Omówienie łącznika sieci prywatnej firmy Microsoft Entra
Łączniki umożliwiają Dostęp Prywatny Microsoft Entra i serwer proxy aplikacji. Są one proste, łatwe do wdrożenia i konserwacji oraz bardzo wydajne. W tym artykule omówiono łączniki, sposób ich działania oraz sugestie dotyczące optymalizowania wdrożenia.
Co to jest łącznik sieci prywatnej?
Łączniki są lekkimi agentami, którzy znajdują się w sieci prywatnej i ułatwiają połączenie wychodzące z usługami Dostęp Prywatny Microsoft Entra i serwerem proxy aplikacji. Łączniki muszą być zainstalowane w systemie Windows Server, który ma dostęp do zasobów zaplecza. Łączniki można organizować w grupy łączników, a każda grupa obsługuje ruch do określonych zasobów. Aby uzyskać więcej informacji na temat serwera proxy aplikacji i diagramowej reprezentacji architektury serwera proxy aplikacji, zobacz Using Microsoft Entra application proxy to publish on-premises apps for remote users (Używanie serwera proxy aplikacji Firmy Microsoft Entra do publikowania aplikacji lokalnych dla użytkowników zdalnych).
Aby dowiedzieć się, jak skonfigurować łącznik sieci prywatnej firmy Microsoft Entra, zobacz Jak skonfigurować łączniki sieci prywatnej na potrzeby Dostęp Prywatny Microsoft Entra.
Łączniki sieci prywatnej to uproszczone agenty wdrożone lokalnie, które ułatwiają połączenie wychodzące z usługą serwera proxy aplikacji w chmurze. Łączniki muszą być zainstalowane w systemie Windows Server, który ma dostęp do aplikacji zaplecza. Użytkownicy łączą się z usługą w chmurze serwera proxy aplikacji, która kieruje ruch do aplikacji za pośrednictwem łączników.
Konfiguracja i rejestracja między łącznikiem a usługą serwera proxy aplikacji odbywa się w następujący sposób:
- Administrator IT otwiera porty 80 i 443 do ruchu wychodzącego i umożliwia dostęp do kilku adresów URL wymaganych przez łącznik, usługę serwera proxy aplikacji i identyfikator Microsoft Entra.
- Administrator loguje się do centrum administracyjnego firmy Microsoft Entra i uruchamia plik wykonywalny w celu zainstalowania łącznika na lokalnym serwerze z systemem Windows.
- Łącznik zaczyna "nasłuchiwać" usługi serwera proxy aplikacji.
- Administrator dodaje aplikację lokalną do identyfikatora Entra firmy Microsoft i konfiguruje ustawienia, takie jak adresy URL, które użytkownicy muszą łączyć się z aplikacjami.
Zaleca się, aby zawsze wdrażać wiele łączników na potrzeby nadmiarowości i skalowania. Łączniki, w połączeniu z usługą, dbają o wszystkie zadania o wysokiej dostępności i można je dynamicznie dodawać lub usuwać. Za każdym razem, gdy pojawia się nowe żądanie, jest kierowane do jednego z dostępnych łączników. Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Jeśli łącznik jest tymczasowo niedostępny, nie odpowiada na ten ruch. Nieużywane łączniki są oznaczane jako nieaktywne i usuwane po 10 dniach braku aktywności.
Łączniki sonduje również serwer, aby dowiedzieć się, czy istnieje nowsza wersja łącznika. Chociaż można przeprowadzić ręczną aktualizację, łączniki będą aktualizowane automatycznie, o ile usługa updater łącznika sieci prywatnej jest uruchomiona. W przypadku dzierżaw z wieloma łącznikami automatyczne aktualizacje są przeznaczone dla jednego łącznika jednocześnie w każdej grupie, aby zapobiec przestojom w środowisku.
Uwaga
Możesz monitorować stronę historii wersji, aby być na bieżąco z najnowszymi aktualizacjami.
Każdy łącznik sieci prywatnej jest przypisywany do grupy łączników. Łączniki w tej samej grupie łączników działają jako pojedyncza jednostka w celu zapewnienia wysokiej dostępności i równoważenia obciążenia. Możesz tworzyć nowe grupy, przypisywać do nich łączniki w centrum administracyjnym firmy Microsoft Entra, a następnie przypisywać określone łączniki do obsługi określonych aplikacji. Zaleca się posiadanie co najmniej dwóch łączników w każdej grupie łączników w celu zapewnienia wysokiej dostępności.
Grupy łączników są przydatne, gdy trzeba obsługiwać następujące scenariusze:
- Publikowanie aplikacji geograficznych
- Segmentacja/izolacja aplikacji
- Publikowanie aplikacji internetowych działających w chmurze lub lokalnie
Aby uzyskać więcej informacji na temat wybierania miejsca instalowania łączników i optymalizowania sieci, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.
