Travailler avec des serveurs proxy locaux existants

Configurez les connecteurs de réseau privé Microsoft Entra pour utiliser des serveurs proxy sortants. L’article suppose que l’environnement réseau dispose déjà d’un serveur proxy.

Nous allons commencer par examiner les scénarios de déploiement principaux suivants :

• Configurer des connecteurs pour contourner vos proxys sortants locaux.
• Configurez les connecteurs pour utiliser un proxy sortant pour accéder au proxy d'application Microsoft Entra.
• Configurer à l’aide d’un proxy entre le connecteur et l’application principale.

Pour plus d’informations sur le fonctionnement des connecteurs, consultez Comprendre les connecteurs de réseau privé Microsoft Entra.

Proxys sortants de contournement

Les connecteurs ont des composants de système d’exploitation sous-jacents qui effectuent des demandes sortantes. Ces composants tentent automatiquement de trouver un serveur proxy sur le réseau à l’aide de la découverte automatique de proxy web (protocole WPAD).

Les composants du système d’exploitation tentent de localiser un serveur proxy en effectuant une recherche DNS (Service de Nom de Domaine) pour wpad.domainsuffix. Si la recherche renvoie un DNS, une requête HTTP est alors effectuée sur l’adresse IP (Protocole Internet) pour wpad.dat. Cette requête devient le script de configuration de proxy dans votre environnement. Le connecteur utilise ce script pour sélectionner un serveur proxy sortant. Toutefois, le trafic du connecteur peut continuer à échouer, car d’autres paramètres de configuration sont nécessaires sur le proxy.

Vous pouvez configurer le connecteur pour contourner votre proxy sur site afin de garantir qu'il utilise une connectivité directe au service proxy d'application Microsoft Entra. Les connexions directes sont recommandées car elles nécessitent moins de configuration. Toutefois, certaines politiques réseau exigent que le trafic passe par un serveur proxy local.

Pour désactiver l’utilisation du proxy sortant pour le connecteur, modifiez le fichier C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config et ajoutez la section system.net affichée dans l’exemple de code :

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Pour vérifier que le service de mise à jour du connecteur ignore également le proxy, apportez une modification semblable au fichier MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config. Le fichier se trouve dans C:\Program Files\Microsoft Entra private network connector Updater.

Veillez à faire des copies des fichiers d’origine, au cas où vous devriez restaurer les fichiers .config par défaut.

Utiliser le serveur proxy sortant

Certains environnements clients requièrent que tout le trafic sortant passe par un proxy sortant, sans exception. Par conséquent, le contournement du serveur proxy n’est pas une option.

Vous pouvez configurer le trafic du connecteur pour passer par le serveur proxy sortant comme indiqué dans le diagramme suivant :

Conséquence de la présence seule de trafic sortant, il est inutile de configurer l’accès entrant à travers vos pare-feu.

Remarque

Le service Proxy d’application ne prend pas en charge l’authentification auprès d’autres serveurs proxy. Les comptes du service réseau de mise à jour/connecteur doivent être en mesure de se connecter au proxy sans avoir à se connecter avec l’authentification.

Étape 1 : Configurer le connecteur et les services associés pour passer par le proxy sortant

Si WPAD est activé dans l’environnement et correctement configuré, le connecteur détecte automatiquement le serveur proxy sortant et tente de l’utiliser. Toutefois, vous pouvez configurer explicitement le connecteur pour passer par un proxy sortant.

Pour ce faire, modifiez le fichier C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config et ajoutez la section system.net affichée dans l’exemple de code. Modifiez proxyserver:8080 avec le nom, ou l’adresse IP et le port de votre serveur proxy local. La valeur doit avoir le préfixe http:// même si vous utilisez une adresse IP.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Ensuite, configurez le service Connector Updater pour utiliser le proxy en apportant une modification similaire au fichier C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.

Remarque

Le service Connecteur évalue la configuration de defaultProxy pour l’utiliser dans %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, si defaultProxy n’est pas configuré (par défaut) dans MicrosoftEntraPrivateNetworkConnectorService.exe.config. Il en va de même pour le service Connector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config).

