Konektor jaringan privat Microsoft Entra

Konektor memungkinkan Akses Privat Microsoft Entra dan proksi aplikasi. Artikel ini menjelaskan apa itu konektor, cara kerjanya, dan cara mengoptimalkan penyebaran Anda.

Apa itu konektor jaringan privat?

Konektor jaringan privat adalah agen ringan yang Anda instal di Windows Server di dalam jaringan Anda. Mereka membuat koneksi keluar ke layanan akses privat dan proksi aplikasi guna mengakses sumber daya back-end.

Pengguna terhubung ke layanan cloud, yang merutekan lalu lintas ke aplikasi melalui konektor. Untuk gambaran umum arsitektur, lihat Menggunakan proksi aplikasi Microsoft Entra untuk menerbitkan aplikasi lokal untuk pengguna jarak jauh.

Untuk menyiapkan dan mendaftarkan konektor dengan layanan proksi aplikasi:

1. Buka port keluar 80 dan 443, dan izinkan akses ke layanan yang diperlukan dan URL ID Microsoft Entra.
2. Masuk ke pusat admin Microsoft Entra dan jalankan alat penginstal di komputer Windows Server lokal.
3. Mulai konektor sehingga mendengarkan layanan proksi aplikasi.
4. Tambahkan aplikasi lokal ke MICROSOFT Entra ID, dan atur URL yang menghadap pengguna.

Untuk informasi selengkapnya tentang penyiapan, lihat Cara mengonfigurasi konektor jaringan privat untuk Akses Privat Microsoft Entra dan proksi aplikasi.

Konektor dan sistem layanan menangani ketersediaan tinggi. Anda dapat menambahkan atau menghapus konektor kapan saja.

Grup konektor

Anda dapat mengatur konektor ke dalam grup konektor yang menangani lalu lintas untuk sumber daya tertentu. Konektor dalam grup yang sama bertindak sebagai satu unit untuk ketersediaan tinggi dan penyeimbangan beban.

Buat grup dan tetapkan konektor di pusat admin Microsoft Entra, lalu petakan grup ke aplikasi tertentu. Gunakan setidaknya dua konektor di setiap grup untuk ketersediaan tinggi.

Gunakan grup konektor untuk:

• Penerbitan aplikasi geografis.
• Segmentasi dan isolasi aplikasi.
• Menerbitkan aplikasi web yang berjalan di cloud atau lokal.

Grup konektor menyederhanakan manajemen penyebaran besar. Mereka dapat mengurangi latensi untuk penyewa yang memiliki sumber daya dan aplikasi di berbagai wilayah. Buat grup konektor berbasis lokasi untuk hanya melayani aplikasi lokal.

Pelajari selengkapnya di grup konektor jaringan privat Microsoft Entra.

Pemeliharaan

Layanan merutekan permintaan baru ke konektor yang tersedia. Jika konektor sementara tidak tersedia, konektor tidak menerima lalu lintas.

Konektor tanpa status dan tidak menyimpan data konfigurasi pada komputer. Mereka hanya menyimpan pengaturan untuk menyambungkan ke layanan dan sertifikat autentikasi. Saat terhubung ke layanan, mereka menarik data konfigurasi yang diperlukan dan merefreshnya setiap beberapa menit.

Status konektor

Anda dapat melihat status konektor di pusat admin Microsoft Entra:

• Untuk Akses Privat: Buka Global Secure Access>Connect>Konektor.
• Untuk proxy aplikasi: Buka Identitas>, Aplikasi>, Aplikasi Perusahaan, lalu pilih aplikasi. Pada halaman aplikasi, pilih Proksi aplikasi.

Catatan

Konektor diinstal di Windows Server, sehingga mereka memiliki sebagian besar alat manajemen yang sama. Anda dapat menggunakan log peristiwa Windows dan penghitung kinerja Windows untuk memantau konektor.

Konektor memiliki log Admin dan Sesi . Log Admin menyertakan peristiwa utama dan kesalahannya. Log Sesi menyertakan semua transaksi dan detail pemrosesannya.

Untuk melihat log:

1. Buka Penampil Peristiwa dan pergi ke Log Aplikasi dan Layanan>Microsoft>jaringan privat Microsoft Entra>Konektor.

   Log Admin terlihat secara default.

2. Untuk membuat log Sesi terlihat, di menu Tampilan, pilih Tampilkan Log Analitik dan Debug.

   Log Sesi biasanya digunakan untuk pemecahan masalah dan dinonaktifkan secara default. Aktifkan untuk mulai mengumpulkan peristiwa, dan nonaktifkan saat Anda tidak lagi membutuhkannya.