Konserwacja
Łączniki i usługa zajmują się wszystkimi zadaniami wysokiej dostępności. Można je dynamicznie dodawać lub usuwać. Nowe żądania są kierowane do jednego z dostępnych łączników. Jeśli łącznik jest tymczasowo niedostępny, nie odpowiada na ten ruch.
Łączniki są bezstanowe i nie mają żadnych danych konfiguracyjnych na maszynie. Jedynymi przechowywanymi danymi są ustawienia łączenia usługi i certyfikatu uwierzytelniania. Po nawiązaniu połączenia z usługą pobierają wszystkie wymagane dane konfiguracji i odświeżają je co kilka minut.
Łączniki sonduj również serwer, aby dowiedzieć się, czy istnieje nowsza wersja łącznika. Jeśli zostanie znaleziony, łączniki są aktualizowane samodzielnie.
Łączniki można monitorować z maszyny, na której są uruchomione, przy użyciu dziennika zdarzeń i liczników wydajności. Aby uzyskać więcej informacji, zobacz Monitorowanie i przeglądanie dzienników dla lokalnej firmy Microsoft Entra.
Możesz również wyświetlić ich stan w centrum administracyjnym firmy Microsoft Entra. W przypadku Dostęp Prywatny Microsoft Entra przejdź do pozycji Globalny bezpieczny dostęp, Połącz i wybierz pozycję Łączniki. W przypadku serwera proxy aplikacji przejdź do pozycji Tożsamość, Aplikacje, Aplikacje dla przedsiębiorstw i wybierz aplikację. Na stronie aplikacji wybierz pozycję Serwer proxy aplikacji.
Nie trzeba ręcznie usuwać nieużywanych łączników. Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Nieużywane łączniki są oznaczane jako _inactive_
i usuwane po 10 dniach braku aktywności. Jeśli jednak chcesz odinstalować łącznik, odinstaluj zarówno usługę łącznika, jak i usługę Aktualizator z serwera. Uruchom ponownie komputer, aby całkowicie usunąć usługę.
Automatyczne aktualizacje
Identyfikator Entra firmy Microsoft udostępnia aktualizacje automatyczne dla wszystkich wdrożonych łączników. Jeśli usługa aktualizatora łącznika sieci prywatnej jest uruchomiona, łączniki są aktualizowane automatycznie przy użyciu najnowszej wersji głównego łącznika. Jeśli na serwerze nie widzisz usługi Aktualizatora łączników, musisz ponownie zainstalować łącznik, aby uzyskać aktualizacje.
Jeśli nie chcesz czekać na przejście automatycznej aktualizacji do łącznika, możesz wykonać uaktualnienie ręczne. Przejdź do strony pobierania łącznika na serwerze, na którym znajduje się łącznik, i wybierz pozycję Pobierz. Ten proces rozpoczyna uaktualnianie łącznika lokalnego.
W przypadku dzierżaw z wieloma łącznikami automatyczne aktualizacje są przeznaczone dla jednego łącznika jednocześnie w każdej grupie, aby zapobiec przestojom w środowisku.
Podczas aktualizacji łącznika może wystąpić przestój, jeśli:
- Masz tylko jeden łącznik. Drugi łącznik i grupa łączników są zalecane, aby uniknąć przestojów i zapewnić wyższą dostępność.
- Łącznik znajdował się w środku transakcji, kiedy rozpoczęła się aktualizacja. Mimo że początkowa transakcja zostanie utracona, przeglądarka powinna automatycznie ponowić próbę wykonania operacji lub odświeżyć stronę. Po ponownym wysłaniu żądania ruch jest kierowany do łącznika kopii zapasowej.
Aby wyświetlić informacje o poprzednich wersjach i zmianach, które zawierają, zobacz Application proxy- Version Release History (Historia wersji serwera proxy aplikacji— historia wersji).
Tworzenie grup łączników
Grupy łączników umożliwiają przypisywanie określonych łączników do obsługi określonych aplikacji. Można grupować wiele łączników razem, a następnie przypisywać każdy zasób lub aplikację do grupy.
Grupy łączników ułatwiają zarządzanie dużymi wdrożeniami. Zwiększają one również opóźnienia dzierżaw, które mają zasoby i aplikacje hostowane w różnych regionach, ponieważ można utworzyć grupy łączników oparte na lokalizacji w celu obsługi tylko aplikacji lokalnych.
Aby dowiedzieć się więcej o grupach łączników, zobacz Omówienie grup łączników sieci prywatnej firmy Microsoft Entra.
