Grundlegendes zum privater Microsoft Entra-Netzwerkconnector
Es sind Connectors, die Microsoft Entra Private Access und den Anwendungsproxy ermöglichen. Sie sind einfach aufgebaut, leicht bereitzustellen und zu verwalten und haben eine hohe Leistungsstärke. Dieser Artikel erläutert, was Connectors sind und wie sie funktionieren, und stellt einige Vorschläge für die Optimierung Ihrer Bereitstellung vor.
Was ist ein privater Netzwerkconnector?
Connectors sind schlanke Agents, die sich in einem privaten Netzwerk befinden und die ausgehende Verbindung zu Diensten für Microsoft Entra Private Access und einem Anwendungsproxy unterstützen. Connectors müssen auf einem Windows-Server installiert sein, der auf die Back-End-Ressourcen zugreifen kann. Sie können Connectors in Connectorgruppen organisieren, wobei jede Gruppe für den Datenverkehr an bestimmte Ressourcen zuständig ist. Weitere Informationen zum Anwendungsproxy sowie eine grafische Darstellung der Anwendungsproxyarchitektur finden Sie unter Verwenden des Microsoft Entra-Anwendungsproxys zum Veröffentlichen lokaler Apps für Remotebenutzer.
Informationen zum Konfigurieren des privaten Microsoft Entra-Netzwerkconnectors finden Sie unter Konfigurieren privater Netzwerkconnectors für Microsoft Entra Private Access.
Private Netzwerkconnectors sind einfache Agents, die lokal bereitgestellt werden und die ausgehende Verbindung mit dem Anwendungsproxydienst vereinfachen. Die Connectors müssen auf einem Windows-Server installiert sein, der auf die Back-End-Anwendung zugreifen kann. Benutzer stellen eine Verbindung mit dem Anwendungsproxy-Clouddienst her, der den Datenverkehr über die Connectors an die Apps weiterleitet.
Die Einrichtung und Registrierung zwischen einem Connector und dem Anwendungsproxydienst werden wie folgt durchgeführt:
- Der IT-Administrator öffnet die Ports 80 und 443 für ausgehenden Datenverkehr und ermöglicht den Zugriff auf verschiedene URLs, die für den Connector, den Anwendungsproxydienst und Microsoft Entra ID erforderlich sind.
- Administrator*innen melden sich im Microsoft Entra Admin Center an und führen eine ausführbare Datei aus, um den Connector auf einem lokalen Windows-Server zu installieren.
- Der Connector beginnt, auf den Anwendungsproxydienst zu lauschen.
- Der Administrator fügt Microsoft Entra ID die lokale Anwendung hinzu und konfiguriert Einstellungen, z.B. die URLs, die Benutzer für die Verbindung mit ihren Apps benötigen.
Es wird empfohlen, aus Gründen der Redundanz und Skalierung immer mehrere Connectors bereitzustellen. Die Connectors wickeln zusammen mit dem Dienst alle Aufgaben für Hochverfügbarkeit ab, und sie können dynamisch hinzugefügt oder entfernt werden. Jedes Mal, wenn eine neue Anforderung eintrifft, wird diese an einen der verfügbaren Connectors geleitet. Wenn ein Connector ausgeführt wird, bleibt er beim Herstellen der Verbindung mit dem Dienst aktiv. Falls ein Connector vorübergehend nicht verfügbar ist, reagiert er nicht auf diesen Datenverkehr. Connectors, die nicht verwendet werden, werden als inaktiv gekennzeichnet und nach 10 Tagen Inaktivität entfernt.
Connectors fragen den Server ab, um zu ermitteln, ob eine neuere Version des Connectors vorhanden ist. Sie können zwar ein manuelles Update durchführen, jedoch werden die Connectors automatisch aktualisiert, solange der private Netzwerkconnector-Updatedienst ausgeführt wird. Bei Mandanten mit mehreren Connectors werden die automatischen Updates nacheinander auf die einzelnen Connectors in jeder Gruppe angewendet, um Ausfallzeiten in Ihrer Umgebung zu vermeiden.
