Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Konfigurasikan konektor jaringan privat Microsoft Entra untuk menggunakan server proksi luar. Artikel ini mengasumsikan lingkungan jaringan sudah memiliki server proksi.
Artikel ini membahas skenario penyebaran utama ini:
- Konfigurasikan konektor untuk melewati proksi keluar lokal Anda.
- Konfigurasikan konektor untuk menggunakan proksi keluar untuk mengakses proksi aplikasi Microsoft Entra.
- Konfigurasikan menggunakan proksi antara konektor dan aplikasi backend.
Untuk informasi selengkapnya tentang cara kerja konektor, lihat Memahami konektor jaringan privat Microsoft Entra.
Melewati proksi luar
Konektor memiliki komponen OS dasar yang membuat permintaan keluar. Komponen-komponen ini secara otomatis mencoba menemukan server proksi di jaringan menggunakan Web Proxy Auto-Discovery (WPAD).
Komponen OS mencoba menemukan server proksi dengan melakukan pencarian Sistem Nama Domain (DNS) untuk wpad.domainsuffix. Jika pencarian berhasil di DNS, permintaan HTTP kemudian dibuat ke alamat Protokol Internet (IP) wpad.dat. Permintaan ini menjadi skrip konfigurasi proksi di lingkungan Anda. Konektor menggunakan skrip ini untuk memilih server proksi outbound. Namun, lalu lintas konektor mungkin terus gagal karena dibutuhkan lebih banyak pengaturan konfigurasi pada proksi.
Anda dapat mengonfigurasi konektor untuk melewati proksi lokal Anda agar memastikan bahwa konektor menggunakan konektivitas langsung ke layanan proksi aplikasi Microsoft Entra. Koneksi langsung disarankan karena memerlukan lebih sedikit konfigurasi. Namun, beberapa kebijakan jaringan mengharuskan lalu lintas melalui server proksi lokal.
Untuk menonaktifkan penggunaan proksi keluar untuk konektor, edit file C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config dan tambahkan bagian system.net yang diperlihatkan dalam sampel kode:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Untuk memastikan bahwa layanan Connector Updater juga melewati proksi, buat perubahan serupa pada file MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config. File ini terletak di C:\Program Files\Microsoft Entra private network connector Updater.
Pastikan untuk membuat salinan file asli, jika Anda perlu kembali ke file .config default.
Gunakan server proksi keluar
Beberapa lingkungan mengharuskan semua trafik keluar untuk melalui proksi keluar, tanpa pengecualian. Akibatnya, melewati proksi bukanlah pilihan.
Anda dapat mengonfigurasi lalu lintas konektor untuk melalui proksi keluar, seperti yang ditunjukkan dalam diagram berikut:
Akibat hanya memiliki lalu lintas keluar, Anda tidak perlu mengonfigurasi akses masuk melalui firewall Anda.
Nota
Proksi aplikasi tidak mendukung autentikasi ke proksi lain. Akun layanan jaringan konektor/updater harus dapat terhubung ke proksi tanpa ditantang untuk autentikasi.
Langkah 1: Konfigurasikan konektor dan layanan terkait untuk melalui proksi keluar
Jika WPAD diaktifkan di lingkungan dan dikonfigurasi dengan tepat, konektor secara otomatis menemukan server proksi eksternal dan mencoba menggunakannya. Namun, Anda dapat secara eksplisit mengonfigurasi konektor untuk melalui proksi eksternal.
Untuk melakukannya, edit file C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config, dan tambahkan bagian system.net yang diperlihatkan dalam sampel kode. Ubah proxyserver:8080 untuk mencerminkan nama server proksi lokal atau alamat IP dan port Anda. Nilai harus memiliki awalan http:// meskipun Anda menggunakan alamat IP.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Selanjutnya, konfigurasikan layanan Connector Updater untuk menggunakan proksi dengan membuat perubahan serupa dengan file C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.
Nota
Layanan Konektor mengevaluasi konfigurasi defaultProxy untuk penggunaan di %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, jika defaultProxy tidak dikonfigurasi (secara default) di MicrosoftEntraPrivateNetworkConnectorService.exe.config. Hal yang sama berlaku untuk layanan Connector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config) juga.
