了解 Microsoft Entra 應用程式 Proxy 連接器

連線 ors 是讓 Microsoft Entra 應用程式 Proxy 能夠運作的專案。 它們很簡單,易於部署和維護,而且超級強大。 本文討論什麼是連接器、其運作方式,以及如何優化部署的一些建議。

什麼是應用程式 Proxy 連接器?

連線 器是位於內部部署的輕量型代理程式,可協助應用程式 Proxy 服務的輸出連線。 連線 ors 必須安裝在可存取後端應用程式的 Windows Server 上。 您可以將連接器組織成連接器群組,每個群組處理特定應用程式的流量。 如需應用程式 Proxy 和應用程式 Proxy 架構圖表表示的詳細資訊,請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈遠端使用者的內部部署應用程式。

需求和部署

若要成功部署應用程式 Proxy,您至少需要一個連接器,但建議您使用兩個以上的連接器來提升復原能力。 在執行 Windows Server 2012 R2 或更新版本的電腦上安裝連接器。 連接器必須與應用程式 Proxy 服務和您發佈的內部部署應用程式通訊。

Windows Server

您需要執行 Windows Server 2012 R2 或更新版本的伺服器,才能安裝應用程式 Proxy 連接器。 伺服器必須連線到 Azure 中的應用程式 Proxy 服務,以及您要發佈的內部部署應用程式。

重要

1.5.3437.0+ 版需要 .NET 4.7.1 版或更新版本,以進行安裝或升級。

安裝應用程式 Proxy 連接器之前,伺服器必須啟用傳輸層安全性 (TLS) 1.2。 若要在伺服器上啟用 TLS 1.2:

  1. 設定下列登入機碼:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0] "SchUseStrongCrypto"=dword:00000001
    

    regedit您可以使用 來設定這些值的檔案如下:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0]
    "SchUseStrongCrypto"=dword:00000001
    
  2. 重新啟動伺服器

如需連接器伺服器網路需求的詳細資訊,請參閱 開始使用應用程式 Proxy 並安裝連接器

維護

連接器和服務會負責所有高可用性工作。 您可以動態新增或移除它們。 新的要求會路由傳送至其中一個可用的連接器。 如果連接器暫時無法使用,則不會回應此流量。

連接器是無狀態的,而且計算機上沒有設定數據。 他們儲存的唯一數據是用來連接服務及其驗證憑證的設定。 當他們連線到服務時,他們會提取所有必要的組態數據,並每隔幾分鐘重新整理一次。

連線 器也會輪詢伺服器,以瞭解是否有較新版本的連接器。 如果找到其中一個,連接器會自行更新。

您可以使用事件記錄檔和性能計數器,從其執行的電腦監視連接器。 如需詳細資訊,請參閱 監視及檢閱內部部署 Microsoft Entra 的記錄。

您也可以從 Microsoft Entra 系統管理中心的應用程式 Proxy 頁面檢視其狀態:

Example: Microsoft Entra application proxy connectors

您不需要手動刪除未使用的連接器。 當連接器執行時,它會在連接到服務時保持作用中。 未使用的連接器會標記為 非使用 中,並在閑置 10 天后移除。 不過,如果您想要卸載連接器,請從伺服器卸載 連線 or 服務和 Updater 服務。 重新啟動電腦以完全移除服務。

自動更新

Microsoft Entra ID 會為您部署的所有連接器提供自動更新。 只要應用程式 Proxy 連接器 Updater 服務正在執行,您的連接器就會 使用最新的主要連接器版本 自動更新。 如果您沒有在伺服器上看到 連線 或 Updater 服務,您必須重新安裝連接器以取得任何更新。

如果您不想等待自動更新來連接器,您可以手動升級。 移至 連接器所在伺服器上的連接器下載頁面 ,然後選取 [ 下載]。 此程式會啟動本機連接器的升級。

對於具有多個連接器的租用戶,自動更新會在每個群組中一次以一個連接器為目標,以防止環境中的停機時間。

當您的連接器更新時,如果:

  • 您只有一個連接器。 建議使用第二個連接器並 建立連接器群組 ,以避免停機並提供更高的可用性。
  • 更新開始時,連接器位於交易中間。 雖然初始交易遺失,但瀏覽器應該會自動重試作業,或者您可以重新整理頁面。 當要求重新傳送時,流量會路由傳送至備份連接器。

