Bagikan melalui


Memahami konektor jaringan privat Microsoft Entra

Konektor adalah hal yang memungkinkan Akses Privat Microsoft Entra dan proksi aplikasi. Sederhana, mudah disebarkan dan dirawat, dan sangat kuat. Artikel ini membahas tentang apa itu konektor, cara kerjanya, dan beberapa saran tentang cara mengoptimalkan penyebaran Anda.

Apa itu konektor jaringan privat?

Konektor adalah agen ringan yang berada di jaringan privat dan memfasilitasi koneksi keluar ke layanan Akses Privat Microsoft Entra dan proksi aplikasi. Konektor harus diinstal pada Windows Server yang memiliki akses ke sumber daya backend. Anda dapat mengatur konektor ke dalam grup konektor, dengan setiap grup menangani lalu lintas ke sumber daya tertentu. Untuk informasi selengkapnya tentang proksi aplikasi dan representasi diagram arsitektur proksi aplikasi, lihat Menggunakan proksi aplikasi Microsoft Entra untuk menerbitkan aplikasi lokal untuk pengguna jarak jauh.

Untuk mempelajari cara mengonfigurasi konektor jaringan privat Microsoft Entra, lihat Cara mengonfigurasi konektor jaringan privat untuk Akses Privat Microsoft Entra.

Konektor jaringan privat adalah agen ringan yang disebarkan secara lokal yang memfasilitasi koneksi keluar ke layanan proksi aplikasi di cloud. Konektor harus diinstal di Server Windows yang memiliki akses ke aplikasi backend. Pengguna terhubung ke layanan cloud proksi aplikasi yang merutekan lalu lintas mereka ke aplikasi melalui konektor.

Penyiapan dan pendaftaran antara konektor dan layanan proksi aplikasi dilakukan sebagai berikut:

  1. Administrator TI membuka port 80 dan 443 ke lalu lintas keluar dan memungkinkan akses ke beberapa URL yang diperlukan oleh konektor, layanan proksi aplikasi, dan ID Microsoft Entra.
  2. Admin masuk ke pusat admin Microsoft Entra dan menjalankan executable untuk menginstal konektor di server Windows lokal.
  3. Konektor mulai "mendengarkan" ke layanan proksi aplikasi.
  4. Admin menambahkan aplikasi lokal ke MICROSOFT Entra ID dan mengonfigurasi pengaturan seperti URL yang diperlukan pengguna untuk terhubung ke aplikasi mereka.

Disarankan agar Anda selalu menyebarkan beberapa konektor untuk redundansi dan skala. Konektor, bersama dengan layanan, menangani semua tugas ketersediaan tinggi dan dapat ditambahkan atau dihapus secara dinamis. Setiap kali permintaan baru tiba, permintaan akan dirutekan ke salah satu konektor yang tersedia. Saat konektor berjalan, konektor tetap aktif saat terhubung ke layanan. Jika konektor tidak tersedia untuk sementara waktu, konektor tidak merespons lalu lintas ini. Konektor yang tidak digunakan ditandai sebagai tidak aktif dan dihapus setelah 10 hari tidak aktif.

Konektor juga melakukan polling pada server untuk mengetahui apakah ada versi konektor yang lebih baru. Meskipun Anda dapat melakukan pembaruan manual, konektor akan diperbarui secara otomatis selama layanan Updater konektor jaringan privat berjalan. Untuk penyewa dengan beberapa konektor, pembaruan otomatis menargetkan satu konektor sekaligus di setiap grup untuk mencegah waktu henti di lingkungan Anda.

Catatan

Anda dapat memantau halaman riwayat versi untuk tetap mendapatkan informasi tentang pembaruan terbaru.

Setiap konektor jaringan privat ditetapkan ke grup konektor. Konektor dalam grup konektor yang sama bertindak sebagai unit tunggal untuk ketersediaan tinggi dan keseimbangan beban. Anda dapat membuat grup baru, menetapkan konektor ke grup tersebut di pusat admin Microsoft Entra, lalu menetapkan konektor tertentu untuk melayani aplikasi tertentu. Disarankan untuk memiliki setidaknya dua konektor di setiap grup konektor untuk ketersediaan tinggi.