Langkah 2: Konfigurasikan proksi untuk memungkinkan lalu lintas dari konektor dan layanan terkait mengalir melalui
Ada empat aspek yang perlu dipertimbangkan di proksi keluar:
- Aturan keluar sambungan proksi
- Autentikasi proksi
- Port Proksi
- Inspeksi Keamanan Lapisan Transportasi (TLS)
Aturan keluar sambungan proksi
Izinkan akses ke URL berikut:
| URL | Pelabuhan | Pakai |
|---|---|---|
| *.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Komunikasi antara konektor dan layanan awan proksi aplikasi |
| crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Konektor menggunakan URL ini untuk memverifikasi sertifikat. |
| login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | Konektor menggunakan URL ini selama proses pendaftaran. |
| ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Konektor menggunakan URL ini selama proses pendaftaran. |
Jika firewall atau proksi memungkinkan Anda mengonfigurasi daftar izin DNS, Anda dapat mengizinkan koneksi *.msappproxy.net dan *.servicebus.windows.net.
Jika Anda tidak dapat mengizinkan konektivitas berdasarkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dan perlu menentukan rentang IP sebagai gantinya, gunakan opsi ini:
- Izinkan konektor akses keluar ke semua tujuan.
- Izinkan konektor memiliki akses keluar ke semua rentang alamat IP pusat data Azure. Tantangan dengan menggunakan daftar rentang IP pusat data Azure adalah bahwa mereka diperbarui setiap minggu. Anda perlu menerapkan proses untuk memastikan bahwa aturan akses Anda diperbarui dengan sesuai. Menggunakan hanya subset alamat IP dapat membuat konfigurasi Anda rusak. Rentang IP terbaru Azure Data Center telah diunduh di https://download.microsoft.com. Gunakan istilah pencarian,
Azure IP Ranges and Service Tags. Pastikan untuk memilih cloud yang relevan. Misalnya, rentang IP cloud publik dapat ditemukan dengan mencariAzure IP Ranges and Service Tags – Public Cloud. Cloud Pemerintah AS dapat ditemukan dengan mencariAzure IP Ranges and Service Tags – US Government Cloud.
Autentikasi proksi
Autentikasi proksi saat ini tidak didukung. Rekomendasi saat ini adalah mengizinkan akses anonim konektor ke tujuan Internet.
Port Proksi
Konektor membuat koneksi berbasis TLS keluar dengan menggunakan metode CONNECT. Metode ini pada dasarnya menyiapkan terowongan melalui proksi keluar. Konfigurasikan server proksi untuk memungkinkan penerowongan ke port 443 dan 80.
Nota
Saat Service Bus berjalan melalui HTTPS, ia menggunakan port 443. Namun, secara default, Service Bus mencoba koneksi Protokol Kontrol Transmisi (TCP) langsung dan menggunakan kembali HTTPS hanya jika konektivitas langsung gagal.
Inspeksi TLS
Jangan gunakan inspeksi TLS untuk lalu lintas konektor, karena menyebabkan masalah untuk lalu lintas konektor. Konektor menggunakan sertifikat untuk mengautentikasi ke layanan proksi aplikasi, dan sertifikat tersebut dapat hilang selama inspeksi TLS.
Konfigurasi menggunakan proksi antara konektor dan aplikasi backend
Menggunakan proksi maju untuk komunikasi menuju aplikasi backend adalah persyaratan khusus di beberapa lingkungan. Untuk mengaktifkan proksi penerusan, ikuti langkah-langkah berikut:
Langkah 1: Tambahkan nilai registri yang diperlukan ke server
- Untuk mengaktifkan penggunaan proksi default, tambahkan nilai registri (DWORD)
UseDefaultProxyForBackendRequests = 1ke kunci registri konfigurasi konektor yang terletak diHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.
Langkah 2: Mengonfigurasi server proksi secara manual menggunakan perintah netsh
- Aktifkan kebijakan grup
Make proxy settings per-machine. Kebijakan grup ditemukan di:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. Kebijakan grup perlu ditetapkan daripada menetapkan kebijakan per pengguna. - Jalankan
gpupdate /forcedi server. Atau, untuk memastikan kebijakan grup diperbarui, boot ulang server. - Luncurkan prompt perintah yang ditingkatkan dengan hak admin dan masukkan
control inetcpl.cpl. - Konfigurasikan pengaturan proksi yang diperlukan.
Pengaturan ini membuat konektor menggunakan proksi penerusan yang sama untuk komunikasi ke Azure dan ke aplikasi backend. Ubah file MicrosoftEntraPrivateNetworkConnectorService.exe.config untuk mengubah proksi penerusan. Konfigurasi proksi penerusan dijelaskan di bagian Lewati proksi keluar dan Gunakan server proksi keluar.
