Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra özel ağ bağlayıcılarını giden proxy sunucuları kullanacak şekilde yapılandırın. Makale, ağ ortamının zaten bir ara sunucuya sahip olduğunu varsayar.
İlk olarak şu ana dağıtım senaryolarına göz atacağız:
- Şirket içi giden proxy'lerinizi atlamak için bağlayıcıları yapılandırın.
- Bağlayıcıları, Microsoft Entra uygulama ara sunucusuna erişmek için giden ara sunucu kullanacak şekilde yapılandırın.
- Bağlayıcı ve arka uç uygulaması arasında ara sunucu kullanarak yapılandırın.
Bağlayıcıların nasıl çalıştığı hakkında daha fazla bilgi için bkz. Microsoft Entra özel ağ bağlayıcılarını anlama.
Dışa giden proxy'leri atla
Bağlayıcılar, giden isteklerde bulunan temel işletim sistemi bileşenlerine sahiptir. Bu bileşenler, Web Ara Sunucusu Otomatik Bulma (WPAD) kullanarak ağdaki bir ara sunucuyu otomatik olarak bulmaya çalışır.
İşletim sistemi bileşenleri, wpad.domainsuffixiçin bir Etki Alanı Adı Sistemi (DNS) araması gerçekleştirerek bir ara sunucu bulmaya çalışır. Arama DNS'de çözümleniyorsa, wpad.datiçin İnternet Protokolü (IP) adresine bir HTTP isteği gönderilir. Bu istek ortamınızdaki proxy yapılandırma betiği olur. Bağlayıcı, çıkış proxy sunucusu seçmek için bu komut dosyasını kullanır. Ancak, proxy'de daha fazla yapılandırma ayarı gerektiğinden bağlayıcı trafiği başarısız olabilir.
Bağlayıcıyı, Microsoft Entra uygulama ara sunucusu hizmetine doğrudan bağlantı kullandığından emin olmak için şirket içi proxy'nizi atlayacak şekilde yapılandırabilirsiniz. Doğrudan bağlantılar daha az yapılandırma gerektirdiğinden önerilir. Ancak, bazı ağ ilkeleri yerel ara sunucu üzerinden giden trafiği gerektirir.
Bağlayıcı için giden ara sunucu kullanımını devre dışı bırakmak için C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config dosyasını düzenleyin ve kod örneğinde gösterilen system.net bölümünü ekleyin:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Bağlayıcı Güncelleştirici hizmetinin proxy'yi de atladığından emin olmak için MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config dosyasında benzer bir değişiklik yapın. Bu dosya C:\Program Files\Microsoft Entra private network connector Updaterkonumunda bulunur.
Varsayılan .config dosyalarına geri dönmeniz gerekirse, özgün dosyaların kopyalarını yaptığınızdan emin olun.
Giden ara sunucuyu kullan
Bazı ortamlar, özel durum olmadan tüm giden trafiğin giden ara sunucu üzerinden gitmesini gerektirir. Sonuç olarak, ara sunucuyu atlamak bir seçenek değildir.
Bağlayıcı trafiğini, aşağıdaki diyagramda gösterildiği gibi giden ara sunucu üzerinden geçecek şekilde yapılandırabilirsiniz:
Yalnızca giden trafiğe sahip olmanın bir sonucu olarak, güvenlik duvarlarınız üzerinden gelen erişimi yapılandırmanıza gerek yoktur.
Not
Uygulama proxy'si diğer proxy'ler için kimlik doğrulamasını desteklemez. Bağlayıcı/güncelleştirici ağ hizmeti hesapları, kimlik doğrulaması için zorlanmadan ara sunucuya bağlanabilmelidir.
1. Adım: Bağlayıcıyı ve ilgili hizmetleri giden ara sunucu üzerinden geçecek şekilde yapılandırma
WPAD ortamda etkinleştirilir ve uygun şekilde yapılandırılırsa bağlayıcı otomatik olarak giden ara sunucuyu bulur ve kullanmayı dener. Ancak bağlayıcıyı giden ara sunucu üzerinden geçecek şekilde açıkça yapılandırabilirsiniz.
Bunu yapmak için C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config dosyasını düzenleyin ve kod örneğinde gösterilen system.net bölümünü ekleyin.
proxyserver:8080 yerel proxy sunucunuzun adını veya IP adresini ve bağlantı noktasını yansıtacak şekilde değiştirin. IP adresi kullanıyor olsanız bile değerin öneki http:// olmalıdır.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Ardından, C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config dosyasına benzer bir değişiklik yaparak Bağlayıcı Güncelleştirici hizmetini ara sunucuyu kullanacak şekilde yapılandırın.
Not
defaultProxy MicrosoftEntraPrivateNetworkConnectorService.exe.config'da yapılandırılmamışsa Bağlayıcı hizmeti %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config'da kullanım için varsayılan Proxy yapılandırmasını değerlendirir. Aynı durum Bağlayıcı Güncelleştirici hizmeti (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config) için de geçerlidir.
