Bekerja dengan server proksi lokal yang ada
Konfigurasikan konektor jaringan privat Microsoft Entra untuk menggunakan server proksi keluar. Artikel ini mengasumsikan lingkungan jaringan sudah memiliki server proksi.
Kita mulai dengan melihat skenario penyebaran utama ini:
- Konfigurasikan konektor untuk melewati proksi keluar lokal Anda.
- Konfigurasikan konektor untuk menggunakan proksi keluar untuk mengakses proksi aplikasi Microsoft Entra.
- Konfigurasi menggunakan proksi antara aplikasi konektor dan backend.
Untuk informasi selengkapnya tentang cara kerja konektor, lihat Memahami konektor jaringan privat Microsoft Entra.
Lewati proksi keluar
Konektor memiliki komponen OS yang mendasari yang membuat permintaan keluar. Komponen-komponen ini secara otomatis mencoba menemukan server proksi di jaringan menggunakan Web Proxy Auto-Discovery (WPAD).
Komponen OS mencoba menemukan server proksi dengan melakukan pencarian Domain Name System (DNS) untuk wpad.domainsuffix
. Jika pencarian diselesaikan di DNS, permintaan HTTP kemudian dibuat ke alamat Protokol Internet (IP) untuk wpad.dat
. Permintaan ini menjadi skrip konfigurasi proksi di lingkungan Anda. Konektor menggunakan skrip ini untuk memilih server proksi keluar. Namun, lalu lintas konektor mungkin terus gagal karena lebih banyak pengaturan konfigurasi diperlukan pada proksi.
Anda dapat mengonfigurasi konektor untuk melewati proksi lokal Anda untuk memastikan bahwa konektivitas langsung menggunakan konektivitas langsung ke layanan proksi aplikasi Microsoft Entra. Koneksi langsung disarankan karena memerlukan lebih sedikit konfigurasi. Namun, beberapa kebijakan jaringan mengharuskan lalu lintas melalui server proksi lokal.
Untuk menonaktifkan penggunaan proksi keluar untuk konektor, edit C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config
file dan tambahkan bagian yang system.net
diperlihatkan dalam sampel kode:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Untuk memastikan bahwa layanan Koneksi or Updater juga melewati proksi, buat perubahan MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config
serupa dengan file. File ini terletak di C:\Program Files\Microsoft Entra private network connector Updater
.
Pastikan untuk membuat salinan file asli, jika Anda perlu kembali ke file default .config
.
Gunakan server proksi keluar
Beberapa lingkungan mengharuskan semua lalu lintas keluar untuk melalui proksi keluar, tanpa terkecuali. Akibatnya, melewati proksi bukanlah pilihan.
Anda dapat mengonfigurasi lalu lintas konektor untuk melalui proksi keluar, seperti yang ditunjukkan pada diagram berikut:
Akibat hanya memiliki lalu lintas keluar, tidak perlu mengonfigurasi akses masuk melalui firewall Anda.
Catatan
Proksi aplikasi tidak mendukung autentikasi ke proksi lain. Akun layanan jaringan konektor/updater harus dapat terhubung ke proksi tanpa ditantang untuk autentikasi.
Langkah 1: Konfigurasi konektor dan layanan terkait untuk melalui proksi keluar
Jika WPAD diaktifkan di lingkungan dan dikonfigurasi dengan tepat, konektor secara otomatis menemukan server proksi keluar dan mencoba menggunakannya. Namun, Anda dapat secara eksplisit mengonfigurasi konektor untuk melalui proksi keluar.
Untuk melakukannya, edit C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config
file, dan tambahkan bagian yang diperlihatkan system.net
dalam sampel kode. Ubah proxyserver:8080
untuk mencerminkan nama server proksi lokal atau alamat IP dan port Anda. Nilai harus memiliki awalan http://
bahkan jika Anda menggunakan alamat IP.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Selanjutnya, konfigurasikan layanan Koneksi or Updater untuk menggunakan proksi dengan membuat perubahan serupa dengan C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config
file.
Catatan
Layanan Koneksi or mengevaluasi konfigurasi defaultProxy untuk penggunaan di , jika defaultProxy tidak dikonfigurasi %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
(secara default) di MicrosoftEntraPrivateNetwork Koneksi orService.exe.config. Hal yang sama berlaku untuk layanan Koneksi or Updater (MicrosoftEntraPrivateNetwork Koneksi orUpdaterService.exe.config) juga.