若要查看先前發行版本的相關信息及其包含哪些變更,請參閱 應用程式 Proxy- 版本發行歷程記錄

建立連接器群組

連線 or 群組可讓您指派特定連接器來提供特定應用程式。 您可以將許多連接器分組在一起,然後將每個應用程式指派給群組。

連線 or 群組可讓您更輕鬆地管理大型部署。 它們也會改善裝載於不同區域之應用程式的租用戶延遲,因為您可以建立以位置為基礎的連接器群組,只提供本機應用程式。

若要深入瞭解連接器群組,請參閱 使用連接器群組在個別的網路和位置上發佈應用程式。

產能規劃

規劃連接器之間的足夠容量,以處理預期的流量。 連接器群組中至少有兩個連接器提供高可用性和規模。 但三個連接器是最佳的。

數據表會針對不同的電腦規格提供磁碟區和預期的延遲。 數據是以預期的每秒交易 (TPS) 為基礎,而不是使用者,因為使用模式會有所不同,且無法用來預測負載。 根據回應的大小和後端應用程式回應時間,有一些差異 - 較大的回應大小和較慢的回應時間會導致較低的最大 TPS。 更多機器會分散負載,並提供充足的緩衝區。 額外的容量可確保高可用性和復原能力。

核心 RAM 預期的延遲 (MS)-P99 最大 TPS
2 8 325 586
4 16 320 1150
8 32 270 1190
16 64 245 1200*

* 電腦使用自定義設定來引發一些超出 .NET 建議設定的預設連線限制。 建議您先使用預設設定執行測試,再連絡支持人員,以為您的租用戶變更此限制。

注意

在 4、8 和 16 核心機器之間的 TPS 上限沒有太大差異。 主要差異在於預期的延遲。

數據表著重於連接器的預期效能,其依據所安裝的機器類型。 這與應用程式 Proxy 服務的節流限制不同,請參閱 服務限制和限制

安全性和網路功能

連線 ors 可以在網路上的任何位置安裝,以允許它們將要求傳送至應用程式 Proxy 服務。 重要的是,執行連接器的計算機也可以存取您的應用程式。 您可以在公司網路內或在雲端執行的虛擬機上安裝連接器。 連線 ors 可以在周邊網路內執行,也稱為非軍事區域 (DMZ),但並非必要,因為所有流量都是輸出,因此您的網路會保持安全。

連線 ors 只會傳送輸出要求。 輸出流量會傳送至應用程式 Proxy 服務和已發佈的應用程式。 您不需要開啟輸入埠,因為一旦建立會話之後,流量會以兩種方式流動。 您也不需要透過防火牆設定輸入存取。

如需設定輸出防火牆規則的詳細資訊,請參閱 使用現有的內部部署 Proxy 伺服器

效能和可擴縮性

應用程式 Proxy 服務的縮放比例是透明的,但調整是連接器的一個因素。 您需要有足夠的連接器來處理尖峰流量。 連線 器是無狀態的,而且使用者或會話的數目不會影響它們。 相反地,他們會回應要求數目及其承載大小。 使用標準 Web 流量,平均電腦每秒可以處理 2,000 個要求。 特定容量取決於確切的計算機特性。

CPU 和網路定義連接器效能。 TLS 加密和解密需要 CPU 效能,而網路功能對於快速連線到應用程式和在線服務很重要。

相較之下,連接器的記憶體不足。 在線服務負責處理大部分的處理,以及所有未經驗證的流量。 雲端中可以完成的所有工作都是在雲端中完成的。

當連接器或計算機無法使用時,流量會移至群組中的另一個連接器。 連接器群組中的多個連接器提供復原能力。

影響效能的另一個因素是連接器之間的網路品質,包括:

  • 在線服務:Azure 中應用程式 Proxy 服務的緩慢或高延遲聯機會影響連接器效能。 為了獲得最佳效能,請使用 Express Route 將組織連線到 Azure。 否則,請讓您的網路小組確保盡可能有效率地處理與 Azure 的連線。
  • 後端應用程式:在某些情況下,連接器與後端應用程式之間有額外的 Proxy,可能會使連線變慢或防止連線。 若要針對此案例進行疑難解答,請從連接器伺服器開啟瀏覽器,並嘗試存取應用程式。 如果您在 Azure 中執行連接器,但應用程式是內部部署,則體驗可能不是您的用戶預期。
  • 域控制器:如果連接器使用 Kerberos 限制委派執行單一登錄 (SSO),他們會先連絡域控制器,再將要求傳送至後端。 連接器有 Kerberos 票證的快取,但在忙碌的環境中,域控制器的回應性可能會影響效能。 此問題較常見於在 Azure 中執行的連接器,但與內部部署的域控制器通訊。