Hinweis
Sie können die Versionsverlaufsseite verfolgen, um über die neuesten Updates auf dem Laufenden zu bleiben.
Jedem privaten Netzwerkconnector wird eine Connectorgruppezugewiesen. Connectors in der gleichen Connectorgruppe fungieren als einzelne Einheit für Hochverfügbarkeit und Lastenausgleich. Sie können neue Gruppen erstellen, ihnen im Microsoft Entra Admin Center Connectors zuweisen und dann spezielle Connectors für bestimmte Anwendungen zuweisen. Für Hochverfügbarkeit wird empfohlen, dass jede Connectorgruppe mindestens zwei Connectors enthält.
Connectorgruppen sind hilfreich, wenn die folgenden Szenarien unterstützt werden müssen:
- Veröffentlichen geografischer Apps
- Anwendungssegmentierung/-isolation
- Veröffentlichen von Web-Apps, die in der Cloud oder lokal ausgeführt werden
Weitere Informationen zur Optimierung des Netzwerks und zur Auswahl des richtigen Installationsorts des Connectors finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Microsoft Entra-Anwendungsproxys.
Wartung
Die Connectors und der Dienst führen alle Aufgaben in Bezug auf Hochverfügbarkeit aus. Diese können dynamisch hinzugefügt oder entfernt werden. Neue Anforderungen werden an einen der verfügbaren Connector weitergeleitet. Falls ein Connector vorübergehend nicht verfügbar ist, reagiert er nicht auf diesen Datenverkehr.
Die Connectors sind zustandslos und verfügen über keine Konfigurationsdaten auf dem Computer. Die einzigen Daten, die sie speichern, sind die Einstellungen für das Verbinden des Diensts mit dessen Authentifizierungszertifikat. Wenn die Verbindung mit dem Dienst hergestellt wird, werden alle erforderlichen Konfigurationsdaten abgerufen und jeweils nach einigen Minuten aktualisiert.
Connectors fragen auch den Server ab, um zu ermitteln, ob es eine neuere Version des Connectors gibt. Wenn ja, führen die Connectors die Aktualisierung selbst durch.
Sie können Ihre Connectors auf dem Computer überwachen, auf dem sie ausgeführt werden, indem Sie das Ereignisprotokoll und die Leistungsindikatoren verwenden. Sie können ihren Status auch im Microsoft Entra Admin Center anzeigen. Navigieren Sie für Microsoft Entra Private Access zu „Global Secure Access“, „Verbinden“ und wählen Sie „Connectors“ aus. Navigieren Sie für den Anwendungsproxy zu „Identität“, „Anwendungen“, „Unternehmensanwendungen“, und wählen Sie die Anwendung aus. Wählen Sie auf der Anwendungsseite „Anwendungsproxy“ aus.
Sie müssen nicht verwendete Connectors nicht manuell löschen. Wenn ein Connector ausgeführt wird, bleibt er beim Herstellen der Verbindung mit dem Dienst aktiv. Nicht verwendete Connectors werden als _inactive_
gekennzeichnet und nach 10 Tagen Inaktivität entfernt. Wenn Sie einen Connector deinstallieren möchten, müssen Sie jedoch sowohl den Connectordienst als auch den Updatedienst auf dem Server deinstallieren. Starten Sie den Computer neu, um den Dienst vollständig zu entfernen.
Automatische Aktualisierungen
Microsoft Entra ID bietet automatische Updates für alle von Ihnen bereitgestellten Connectors. Solange der Connector Updater-Dienst für den privaten Netzwerkconnector ausgeführt wird, werden Ihre Connectors automatisch mit dem letzten Hauptrelease des Connectors aktualisiert. Wenn der Connector Updater-Dienst auf Ihrem Server nicht angezeigt wird, müssen Sie den Connector neu installieren, um Updates zu erhalten.
Wenn Sie nicht warten möchten, bis ein Connector automatisch aktualisiert wird, können Sie die Aktualisierung manuell vornehmen. Rufen Sie auf dem Server mit dem Connector die Downloadseite für den Connector auf, und wählen Sie Herunterladen. Durch diesen Prozess wird ein Upgrade für den lokalen Connector gestartet.
