Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra Private Access offre un modo rapido e semplice per sostituire le VPN legacy. Fornisce accesso granulare e sicuro alle risorse interne senza esporre la rete completa. DNS svolge un ruolo fondamentale abilitando la risoluzione dei nomi per le risorse interne critiche e gli utenti remoti non devono conoscere la configurazione dei sistemi DNS interni. Microsoft Entra Private DNS with Quick Access offre una semplice configurazione che usa i resolver locali del connettore per rispondere alle query DNS per le risorse interne.
Il servizio DNS privato consente di aggiungere suffissi di dominio per l'organizzazione alla configurazione di Accesso rapido. In questo modo viene aggiornato automaticamente il profilo di inoltro del traffico per i client. Dopo la configurazione, tutte le query DNS per un nome di dominio completo (FQDN) che terminano con i suffissi corrispondenti dai dispositivi client vengono inviate al proxy DNS alla periferia GSA per la risoluzione. Se è disponibile un risultato memorizzato nella cache, le risposte DNS vengono restituite ai client. In caso contrario, il proxy DNS inoltra la richiesta al connettore, che invia la query DNS al server DNS per la risoluzione. Il connettore passa quindi le risposte all'edge, che rimanda la query al client. Il client GSA assegna quindi un indirizzo IP sintetico e lo restituisce all'applicazione. L'INDIRIZZO IP sintetico viene usato per indirizzare il traffico dell'applicazione ai bordi GSA.
Un flusso DNS privato di alto livello per i client Windows è illustrato nel diagramma seguente.
Configurazione
Un amministratore abilita IL DNS privato e aggiunge un suffisso DNS da Accesso rapido.
Nel client viene generata una voce nella tabella dei criteri di risoluzione dei nomi (NRPT) per il suffisso da risolvere tramite il client GSA.
Il profilo di inoltro del traffico client viene aggiornato per inviare query DNS private alla rete perimetrale GSA.
Percorso dati
- L'utente richiede una query DNS per
app.contoso.com. Se non viene memorizzata nella cache in locale, la query DNS viene inviata al proxy DNS nella rete perimetrale GSA. - Il proxy DNS risponde dalla cache o inoltra la query al gruppo di connettori definito in Accesso rapido.
1.Il server connettore invia la query DNS ai server DNS configurati a livello di sistema operativo. - Il proxy DNS risponde al client con l'indirizzo IP interno. Il client archivia l'indirizzo IP interno e restituisce un indirizzo IP sintetico all'applicazione.
Quando un suffisso DNS è configurato in Accesso rapido, tutte le query DNS per un nome di dominio completo (FQDN) che termina con i suffissi corrispondenti vengono risolte da DNS privato, incluse quelle usate per definire le app aziendali.
Risoluzione del dominio con etichetta singola (SLD)
Il DNS privato fornisce la risoluzione dei nomi per SLD senza un suffisso di dominio. Viene creata una voce NRPT per inviare il suffisso globalsecureaccess.local. GSA al proxy DNS quando è configurato DNS privato. Il computer client aggiunge il <appid>.globalsecureaccess.local. suffisso all'SLD e invia la richiesta DNS al proxy DNS. Il proxy DNS rimuove il suffisso di ricerca prima di inviare la query DNS al connettore. Il connettore usa quindi i suffissi di ricerca locali per risolvere la query SLD. L'indirizzo IP risolto per la risorsa viene restituito al proxy DNS e passato al client.
Annotazioni
Per alcune applicazioni, ad esempio l'autenticazione Kerberos, è importante avere il nome SPN corretto. Il suffisso sintetico GSA può interrompere il flusso Kerberos, quindi è consigliabile usare FQDN per le applicazioni che richiedono l'autenticazione Kerberos.
Contenuti correlati
Per informazioni su come abilitare IL DNS privato con Accesso rapido, vedere Come configurare l'accesso rapido.
Per informazioni sul funzionamento di DNS privato con SSO, vedere Usare Kerberos per l'accesso Single Sign-On (SSO) alle risorse con Microsoft Entra Private Access.
Per informazioni sui suggerimenti sulla risoluzione dei problemi relativi al DNS, vedere Risolvere i problemi di accesso alle applicazioni - Accesso sicuro globale.
Per informazioni sulla diagnostica avanzata di acquisizione del nome host, vedere Risolvere i problemi relativi al client di accesso sicuro globale: diagnostica - Accesso sicuro globale.