2. Adım: Ara sunucuyu bağlayıcıdan ve ilgili hizmetlerden gelen trafiğin akışına izin verecek şekilde yapılandırma
Giden proxy'de dikkate alınması gereken dört özellik vardır:
- Ara sunucu giden kuralları
- Proxy kimlik doğrulaması
- Proxy bağlantı noktaları
- Aktarım Katmanı Güvenliği (TLS) denetimi
Ara sunucu giden kuralları
Aşağıdaki URL'lere erişime izin verin:
| URL | Liman | Kullanım |
|---|---|---|
| *.msappproxy.net *.servicebus.windows.net |
443/HTTPS adresi | Bağlayıcı ile uygulama ara sunucusu bulut hizmeti arasındaki iletişim |
| crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Bağlayıcı sertifikaları doğrulamak için bu URL'leri kullanır. |
| login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS adresi | Bağlayıcı, kayıt işlemi sırasında bu URL'leri kullanır. |
| ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Bağlayıcı, kayıt işlemi sırasında bu URL'leri kullanır. |
Güvenlik duvarınız veya ara sunucunuz DNS izin verilenler listelerini yapılandırmanıza izin veriyorsa, *.msappproxy.net ve *.servicebus.windows.netbağlantılarına izin vekleyebilirsiniz.
Tam Etki Alanı Adı (FQDN) ile bağlantıya izin veremiyorsanız ve bunun yerine IP aralıkları belirtmeniz gerekiyorsa şu seçenekleri kullanın:
- Bağlayıcının tüm hedeflere giden erişimine izin verin.
- Bağlayıcının tüm Azure veri merkezi IP aralıklarına giden erişimine izin verin. Azure veri merkezi IP aralıklarının listesini kullanmanın zorluğu haftalık olarak güncelleştirilmeleridir. Erişim kurallarınızın uygun şekilde güncelleştirildiğinden emin olmak için bir işlem gerçekleştirmeniz gerekir. Yalnızca IP adreslerinin bir alt kümesinin kullanılması yapılandırmanızın bozulmasına neden olur. En son Azure Veri Merkezi IP aralıkları https://download.microsoft.comkonumunda indirilir.
Azure IP Ranges and Service Tagsarama terimini kullanın. İlgili bulutu seçtiğinizden emin olun. Örneğin, genel bulut IP aralıklarıAzure IP Ranges and Service Tags – Public Cloudaraması yaparak bulunabilir. US Government Cloud,Azure IP Ranges and Service Tags – US Government Cloudaranarak bulunabilir.
Proxy kimlik doğrulaması
Proxy kimlik doğrulaması şu anda desteklenmiyor. Geçerli önerimiz, bağlayıcının İnternet hedeflerine anonim erişimine izin vermektir.
Proxy bağlantı noktaları
Bağlayıcı, CONNECT yöntemini kullanarak giden TLS tabanlı bağlantılar yapar. Bu yöntem temelde giden ara sunucu üzerinden bir tünel ayarlar. Proxy sunucusunu 443 ve 80 bağlantı noktalarına tünel oluşturma izni verecek şekilde yapılandırın.
Not
Service Bus HTTPS üzerinden çalıştığında 443 numaralı bağlantı noktasını kullanır. Ancak, varsayılan olarak Service Bus doğrudan İletim Denetimi Protokolü (TCP) bağlantılarını dener ve yalnızca doğrudan bağlantı başarısız olursa HTTPS'ye geri döner.
TLS denetimi
Bağlayıcı trafiğinde sorunlara neden olduğundan, bağlayıcı trafiği için TLS incelemesini kullanmayın. Bağlayıcı, uygulama ara sunucusu hizmetinde kimlik doğrulaması yapmak için bir sertifika kullanır ve bu sertifika TLS denetimi sırasında kaybolabilir.
Bağlayıcı ve arka uç uygulaması arasında ara sunucu kullanarak yapılandırma
Arka uç uygulamasına yönelik iletişim için ileriye doğru ara sunucu kullanmak bazı ortamlarda özel bir gereksinimdir. İleriye doğru ara sunucuyu etkinleştirmek için şu adımları izleyin:
1. Adım: Gerekli kayıt defteri değerini sunucuya ekleme
- Varsayılan proxy'nin kullanımını etkinleştirmek için, içinde bulunan bağlayıcı yapılandırma kayıt defteri anahtarına
UseDefaultProxyForBackendRequests = 1HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connectorkayıt defteri değerini ekleyin.
2. Adım: Netsh komutunu kullanarak proxy sunucusunu el ile yapılandırma
-
Make proxy settings per-machinegrup ilkesini etkinleştirin. Grup ilkesi şu şekilde bulunur:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. Grup ilkesi, kullanıcı başına politika ayarlamak yerine ayarlanmalıdır. - sunucuda
gpupdate /forceçalıştırın. Alternatif olarak, grup ilkesinin güncelleştirildiğinden emin olmak için sunucuyu yeniden başlatın. - Yönetici haklarıyla yükseltilmiş bir komut istemi başlatın ve
control inetcpl.cplgirin. - Gerekli proxy ayarlarını yapılandırın.