Status layanan

Konektor terdiri dari dua layanan Windows: konektor aktual dan pembaruan. Keduanya harus beroperasi sepanjang waktu. Anda dapat memeriksa status layanan di jendela Layanan .

Menangani masalah server konektor

Jika satu atau beberapa server konektor tidak berfungsi karena pemadaman server, jaringan, atau serupa, ikuti langkah-langkah berikut untuk menjaga kelangsungan:

1. Identifikasi dan hapus server yang terpengaruh dari grup konektor.
2. Tambahkan server sehat atau server cadangan yang tersedia ke dalam grup konektor untuk memulihkan kapasitas.
3. Lakukan restart server yang terpengaruh untuk menghapus koneksi yang sudah ada sebelumnya. Koneksi yang sedang berlangsung tidak segera terputus dengan perubahan grup konektor.

Gunakan urutan ini untuk menjaga layanan tetap stabil dan meminimalkan gangguan saat server konektor mengalami masalah.

Pembaruan konektor

Microsoft Entra ID terkadang menyediakan pembaruan otomatis untuk konektor yang Anda sebarkan. Konektor memeriksa layanan updater untuk pembaruan. Saat versi yang lebih baru tersedia untuk pembaruan otomatis, konektor memperbarui diri mereka sendiri. Selama layanan updater berjalan, konektor Anda dapat memperbarui ke rilis konektor utama terbaru secara otomatis. Jika Anda tidak melihat layanan updater di server, Anda perlu menginstal ulang konektor Anda untuk mendapatkan pembaruan.

Tidak semua rilis dijadwalkan untuk pembaruan otomatis. Pantau halaman riwayat versi untuk melihat apakah pembaruan disebarkan secara otomatis atau memerlukan penyebaran manual di portal Microsoft Entra. Jika Anda perlu melakukan pembaruan manual, di server yang menghosting konektor Anda, buka halaman unduhan konektor dan pilih Unduh. Tindakan ini memulai pembaruan untuk konektor lokal.

Dalam penyewa yang memiliki beberapa konektor, pembaruan otomatis menargetkan satu per satu konektor di setiap grup untuk mencegah gangguan. Anda mungkin mengalami waktu henti selama pembaruan jika:

• Anda hanya memiliki satu konektor. Untuk menghindari waktu henti dan memberikan ketersediaan yang lebih tinggi, tambahkan konektor kedua dan grup konektor.
• Pembaruan dimulai saat konektor memproses transaksi. Transaksi awal hilang, tetapi browser secara otomatis mencoba kembali operasi, atau Anda dapat me-refresh halaman. Permintaan yang dikirim ulang dirutekan ke konektor cadangan.

Untuk detail tentang versi sebelumnya dan perubahannya, lihat Konektor jaringan privat Microsoft Entra: Riwayat rilis versi.

Keamanan dan jaringan

Konektor dapat diinstal di mana saja di jaringan yang memungkinkan mereka mengirim permintaan ke Akses Privat dan layanan proksi aplikasi. Yang penting adalah komputer yang menjalankan konektor juga memiliki akses ke aplikasi dan sumber daya Anda.

Anda dapat menginstal konektor di dalam jaringan perusahaan Anda atau pada komputer virtual (VM) yang berjalan di cloud. Konektor dapat berjalan dalam jaringan perimeter, tetapi tidak perlu karena semua lalu lintas keluar untuk keamanan jaringan.

Konektor hanya mengirim permintaan keluar. Lalu lintas keluar dikirim ke layanan dan ke sumber daya serta aplikasi yang terpublikasi. Anda tidak perlu membuka port masuk karena lalu lintas bergerak dua arah setelah sesi tersambung. Anda juga tidak perlu mengonfigurasi akses masuk melalui firewall.

Performa dan skalabilitas

Skala untuk Akses Pribadi dan layanan proksi aplikasi transparan, tetapi skala adalah faktor untuk konektor. Anda harus memiliki konektor yang cukup untuk menangani lalu lintas puncak.

Konektor tidak memiliki status, dan jumlah pengguna atau sesi tidak memengaruhinya. Sebaliknya, mereka menanggapi jumlah permintaan dan ukuran muatan. Dengan lalu lintas web standar, komputer rata-rata dapat menangani 2.000 permintaan per detik. Kapasitas spesifik tergantung pada karakteristik mesin yang tepat.

CPU dan jaringan menentukan performa konektor. Performa CPU diperlukan untuk enkripsi dan dekripsi TLS, sedangkan jaringan penting untuk mendapatkan konektivitas cepat ke aplikasi dan layanan online.