Grup konektor berguna saat Anda perlu mendukung skenario berikut:

  • Penerbitan aplikasi geografis
  • Segmentasi/isolasi aplikasi
  • Menerbitkan aplikasi web yang berjalan di cloud atau lokal

Untuk informasi selengkapnya tentang memilih tempat memasang konektor dan mengoptimalkan jaringan Anda, lihat Pertimbangan topologi jaringan saat menggunakan proksi aplikasi Microsoft Entra.

Pemeliharaan

Konektor dan layanan menangani semua tugas ketersediaan tinggi. Konektor dapat ditambahkan atau dihapus secara dinamis. Permintaan baru dirutekan ke salah satu konektor yang tersedia. Jika konektor tidak tersedia untuk sementara waktu, konektor tidak merespons lalu lintas ini.

Konektor tidak memiliki status dan tidak memiliki data konfigurasi di mesin. Satu-satunya data yang disimpan adalah pengaturan untuk menghubungkan layanan dan sertifikat autentikasinya. Saat terhubung ke layanan, konektor menarik semua data konfigurasi yang diperlukan dan merefresh setiap beberapa menit.

Konektor juga melakukan polling pada server untuk mengetahui apakah ada versi konektor yang lebih baru. Jika satu konektor ditemukan, konektor memperbarui diri sendiri.

Anda dapat memantau konektor Anda dari komputer yang sedang mereka jalankan, menggunakan log peristiwa dan penghitung kinerja. Anda juga dapat melihat statusnya di pusat admin Microsoft Entra. Untuk Akses Privat Microsoft Entra, navigasikan ke Akses Aman Global, Sambungkan, dan pilih Konektor. Untuk proksi aplikasi, navigasikan ke Identitas, Aplikasi, Aplikasi Perusahaan, dan pilih aplikasi. Pada halaman aplikasi pilih proksi aplikasi.

Anda tidak perlu menghapus konektor yang tidak digunakan secara manual. Saat konektor berjalan, konektor tetap aktif saat terhubung ke layanan. Konektor yang tidak digunakan ditandai sebagai _inactive_ dan dihapus setelah 10 hari tidak aktif. Namun, jika Anda ingin menghapus instalasi konektor, hapus instalasi layanan Konektor dan layanan Updater dari server. Hidupkan ulang komputer untuk menghapus layanan sepenuhnya.

Pembaruan otomatis

MICROSOFT Entra ID menyediakan pembaruan otomatis untuk semua konektor yang Anda sebarkan. Selama layanan pembaruan konektor jaringan privat berjalan, konektor Anda diperbarui dengan rilis konektor utama terbaru secara otomatis. Jika Anda tidak melihat layanan Connector Updater di server, Anda perlu menginstal ulang konektor Anda untuk mendapatkan pembaruan.

Jika Anda tidak ingin menunggu adanya pembaruan otomatis ke konektor, Anda dapat melakukan peningkatan manual. Buka halaman unduhan konektor di server tempat konektor Anda berada dan pilih Unduh. Proses ini memulai peningkatan untuk konektor lokal.

Untuk penyewa dengan beberapa konektor, pembaruan otomatis menargetkan satu konektor sekaligus di setiap grup untuk mencegah waktu henti di lingkungan Anda.

Anda dapat mengalami waktu henti saat konektor Diperbarui jika:

  • Anda hanya memiliki satu konektor. Konektor kedua dan grup konektor disarankan untuk menghindari waktu henti dan memberikan ketersediaan yang lebih tinggi.
  • Konektor berada di tengah transaksi saat pembaruan dimulai. Meskipun transaksi awal hilang, browser Anda akan otomatis mencoba kembali operasi atau Anda dapat merefresh halaman. Saat permintaan dikirim ulang, lalu lintas dirutekan ke konektor cadangan.

Untuk melihat informasi tentang versi yang dirilis sebelumnya dan perubahan apa yang disertakan, lihat Riwayat Rilis Versi proksi aplikasi.

Membuat grup konektor

Grup konektor memungkinkan Anda menetapkan konektor tertentu untuk melayani aplikasi tertentu. Anda dapat mengelompokkan banyak konektor bersama-sama, lalu menetapkan setiap sumber daya atau aplikasi ke grup.

Grup konektor memudahkan untuk mengelola penyebaran besar. Mereka juga meningkatkan latensi untuk penyewa yang memiliki sumber daya dan aplikasi yang dihosting di berbagai wilayah, karena Anda dapat membuat grup konektor berbasis lokasi untuk melayani hanya aplikasi lokal.