Langkah 2: Konfigurasi proksi untuk memungkinkan lalu lintas dari konektor dan layanan terkait mengalir
Ada empat aspek yang perlu dipertimbangkan di proksi keluar:
- Aturan keluar proksi
- Autentikasi proksi
- Port proksi
- Inspeksi Keamanan Lapisan Transportasi (TLS)
Aturan keluar proksi
Izinkan akses ke URL berikut:
URL | Port | Menggunakan |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Komunikasi antara konektor dan layanan cloud proksi aplikasi |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Konektor menggunakan URL ini untuk memverifikasi sertifikat. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | Konektor menggunakan URL ini selama proses pendaftaran. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Konektor menggunakan URL ini selama proses pendaftaran. |
Jika firewall atau proksi memungkinkan Anda mengonfigurasi daftar izin DNS, Anda dapat mengizinkan koneksi ke *.msappproxy.net
dan *.servicebus.windows.net
.
Jika Anda tidak dapat mengizinkan konektivitas berdasarkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dan perlu menentukan rentang IP sebagai gantinya, gunakan opsi ini:
- Izinkan akses keluar konektor ke semua tujuan.
- Izinkan akses keluar konektor ke semua rentang IP pusat data Azure. Tantangan dengan menggunakan daftar rentang IP pusat data Azure adalah bahwa mereka diperbarui setiap minggu. Anda perlu menempatkan proses untuk memastikan bahwa aturan akses Anda diperbarui. Hanya menggunakan subset alamat IP yang menyebabkan konfigurasi Anda rusak. Rentang IP Azure Data Center terbaru diunduh di https://download.microsoft.com. Gunakan istilah pencarian,
Azure IP Ranges and Service Tags
. Pastikan untuk memilih cloud yang relevan. Misalnya, rentang IP cloud publik dapat ditemukan dengan mencariAzure IP Ranges and Service Tags – Public Cloud
. Cloud Pemerintah AS dapat ditemukan dengan mencariAzure IP Ranges and Service Tags – US Government Cloud
.
Autentikasi proksi
Autentikasi proksi saat ini tidak didukung. Rekomendasi kami saat ini adalah mengizinkan akses anonim konektor ke tujuan Internet.
Port proksi
Konektor membuat koneksi berbasis TLS keluar dengan menggunakan metode CONNECT. Metode ini pada dasarnya menyiapkan terowongan melalui proksi keluar. Konfigurasikan server proksi untuk memungkinkan membuat terowongan ke port 443 dan 80.
Catatan
Ketika Service Bus berjalan melalui HTTPS, ia menggunakan port 443. Namun, secara default, Bus Layanan mencoba koneksi Protokol Kontrol Transmisi (TCP) langsung dan kembali ke HTTPS hanya jika konektivitas langsung gagal.
Inspeksi TLS
Jangan gunakan inspeksi TLS untuk lalu lintas konektor, karena menyebabkan masalah untuk lalu lintas konektor. Konektor menggunakan sertifikat untuk mengautentikasi ke layanan proksi aplikasi, dan sertifikat tersebut dapat hilang selama inspeksi TLS.
Mengonfigurasi menggunakan proksi antara aplikasi konektor dan backend
Menggunakan proksi maju untuk komunikasi menuju aplikasi backend adalah persyaratan khusus di beberapa lingkungan. Untuk mengaktifkan proksi penerusan, ikuti langkah-langkah berikut:
Langkah 1: Tambahkan nilai registri yang diperlukan ke server
- Untuk mengaktifkan penggunaan proksi default, tambahkan nilai registri (DWORD)
UseDefaultProxyForBackendRequests = 1
ke kunci registri konfigurasi konektor yang terletak diHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector
.
Langkah 2: Konfigurasi server proksi secara manual menggunakan perintah netsh
- Aktifkan kebijakan
Make proxy settings per-machine
grup . Kebijakan grup ditemukan di:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer
. Kebijakan grup perlu ditetapkan daripada menetapkan kebijakan per pengguna. - Jalankan
gpupdate /force
di server. Atau, untuk memastikan kebijakan grup diperbarui, boot ulang server. - Luncurkan prompt perintah yang ditinggikan dengan hak admin dan masukkan
control inetcpl.cpl
. - Konfigurasi pengaturan proksi yang diperlukan.