Bei Mandanten mit mehreren Connectors werden die automatischen Updates nacheinander auf die einzelnen Connectors in jeder Gruppe angewendet, um Ausfallzeiten in Ihrer Umgebung zu vermeiden.
In folgenden Fällen könnte es während der Aktualisierung eines Connectors zu Ausfallzeiten kommen:
- Sie verfügen nur über einen Connector. Um Downtime zu vermeiden und eine höhere Verfügbarkeit zu gewährleisten, werden ein zweiter Connector und eine Connectorgruppe empfohlen.
- Zu Beginn der Aktualisierung befand sich ein Connector mitten in einer Transaktion. Obwohl die ursprüngliche Transaktion verloren gegangen ist, sollte Ihr Browser automatisch versuchen, den Vorgang zu wiederholen. Andernfalls können Sie die Seite aktualisieren. Wenn die Anforderung erneut gesendet wird, wird der Datenverkehr an einen Backupconnector weitergeleitet.
Informationen zu zuvor veröffentlichten Versionen und Änderungen, die sie umfassen, finden Sie unter Anwendungsproxy – Versionsverlauf.
Erstellen von Connectorgruppen
Mit Connectorgruppen können Sie Anwendungen bestimmte Connectors zuweisen. Sie können viele Connectors gruppieren und dann jede Ressource oder Anwendung einer Gruppe zuweisen.
Connectorgruppen erleichtern das Verwalten großer Bereitstellungen. Darüber hinaus verringern sie Wartezeiten für Mandanten, deren Ressourcen und Anwendungen in verschiedenen Regionen gehostet werden, da Sie standortbasierte Connectorgruppen erstellen können, die nur für lokale Anwendungen bestimmt sind.
Weitere Informationen zu Connectorgruppen finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectorgruppen.
Sicherheit und Netzwerk
Connectors können überall im Netzwerk installiert werden, was es ihnen ermöglicht, Anforderungen an den Dienst für Microsoft Entra Private Access und den Anwendungsproxy zu senden. Wichtig ist nur, dass der Computer, auf dem der Connector ausgeführt ist, ebenfalls Zugriff auf Ihre Apps und Ressourcen hat. Sie können die Connectors in Ihrem Unternehmensnetzwerk oder auf einem virtuellen Computer installieren, der in der Cloud ausgeführt wird. Connectors können in einem Umkreisnetzwerk, auch bekannt als demilitarisierte Zone (Demilitarized Zone, DMZ) ausgeführt werden, aber dies ist nicht notwendig, da der gesamte Datenverkehr ausgehend ist und das Netzwerk somit sicher bleibt.
Connectors senden nur ausgehende Anforderungen. Der ausgehende Datenverkehr wird an den Dienst und an die veröffentlichten Ressourcen und Anwendungen gesendet. Das Öffnen von eingehenden Ports ist nicht erforderlich, da der Datenverkehr nach dem Einrichten einer Sitzung in beide Richtungen fließt. Auch der eingehende Zugriff über die Firewalls muss nicht konfiguriert werden.
Weitere Informationen zum Konfigurieren von Firewallregeln für ausgehenden Datenverkehr finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.
Leistung und Skalierbarkeit
Die Skalierung für Dienste von Microsoft Entra Private Access und die Anwendungsproxys ist transparent, die Skalierung ist jedoch ein Faktor für Connectors. Sie müssen über eine ausreichende Zahl von Connectors verfügen, um Spitzenlasten verarbeiten zu können. Connectors sind zustandslos und die Benutzer- oder Sitzungsanzahl wirkt sich nicht auf sie aus. Stattdessen wirkt sich die Anzahl von Anforderungen und deren Nutzlastgröße auf sie aus. Bei standardmäßigem Webdatenverkehr kann ein Computer mit durchschnittlicher Leistungsfähigkeit 2000 Anforderungen pro Sekunde verarbeiten. Diese Kapazität richtet sich nach den genauen Eigenschaften des jeweiligen Computers.
