Meer informatie over de microsoft Entra private network-connector

Verbinding maken oren maken Microsoft Entra-privétoegang en toepassingsproxy mogelijk. Ze zijn eenvoudig, gemakkelijk te implementeren en te onderhouden, en super krachtig. In dit artikel wordt beschreven wat connectors zijn, hoe ze werken en enkele suggesties voor het optimaliseren van uw implementatie.

Wat is een privénetwerkconnector?

Verbinding maken ors zijn lichtgewicht agents die zich in een privénetwerk bevinden en de uitgaande verbinding met de Microsoft Entra-privétoegang- en toepassingsproxyservices mogelijk maken. Verbinding maken ors moeten worden geïnstalleerd op een Windows Server die toegang heeft tot de back-endbronnen. U kunt connectors in connectorgroepen organiseren, waarbij elke groep verkeer naar specifieke resources verwerkt. Zie Microsoft Entra-toepassingsproxy gebruiken voor het publiceren van on-premises apps voor externe gebruikers voor meer informatie over de toepassingsproxy en een diagrammatische weergave van de toepassingsproxyarchitectuur.

Zie Voor meer informatie over het configureren van de Microsoft Entra-privénetwerkconnector de connectors voor privénetwerk configureren voor Microsoft Entra-privétoegang.

Privénetwerkconnectors zijn lichtgewicht agents die on-premises zijn geïmplementeerd om de uitgaande verbinding met de toepassingsproxyservice in de cloud te vergemakkelijken. De connectors moeten worden geïnstalleerd op een Windows-Server die toegang heeft tot de back-end-toepassing. Gebruikers maken verbinding met de cloudservice van de toepassingsproxy die hun verkeer via de connectors naar de apps stuurt.

De installatie en registratie tussen een connector en de toepassingsproxyservice wordt als volgt uitgevoerd:

1. De IT-beheerder opent poorten 80 en 443 voor uitgaand verkeer en biedt toegang tot verschillende URL's die nodig zijn voor de connector, de toepassingsproxyservice en Microsoft Entra-id.
2. De beheerder meldt zich aan bij het Microsoft Entra-beheercentrum en voert een uitvoerbaar bestand uit om de connector op een on-premises Windows-server te installeren.
3. De connector begint te luisteren naar de toepassingsproxyservice.
4. De beheerder voegt de on-premises toepassing toe aan de Microsoft Entra-id en configureert instellingen zoals de URL's die gebruikers nodig hebben om verbinding te maken met hun apps.

Het is raadzaam om altijd meerdere connectors te implementeren voor redundantie en schaal. De connectors, in combinatie met de service, nemen alle taken met hoge beschikbaarheid op zich en kunnen dynamisch worden toegevoegd of verwijderd. Telkens wanneer een nieuwe aanvraag arriveert, wordt deze doorgestuurd naar een van de beschikbare connectors. Wanneer een connector wordt uitgevoerd, blijft deze actief wanneer deze verbinding maakt met de service. Als een connector tijdelijk niet beschikbaar is, reageert deze niet op dit verkeer. Ongebruikte connectors zijn gelabeld als inactief en worden verwijderd na 10 dagen van inactiviteit.

Verbinding maken ors peilen ook de server om erachter te komen of er een nieuwere versie van de connector is. Hoewel u een handmatige update kunt uitvoeren, worden connectors automatisch bijgewerkt zolang de Updater-service voor de privénetwerkconnector wordt uitgevoerd. Voor tenants met meerdere connectors, worden de automatische updates per één connector in elke groep uitgevoerd om uitvaltijd in uw omgeving te voorkomen.

Notitie

U kunt de pagina versiegeschiedenis controleren om op de hoogte te blijven van de nieuwste updates.

Elke privénetwerkconnector wordt toegewezen aan een connectorgroep. Connectors in dezelfde connectorgroep fungeren als één eenheid voor hoge beschikbaarheid en taakverdeling. U kunt nieuwe groepen maken, er connectors aan toewijzen in het Microsoft Entra-beheercentrum en vervolgens specifieke connectors toewijzen voor specifieke toepassingen. Het wordt aanbevolen om ten minste twee connectors in elke connectorgroep te hebben voor hoge beschikbaarheid.