Pengaturan membuat konektor menggunakan proksi penerusan yang sama untuk komunikasi ke Azure dan ke aplikasi backend. Ubah file MicrosoftEntraPrivateNetworkConnectorService.exe.config
untuk mengubah proksi penerusan. Konfigurasi proksi penerusan dijelaskan di bagian Melewati proksi keluar dan Menggunakan server proksi keluar.
Catatan
Ada berbagai cara untuk mengonfigurasi proksi internet dalam sistem operasi. Pengaturan proksi yang dikonfigurasi melalui NETSH WINHTTP
(jalankan NETSH WINHTTP SHOW PROXY
untuk memverifikasi) mengambil alih pengaturan proksi yang Anda konfigurasi di Langkah 2.
Layanan pembaruan konektor menggunakan proksi komputer. Pengaturan ditemukan dalam MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config
file.
Memecahkan masalah proksi konektor dan masalah konektivitas layanan
Sekarang Anda akan melihat semua lalu lintas mengalir melalui proksi. Jika Anda mengalami masalah, informasi pemecahan masalah berikut ini akan membantu.
Cara terbaik untuk mengidentifikasi dan memecahkan masalah konektivitas konektor adalah dengan mengambil tangkapan jaringan saat memulai layanan konektor. Berikut adalah beberapa tips cepat tentang menangkap dan memfilter jejak jaringan.
Anda dapat menggunakan alat pemantauan pilihan Anda. Untuk keperluan artikel ini, kami menggunakan Microsoft Message Analyzer.
Catatan
Microsoft Message Analyzer (MMA) dihentikan dan paket unduhannya dihapus dari situs microsoft.com pada 25 November 2019. Saat ini tidak ada pengganti Microsoft untuk Microsoft Message Analyzer dalam pengembangan saat ini. Untuk fungsionalitas serupa, silakan pertimbangkan untuk menggunakan alat penganalisis protokol jaringan pihak ketiga seperti Wireshark.
Contoh berikut khusus untuk Message Analyzer, tetapi prinsip-prinsip dapat diterapkan ke alat analisis apa pun.
Mengambil tangkapan lalu lintas konektor
Untuk pemecahan masalah awal, lakukan langkah-langkah berikut:
Dari
services.msc
, hentikan layanan konektor jaringan privat Microsoft Entra.Jalankan Penganalisis Pesan sebagai administrator.
Pilih Mulai pelacakan lokal.
Mulai layanan konektor jaringan privat Microsoft Entra.
Hentikan tangkapan jaringan.
Pastikan lalu lintas konektor melewati proksi keluar
Jika Anda mengharapkan konektor membuat koneksi langsung ke layanan proksi aplikasi, SynRetransmit
respons pada port 443 adalah indikasi bahwa Anda memiliki masalah jaringan atau firewall.
Gunakan filter Penganalisis Pesan untuk mengidentifikasi upaya koneksi Protokol Kontrol Transmisi (TCP) yang gagal. Masukkan property.TCPSynRetransmit
dalam kotak filter dan pilih Terapkan.
Paket sinkronisasi (SYN) adalah paket pertama yang dikirim untuk membuat koneksi TCP. Jika paket ini tidak mengembalikan respons, SYN akan dicoba ulang. Anda dapat menggunakan filter untuk melihat paket SYN yang ditransmisikan ulang. Kemudian, Anda dapat memeriksa apakah paket SYN ini sesuai dengan lalu lintas terkait konektor apa pun.
Pastikan lalu lintas konektor menggunakan proksi keluar
Jika Anda mengonfigurasi lalu lintas konektor jaringan privat untuk melalui server proksi, cari koneksi yang gagal https
ke proksi Anda.
Gunakan filter Penganalisis Pesan untuk mengidentifikasi upaya koneksi HTTPS yang gagal ke proksi Anda. Masukkan (https.Request or https.Response) and tcp.port==8080
di filter Message Analyzer, ganti 8080
dengan port layanan proksi Anda. Pilih Terapkan untuk melihat hasil filter.
Filter sebelumnya hanya menunjukkan permintaan dan respons HTTP ke/dari port proksi. Anda sedang mencari permintaan CONNECT yang menunjukkan komunikasi dengan server proksi. Setelah sukses, Anda mendapatkan respons HTTP OK (200).
Jika Anda melihat kode respons lain, seperti 407 atau 502, yang berarti bahwa proksi memerlukan autentikasi atau tidak mengizinkan lalu lintas karena alasan lain. Pada titik ini, Anda melibatkan tim dukungan server proksi Anda.