Compartir vía


Descripción del conector de red privada de Microsoft Entra

Los conectores son los que hacen posible el acceso privado y el proxy de aplicaciones de Microsoft Entra. Son simples, fáciles de implementar y mantener, y muy eficaces. En este artículo se habla de qué son los conectores, cómo funcionan, y se ofrecen algunas sugerencias para optimizar la implementación.

¿Qué es un conector de red privada?

Los conectores son agentes ligeros que se sitúan en una red privada y facilitan la conexión saliente a los servicios de acceso privado y proxy de aplicaciones de Microsoft Entra. Los conectores deben instalarse en un servidor de Windows Server con acceso a los recursos de back-end. Puede organizar los conectores en grupos; cada grupo controla el tráfico a recursos concretos. Para obtener más información sobre el proxy de aplicación y una representación en diagramas de su arquitectura, consulte el documento sobre el uso del proxy de aplicaciones de Microsoft Entra para publicar aplicaciones locales para usuarios remotos.

Para obtener información sobre cómo configurar el conector de red privada de Microsoft Entra, consulte Configuración de conectores de red privada para el acceso privado de Microsoft Entra.

Los conectores de red privada son agentes ligeros implementados en el entorno local que facilitan la conexión saliente al servicio de proxy de aplicación en la nube. Los conectores deben instalarse en un servidor de Windows Server con acceso a la aplicación de back-end. Los usuarios se conectan al servicio en la nube del proxy de aplicación que enruta el tráfico a las aplicaciones a través de los conectores.

La configuración y el registro entre un conector y el servicio del proxy aplicación se realiza de la siguiente manera:

  1. El administrador de TI abre los puertos 80 y 443 al tráfico de salida y permite el acceso a varias direcciones URL que son necesarias para el conector, el servicio del proxy de aplicación y Microsoft Entra ID.
  2. El administrador inicia sesión en el centro de administración de Microsoft Entra y ejecuta un ejecutable para instalar el conector en un servidor Windows local.
  3. El conector comienza a "escuchar" el servicio del proxy de aplicación.
  4. El administrador agrega la aplicación local a Microsoft Entra y configura parámetros como las direcciones URL que los usuarios necesitan para conectarse a las aplicaciones.

Se recomienda implementar siempre varios conectores para obtener redundancia y escalabilidad. Los conectores, junto con el servicio, se encargan de todas las tareas de alta disponibilidad y pueden agregarse o eliminarse dinámicamente. Cada vez que llega una solicitud nueva, esta se enruta a uno de los conectores que esté disponible. Cuando hay un conector en ejecución, este permanece activo tal y como se conecta al servicio. Si un conector no está disponible temporalmente, no responde a este tráfico. Los conectores que no se utilizan se etiquetan como inactivos y se quitan tras 10 días de inactividad.

Los conectores también sondean al servidor para averiguar si hay una versión más reciente del conector. Aunque puede realizar una actualización manual, los conectores se actualizarán automáticamente siempre que se ejecute el servicio Updater del conector de red privado. Para los inquilinos con varios conectores, las actualizaciones automáticas se dirigen a un conector cada vez en cada grupo para evitar tiempos de inactividad en su entorno.

Nota:

Puede supervisar la página del historial de versiones para mantenerse informado sobre las actualizaciones más recientes.

Cada conector de red privada se asigna a un grupo de conectores. Los conectores del mismo grupo funcionan como una única unidad para una alta disponibilidad y equilibrio de carga. Puede crear nuevos grupos, asignar conectores a ellos en el Centro de administración de Microsoft Entra y, a continuación, asignar conectores específicos para atender aplicaciones específicas. Se recomienda tener al menos dos conectores en cada grupo de conectores para lograr una alta disponibilidad.

Los grupos de conectores son útiles cuando se necesita admitir los escenarios siguientes:

  • Publicación de aplicaciones geográficas
  • Aislamiento o segmentación de aplicaciones
  • Publicación de aplicaciones web que se ejecutan en la nube o en el entorno local

Para más información sobre cómo elegir dónde instalar los conectores, consulte Consideraciones sobre la topología de red al utilizar Microsoft Entra Application Proxy.

Mantenimiento

Los conectores y el servicio se encargan de todas las tareas de alta disponibilidad. Se pueden agregar o quitar de forma dinámica. Las nuevas solicitudes se enrutan a uno de los conectores disponibles. Si un conector no está disponible temporalmente, no responde a este tráfico.

Los conectores no tienen estado ni datos de configuración en el equipo. Los únicos datos que almacenan son los valores de configuración para conectar el servicio y su certificado de autenticación. Cuando se conectan al servicio, extraen todos los datos de configuración requeridos y los actualizan cada dos minutos.

Los conectores también sondean al servidor para averiguar si hay una versión más reciente del conector. Si se encuentra alguna, los conectores se actualizan.

Puede supervisar los conectores desde el equipo en que se ejecutan, con el registro de eventos y los contadores de rendimiento. También puede ver su estado en el Centro de administración de Microsoft Entra. En acceso seguro de Microsoft Entra, vaya a Acceso seguro global, Conectar y seleccione Conectores. Para el proxy de aplicación, vaya a Identidad, Aplicaciones, Aplicaciones empresariales y seleccione la aplicación. En la página de la aplicación, seleccione proxy de aplicación.