CPU und Netzwerk definieren die Connectorleistung. Eine gute CPU-Leistung wird für die TLS-Verschlüsselung und -Entschlüsselung benötigt, und die Netzwerkeigenschaften sind wichtig, um eine gute Konnektivität für die Anwendungen und den Online-Dienst zu erzielen.
Der Arbeitsspeicher ist für Connectors dagegen weniger wichtig. Der Online-Dienst übernimmt einen Großteil der Verarbeitung und den gesamten nicht authentifizierten Datenverkehr. Alle Schritte, die in der Cloud ausgeführt werden können, werden auch in der Cloud ausgeführt.
Wenn Connectors oder Computer nicht verfügbar sind, wird der Datenverkehr an einen anderen Connector in der Gruppe weitergeleitet. Mehrere Connectors in einer Connector-Gruppe bieten Resilienz.
Ein weiterer Leistungsfaktor ist die Qualität der Netzwerkverbindung zwischen den Connectors, z.B.:
- Der Onlinedienst: Langsame Verbindungen oder solche mit hoher Wartezeit zum Microsoft Entra-Dienst beeinflussen die Leistung des Connectors. Stellen Sie für eine optimale Leistung eine Verbindung zwischen Ihrer Organisation und Microsoft über ExpressRoute her. Andernfalls muss Ihr Netzwerkteam sicherstellen, dass Verbindungen mit Microsoft so effizient wie möglich verarbeitet werden.
- Back-End-Anwendungen: In einigen Fällen sind zwischen dem Connector und den Back-End-Ressourcen zusätzliche Proxys vorhanden, die Verbindungen verlangsamen oder verhindern können. Öffnen Sie zur Problembehandlung dieses Szenarios einen Browser vom Connectorserver aus, und versuchen Sie, auf die Anwendung oder Ressource zuzugreifen. Wenn Sie die Connectors in Azure ausführen, die Anwendungen aber lokal vorliegen, ist die Erfahrung möglicherweise nicht die vom Benutzer erwartete.
- Domänencontroller: Wenn die Connectors SSO (Single Sign-On, einmaliges Anmelden) per eingeschränkter Kerberos-Delegierung durchführen, nehmen sie vor dem Senden der Anforderung an das Back-End Kontakt mit den Domänencontrollern auf. Die Connectors verfügen zwar über einen Cache mit Kerberos-Tickets, aber in einer Umgebung mit hoher Auslastung kann sich die Reaktionsfähigkeit der Domänencontroller auf die Leistung auswirken. Dieses Problem tritt häufiger bei Connectors auf, die in Azure ausgeführt werden, aber mit Domänencontrollern kommunizieren, die lokal installiert sind.
Weitere Informationen zur Optimierung Ihres Netzwerks finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Microsoft Entra-Anwendungsproxys.
Domänenbeitritt
Connectors können auf einem Computer ausgeführt werden, der nicht in eine Domäne eingebunden ist. Wenn Sie jedoch das einmalige Anmelden für Anwendungen einrichten möchten, die die integrierte Windows-Authentifizierung (IWA) nutzen, benötigen Sie einen Computer, der in eine Domäne eingebunden ist. In diesem Fall müssen die Connectorcomputer in eine Domäne eingebunden werden, die die eingeschränkte Kerberos-Delegierung im Namen der Benutzer für die veröffentlichten Anwendungen durchführen kann.
Connectors können auch in Domänen oder Gesamtstrukturen mit einer Teilvertrauensstellung oder in schreibgeschützte Domänencontroller eingebunden werden.
Connectorbereitstellungen in festgeschriebenen Umgebungen
In der Regel ist die Connectorbereitstellung unkompliziert und erfordert keine spezielle Konfiguration.
Es gibt jedoch einige Bedingungen, die berücksichtigt werden müssen:
- Für ausgehenden Datenverkehr müssen bestimmte Ports geöffnet sein. Weitere Informationen finden Sie unter Konfigurieren von Connectors.