Connectorgroepen zijn handig wanneer u de volgende scenario's moet ondersteunen:

• Geografische apps publiceren
• Toepassingssegmentatie/-isolatie
• Publiceren van web-apps die in de cloud of on-premises worden uitgevoerd

Zie Overwegingen voor netwerktopologie bij het gebruik van de Microsoft Entra-toepassingsproxy voor meer informatie over het kiezen van de locatie van uw connectors en het optimaliseren van uw netwerk.

Onderhoud

De connectors en de service neemt alle taken met hoge beschikbaarheid op zich. Deze kunnen dynamisch worden toegevoegd of verwijderd. Nieuwe aanvragen worden doorgestuurd naar een van de beschikbare connectors. Als een connector tijdelijk niet beschikbaar is, reageert deze niet op dit verkeer.

De connectors hebben geen status en hebben geen configuratiegegevens op de computer. De enige gegevens die ze opslaan, zijn de instellingen voor het verbinden van de service en het bijbehorende verificatiecertificaat. Wanneer ze verbinding maken met de service, halen ze alle vereiste configuratiegegevens op en vernieuwen ze deze om de paar minuten.

Verbinding maken ors peilen ook de server om erachter te komen of er een nieuwere versie van de connector is. Als deze wordt gevonden, worden de connectors zelf bijgewerkt.

U kunt uw connectors bewaken vanaf de computer waarop ze worden uitgevoerd, met behulp van het gebeurtenislogboek en de prestatiemeteritems. Zie Logboeken bewaken en bekijken voor on-premises Microsoft Entra voor meer informatie.

U kunt hun status ook bekijken in het Microsoft Entra-beheercentrum. Voor Microsoft Entra-privétoegang gaat u naar Global Secure Access (preview), Verbinding maken en selecteert u Verbinding maken ors. Voor toepassingsproxy gaat u naar Identiteit, Toepassingen, Bedrijfstoepassingen en selecteert u de toepassing. Selecteer op de toepassingspagina de toepassingsproxy.

U hoeft ongebruikte connectors niet handmatig te verwijderen. Wanneer een connector wordt uitgevoerd, blijft deze actief wanneer deze verbinding maakt met de service. Ongebruikte connectors worden gelabeld als _inactive_ en worden na 10 dagen inactiviteit verwijderd. Als u een connector echter wilt verwijderen, verwijdert u de Connector- en de Updater-service van de server. Start de computer opnieuw op om de service volledig te verwijderen.

Automatische updates

Microsoft Entra ID biedt automatische updates voor alle connectors die u implementeert. Zolang de updaterservice voor de privénetwerkconnector wordt uitgevoerd, worden uw connectors automatisch bijgewerkt met de nieuwste primaire connectorrelease. Als u de Verbinding maken or Updater-service op uw server niet ziet, moet u de connector opnieuw installeren om updates te krijgen.

Als u niet wilt wachten tot er een automatische update naar uw connector komt, kunt u een handmatige upgrade uitvoeren. Ga naar de downloadpagina van de connector op de server waar de connector zich bevindt en selecteer Downloaden. Met dit proces wordt een upgrade voor de lokale connector gestart.

Voor tenants met meerdere connectors, worden de automatische updates per één connector in elke groep uitgevoerd om uitvaltijd in uw omgeving te voorkomen.

U kunt downtime ondervinden wanneer uw connector wordt bijgewerkt als:

• U hebt slechts één connector. Een tweede connector en een connectorgroep worden aanbevolen om downtime te voorkomen en hogere beschikbaarheid te bieden.
• Een connector was bezig met een transactie toen de update begon. Hoewel de initiële transactie verloren gaat, moet de bewerking automatisch opnieuw worden uitgevoerd in uw browser of u kunt de pagina vernieuwen. Wanneer de aanvraag opnieuw wordt verzonden, wordt het verkeer doorgestuurd naar een back-upconnector.