Sebaliknya, memori tidak terlalu menjadi masalah bagi konektor. Layanan online menangani banyak pemrosesan dan semua lalu lintas yang tidak diautentikasi. Segala sesuatu yang dapat dilakukan di awan dilakukan di awan.

Ketika konektor atau mesin tidak tersedia, lalu lintas masuk ke konektor lain dalam grup. Beberapa konektor dalam grup konektor memberikan ketahanan.

Faktor lain yang memengaruhi performa adalah kualitas jaringan antara konektor, termasuk:

• Layanan online: Koneksi latensi lambat atau tinggi ke layanan Microsoft Entra memengaruhi performa konektor. Untuk performa terbaik, sambungkan organisasi Anda ke Microsoft melalui Azure ExpressRoute. Jika tidak, minta tim jaringan Anda memastikan bahwa koneksi ke Microsoft ditangani seefisien mungkin.
• Aplikasi back-end: Dalam beberapa kasus, ada proksi tambahan antara konektor dan sumber daya back-end dan aplikasi yang dapat memperlambat atau mencegah koneksi. Untuk memecahkan masalah skenario ini, buka browser dari server konektor dan coba akses aplikasi atau sumber daya. Jika Anda menjalankan konektor di cloud tetapi aplikasinya lokal, pengalamannya mungkin bukan yang diharapkan pengguna Anda.
• Pengontrol Domain: Jika konektor melakukan single sign-on (SSO) dengan menggunakan delegasi terbatas Kerberos (KCD), mereka menghubungi pengontrol domain sebelum mengirim permintaan ke back end. Konektor memiliki cache tiket Kerberos, tetapi responsivitas pengendali domain dapat memengaruhi performa di lingkungan yang sibuk. Masalah ini lebih umum untuk konektor yang berjalan di Azure tetapi berkomunikasi dengan pengontrol domain yang berada secara lokal.

Untuk panduan tentang tempat menginstal konektor dan cara mengoptimalkan jaringan Anda, lihat Mengoptimalkan arus lalu lintas dengan proksi aplikasi Microsoft Entra.

Memperluas rentang port ephemeral

Konektor jaringan privat memulai koneksi TCP dan UDP ke titik akhir tujuan yang ditunjuk. Koneksi ini memerlukan port sumber yang tersedia pada komputer host konektor. Memperluas rentang port sementara dapat meningkatkan ketersediaan port sumber, terutama ketika Anda mengelola koneksi bersamaan dalam volume tinggi.

Untuk melihat rentang port dinamis saat ini pada sistem, gunakan perintah berikut netsh :

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• netsh int ipv6 show dynamicport tcp
• netsh int ipv6 show dynamicport udp

Berikut adalah contoh netsh perintah untuk meningkatkan port:

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• netsh int ipv6 set dynamicport udp start=1025 num=64511

Perintah ini mengatur rentang port dinamis dari 1025 hingga maksimum 65535. Port awal minimum adalah 1025.

Spesifikasi dan persyaratan ukuran

Kami merekomendasikan spesifikasi berikut untuk setiap konektor jaringan privat Microsoft Entra:

• Memori: 8 GiB atau lebih.
• CPU: Empat inti CPU atau lebih.

Pertahankan penggunaan CPU dan memori puncak per konektor di bawah 70%. Jika pemanfaatan berkelanjutan melebihi 70%, tambahkan konektor ke grup atau tingkatkan kapasitas host untuk mendistribusikan beban. Pantau dengan penghitung kinerja Windows untuk memvalidasi bahwa pemanfaatan kembali ke rentang yang dapat diterima.

Anda dapat mengharapkan throughput TCP agregat hingga 1,5 Gbps (gabungan masuk dan keluar) per konektor pada VM Azure berukuran empat vCPU dan RAM 8 GiB dengan jaringan standar. Anda dapat mencapai throughput yang lebih tinggi dengan menggunakan ukuran VM yang lebih besar (lebih banyak vCPU, lebih banyak memori, dan NIC yang dipercepat atau bandwidth tinggi), atau dengan menambahkan lebih banyak konektor dalam grup yang sama untuk memperluas skala.

Kami memperoleh panduan performa ini dari pengujian lab terkontrol yang menggunakan aliran data TCP iPerf3 di penyewa pengujian khusus. Laju data aktual dapat bervariasi berdasarkan:

• Pembuatan CPU.
• Kemampuan NIC (jaringan terakselerasi, pengurangan beban).
• Suite sandi TLS.
• Latensi jaringan dan jitter.
• Kehilangan paket.
• Campuran protokol bersamaan (HTTPS, SMB, RDP).
• Perangkat menengah (firewall, IDS/IPS, inspeksi SSL).
• Kinerja respons aplikasi back-end.

