Microsoft Entra Private Access 提供了一种快速而简单的方法来替换旧版 VPN。 它提供对内部资源的精细和安全访问,而无需公开完整的网络。 DNS 通过为关键内部资源启用名称解析来扮演重要角色,远程用户无需知道内部 DNS 系统的配置。 快速访问 Microsoft Entra 私有 DNS 提供了简单的设置,利用连接器的本地解析器来响应对内部资源的 DNS 查询。
专用 DNS 服务允许将组织的域后缀添加到快速访问配置。 这会自动更新客户端的流量转发配置文件。 配置后,所有以客户端设备匹配后缀结尾的完全限定域名(FQDN)的 DNS 查询将发送到 GSA 边缘的 DNS 代理进行解析。 如果缓存的结果可用,则 DNS 响应将返回到客户端。 否则,DNS 代理会将请求转发到连接器,该连接器将 DNS 查询发送到其 DNS 服务器进行解析。 连接器随后将响应传递回到边缘设备,边缘设备再将查询反馈到客户端。 然后,GSA 客户端分配合成 IP 地址,并将其返回给应用程序。 合成 IP 用于将应用程序流量引导到 GSA 边缘。
下图显示了 Windows 客户端的高级专用 DNS 流。
配置
管理员启用专用 DNS,并从快速访问添加 DNS 后缀。
在客户端上,为后缀生成名称解析策略表 (NRPT) 中的条目,以便通过 GSA 客户端解析。
客户端流量转发配置文件已更新,以将专用 DNS 查询发送到 GSA 边缘。
数据路径
- 用户请求对
app.contoso.com进行 DNS 查询。 如果未在本地缓存,DNS 查询将发送到 GSA 边缘的 DNS 代理。 - DNS 代理会从其缓存响应,或将查询转发到快速访问中定义的连接器组。
1.连接器服务器将 DNS 查询发送到在作系统级别配置的 DNS 服务器。 - DNS代理通过内部 IP 反馈给客户端。 客户端存储内部 IP 地址,并向应用程序返回综合 IP。
在“快速访问”中配置 DNS 后缀时,所有以匹配后缀结尾的完全限定域名(FQDN)的 DNS 查询都将由专用 DNS 解析,包括用于定义企业应用的那些。
单标签域 (SLD) 解析
专用 DNS 为不带域后缀的 SLD 提供名称解析。 创建一个 NRPT 条目,用于在配置专用 DNS 时将 GSA 后缀 globalsecureaccess.local. 发送到 DNS 代理。 客户端计算机将 <appid>.globalsecureaccess.local. 后缀追加到 SLD,并将 DNS 请求发送到 DNS 代理。 在将 DNS 查询发送到连接器之前,DNS 代理会去除搜索后缀。 然后,连接器使用其本地搜索后缀解析 SLD 查询。 资源的已解析 IP 地址将返回到 DNS 代理,并传递给客户端。
注释
对于某些应用程序(如 Kerberos 身份验证),必须具有正确的 SPN。 GSA 合成后缀可能会中断 Kerberos 流,因此建议对需要 Kerberos 身份验证的应用程序使用 FQDN。
相关内容
若要了解如何使用快速访问启用专用 DNS,请参阅 如何配置快速访问。
若要了解专用 DNS 如何与 SSO 配合使用,请参阅 使用 Kerberos 通过 Microsoft Entra Private Access 对资源使用单一登录 (SSO)。
若要了解有关 DNS 故障排除的提示,请参阅 排查应用程序访问问题 - 全局安全访问。
若要了解主机名获取高级诊断,请参阅 全局安全访问客户端故障排除:诊断 - 全局安全访问。