Zie De releasegeschiedenis van de toepassingsproxy voor informatie over eerder uitgebrachte versies en welke wijzigingen ze bevatten.

Connectorgroepen worden gemaakt

Met connectorgroepen kunt u specifieke connectors toewijzen voor specifieke toepassingen. U kunt veel connectors groeperen en vervolgens elke resource of toepassing toewijzen aan een groep.

Met connectorgroepen kunt u eenvoudiger grote implementaties beheren. Ze verbeteren ook de latentie voor tenants met resources en toepassingen die worden gehost in verschillende regio's, omdat u op locatie gebaseerde connectorgroepen kunt maken om alleen lokale toepassingen te bedienen.

Zie Microsoft Entra-groepen voor privénetwerkconnectorgroepen voor meer informatie over connectorgroepen.

Capaciteitsplanning

Plan voldoende capaciteit tussen connectors om het verwachte verkeersvolume te verwerken. Ten minste twee connectors in een connectorgroep bieden hoge beschikbaarheid en schaal. Maar drie verbindingslijnen zijn optimaal.

De tabel biedt volume en verwachte latentie voor verschillende computerspecificaties. De gegevens zijn gebaseerd op verwachte transacties per seconde (TPS) in plaats van per gebruiker, omdat gebruikspatronen variëren en niet kunnen worden gebruikt om de belasting te voorspellen. Er zijn enkele verschillen op basis van de grootte van de antwoorden en de reactietijd van de back-endtoepassing: grotere reactiegrootten en tragere reactietijden resulteren in een lagere maximale TPS. Meer machines verdelen de belasting en bieden voldoende buffer. Extra capaciteit zorgt voor hoge beschikbaarheid en tolerantie.

Kernen	RAM	Verwachte latentie (MS)-P99	Max. TPS
2	8	325	586
4	16	320	1150
8	32	270	1190
16	64	245	1200*

* De computer heeft een aangepaste instelling gebruikt om enkele van de standaardverbindingslimieten te verhogen buiten de aanbevolen .NET-instellingen. We raden u aan een test met de standaardinstellingen uit te voeren voordat u contact op neemt met ondersteuning om deze limiet voor uw tenant te wijzigen.

Notitie

Er is niet veel verschil in de maximale TPS tussen 4, 8 en 16 kernmachines. Het belangrijkste verschil is de verwachte latentie.

De tabel is gericht op de verwachte prestaties van een connector op basis van het type computer waarop deze is geïnstalleerd. Dit staat los van de beperkingslimieten van de service, zie servicelimieten en -beperkingen.

Beveiliging en netwerken

Verbinding maken ors kunnen overal in het netwerk worden geïnstalleerd waarmee ze aanvragen kunnen verzenden naar de Microsoft Entra-privétoegang- en toepassingsproxyservice. Wat belangrijk is, is dat de computer waarop de connector wordt uitgevoerd, ook toegang heeft tot uw apps en resources. U kunt connectors installeren in uw bedrijfsnetwerk of op een virtuele machine die in de cloud wordt uitgevoerd. Connectors kunnen worden uitgevoerd binnen een perimeternetwerk, ook wel een gedemilitariseerde zone (DMZ) genoemd. Maar dit is niet nodig omdat al het verkeer uitgaand is, zodat uw netwerk veilig blijft.

Connectors verzenden alleen uitgaande aanvragen. Het uitgaande verkeer wordt verzonden naar de service en naar de gepubliceerde resources en toepassingen. U hoeft geen binnenkomende poorten te openen, omdat verkeer op beide manieren stroomt zodra een sessie tot stand is gebracht. U hoeft ook geen binnenkomende toegang via uw firewalls te configureren.

Zie Werken met bestaande, on-premises proxyservers voor meer informatie over het configureren van uitgaande firewallregels.

