Usare server proxy locali esistenti
Configurare i connettori di rete privata di Microsoft Entra per utilizzare server proxy in uscita. L'articolo presuppone che l'ambiente di rete abbia già un server proxy.
Per iniziare, esaminare questi scenari di distribuzione principali:
- Configurare i connettori per ignorare i proxy in uscita locali.
- Configurare i connettori per l'uso di un proxy in uscita per accedere al proxy dell'applicazione Microsoft Entra.
- Configurare l'uso di un proxy tra il connettore e l'applicazione back-end.
Per altre informazioni sul funzionamento dei connettori, vedere Informazioni sui connettori di rete privata di Microsoft Entra.
Ignorare i proxy in uscita
I connettori includono componenti del sistema operativo sottostanti che effettuano richieste in uscita. Questi componenti tentano automaticamente di individuare un server proxy nella rete tramite Individuazione automatica proxy Web (WPAD).
I componenti del sistema operativo tentano di individuare un server proxy eseguendo una ricerca DNS (Domain Name System) per wpad.domainsuffix. Se la ricerca viene risolta in DNS, viene effettuata una richiesta HTTP all'indirizzo IP (Internet Protocol) per wpad.dat. Questa richiesta diventa lo script di configurazione proxy nell'ambiente in uso. Il connettore usa questo script per selezionare un server proxy in uscita. Tuttavia, il traffico del connettore potrebbe continuare a non riuscire perché sono necessarie più impostazioni di configurazione nel proxy.
È possibile configurare il connettore per ignorare il proxy locale per assicurarsi che usi la connettività diretta al servizio proxy dell'applicazione Microsoft Entra. Le connessioni dirette sono consigliate perché richiedono meno configurazione. Tuttavia, alcuni criteri di rete richiedono il traffico attraverso un server proxy locale.
Per disabilitare l'utilizzo del proxy in uscita per il connettore, modificare il file C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config e aggiungere la sezione system.net illustrata nell'esempio di codice:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Per assicurarsi che il servizio Connector Updater ignori anche il proxy, apportare una modifica simile al file MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config. Questo file si trova in C:\Program Files\Microsoft Entra private network connector Updater.
Assicurarsi di eseguire copie dei file originali, nel caso in cui sia necessario ripristinare i file di .config predefiniti.
Usare il server proxy in uscita
Alcuni ambienti richiedono che tutto il traffico in uscita attraversi un proxy in uscita, senza eccezione. Di conseguenza, ignorare il proxy non è un'opzione.
È possibile configurare il traffico del connettore per passare attraverso il proxy in uscita, come illustrato nel diagramma seguente:
In seguito alla presenza solo del traffico in uscita, non è necessario configurare l'accesso in ingresso tramite i firewall.
Nota
Il proxy dell'applicazione non supporta l'autenticazione ad altri proxy. Gli account del servizio di rete connector/updater devono essere in grado di connettersi al proxy senza che venga richiesta l'autenticazione.
Passaggio 1: Configurare il connettore e i servizi correlati per passare attraverso il proxy in uscita
Se WPAD è abilitato nell'ambiente e configurato in modo appropriato, il connettore individua automaticamente il server proxy in uscita e tenta di usarlo. Tuttavia, è possibile configurare in modo esplicito il connettore per passare attraverso un proxy in uscita.
A tale scopo, modificare il file di C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config e aggiungere la sezione system.net illustrata nell'esempio di codice. Modificare proxyserver:8080 in modo da riflettere il nome del server proxy locale o l'indirizzo IP e la porta. Il valore deve avere il prefisso http:// anche se si usa un indirizzo IP.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Configurare quindi il servizio Connector Updater per usare il proxy apportando una modifica simile al file C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.
Nota
Il servizio Connector valuta la configurazione defaultProxy per l'utilizzo in %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, se il defaultProxy non è configurato (per impostazione predefinita) in MicrosoftEntraPrivateNetworkConnectorService.exe.config. Lo stesso vale anche per il servizio Connector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config).
Passaggio 2: Configurare il proxy per consentire il flusso del traffico dal connettore e dei servizi correlati
Ci sono quattro aspetti da considerare nel proxy in uscita.
- Regole in uscita proxy
- Autenticazione proxy
- Porte proxy
- Ispezione TLS (Transport Layer Security)
Regole in uscita proxy
Consentire l'accesso agli URL seguenti:
| URL | Porto | Usare |
|---|---|---|
| *.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Comunicazione tra il connettore e il servizio cloud del proxy dell'applicazione |
| crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Il connettore usa questi URL per verificare i certificati. |
| login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | Il connettore usa questi URL durante il processo di registrazione. |
| ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Il connettore usa questi URL durante il processo di registrazione. |
Se il firewall o il proxy consente di configurare gli elenchi di indirizzi consentiti DNS, è possibile consentire le connessioni a *.msappproxy.net e *.servicebus.windows.net.
Se non è possibile consentire la connettività in base al nome di dominio completo (FQDN) ed è necessario specificare invece gli intervalli IP, usare queste opzioni:
- Consentire al connettore l'accesso in uscita a tutte le destinazioni.