Data tolok ukur berbasis skenario (beban kerja campuran, konkurensi koneksi tinggi, aplikasi peka latensi) akan ditambahkan ke dokumentasi ini saat tersedia.

Setelah konektor terdaftar, konektor membangun terowongan TLS keluar ke infrastruktur cloud Private Access. Terowongan ini menangani semua lalu lintas jalur data. Selain itu, saluran sarana kontrol menggunakan bandwidth minimal untuk mendorong heartbeat tetap hidup, pelaporan kesehatan, pembaruan konektor, dan fungsi lainnya.

Anda dapat menyebarkan lebih banyak konektor dalam grup konektor yang sama untuk meningkatkan throughput keseluruhan, jika tersedia konektivitas jaringan dan internet yang memadai. Sebaiknya Pertahankan minimal dua konektor yang sehat untuk memastikan ketahanan dan ketersediaan yang konsisten.

Untuk mempelajari selengkapnya, lihat Praktik terbaik untuk ketersediaan konektor yang tinggi.

Menggabungkan ke domain

Konektor dapat beroperasi pada mesin yang tidak terhubung ke domain. Namun, jika Anda ingin SSO ke aplikasi yang menggunakan autentikasi Windows terintegrasi, Anda memerlukan komputer yang bergabung dengan domain. Dalam hal ini, komputer konektor harus bergabung ke domain yang dapat melakukan KCD atas nama pengguna untuk aplikasi yang diterbitkan.

Anda juga dapat menggabungkan konektor untuk:

• Domain di dalam hutan yang memiliki kepercayaan parsial.
• Pengontrol Domain Hanya Baca

Penyebaran konektor di lingkungan yang diperkeras

Biasanya, penyebaran konektor mudah dan tidak memerlukan konfigurasi khusus. Tetapi pertimbangkan kondisi unik ini:

• Lalu lintas keluar mengharuskan port tertentu terbuka (80 dan 443).
• Komputer yang mematuhi FIPS mungkin memerlukan perubahan konfigurasi untuk memungkinkan proses konektor menghasilkan dan menyimpan sertifikat.
• Proksi penerusan keluar dapat mengganggu autentikasi sertifikat dua arah dan mengakibatkan kegagalan komunikasi.

Autentikasi konektor

Untuk menyediakan layanan yang aman, konektor harus mengautentikasi ke layanan, dan layanan harus mengautentikasi ke konektor. Autentikasi ini menggunakan sertifikat klien dan server saat konektor memulai koneksi. Dengan cara ini, nama pengguna dan kata sandi administrator tidak disimpan di komputer konektor.

Sertifikat tersebut secara khusus berkaitan dengan layanan. Mereka dibuat selama pendaftaran awal dan secara otomatis diperpanjang setiap beberapa bulan.

Setelah perpanjangan sertifikat pertama berhasil, layanan konektor tidak memiliki izin untuk menghapus sertifikat lama dari penyimpanan komputer lokal. Jika sertifikat kedaluwarsa atau layanan tidak menggunakannya, Anda dapat menghapusnya dengan aman.

Untuk menghindari masalah dengan perpanjangan sertifikat, pastikan bahwa komunikasi jaringan dari konektor ke tujuan yang didokumenkan diaktifkan.

Jika konektor tidak tersambung ke layanan selama beberapa bulan, sertifikatnya mungkin kedaluarsa. Dalam hal ini, hapus dan instal ulang konektor untuk memicu pendaftaran. Anda dapat menjalankan perintah PowerShell berikut:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Untuk Azure Government, gunakan -EnvironmentName "AzureUSGovernment". Untuk informasi selengkapnya, lihat Menginstal agen untuk cloud Azure Government.

Untuk mempelajari cara memverifikasi sertifikat dan memecahkan masalah, lihat Memecahkan masalah saat menginstal konektor jaringan privat.

Konektor tidak aktif

Anda tidak perlu menghapus konektor yang tidak digunakan secara manual. Layanan menandai konektor yang tidak aktif sebagai _inactive_ dan menghapusnya setelah 10 hari.

Untuk menghapus instalan konektor, hapus instalan layanan konektor dan layanan pembaruan. Kemudian, mulai ulang komputer.

Jika konektor yang Anda harapkan aktif muncul sebagai tidak aktif dalam grup konektor, firewall mungkin memblokir port yang diperlukan. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi aturan firewall keluar, lihat Bekerja dengan server proksi lokal yang ada.

Konten terkait

• Grup konektor jaringan privat Microsoft Entra
• Memecahkan masalah proksi aplikasi dan kesalahan konektor
• Membuat skrip penginstalan tanpa pengawas untuk konektor jaringan privat Microsoft Entra