Udostępnij za pośrednictwem


Praca z istniejącymi lokalnymi serwerami proxy

Skonfiguruj łączniki sieci prywatnej firmy Microsoft w celu korzystania z serwerów proxy ruchu wychodzącego. W tym artykule przyjęto założenie, że środowisko sieciowe ma już serwer proxy.

Zaczynamy od przyjrzenia się tym głównym scenariuszom wdrażania:

  • Konfigurowanie łączników w celu obejścia lokalnych serwerów proxy ruchu wychodzącego.
  • Skonfiguruj łączniki do używania wychodzącego serwera proxy w celu uzyskania dostępu do serwera proxy aplikacji Firmy Microsoft Entra.
  • Konfigurowanie przy użyciu serwera proxy między łącznikiem a aplikacją zaplecza.

Aby uzyskać więcej informacji na temat sposobu działania łączników, zobacz Omówienie łączników sieci prywatnej firmy Microsoft Entra.

Pomijanie wychodzących serwerów proxy

Połączenie ory mają podstawowe składniki systemu operacyjnego, które wysyłają żądania wychodzące. Te składniki automatycznie próbują zlokalizować serwer proxy w sieci przy użyciu funkcji automatycznego odnajdywania serwera proxy sieci Web (WPAD).

Składniki systemu operacyjnego próbują zlokalizować serwer proxy, wykonując wyszukiwanie systemu nazw domen (DNS) dla programu wpad.domainsuffix. Jeśli wyszukiwanie zostanie rozpoznane w systemie DNS, żądanie HTTP zostanie następnie wykonane na adres protokołu internetowego (IP) dla .wpad.dat To żądanie staje się skryptem konfiguracji serwera proxy w twoim środowisku. Łącznik używa tego skryptu do wybrania serwera proxy ruchu wychodzącego. Jednak ruch łącznika może nadal wieść się niepowodzeniem, ponieważ na serwerze proxy są potrzebne więcej ustawień konfiguracji.

Łącznik można skonfigurować tak, aby pomijał lokalny serwer proxy, aby upewnić się, że używa bezpośredniej łączności z usługą serwera proxy aplikacji Firmy Microsoft Entra. Zalecane są połączenia bezpośrednie, ponieważ wymagają one mniejszej konfiguracji. Jednak niektóre zasady sieciowe wymagają ruchu przechodzącego przez lokalny serwer proxy.

Aby wyłączyć użycie wychodzącego serwera proxy dla łącznika, zmodyfikuj C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config plik i dodaj sekcję system.net pokazaną w przykładzie kodu:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Aby upewnić się, że usługa Połączenie or Updater pomija również serwer proxy, wprowadź podobną zmianę w MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config pliku. Ten plik znajduje się w lokalizacji C:\Program Files\Microsoft Entra private network connector Updater.

Pamiętaj, aby wykonać kopie oryginalnych plików, jeśli musisz przywrócić domyślne .config pliki.

Korzystanie z serwera proxy ruchu wychodzącego

Niektóre środowiska wymagają, aby cały ruch wychodzący przechodził przez wychodzący serwer proxy bez wyjątku. W związku z tym pomijanie serwera proxy nie jest opcją.

Ruch łącznika można skonfigurować tak, aby przechodził przez wychodzący serwer proxy, jak pokazano na poniższym diagramie:

Konfigurowanie ruchu łącznika w celu przejścia przez wychodzący serwer proxy do serwera proxy aplikacji Firmy Microsoft Entra

W wyniku posiadania tylko ruchu wychodzącego nie ma potrzeby konfigurowania dostępu przychodzącego za pośrednictwem zapór.

Uwaga

Serwer proxy aplikacji nie obsługuje uwierzytelniania dla innych serwerów proxy. Konta usług sieciowych łącznika/aktualizatora powinny być w stanie nawiązać połączenie z serwerem proxy bez konieczności uwierzytelniania.

Jeśli WPAD jest włączony w środowisku i skonfigurowany odpowiednio, łącznik automatycznie odnajduje wychodzący serwer proxy i próbuje go użyć. Można jednak jawnie skonfigurować łącznik, aby przechodził przez wychodzący serwer proxy.

W tym celu zmodyfikuj plik i dodaj sekcję C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config pokazaną system.net w przykładzie kodu. Zmień proxyserver:8080 wartość, aby odzwierciedlić nazwę lokalnego serwera proxy lub adres IP i port. Wartość musi mieć prefiks http:// , nawet jeśli używasz adresu IP.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Następnie skonfiguruj usługę Połączenie or Updater tak, aby korzystała z serwera proxy, wprowadzając podobną zmianę do C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config pliku.

Uwaga

Usługa Połączenie or ocenia domyślną konfiguracjęproxy do użycia w programie %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, jeśli ustawienie defaultProxy nie jest skonfigurowane (domyślnie) w witrynie MicrosoftEntraPrivateNetwork Połączenie orService.exe.config. Dotyczy to również usługi Połączenie or Updater (MicrosoftEntraPrivateNetwork Połączenie orUpdaterService.exe.config).