Nota
Ada berbagai cara untuk mengonfigurasi proksi internet dalam sistem operasi. Pengaturan proksi yang dikonfigurasi melalui NETSH WINHTTP (jalankan NETSH WINHTTP SHOW PROXY untuk memverifikasi) mengambil alih pengaturan proksi yang Anda konfigurasi di Langkah 2.
Layanan pembaruan konektor menggunakan proksi komputer. Pengaturan ditemukan dalam file MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.
Memecahkan masalah proksi konektor dan masalah konektivitas layanan
Sekarang Anda dapat melihat semua lalu lintas yang mengalir melalui proksi. Jika Anda mengalami masalah, informasi pemecahan masalah berikut akan membantu.
Cara terbaik untuk mengidentifikasi dan memecahkan masalah konektivitas konektor adalah dengan mengambil tangkapan jaringan saat memulai layanan konektor. Berikut adalah beberapa tips cepat tentang menangkap dan memfilter jejak jaringan.
Anda dapat menggunakan alat pemantauan pilihan Anda. Untuk tujuan artikel ini, kami menggunakan Microsoft Message Analyzer.
Nota
Microsoft Message Analyzer (MMA) dihentikan dan paket unduhannya dihapus dari situs microsoft.com pada 25 November 2019. Saat ini tidak ada pengganti Microsoft untuk Microsoft Message Analyzer dalam pengembangan saat ini. Untuk fungsionalitas serupa, pertimbangkan untuk menggunakan alat penganalisis protokol jaringan mitra non-Microsoft seperti Wireshark.
Contoh berikut khusus untuk Message Analyzer, tetapi prinsipnya dapat diterapkan ke alat analisis apa pun.
Ambil tangkapan data lalu lintas konektor
Untuk pemecahan masalah awal, lakukan langkah-langkah berikut:
Mulai dari
services.msc, hentikan layanan Microsoft Entra Private Network Connector.
Jalankan Message Analyzer sebagai administrator.
Pilih Mulai pelacakan lokal.
Mulai layanan konektor jaringan privat Microsoft Entra.
Hentikan tangkapan jaringan.
Cuplikan layar
Periksa apakah lalu lintas konektor mengabaikan proksi eksternal
Jika Anda mengharapkan konektor membuat koneksi langsung ke layanan proksi aplikasi, SynRetransmit respons pada port 443 adalah indikasi bahwa Anda memiliki masalah jaringan atau firewall.
Gunakan filter Penganalisis Pesan untuk mengidentifikasi upaya koneksi Protokol Kontrol Transmisi (TCP) yang gagal. Masukkan property.TCPSynRetransmit dalam kotak filter dan pilih Terapkan.
Paket sinkronisasi (SYN) adalah paket pertama yang dikirim untuk membuat koneksi TCP. Jika paket ini tidak mengembalikan respons, SYN akan disampaikan ulang. Anda dapat menggunakan filter untuk melihat paket SYN yang ditransmisikan ulang. Kemudian, Anda dapat memeriksa apakah paket SYN ini sesuai dengan lalu lintas terkait konektor apa pun.
Periksa apakah lalu lintas konektor menggunakan proksi keluar
Jika Anda telah mengonfigurasi lalu lintas konektor jaringan pribadi agar melalui server proksi, periksalah koneksi https yang gagal menuju proksi Anda.
Gunakan filter Penganalisis Pesan untuk mengidentifikasi upaya koneksi HTTPS yang gagal ke proksi Anda. Masukkan (https.Request or https.Response) and tcp.port==8080 di filter Penganalisis Pesan, mengganti 8080 dengan port layanan proksi Anda. Pilih Terapkan untuk melihat hasil filter.
Filter sebelumnya hanya menunjukkan permintaan dan respons HTTPs ke/dari port proksi. Anda mencari permintaan CONNECT yang memperlihatkan komunikasi dengan server proksi. Setelah berhasil, Anda mendapatkan respons HTTP OK (200).
Jika Anda melihat kode respons lain, seperti 407 atau 502, itu berarti bahwa proksi memerlukan autentikasi atau tidak mengizinkan lalu lintas karena alasan lain. Pada titik ini, Anda melibatkan tim dukungan server proksi Anda.