- Möglicherweise muss die Konfiguration von FIPS-konformen Computern geändert werden, damit die Connectorprozesse ein Zertifikat generieren und speichern können.
- Proxys für die Weiterleitung des ausgehenden Datenverkehrs könnten die zweistufige Authentifizierung per Zertifikat verhindern, sodass bei der Kommunikation ein Fehler auftritt.
Connectorauthentifizierung
Zur Bereitstellung eines sicheren Diensts müssen sich Connectors beim Dienst authentifizieren, und der Dienst muss sich beim Connector authentifizieren. Für die Authentifizierung werden Client- und Serverzertifikate verwendet, wenn die Connectors die Verbindung initiieren. So wird erreicht, dass der Benutzername und das Kennwort des Admins nicht auf dem Connectorcomputer gespeichert werden.
Die verwendeten Zertifikate sind spezifisch für den Dienst. Sie werden während der ersten Registrierung erstellt und nach einigen Monaten automatisch erneuert.
Nach der ersten erfolgreichen Zertifikatsverlängerung verfügt der Dienst für den privaten Microsoft Entra-Netzwerkconnector (Netzwerkdienst) nicht über die Berechtigung, das alte Zertifikat aus dem Speicher des lokalen Computers zu entfernen. Wenn das Zertifikat abläuft oder von dem Dienst nicht mehr verwendet wird, können Sie es sicher löschen.
Um Probleme mit Zertifikatsverlängerungen zu vermeiden, müssen Sie sicherstellen, dass die Netzwerkkommunikation vom Connector zu den dokumentierten Zielen aktiviert ist.
Wenn ein Connector über mehrere Monate hinweg keine Verbindung mit dem Dienst herstellt, könnten die Zertifikate veraltet sein. In diesem Fall müssen Sie den Connector deinstallieren und neu installieren, um die Registrierung auszulösen. Sie können die folgenden PowerShell-Befehle ausführen:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Verwenden Sie für IP-Adressen von Behörden -EnvironmentName "AzureUSGovernment"
. Weitere Informationen finden Sie unter Installieren des Agents für die Azure Government-Cloud.
Weitere Informationen zum Überprüfen des Zertifikats und zur Problembehandlung finden Sie unter Überprüfen der Unterstützung des Vertrauensstellungszertifikats des Anwendungsproxys durch Computer und Back-End-Komponenten.
Hinter den Kulissen
Connectors sind auf dem Windows Server installiert und verwenden daher einen Großteil der gleichen Verwaltungstools, einschließlich Windows-Ereignisprotokolle und Windows-Leistungsindikatoren.
Die Connectors verfügen über Administratorprotokolle und Sitzungsprotokolle. Das Administratorprotokoll enthält wichtige Ereignisse und die dazugehörigen Fehler. Das Sitzungsprotokoll enthält alle Transaktionen und die dazugehörigen Verarbeitungsdetails.
Um die Protokolle anzuzeigen, öffnen Sie Ereignisanzeige, und wechseln Sie zu Anwendungs- und Dienstprotokollen>Microsoft>Privates Microsoft Entra-Netzwerk>Connector. Damit das Sitzungsprotokoll im Menü Ansicht angezeigt wird, klicken Sie auf Analytische und Debugprotokolle einblenden. Das Sitzungsprotokoll dient in der Regel zur Problembehandlung und ist standardmäßig definiert. Aktivieren Sie das Protokoll, um mit der Erfassung von Ereignissen zu beginnen, und deaktivieren Sie es, wenn Sie es nicht mehr benötigen.
Sie können den Zustand des Diensts im Fenster „Dienste“ untersuchen. Der Connector besteht aus zwei Windows-Diensten: dem eigentlichen Connector und dem Updatedienst. Beide Dienste müssen immer ausgeführt werden.
Inaktive Connectors
Ein häufiges Problem besteht darin, dass Connectors in einer Connectorgruppe als inaktiv angezeigt werden. Eine Firewall, welche die erforderlichen Ports blockiert, ist eine häufige Ursache für inaktive Connectors.