Zabezpieczenia i sieć
Łączniki można instalować w dowolnym miejscu w sieci, co umożliwia wysyłanie żądań do usługi Dostęp Prywatny Microsoft Entra i serwera proxy aplikacji. Ważne jest, aby komputer z uruchomionym łącznikiem miał również dostęp do aplikacji i zasobów. Łączniki można zainstalować w sieci firmowej lub na maszynie wirtualnej działającej w chmurze. Łączniki mogą być uruchamiane w sieci obwodowej, znanej również jako strefa zdemilitaryzowana (DMZ), ale nie jest to konieczne, ponieważ cały ruch jest wychodzący, więc sieć pozostaje bezpieczna.
Łączniki wysyłają tylko żądania wychodzące. Ruch wychodzący jest wysyłany do usługi i do opublikowanych zasobów i aplikacji. Nie musisz otwierać portów przychodzących, ponieważ ruch przepływa na oba sposoby po ustanowieniu sesji. Nie trzeba również konfigurować dostępu przychodzącego za pośrednictwem zapór.
Aby uzyskać więcej informacji na temat konfigurowania reguł zapory dla ruchu wychodzącego, zobacz Praca z istniejącymi lokalnymi serwerami proxy.
Wydajność i skalowalność
Skalowanie dla Dostęp Prywatny Microsoft Entra i usług serwera proxy aplikacji jest przezroczyste, ale skalowanie jest czynnikiem dla łączników. Musisz mieć wystarczającą ilość łączników do obsługi szczytowego ruchu. Łączniki są bezstanowe, a liczba użytkowników lub sesji nie ma na nie wpływu. Zamiast tego odpowiadają na liczbę żądań i ich rozmiar ładunku. W przypadku standardowego ruchu internetowego przeciętny komputer może obsłużyć 2000 żądań na sekundę. Określona pojemność zależy od dokładnej charakterystyki maszyny.
Procesor CPU i sieć definiują wydajność łącznika. Wydajność procesora CPU jest wymagana do szyfrowania i odszyfrowywania protokołu TLS, podczas gdy sieć jest ważna, aby uzyskać szybką łączność z aplikacjami i usługą online.
Z kolei pamięć jest mniej problemem dla łączników. Usługa online zajmuje się dużą częścią przetwarzania i całego nieuwierzytelnionego ruchu. Wszystko, co można zrobić w chmurze, odbywa się w chmurze.
Gdy łączniki lub maszyny są niedostępne, ruch przechodzi do innego łącznika w grupie. Wiele łączników w grupie łączników zapewnia odporność.
Innym czynnikiem wpływającym na wydajność jest jakość sieci między łącznikami, w tym:
- Usługa online: wolne lub duże opóźnienia połączeń z usługą Microsoft Entra wpływają na wydajność łącznika. Aby uzyskać najlepszą wydajność, połącz organizację z firmą Microsoft przy użyciu usługi Express Route. W przeciwnym razie zespół ds. sieci zapewnia, że połączenia z firmą Microsoft są obsługiwane tak wydajnie, jak to możliwe.
- Aplikacje zaplecza: w niektórych przypadkach istnieją dodatkowe serwery proxy między łącznikiem a zasobami zaplecza i aplikacjami, które mogą spowalniać lub blokować połączenia. Aby rozwiązać ten problem, otwórz przeglądarkę z serwera łącznika i spróbuj uzyskać dostęp do aplikacji lub zasobu. Jeśli uruchamiasz łączniki w chmurze, ale aplikacje są lokalne, środowisko może nie być oczekiwane przez użytkowników.
- Kontrolery domeny: jeśli łączniki wykonują logowanie jednokrotne przy użyciu ograniczonego delegowania protokołu Kerberos, skontaktują się z kontrolerami domeny przed wysłaniem żądania do zaplecza. Łączniki mają pamięć podręczną biletów Protokołu Kerberos, ale w środowisku zajętym czas reakcji kontrolerów domeny może mieć wpływ na wydajność. Ten problem występuje częściej w przypadku łączników uruchamianych na platformie Azure, ale komunikują się z kontrolerami domeny, które są lokalne.
Aby uzyskać więcej informacji na temat optymalizowania sieci, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.
Przyłączanie do domeny
Łączniki mogą być uruchamiane na maszynie, która nie jest przyłączona do domeny. Jeśli jednak chcesz korzystać z logowania jednokrotnego (SSO) w aplikacjach korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA), potrzebujesz komputera przyłączonego do domeny. W takim przypadku maszyny łącznika muszą być przyłączone do domeny, która może wykonywać ograniczone delegowanie protokołu Kerberos w imieniu użytkowników opublikowanych aplikacji.
Łączniki mogą być również przyłączone do domen w lasach z częściowym zaufaniem lub do kontrolerów domeny tylko do odczytu.