Untuk mempelajari selengkapnya tentang grup konektor, lihat Memahami grup konektor jaringan privat Microsoft Entra.

Keamanan dan jaringan

Konektor dapat diinstal di mana saja di jaringan yang memungkinkan mereka mengirim permintaan ke layanan proksi Akses Privat Microsoft Entra dan aplikasi. Yang penting adalah komputer yang menjalankan konektor juga memiliki akses ke aplikasi dan sumber daya Anda. Anda dapat menginstal konektor di dalam jaringan perusahaan Anda atau di mesin virtual yang berjalan di cloud. Konektor dapat berjalan dalam jaringan sekitar, juga dikenal sebagai zona demiliterisasi (DMZ), tetapi tidak perlu karena semua lalu lintas keluar sehingga jaringan Anda tetap aman.

Konektor hanya mengirim permintaan keluar. Lalu lintas keluar dikirim ke layanan dan ke sumber daya dan aplikasi yang diterbitkan. Anda tidak perlu membuka port masuk karena lalu lintas mengalir dua arah setelah sesi ditetapkan. Anda juga tidak perlu mengonfigurasi akses masuk melalui firewall.

Untuk mengetahui informasi selengkapnya tentang mengonfigurasi aturan firewall keluar, lihat Bekerja dengan server proksi lokal yang ada.

Performa dan skalabilitas

Skala untuk Akses Privat Microsoft Entra dan layanan proksi aplikasi transparan, tetapi skala adalah faktor untuk konektor. Anda harus memiliki konektor yang cukup untuk menangani lalu lintas puncak. Konektor tidak memiliki status dan jumlah pengguna atau sesi tidak memengaruhinya. Sebaliknya, konektor merespons jumlah permintaan dan ukuran payloadnya. Dengan lalu lintas web standar, komputer rata-rata dapat menangani 2.000 permintaan per detik. Kapasitas spesifik tergantung pada karakteristik mesin yang tepat.

CPU dan jaringan menentukan performa konektor. Performa CPU diperlukan untuk enkripsi dan dekripsi TLS, sementara jaringan penting untuk mendapatkan konektivitas cepat ke aplikasi dan layanan online.

Sebaliknya, memori bukanlah masalah untuk konektor. Layanan online menangani banyak pemrosesan dan semua lalu lintas yang tidak diautentikasi. Segala sesuatu yang dapat dilakukan di cloud dilakukan di cloud.

Ketika konektor atau mesin tidak tersedia, lalu lintas masuk ke konektor lain dalam grup. Beberapa konektor dalam grup konektor memberikan ketahanan.

Faktor lain yang memengaruhi performa adalah kualitas jaringan antara konektor, termasuk:

  • Layanan online: Koneksi latensi lambat atau tinggi ke layanan Microsoft Entra memengaruhi performa konektor. Untuk performa terbaik, sambungkan organisasi Anda ke Microsoft dengan Express Route. Jika tidak, minta tim jaringan Anda memastikan bahwa koneksi ke Microsoft ditangani seefisien mungkin.
  • Aplikasi backend: Dalam beberapa kasus, ada proksi tambahan antara konektor dan sumber daya backend dan aplikasi yang dapat memperlambat atau mencegah koneksi. Untuk memecahkan masalah skenario ini, buka browser dari server konektor dan coba akses aplikasi atau sumber daya. Jika Anda menjalankan konektor di cloud tetapi aplikasinya lokal, pengalamannya mungkin bukan yang diharapkan pengguna Anda.
  • Pengontrol domain: Jika konektor melakukan akses menyeluruh (SSO) menggunakan Delegasi Terbatas Kerberos, konektor menghubungi pengontrol domain sebelum mengirim permintaan ke backend. Konektor memiliki cache tiket Kerberos. Namun di lingkungan yang sibuk, responsivitas pengontrol domain dapat mempengaruhi performa. Masalah ini lebih umum untuk konektor yang berjalan di Azure tetapi berkomunikasi dengan pengontrol domain yang berada secara lokal.

Untuk informasi selengkapnya tentang mengoptimalkan jaringan Anda, lihat Pertimbangan topologi jaringan saat menggunakan proksi aplikasi Microsoft Entra.