Istnieją cztery aspekty, które należy wziąć pod uwagę na serwerze proxy ruchu wychodzącego:

  • Reguły ruchu wychodzącego serwera proxy
  • Uwierzytelnianie serwera proxy
  • Porty serwera proxy
  • Inspekcja protokołu Transport Layer Security (TLS)

Reguły ruchu wychodzącego serwera proxy

Zezwól na dostęp do następujących adresów URL:

URL Port Używanie
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Komunikacja między łącznikiem a usługą w chmurze serwera proxy aplikacji
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Łącznik używa tych adresów URL do weryfikowania certyfikatów.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
443/HTTPS Łącznik używa tych adresów URL podczas procesu rejestracji.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP Łącznik używa tych adresów URL podczas procesu rejestracji.

Jeśli zapora lub serwer proxy umożliwia skonfigurowanie list dozwolonych DNS, możesz zezwolić na połączenia z usługami *.msappproxy.net i *.servicebus.windows.net.

Jeśli nie możesz zezwolić na łączność za pomocą w pełni kwalifikowanej nazwy domeny (FQDN) i zamiast tego należy określić zakresy adresów IP, użyj następujących opcji:

  • Zezwól łącznikowi na dostęp wychodzący do wszystkich miejsc docelowych.
  • Zezwól łącznikowi na dostęp wychodzący do wszystkich zakresów adresów IP centrum danych platformy Azure. Wyzwaniem przy użyciu listy zakresów adresów IP centrum danych platformy Azure jest to, że są one aktualizowane co tydzień. Należy wprowadzić proces, aby upewnić się, że reguły dostępu są odpowiednio aktualizowane. Tylko użycie podzestawu adresów IP powoduje przerwanie konfiguracji. Najnowsze zakresy adresów IP centrum danych platformy Azure są pobierane pod adresem https://download.microsoft.com. Użyj terminu wyszukiwania , Azure IP Ranges and Service Tags. Pamiętaj, aby wybrać odpowiednią chmurę. Na przykład zakresy adresów IP chmury publicznej można znaleźć, wyszukując ciąg Azure IP Ranges and Service Tags – Public Cloud. Chmura dla instytucji rządowych USA można znaleźć, wyszukując ciąg Azure IP Ranges and Service Tags – US Government Cloud.

Uwierzytelnianie serwera proxy

Uwierzytelnianie serwera proxy nie jest obecnie obsługiwane. Naszym bieżącym zaleceniem jest zezwolenie łącznikowi na anonimowy dostęp do miejsc docelowych w Internecie.

Porty serwera proxy

Łącznik wykonuje wychodzące połączenia oparte na protokole TLS przy użyciu metody CONNECT. Ta metoda zasadniczo konfiguruje tunel przez wychodzący serwer proxy. Skonfiguruj serwer proxy, aby zezwolić na tunelowanie do portów 443 i 80.

Uwaga

Gdy usługa Service Bus działa za pośrednictwem protokołu HTTPS, używa portu 443. Jednak domyślnie usługa Service Bus próbuje kierować połączenia protokołu TCP (Transmission Control Protocol) i wraca do protokołu HTTPS tylko wtedy, gdy bezpośrednia łączność nie powiedzie się.

Inspekcja protokołu TLS

Nie używaj inspekcji protokołu TLS dla ruchu łącznika, ponieważ powoduje problemy z ruchem łącznika. Łącznik używa certyfikatu do uwierzytelniania w usłudze serwera proxy aplikacji i może zostać utracony podczas inspekcji protokołu TLS.

Konfigurowanie przy użyciu serwera proxy między łącznikiem a aplikacją zaplecza

Używanie serwera proxy do przekazywania dla komunikacji z aplikacją zaplecza jest specjalnym wymaganiem w niektórych środowiskach. Aby włączyć serwer proxy przekazywania dalej, wykonaj następujące kroki:

Krok 1. Dodawanie wymaganej wartości rejestru do serwera

  1. Aby włączyć korzystanie z domyślnego serwera proxy, dodaj wartość rejestru (DWORD)UseDefaultProxyForBackendRequests = 1 do klucza rejestru konfiguracji łącznika znajdującego się w HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connectorlokalizacji .

Krok 2. Ręczne konfigurowanie serwera proxy przy użyciu polecenia netsh

  1. Włącz zasady Make proxy settings per-machinegrupy . Zasady grupy znajdują się w: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. Zasady grupy należy ustawić zamiast ustawiać zasady dla poszczególnych użytkowników.
  2. Uruchom polecenie gpupdate /force na serwerze. Alternatywnie, aby upewnić się, że zasady grupy zostały zaktualizowane, uruchom ponownie serwer.
  3. Uruchom wiersz polecenia z podwyższonym poziomem uprawnień z uprawnieniami administratora i wprowadź polecenie control inetcpl.cpl.
  4. Skonfiguruj wymagane ustawienia serwera proxy.