No es necesario que elimine manualmente los conectores que no se están utilizando. Cuando hay un conector en ejecución, este permanece activo tal y como se conecta al servicio. Los conectores que no se están usando se etiquetan como _inactive_ y se quitan tras 10 días de inactividad. No obstante, si quiere desinstalar un conector, desinstale el servicio de conector y el servicio de actualizador del servidor. Reinicie el equipo para quitar completamente el servicio.

Actualizaciones automáticas

Microsoft Entra ID proporciona actualizaciones automáticas para todos los conectores que se implementen. Siempre que se ejecute el servicio de actualización del conector de red privado, los conectores se actualizan con la versión más reciente del conector principal automáticamente. Si no ve el servicio Connector Updater en el servidor, debe volver a instalar el conector con el fin de obtener las actualizaciones.

Si no quiere esperar a que haya una actualización automática para el conector, puede realizar una actualización manual. Vaya a la página de descarga del conector en el servidor en el que se encuentra el conector y seleccione Descargar. Este proceso inicia una actualización del conector local.

Para los inquilinos con varios conectores, las actualizaciones automáticas se dirigen a un conector cada vez en cada grupo para evitar tiempos de inactividad en su entorno.

Puede experimentar un tiempo de inactividad cuando el conector se actualiza si:

  • Solo tiene un conector. Se recomienda un segundo conector y un grupo de conectores para evitar tiempos de inactividad y proporcionar una mayor disponibilidad.
  • Un conector estaba en medio de una transacción cuando comenzó la actualización. Aunque se pierde la transacción inicial, el explorador debería reintentar automáticamente la operación o el usuario podría actualizar la página. Cuando se vuelve a enviar la solicitud, el tráfico se enruta a un conector de copia de seguridad.

Para consultar información sobre las versiones publicadas anteriormente y qué cambios incluyen, vea Application Proxy- Version Release History (Proxy de aplicación: Historial de lanzamiento de versiones).

Creación de grupos de conectores

Los grupos de conectores permiten asignar conectores específicos para atender a aplicaciones específicas. Puede agrupar varios conectores y, a continuación, asignar cada recurso o aplicación a un grupo.

Los grupos de conectores facilitan la administración de implementaciones a gran escala. También mejoran la latencia para los inquilinos que tienen recursos o aplicaciones hospedadas en distintas regiones, porque se pueden crear grupos de conectores basados en la ubicación para atender solo a las aplicaciones locales.

Para obtener más información sobre los conectores, consulte Comprender los grupos de conectores de red privada de Microsoft Entra.

Seguridad y redes

Los conectores se pueden instalar en cualquier lugar de la red que les permita enviar solicitudes al servicio de proxy de aplicación y acceso privado de Microsoft Entra. Lo importante es que el equipo que ejecuta el conector también tenga acceso a las aplicaciones y recursos. Puede instalar conectores dentro de la red corporativa o en una máquina virtual que se ejecute en la nube. Los conectores se pueden ejecutar en una red perimetral, también conocida como zona desmilitarizada (DMZ), pero no es necesario porque todo el tráfico es saliente, por lo que la red se mantiene protegida.

Los conectores solo envían solicitudes salientes. El tráfico saliente se envía al servicio y a los recursos y aplicaciones publicados. No hay que abrir los puertos de entrada, porque una vez que se ha establecido una sesión, el tráfico fluye en ambos sentidos. Tampoco es necesario que configure el acceso de entrada en los firewalls.

Para más información sobre cómo configurar reglas de firewall de salida, vea Trabajo con servidores proxy locales existentes.

Rendimiento y escalabilidad

La escala para el acceso privado de Microsoft Entra y los servicios de proxy de aplicaciones es transparente, pero la escala es un factor para los conectores. Debe tener suficientes conectores para administrar el tráfico en sus momentos de pico. Los conectores no tienen estado y el número de usuarios o sesiones no les afecta. Más bien dependen del número de solicitudes y del tamaño de la carga. En el caso del tráfico web estándar, una máquina puede controlar en promedio unas 2000 solicitudes por segundo. La capacidad específica depende de las características exactas de la máquina.

La CPU y la red definen el rendimiento del conector. El rendimiento de la CPU es necesario para el cifrado y el descifrado TLS, mientras que las redes son importantes para conectar rápidamente con las aplicaciones y el servicio en línea.

En cambio, la memoria no supone un problema para los conectores. El servicio en línea se encarga de gran parte del procesamiento y de todo el tráfico no autenticado. Todo lo que puede realizarse en la nube se realiza en la nube.

Cuando los conectores o máquinas no están disponibles, el tráfico pasa a otro conector del grupo. Varios conectores de un grupo de conectores proporcionan resistencia.