Étape 2 : Configurer le serveur proxy pour autoriser le passage du trafic à partir du connecteur et des services associés

Il y a quatre aspects à prendre en compte au niveau du proxy sortant :

• Règles sortantes du proxy
• Authentification du proxy
• Ports du proxy
• Inspection TLS (Transport Layer Security)

Règles sortantes du proxy

Autorisez l'accès aux URL suivantes :

URL	Port	Utilisation
* .msappproxy.net *.servicebus.windows.net	443/HTTPS	Communication entre le connecteur et le service cloud Proxy d’application
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com	80/HTTP	Le connecteur utilise ces URL pour vérifier les certificats.
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com	443/HTTPS	Le connecteur utilise ces URL lors du processus d'inscription.
ctldl.windowsupdate.com www.microsoft.com/pkiops	80/HTTP	Le connecteur utilise ces URL lors du processus d'inscription.

Si votre pare-feu ou votre proxy vous permettent de configurer la mise en liste verte de DN, vous pouvez autoriser les connexions à *.msappproxy.net et *.servicebus.windows.net.

Si vous ne pouvez pas autoriser la connectivité par le nom de domaine complet (FQDN) et que vous devez spécifier des plages d’adresses IP à la place, utilisez ces options :

• Autoriser l’accès sortant du connecteur vers toutes les destinations.
• Autorisez l’accès sortant du connecteur à toutes les plages d’adresses IP de centre de données Azure. Le problème lié à l’utilisation de la liste de plages d’adresses IP de centre de données Azure est qu’elles sont mises à jour chaque semaine. Vous devez mettre un processus en place pour garantir que vos règles d’accès sont mises à jour en conséquence. La seule utilisation d’un sous-ensemble des adresses IP peut entraîner une rupture de votre configuration. Les dernières plages d’adresses IP Azure Data Center sont téléchargées sur https://download.microsoft.com. Utilisez le terme de recherche, Azure IP Ranges and Service Tags. Veillez à sélectionner le cloud approprié. Par exemple, les plages d’adresses IP du cloud public sont disponibles en recherchant Azure IP Ranges and Service Tags – Public Cloud. Le cloud du gouvernement des États-Unis est disponible en recherchant Azure IP Ranges and Service Tags – US Government Cloud.

Authentification du proxy

L’authentification par proxy n’est actuellement pas prise en charge. Notre recommandation actuelle est de permettre au connecteur d’accéder de façon anonyme aux destinations Internet.

Ports du proxy

Le connecteur établit les connexions sortantes TLS à l’aide de la méthode CONNECT. Cette méthode sert à définir un tunnel via le serveur proxy sortant. Configurez le serveur proxy pour autoriser le tunneling vers les ports 443 et 80.

Remarque

Lorsque Service Bus s’exécute via le protocole HTTPS, il utilise le port 443. Toutefois, par défaut, Service Bus tente des connexions TCP (Protocole de Contrôle de Transmission) directes et bascule sur HTTPS uniquement si la connectivité directe échoue.

Inspection TLS

N’utilisez pas l’inspection TLS pour le trafic de connecteur, car cela entraîne des problèmes au niveau de ce dernier. Le connecteur utilise un certificat pour s’authentifier auprès du service Proxy d’application. Ce certificat peut se perdre durant l’inspection TLS.

Configurer à l’aide d’un proxy entre le connecteur et l’application principale

L’utilisation d’un proxy direct pour la communication vers l’application principale est une exigence spéciale dans certains environnements. Pour activer un proxy de transfert, procédez comme suit :

Étape 1 : Ajouter la valeur de registre requise au serveur

1. Pour activer l’utilisation du proxy par défaut, ajoutez la valeur de Registre (DWORD)UseDefaultProxyForBackendRequests = 1 à la clé de Registre de configuration du connecteur située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.

Étape 2 : Configurer manuellement le serveur proxy à l’aide de la commande netsh

1. Activez la stratégie de groupe Make proxy settings per-machine. La stratégie de groupe se trouve dans : Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. La stratégie de groupe doit être définie sur cette valeur au lieu d’être définie avec des paramètres individualisés.
2. Exécutez gpupdate /force sur le serveur. Alternativement, afin de vérifier que la stratégie de groupe a été mise à jour, redémarrez le serveur.
3. Lancez une invite de commandes avec élévation de privilèges avec des droits d’administrateur et saisissez control inetcpl.cpl.
4. Configurez les paramètres de proxy requis.

Ce paramètre fait en sorte que le connecteur utilise le même proxy de transfert pour la communication avec Azure et avec l’application principale. Modifiez le fichier MicrosoftEntraPrivateNetworkConnectorService.exe.config pour modifier le proxy de transfert. La configuration du proxy de transfert est décrite dans les sections Contourner les proxys sortants et Utiliser le serveur proxy sortant.