Ayarlar, bağlayıcının Azure'a ve arka uç uygulamasına yönelik iletişim için aynı iletme ara sunucusunu kullanmasını sağlar. İleriye doğru ara sunucuyu değiştirmek için dosya MicrosoftEntraPrivateNetworkConnectorService.exe.config değiştirin. İleri ara sunucu yapılandırması, Giden proxy'leri atla ve Giden proxy sunucusunukullanma bölümlerinde açıklanmıştır.
Not
İşletim sisteminde internet proxy'sini yapılandırmanın çeşitli yolları vardır.
NETSH WINHTTP aracılığıyla yapılandırılan ara sunucu ayarları (doğrulamak için NETSH WINHTTP SHOW PROXY çalıştırın) 2. Adımda yapılandırdığınız proxy ayarlarını geçersiz kılar.
Bağlayıcı güncelleştirici hizmeti makine ara sunucusunu kullanır. Ayar MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config dosyasında bulunur.
Bağlayıcı ara sunucusu sorunlarını ve hizmet bağlantısı sorunlarını giderme
Şimdi ara sunucu üzerinden akan tüm trafiği görmeniz gerekir. Sorun yaşıyorsanız aşağıdaki sorun giderme bilgileri yardımcı olmalıdır.
Bağlayıcı bağlantı sorunlarını tanımlamanın ve gidermenin en iyi yolu, bağlayıcı hizmetini başlatırken ağ yakalaması yapmaktır. Ağ izlemelerini yakalama ve filtreleme hakkında bazı hızlı ipuçları aşağıda verilmiştir.
İstediğiniz izleme aracını kullanabilirsiniz. Bu makalenin amaçları doğrultusunda Microsoft Message Analyzer'ı kullandık.
Not
Microsoft Message Analyzer (MMA) kullanımdan kaldırıldı ve indirme paketleri 25 Kasım 2019'da microsoft.com sitelerden kaldırıldı. Microsoft İleti Çözümleyicisi için şu anda geliştirilmekte olan bir Microsoft yedek programı yoktur. Benzer işlevler için Wireshark gibi Microsoft dışı bir iş ortağı ağ protokolü çözümleyici aracı kullanmayı göz önünde bulundurun.
Aşağıdaki örnekler İleti Çözümleyicisi'ne özeldir, ancak ilkeler herhangi bir analiz aracına uygulanabilir.
Bağlayıcı trafiğini yakalayın
İlk sorun giderme için aşağıdaki adımları uygulayın:
services.msc'den Microsoft Entra özel ağ bağlayıcı hizmetini durdurun.
İleti Çözümleyicisi yönetici olarak çalıştırın.
Yerel izlemebaşlat'ı seçin.
Microsoft Entra özel ağ bağlayıcısı hizmetini başlatın.
Ağ yakalamayı durdurun.
Bağlayıcı trafiğinin giden proxy'leri atlayıp atlamadiğini denetleyin
Bağlayıcının uygulama ara sunucusu hizmetlerine doğrudan bağlantı oluşturmasını bekliyorsanız, 443 numaralı bağlantı noktasındaki SynRetransmit yanıtları bir ağ veya güvenlik duvarı sorununuz olduğunun göstergesidir.
Başarısız İletim Denetimi Protokolü (TCP) bağlantı girişimlerini tanımlamak için İleti Çözümleyicisi filtresini kullanın. Filtre kutusuna property.TCPSynRetransmit girin ve Uygula seçin.
Eşitleme (SYN) paketi, TCP bağlantısı kurmak için gönderilen ilk pakettir. Bu paket bir yanıt döndürmezse SYN yeniden denenir. Yeniden iletilen SYN paketlerini görmek için filtreyi kullanabilirsiniz. Ardından, bu SYN paketlerinin bağlayıcıyla ilgili herhangi bir trafiğe karşılık olup olmadığını de kontrol edebilirsiniz.
Bağlantı trafiğinin giden ara sunucuları kullanıp kullanmadığını kontrol edin.
Özel ağ bağlayıcısı trafiğinizi ara sunuculardan geçecek şekilde yapılandırdıysanız, proxy'nize yönelik başarısız https bağlantıları arayın.
Proxy'nize başarısız OLAN HTTPS bağlantısı girişimlerini belirlemek için İleti Çözümleyicisi filtresini kullanın. Mesaj Analizörü filtresine (https.Request or https.Response) and tcp.port==8080 girin ve 8080'i proxy hizmeti portunuzla değiştirin. Filtre sonuçlarını görmek için Uygula'yı seçin.
Yukarıdaki filtre yalnızca proxy bağlantı noktasına/bağlantı noktasından gelen HTTP isteklerini ve yanıtlarını gösterir. Proxy sunucusuyla iletişimi gösteren CONNECT isteklerini arıyorsunuz. Başarılı olduğunda bir HTTP Tamam (200) yanıtı alırsınız.
407 veya 502 gibi başka yanıt kodları görürseniz bu, proxy'nin kimlik doğrulaması gerektirdiği veya başka bir nedenle trafiğe izin vermediği anlamına gelir. Bu noktada ara sunucu destek ekibinizle etkileşime geçebilirsiniz.