Ustawienia sprawiają, że łącznik używa tego samego serwera proxy przekazywania dla komunikacji z platformą Azure i do aplikacji zaplecza. Zmodyfikuj plik MicrosoftEntraPrivateNetworkConnectorService.exe.config , aby zmienić serwer proxy przesyłania dalej. Konfiguracja serwera proxy przekazywania jest opisana w sekcjach Pomijanie wychodzących serwerów proxy i Używanie serwera proxy ruchu wychodzącego.

Uwaga

Istnieją różne sposoby konfigurowania internetowego serwera proxy w systemie operacyjnym. Ustawienia serwera proxy skonfigurowane za pomocą polecenia NETSH WINHTTP (uruchom NETSH WINHTTP SHOW PROXY , aby zweryfikować) zastępują ustawienia serwera proxy skonfigurowane w kroku 2.

Usługa aktualizatora łącznika używa serwera proxy maszyny. Ustawienie znajduje się w MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config pliku .

Rozwiązywanie problemów z serwerem proxy łącznika i problemów z łącznością z usługą

Teraz powinien zostać wyświetlony cały ruch przepływujący przez serwer proxy. Jeśli masz problemy, poniższe informacje dotyczące rozwiązywania problemów powinny pomóc.

Najlepszym sposobem identyfikowania i rozwiązywania problemów z łącznością łącznika jest przechwytywanie sieci podczas uruchamiania usługi łącznika. Poniżej przedstawiono kilka szybkich wskazówek dotyczących przechwytywania i filtrowania śladów sieci.

Możesz użyć wybranego narzędzia do monitorowania. Na potrzeby tego artykułu użyliśmy narzędzia Microsoft Message Analyzer.

Uwaga

Program Microsoft Message Analyzer (MMA) został wycofany , a jego pakiety pobierania zostały usunięte z witryn microsoft.com 25 listopada 2019 r. Obecnie nie ma zamiennika firmy Microsoft dla programu Microsoft Message Analyzer w programowania. Aby uzyskać podobne funkcje, rozważ użycie narzędzia analizatora protokołów sieciowych innych firm, takiego jak Wireshark.

Poniższe przykłady są specyficzne dla analizatora komunikatów, ale zasady można zastosować do dowolnego narzędzia do analizy.

Przechwytywanie ruchu łącznika

W przypadku początkowego rozwiązywania problemów wykonaj następujące kroki:

  1. Z services.mscprogramu zatrzymaj usługę łącznika sieci prywatnej firmy Microsoft Entra.

    Usługa łącznika sieci prywatnej firmy Microsoft Entra w pliku services.msc

  2. Uruchom narzędzie Message Analyzer jako administrator.

  3. Wybierz pozycję Rozpocznij śledzenie lokalne.

  4. Uruchom usługę łącznika sieci prywatnej firmy Microsoft Entra.

  5. Zatrzymaj przechwytywanie sieci.

    Zrzut ekranu przedstawiający przycisk Zatrzymaj przechwytywanie sieci

Sprawdzanie, czy ruch łącznika pomija wychodzące serwery proxy

Jeśli oczekujesz, że łącznik będzie nawiązać bezpośrednie połączenia z usługami serwera proxy aplikacji, SynRetransmit odpowiedzi na porcie 443 wskazują, że masz problem z siecią lub zaporą.

Użyj filtru Analizatora komunikatów, aby zidentyfikować nieudane próby nawiązania połączenia protokołu TRANSMISSION Control Protocol (TCP). Wprowadź property.TCPSynRetransmit w polu filtru i wybierz pozycję Zastosuj.

Pakiet synchronizacji (SYN) jest pierwszym pakietem wysyłanym w celu nawiązania połączenia TCP. Jeśli ten pakiet nie zwróci odpowiedzi, syn zostanie ponownie odcięty. Możesz użyć filtru, aby wyświetlić wszystkie ponownie przetransmitowane pakiety SYN. Następnie możesz sprawdzić, czy te pakiety SYN odpowiadają dowolnemu ruchowi związanemu z łącznikiem.

Sprawdzanie, czy ruch łącznika używa wychodzących serwerów proxy

Jeśli skonfigurowano ruch łącznika sieci prywatnej do przechodzenia przez serwery proxy, poszukaj nieudanych https połączeń z serwerem proxy.

Użyj filtru Analizator komunikatów, aby zidentyfikować nieudane próby nawiązania połączenia HTTPS z serwerem proxy. Wprowadź (https.Request or https.Response) and tcp.port==8080 wartość w filtrze Analizator komunikatów, zastępując ciąg 8080 portem usługi proxy. Wybierz pozycję Zastosuj , aby wyświetlić wyniki filtru.

Powyższy filtr pokazuje tylko żądania protokołu HTTPs i odpowiedzi na/z portu serwera proxy. Szukasz żądań CONNECT, które pokazują komunikację z serwerem proxy. Po pomyślnym zakończeniu otrzymasz odpowiedź HTTP OK (200).

Jeśli widzisz inne kody odpowiedzi, takie jak 407 lub 502, oznacza to, że serwer proxy wymaga uwierzytelniania lub nie zezwala na ruch z innego powodu. W tym momencie skontaktujesz się z zespołem pomocy technicznej serwera proxy.

Następne kroki