Prestaties en schaalbaarheid

Schaal voor Microsoft Entra-privétoegang en de toepassingsproxyservices is transparant, maar schaal is een factor voor connectors. U moet over voldoende connectors beschikken om piekverkeer af te kunnen handelen. Verbinding maken ors staatloos zijn en het aantal gebruikers of sessies heeft geen invloed op deze gebruikers of sessies. In plaats daarvan reageren ze op het aantal aanvragen en de bijhorende grootte van de nettobelasting. Met standaard webverkeer kan een gemiddelde machine 2000 aanvragen per seconde verwerken. De specifieke capaciteit is afhankelijk van de exacte computerkenmerken.

Cpu en netwerk definiëren de prestaties van de connector. CPU-prestaties zijn nodig voor TLS-versleuteling en -ontsleuteling, terwijl netwerken belangrijk zijn om snelle connectiviteit met de toepassingen en de onlineservice te krijgen.

Geheugen is daarentegen minder een probleem voor connectors. De online service zorgt voor een groot deel van de verwerking en al het niet-geverifieerde verkeer. Alles wat in de cloud kan worden gedaan, gebeurt in de cloud.

Wanneer connectors of machines niet beschikbaar zijn, gaat verkeer naar een andere connector in de groep. Meerdere connectors in een connectorgroep bieden tolerantie.

Een andere factor die de prestaties beïnvloedt, is de kwaliteit van het netwerk tussen de connectors, waaronder:

• De onlineservice: verbindingen met trage of hoge latentie met de Microsoft Entra-service beïnvloeden de prestaties van de connector. Voor de beste prestaties verbindt u uw organisatie met Microsoft met Express Route. Zorg er anders voor dat uw netwerkteam ervoor zorgt dat verbindingen met Microsoft zo efficiënt mogelijk worden afgehandeld.
• De back-endtoepassingen: in sommige gevallen zijn er extra proxy's tussen de connector en de back-endbronnen en toepassingen die verbindingen kunnen vertragen of voorkomen. Als u problemen met dit scenario wilt oplossen, opent u een browser vanaf de connectorserver en probeert u toegang te krijgen tot de toepassing of resource. Als u de connectors in de cloud uitvoert, maar de toepassingen on-premises zijn, is de ervaring mogelijk niet wat uw gebruikers verwachten.
• De domeincontrollers: als de connectors eenmalige aanmelding (SSO) uitvoeren met Kerberos Constrained Delegation, neemt deze contact op met de domeincontrollers vóórdat ze de aanvraag naar de back-end verzenden. De connectors hebben een cache met Kerberos-tickets. Maar in een drukke omgeving kan de reactiesnelheid van de domeincontrollers van invloed zijn op de prestaties. Dit probleem is gebruikelijker voor connectors die worden uitgevoerd in Azure, maar communiceren met domeincontrollers die on-premises zijn.

Zie Overwegingen voor netwerktopologie bij het gebruik van de Microsoft Entra-toepassingsproxy voor meer informatie over het optimaliseren van uw netwerk.

Domeindeelname

Verbinding maken ors kunnen worden uitgevoerd op een computer die niet lid is van een domein. Als u echter eenmalige aanmelding (SSO) wilt gebruiken voor toepassingen die gebruikmaken van geïntegreerde Windows-verificatie (IWA), hebt u een computer nodig die lid is van een domein. In dit geval moeten de connectormachines worden gekoppeld aan een domein dat Kerberos Constrained Delegation kan uitvoeren namens de gebruikers voor de gepubliceerde toepassingen.

Connectors kunnen ook worden gekoppeld aan domeinen in forests met een gedeeltelijke vertrouwensrelatie of alleen-lezen domeincontrollers.

Connectorimplementaties in geharde omgevingen

Meestal is de implementatie van de connector eenvoudig en is geen speciale configuratie vereist.

Er zijn echter enkele unieke voorwaarden die moeten worden overwogen:

• Uitgaand verkeer vereist dat specifieke poorten zijn geopend. Zie Connectors configureren voor meer informatie.
• VOOR FIPS-compatibele machines is mogelijk een configuratiewijziging vereist, zodat de connectorprocessen een certificaat kunnen genereren en opslaan.
• Uitgaande uitgaande proxy's kunnen de verificatie van tweerichtingscertificaten verbreken en ervoor zorgen dat de communicatie mislukt.