Wdrożenia łączników w środowiskach ze wzmocnionymi zabezpieczeniami
Zazwyczaj wdrożenie łącznika jest proste i nie wymaga specjalnej konfiguracji.
Istnieją jednak pewne unikatowe warunki, które należy wziąć pod uwagę:
- Ruch wychodzący wymaga otwarcia określonych portów. Aby dowiedzieć się więcej, zobacz konfigurowanie łączników.
- Maszyny zgodne ze standardem FIPS mogą wymagać zmiany konfiguracji, aby umożliwić procesom łącznika generowanie i przechowywanie certyfikatu.
- Wychodzące serwery proxy przesyłania dalej mogą przerwać uwierzytelnianie certyfikatu dwukierunkowego i spowodować niepowodzenie komunikacji.
Uwierzytelnianie łącznika
Aby zapewnić bezpieczną usługę, łączniki muszą uwierzytelniać się w usłudze, a usługa musi uwierzytelniać się w kierunku łącznika. To uwierzytelnianie odbywa się przy użyciu certyfikatów klienta i serwera, gdy łączniki inicjują połączenie. W ten sposób nazwa użytkownika i hasło administratora nie są przechowywane na maszynie łącznika.
Używane certyfikaty są specyficzne dla usługi. Są one tworzone podczas początkowej rejestracji i automatycznie odnawiane co kilka miesięcy.
Po pierwszym pomyślnym odnowieniu certyfikatu usługa łącznika sieci prywatnej firmy Microsoft (usługa sieciowa) nie ma uprawnień do usunięcia starego certyfikatu z magazynu komputerów lokalnych. Jeśli certyfikat wygaśnie lub nie jest używany przez usługę, możesz go bezpiecznie usunąć.
Aby uniknąć problemów z odnawianiem certyfikatu, upewnij się, że komunikacja sieciowa z łącznika do udokumentowanych miejsc docelowych jest włączona.
Jeśli łącznik nie jest połączony z usługą przez kilka miesięcy, jego certyfikaty mogą być nieaktualne. W takim przypadku odinstaluj i ponownie zainstaluj łącznik, aby wyzwolić rejestrację. Możesz uruchomić następujące polecenia programu PowerShell:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
W przypadku instytucji rządowych użyj polecenia -EnvironmentName "AzureUSGovernment"
. Aby uzyskać więcej informacji, zobacz Instalowanie agenta dla chmury Azure Government.
Aby dowiedzieć się, jak zweryfikować certyfikat i rozwiązywać problemy, zobacz Weryfikowanie obsługi składników maszyny i zaplecza dla certyfikatu zaufania serwera proxy aplikacji.
Under the hood (Za kulisami usługi Azure RMS — działanie)
Łączniki są instalowane w systemie Windows Server, dlatego mają większość tych samych narzędzi do zarządzania, w tym dzienniki zdarzeń systemu Windows i liczniki wydajności systemu Windows.
Łączniki mają dzienniki administratora i sesji . Dziennik administratora zawiera kluczowe zdarzenia i ich błędy. Dziennik sesji zawiera wszystkie transakcje i ich szczegóły przetwarzania.
Aby wyświetlić dzienniki, otwórz Podgląd zdarzeń i przejdź do pozycji Dzienniki>aplikacji i usług Microsoft>Entra private network>Connector. Aby uwidocznić dziennik sesji , w menu Widok wybierz pozycję Pokaż dzienniki analityczne i debugowania. Dziennik sesji jest zwykle używany do rozwiązywania problemów i jest domyślnie wyłączony. Włącz go, aby rozpocząć zbieranie zdarzeń i wyłączyć je, gdy nie jest już potrzebne.
Stan usługi można sprawdzić w oknie Usługi. Łącznik składa się z dwóch usług systemu Windows: rzeczywistego łącznika i aktualizatora. Oba muszą być uruchamiane przez cały czas.
Łączniki nieaktywne
Typowym problemem jest to, że łączniki są wyświetlane jako nieaktywne w grupie łączników. Zapora blokująca wymagane porty jest częstą przyczyną nieaktywnych łączników.
Warunki używania
Korzystanie z Dostęp Prywatny Microsoft Entra i Dostęp do Internetu Microsoft Entra wersji zapoznawczej oraz funkcji podlega warunkom i warunkom korzystania z usług online w wersji zapoznawczej umów, na podstawie których zostały uzyskane usługi. Wersje zapoznawcze mogą podlegać ograniczeniom lub różnym zobowiązaniom w zakresie zabezpieczeń, zgodności i prywatności, jak wyjaśniono w postanowieniach dotyczących uniwersalnych postanowień licencyjnych dotyczących usług online oraz dodatku ochrony danych produktów i usług firmy Microsoft ("DPA") oraz wszelkich innych powiadomień udostępnianych w wersji zapoznawczej.