Bergabung dengan domain

Konektor dapat berjalan pada komputer yang tidak bergabung dengan domain. Namun, jika menginginkan akses menyeluruh (SSO) ke aplikasi yang menggunakan autentikasi Windows terintegrasi (IWA), Anda memerlukan komputer yang bergabung dengan domain. Dalam hal ini, mesin konektor harus bergabung dengan domain yang dapat melakukan Delegasi Terbatas Kerberos atas nama pengguna untuk aplikasi yang diterbitkan.

Konektor juga dapat bergabung dengan domain di forest yang memiliki kepercayaan parsial, atau ke pengontrol domain baca-saja.

Penyebaran konektor pada lingkungan yang keras

Biasanya, penyebaran konektor mudah dan tidak memerlukan konfigurasi khusus.

Namun, ada beberapa kondisi unik yang harus dipertimbangkan:

  • Lalu lintas keluar mengharuskan port tertentu terbuka. Untuk mempelajari selengkapnya, lihat mengonfigurasi konektor.
  • Komputer yang mematuhi FIPS mungkin memerlukan perubahan konfigurasi untuk memungkinkan proses konektor menghasilkan dan menyimpan sertifikat.
  • Proksi maju keluar dapat memutus autentikasi sertifikat dua arah dan menyebabkan komunikasi gagal.

Autentikasi konektor

Untuk menyediakan layanan yang aman, konektor harus mengautentikasi ke layanan, dan layanan harus mengautentikasi ke konektor. Autentikasi ini dilakukan menggunakan sertifikat klien dan server saat konektor memulai koneksi. Dengan cara ini nama pengguna dan kata sandi administrator tidak disimpan di komputer konektor.

Sertifikat yang digunakan khusus untuk layanan. Mereka dibuat selama pendaftaran awal dan secara otomatis diperpanjang setiap beberapa bulan.

Setelah perpanjangan sertifikat pertama yang berhasil, layanan konektor jaringan privat Microsoft Entra (Layanan Jaringan) tidak memiliki izin untuk menghapus sertifikat lama dari penyimpanan komputer lokal. Jika sertifikat kedaluwarsa atau tidak digunakan oleh layanan, Anda dapat menghapusnya dengan aman.

Untuk menghindari masalah dengan perpanjangan sertifikat, pastikan bahwa komunikasi jaringan dari konektor ke tujuan yang didokumenkan diaktifkan.

Jika konektor tidak tersambung ke layanan selama beberapa bulan, sertifikatnya bisa kedaluarsa. Dalam hal ini, hapus dan instal ulang konektor untuk memicu pendaftaran. Anda dapat menjalankan perintah PowerShell berikut:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Untuk pemerintah, gunakan -EnvironmentName "AzureUSGovernment". Untuk informasi selengkapnya, lihat Menginstal Agen untuk Azure Government Cloud.

Untuk mempelajari cara memverifikasi sertifikat dan memecahkan masalah, lihat Memverifikasi dukungan komponen Komputer dan backend untuk sertifikat kepercayaan proksi aplikasi.

Di balik layanan

Konektor diinstal di Windows Server, sehingga mereka memiliki sebagian besar alat manajemen yang sama termasuk Log Peristiwa Windows dan penghitung kinerja Windows.

Konektor memiliki log Admin dan Sesi. Log Admin menyertakan peristiwa utama dan kesalahannya. Log Sesi menyertakan semua transaksi dan detail pemrosesannya.

Untuk melihat log, buka Pemantau Peristiwa dan buka Log>Aplikasi dan Layanan Konektor jaringan>privat Microsoft Microsoft>Entra. Untuk membuat log Sesi terlihat, di menu Tampilan, pilih Tampilkan Log Analitik dan Debug. Log Sesi biasanya digunakan untuk pemecahan masalah, dan dinonaktifkan secara default. Aktifkan untuk mulai mengumpulkan peristiwa dan menonaktifkannya saat tidak lagi diperlukan.

Anda dapat memeriksa status layanan di jendela Layanan. Konektor terdiri dari dua Layanan Windows: konektor aktual, dan updater. Keduanya harus berjalan sepanjang waktu.

Konektor tidak aktif

Masalah umumnya adalah bahwa konektor muncul sebagai tidak aktif dalam grup konektor. Firewall yang memblokir port yang diperlukan adalah penyebab umum konektor tidak aktif.

Langkah berikutnya