Verificatie van de connector controleren

Als u een beveiligde service wilt aanbieden, moeten connectors zich verifiëren bij de service en moet de service zich verifiëren bij de connector. Deze verificatie wordt uitgevoerd met client- en servercertificaten wanneer de connectors de verbinding initiëren. Op deze manier worden de gebruikersnaam en het wachtwoord van de beheerder niet opgeslagen op de connectorcomputer.

De gebruikte certificaten zijn specifiek voor de service. Ze worden gemaakt tijdens de eerste registratie en worden elke paar maanden automatisch verlengd.

Na de eerste geslaagde certificaatvernieuwing heeft de Microsoft Entra Private Network Connector-service (Network Service) geen toestemming om het oude certificaat uit het archief van de lokale computer te verwijderen. Als het certificaat verloopt of niet door de service wordt gebruikt, kunt u het veilig verwijderen.

Om problemen met certificaatvernieuwing te voorkomen, moet u ervoor zorgen dat de netwerkcommunicatie van de connector naar de gedocumenteerde bestemmingen is ingeschakeld.

Als een connector gedurende enkele maanden niet is verbonden met de service, zijn de certificaten mogelijk verouderd. In dit geval verwijdert u de connector en installeert u deze opnieuw om de registratie te activeren. U kunt de volgende PowerShell-opdrachten uitvoeren:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Gebruik voor overheid -EnvironmentName "AzureUSGovernment". Zie Agent installeren voor de Azure Government Cloud voor meer informatie.

Zie Ondersteuning voor machine- en back-endonderdelen controleren voor het vertrouwenscertificaat van de toepassingsproxy voor meer informatie over het controleren van het certificaat en het oplossen van problemen.

Onder de motorkap

Verbinding maken ors zijn geïnstalleerd op Windows Server, zodat ze de meeste van dezelfde beheerprogramma's hebben, waaronder Windows-gebeurtenislogboeken en Windows-prestatiemeteritems.

De connectors bevatten Beheers- en sessielogboeken. De beheerlogboeken bevatten belangrijke gebeurtenissen en de bijhorende fouten. Het sessielogboek bevatten alle transacties en hun verwerkingsdetails.

Als u de logboeken wilt bekijken, opent u Logboeken en gaat u naar toepassingen en serviceslogboeken van>Microsoft>Entra-privénetwerk> Verbinding maken or. Als u het sessielogboek zichtbaar wilt maken, selecteert u Analyse- en foutopsporingslogboeken weergeven in het menu Beeld. Het sessielogboek wordt doorgaans gebruikt voor probleemoplossing en is standaard uitgeschakeld. Schakel het in om gebeurtenissen te verzamelen en schakel het uit wanneer dit niet meer nodig is.

U kunt de status van de service onderzoeken in het venster Services. De connector bestaat uit twee Windows-services: de werkelijke connector en de updater. Beide moeten altijd worden uitgevoerd.

Inactieve connectors

Een veelvoorkomend probleem is dat connectors inactief worden weergegeven in een connectorgroep. Een firewall die de vereiste poorten blokkeert, is een veelvoorkomende oorzaak voor inactieve connectors.

Gebruiksvoorwaarden

Uw gebruik van de Microsoft Entra-privétoegang en Microsoft Entra-internettoegang preview-ervaringen en -functies is onderhevig aan de voorwaarden van de online online servicevoorwaarden van de overeenkomst(en) waaronder u de services hebt verkregen. Previews kunnen onderhevig zijn aan verminderde of andere verplichtingen op het gebied van beveiliging, naleving en privacy, zoals verder wordt uitgelegd in de universele licentievoorwaarden voor onlineservices en de Microsoft-gegevensbeschermingstoevoeging ('DPA') en eventuele andere kennisgevingen die bij de preview worden geleverd.

Volgende stappen

• Meer informatie over microsoft Entra-connectorgroepen voor privénetwerken
• Werken met bestaande on-premises proxyservers
• Toepassingsproxy- en connectorfouten oplossen
• De Microsoft Entra Private Network-connector op de achtergrond installeren