszolgáltatás portját. Válassza az Alkalmaz lehetőséget a szűrőeredmények megtekintéséhez.

Az előző szűrő csak a proxyportra irányuló vagy onnan érkező HTTPs-kérelmeket és válaszokat jeleníti meg. Olyan CONNECT-kérelmeket keres, amelyek a proxykiszolgálóval való kommunikációt mutatják. Sikeresség esetén HTTP OK (200) választ kap.

Ha más válaszkódokat( például 407 vagy 502) lát, az azt jelenti, hogy a proxy hitelesítést igényel, vagy valamilyen más okból nem engedélyezi a forgalmat. Ezen a ponton kapcsolatba lép a proxykiszolgáló támogatási csapatával.

Következő lépések