Remarque

Il existe plusieurs façons de configurer le proxy Internet dans le système d’exploitation. Les paramètres de proxy configurés via NETSH WINHTTP (exécutez NETSH WINHTTP SHOW PROXY pour vérifier) remplacent les paramètres de proxy que vous avez configurés à l’étape 2.

Le service de mise à jour du connecteur utilise également le proxy de la machine. Le paramètre se trouve dans le fichier MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.

Résoudre les problèmes courants de proxy de connecteur et de connectivité du service

Vous devriez maintenant voir tout le trafic transitant par le proxy. Si vous rencontrez des problèmes, les informations de résolution des problèmes suivantes devraient vous aider.

Le meilleur moyen d’identifier et de résoudre les problèmes de connectivité de connecteur consiste à prendre une capture réseau au démarrage du service de connecteur. Voici quelques conseils rapides sur la capture et le filtrage de traces réseau.

Vous pouvez utiliser l’outil de surveillance de votre choix. Dans le cadre de cet article, nous avons utilisé Microsoft Message Analyzer.

Remarque

Le 25 novembre 2019, Microsoft Message Analyzer (MMA) a été mis hors service et ses packages de téléchargement ont été supprimés des sites microsoft.com. Aucune fonctionnalité Microsoft n'est actuellement en développement pour remplacer Microsoft Message Analyzer. Pour bénéficier d'une fonctionnalité similaire, vous devez envisager d'utiliser un outil d'analyse de protocole réseau tiers tel que Wireshark.

Les exemples suivants sont spécifiques de Message Analyser, mais les principes peuvent être appliqués à n’importe quel outil d’analyse.

Effectuez une capture du trafic de connecteur

Pour commencer la résolution des problèmes, procédez comme suit :

1. À partir de services.msc, arrêtez le service de connecteur de réseau privé Microsoft Entra.

   

2. Exécutez Analyseur de messages en tant qu’administrateur.

3. Sélectionnez Start local trace (Démarrer la trace locale) .

4. Démarrez le service de connecteur de réseau privé Microsoft Entra.

5. Arrêtez la capture réseau.

   

Vérifier si le trafic du connecteur ignore les proxys sortants

Si vous vous attendez à ce que le connecteur établisse des connexions directes aux services proxy d'application, les SynRetransmit réponses sur le port 443 indiquent que vous rencontrez un problème de réseau ou de pare-feu.

Utilisez le filtre Analyseur de messages pour identifier les tentatives de connexion TCP (Transmission Control Protocol) ayant échoué. Entrez property.TCPSynRetransmit dans la zone de filtre, puis sélectionnez Appliquer.

Un paquet SYN (Synchronisation) est le premier paquet envoyé pour établir une connexion TCP. Si ce paquet ne renvoie aucune réponse, le SYN est renvoyé. Vous pouvez utiliser le filtre pour voir tous les paquets SYN retransmis. Ensuite, vous pouvez vérifiez si ces paquets SYN correspondent à du trafic lié à un connecteur.

Vérifier si le trafic du connecteur utilise des proxys sortants

Si vous avez configuré votre trafic de connecteur de réseau privé pour passer par les serveurs proxy, recherchez les échecs https connexions à votre proxy.

Utilisez le filtre Message Analyzer pour identifier les tentatives de connexion HTTPS ayant échoué à votre proxy. Entrez (https.Request or https.Response) and tcp.port==8080 dans le filtre Message Analyzer, en remplaçant 8080 par le port de votre service proxy. Sélectionnez Appliquer pour voir les résultats du filtre.

Le filtre précédent affiche uniquement les requêtes et réponses HTTPS vers/depuis le port du proxy. Vous recherchez les requêtes CONNECT indiquant une communication avec le serveur proxy. En cas de succès, vous obtenez une réponse HTTP OK (200).

Si vous voyez d’autres codes de réponse, comme 407 ou 502, cela signifie que le proxy nécessite une authentification ou n’autorise pas le trafic pour une raison quelconque. À ce stade, vous impliquez l’équipe de support technique de votre serveur proxy.

Étapes suivantes

• Comprendre les connecteurs de réseau privé Microsoft Entra
• Consultez la page Questions et réponses Microsoft (Q&A) pour Microsoft Entra ID