如需優化網路的詳細資訊,請參閱 使用 Microsoft Entra 應用程式 Proxy 時的網路拓撲考慮。

加入網域

連線 ors 可以在未加入網域的計算機上執行。 不過,如果您想要使用整合式 Windows 驗證 (IWA) 的應用程式使用單一登錄 (SSO),則需要已加入網域的電腦。 在此情況下,連接器機器必須加入網域,才能代表已發佈應用程式的使用者執行 Kerberos 限制委派。

連線 ors 也可以加入樹系中具有部分信任或只讀域控制器的網域。

連線 或強化環境上的部署

連接器部署通常很簡單,而且不需要特殊設定。

不過,有一些應該考慮的獨特條件:

  • 輸出流量需要開啟特定的埠。 若要深入瞭解,請參閱 教學課程:在 Microsoft Entra ID 中新增內部部署應用程式,以透過應用程式 Proxy 進行遠端訪問。
  • 符合 FIPS 規範的電腦可能需要進行設定變更,以允許連接器程式產生及儲存憑證。
  • 輸出轉寄 Proxy 可能會中斷雙向憑證驗證,並導致通訊失敗。

連線 or 驗證

若要提供安全的服務,連接器必須向服務進行驗證,而服務必須向連接器進行驗證。 當連接器起始連線時,此驗證會使用用戶端和伺服器憑證來完成。 如此一來,系統管理員的使用者名稱和密碼就不會儲存在連接器計算機上。

所使用的憑證是應用程式 Proxy 服務特有的憑證。 它們會在初始註冊期間建立,並每隔幾個月自動更新一次。

第一次成功更新憑證之後,Microsoft Entra 應用程式 Proxy 連接器服務 (Network Service) 沒有從本機電腦存放區移除舊憑證的許可權。 如果憑證過期或服務未使用,您可以安全地將其刪除。

若要避免憑證更新的問題,請確定已啟用從連接器到 記載目的地 的網路通訊。

如果連接器幾個月未連線到服務,其憑證可能會過期。 在此情況下,請卸載並重新安裝連接器以觸發註冊。 您可以執行下列 PowerShell 命令:

Import-module AppProxyPSModule
Register-AppProxyConnector -EnvironmentName "AzureCloud"

針對政府,請使用 -EnvironmentName "AzureUSGovernment"。 如需詳細資訊,請參閱 安裝適用於 Azure Government 雲端的代理程式。

若要瞭解如何驗證憑證並針對問題進行疑難解答,請參閱 驗證應用程式 Proxy 信任憑證的計算機和後端元件支援。

在頭罩下

連線 器是以 Windows Server Web 應用程式 Proxy 為基礎,因此它們擁有大部分相同的管理工具,包括 Windows 事件記錄檔和 Windows 性能計數器。

Manage event logs with the Event Viewer

Add counters to the connector with the Performance Monitor

連接器同時具有 管理員工作階段記錄。 管理員 記錄檔包含重要事件及其錯誤。 會話記錄包含所有交易及其處理詳細數據。

若要查看記錄,請開啟 [事件檢視器],然後移至 [應用程式和服務記錄>][Microsoft>AadApplicationProxy> 連線 or]。 若要讓會話記錄顯示,請在 [檢視] 功能表上,選取 [顯示分析和偵錯記錄]。 會話記錄通常用於疑難解答,且預設為停用。 啟用它以開始收集事件,並在不再需要事件時加以停用。

您可以在 [服務] 視窗中檢查服務的狀態。 連接器是由兩個 Windows 服務所組成:實際的連接器和更新程式。 這兩者都必須一直執行。

Example: Services window showing Microsoft Entra services local

非使用中連接器

常見的問題是連接器在連接器群組中顯示為非使用中。 封鎖必要埠的防火牆是非使用中連接器的常見原因。

下一步