Otro factor que incide el rendimiento es la calidad de las conexiones entre los conectores; en particular:

  • El servicio en línea: conexiones de latencia lenta o alta al servicio Microsoft Entra influyen en el rendimiento del conector. Para optimizar el rendimiento, conecte la organización a Microsoft con Express Route. Si no, el equipo de redes debe asegurarse de que las conexiones a Microsoft se administren de la manera más eficaz posible.
  • Las aplicaciones de back-end: en algunos casos, hay servidores proxy adicionales entre el conector y los recursos de back-end y las aplicaciones que pueden ralentizar o impedir conexiones. Para solucionar esta situación, abra un explorador desde el servidor del conector e intente acceder a la aplicación o recurso. Si ejecuta los conectores en la nube, pero las aplicaciones están en local, la experiencia podría no corresponderse a lo que esperan los usuarios.
  • Los controladores de dominio: si los conectores realizan el inicio de sesión único (SSO) utilizando la delegación restringida de Kerberos, se pondrán en contacto con los controladores de dominio antes de enviar la solicitud al back-end. Los conectores tienen una memoria caché de vales Kerberos, pero en un entorno ocupado, la capacidad de respuesta de los controladores de dominio puede repercutir en el rendimiento. Este problema es más común en el caso de los conectores que se ejecutan en Azure pero se comunican con controladores de dominio que están en local.

Para obtener más información sobre la optimización de la red, consulte Consideraciones sobre la topología de red al utilizar el proxy de aplicaciones de Microsoft Entra.

Unión a dominio

Los conectores se pueden ejecutar en un equipo que no esté unido a dominio. Sin embargo, si desea usar el inicio de sesión único (SSO) para aplicaciones que usan la autenticación integrada de Windows (IWA), necesita una máquina unida a dominio. En este caso, los equipos del conector deben estar unidos a un dominio que pueda llevar a cabo la delegación limitada de kerberos en nombre de los usuarios para las aplicaciones publicadas.

Los conectores también pueden estar unidos a dominios de bosques que tengan una relación de confianza parcial o a controladores de dominio de solo lectura.

Implementaciones del conector en entornos protegidos

Por lo general, la implementación del conector es sencilla y no requiere ninguna configuración especial.

Sin embargo, hay algunas condiciones únicas que deben tenerse en cuenta:

  • El tráfico saliente requiere que se abran puertos específicos. Para más información, consulte Configuración de conectores.
  • Podría ser necesario que las máquinas compatibles con FIPS cambiaran su configuración para permitir que los procesos del conector generaran y almacenaran un certificado.
  • Los proxy de reenvío de salida pueden interrumpir la autenticación de certificado de dos direcciones y provocar un error en la comunicación.

Autenticación de conector

Para proporcionar un servicio seguro, los conectores tienen que autenticarse hacia el servicio y el servicio tiene que autenticarse hacia el conector. Esta autenticación se lleva a cabo mediante certificados de cliente y servidor cuando los conectores inician la conexión. De este modo, el nombre de usuario y la contraseña del administrador no se almacenan en el equipo del conector.

Los certificados usados son específicos del servicio. Se crean durante el registro inicial y se renuevan automáticamente cada par de meses.

Después de la primera renovación correcta del certificado, el servicio de conector de red privada (Servicio de red) de Microsoft Entra no tiene permiso para quitar el certificado antiguo del almacén de máquinas locales. Si el servicio expira o no lo usa, puede eliminarlo de forma segura.

Para evitar problemas con la renovación de certificados, asegúrese de que la comunicación de red del conector hacia los destinos documentados está habilitada.

Si un conector no se conecta al servicio durante varios meses, puede que tenga los certificados caducados. En este caso, desinstale y vuelva a instalar el conector para provocar el registro. Puede ejecutar los siguientes comandos de PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Para la administración pública, use -EnvironmentName "AzureUSGovernment". Para más información, consulte Instalación del agente para la nube de Azure Government.

Para más información acerca de cómo comprobar el certificado y solucionar problemas, consulte Comprobación de que los componentes de máquina y back-end admitan el certificado de confianza del proxy de aplicación.

En segundo plano

Los conectores se instalan en Windows Server, por lo que tienen la mayoría de las mismas herramientas de administración, incluidos los registros de eventos de Windows y los contadores de rendimiento de Windows.

Los conectores tienen registros de administración y sesión. Los registros de administración incluyen eventos importantes y sus errores. Los registros de sesión incluyen todas las transacciones y sus detalles de procesamiento.

Para ver los registros, abra el Visor de eventos y vaya a Registros de aplicaciones y servicios>Microsoft>Red privada de Microsoft Entra>Conector. Para que el registro de sesión sea visible, en el menú Ver, seleccione Mostrar registros analíticos y de depuración. El registro de sesión se usa normalmente para solucionar problemas y está deshabilitado de forma predeterminada. Habilítelo para comenzar la recopilación de eventos y deshabilítelo cuando ya no se necesite.

Puede examinar el estado del servicio en la ventana Servicios. El conector consta de dos servicios de Windows: el conector real y el actualizador. Ambos deben ejecutarse todo el tiempo.

Conectores inactivos

Un problema común es que los conectores aparecen inactivos en un grupo de conectores. Una causa común de los conectores inactivos es el bloqueo de los puertos necesarios por parte de un firewall.

Pasos siguientes