- Consentire al connettore l'accesso in uscita a tutti gli intervalli IP del data center di Azure. La sfida con l'uso dell'elenco degli intervalli IP del data center di Azure è che vengono aggiornati settimanalmente. È necessario inserire un processo per assicurarsi che le regole di accesso vengano aggiornate di conseguenza. L'uso di solo un sottoinsieme degli indirizzi IP causa un problema alla configurazione. Gli intervalli IP più recenti del data center di Azure vengono scaricati in https://download.microsoft.com. Usare il termine di ricerca
Azure IP Ranges and Service Tags. Assicurarsi di selezionare il cloud pertinente. Ad esempio, gli intervalli IP del cloud pubblico sono disponibili cercandoAzure IP Ranges and Service Tags – Public Cloud. Il cloud del governo degli Stati Uniti è reperibile cercandoAzure IP Ranges and Service Tags – US Government Cloud.
Autenticazione proxy
L'autenticazione proxy non è attualmente supportata. È consigliabile consentire al connettore l'accesso anonimo alle destinazioni Internet.
Porte del proxy
Il connettore effettua connessioni basate su TLS in uscita usando il metodo CONNECT. Questo metodo configura essenzialmente un tunnel tramite il proxy in uscita. Configurare il server proxy per consentire il tunneling alle porte 443 e 80.
Nota
Quando il bus di servizio viene eseguito su HTTPS, usa la porta 443. Tuttavia, per impostazione predefinita, il bus di servizio tenta di indirizzare le connessioni TCP (Transmission Control Protocol) e esegue il fallback a HTTPS solo se la connettività diretta non riesce.
Ispezione TLS
Non usare l'ispezione TLS per il traffico del connettore, perché causa problemi per il traffico del connettore. Il connettore usa un certificato per eseguire l'autenticazione al servizio proxy dell'applicazione e tale certificato può andare perso durante l'ispezione TLS.
Configurare l'uso di un proxy tra il connettore e l'applicazione back-end
L'uso di un proxy di inoltro per la comunicazione verso l'applicazione back-end è un requisito speciale in alcuni ambienti. Per abilitare un proxy di inoltro, seguire questa procedura:
Passaggio 1: Aggiungere il valore del Registro di sistema richiesto al server
- Per abilitare l'uso del proxy predefinito, aggiungere il valore del Registro di sistema (DWORD)
UseDefaultProxyForBackendRequests = 1alla chiave del Registro di sistema di configurazione del connettore che si trova inHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.
Passaggio 2: Configurare manualmente il server proxy usando il comando netsh
- Abilitare i criteri di gruppo
Make proxy settings per-machine. I criteri di gruppo sono disponibili in:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. I criteri di gruppo devono essere impostati invece di impostare i criteri per utente. - Eseguire
gpupdate /forcenel server. In alternativa, per assicurarsi che i criteri di gruppo vengano aggiornati, riavviare il server. - Avviare un prompt dei comandi con privilegi elevati con diritti di amministratore e immettere
control inetcpl.cpl. - Configurare le impostazioni proxy necessarie.
Le impostazioni fanno il connettore usare di lo stesso proxy di inoltro per la comunicazione con Azure e con l'applicazione back-end. Modificare il file MicrosoftEntraPrivateNetworkConnectorService.exe.config per modificare il proxy di inoltro. La configurazione del proxy di inoltro è descritta nelle sezioni Ignorare i proxy in uscita e Usare il server proxy in uscita.
Nota
Esistono diversi modi per configurare il proxy Internet nel sistema operativo. Le impostazioni proxy configurate tramite NETSH WINHTTP (eseguire NETSH WINHTTP SHOW PROXY per verificare) eseguono l'override delle impostazioni proxy configurate nel passaggio 2.
Il servizio di aggiornamento del connettore usa il proxy del computer. L'impostazione è disponibile nel file MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.
Risolvere i problemi di proxy del connettore e i problemi di connettività servizio.
Ora dovrebbe essere visualizzato tutto il traffico che scorre attraverso il proxy. In caso di problemi, le informazioni seguenti sulla risoluzione dei problemi dovrebbero essere utili.
Il modo migliore per identificare e risolvere i problemi di connettività del connettore consiste nel fare una cattura di rete all'avvio del servizio connettore. Ecco alcuni suggerimenti rapidi sull'acquisizione e il filtro delle tracce di rete.
È possibile usare lo strumento di monitoraggio preferito. Ai fini di questo articolo, è stato usato Microsoft Message Analyzer.
Nota
Microsoft Message Analyzer (MMA) è stato ritirato e i relativi pacchetti di download rimossi dai siti di microsoft.com il 25 novembre 2019. Attualmente non è disponibile alcuna sostituzione Microsoft per Microsoft Message Analyzer in fase di sviluppo. Per funzionalità simili, prendere in considerazione l'uso di uno strumento analizzatore di protocolli di rete di terze parti, ad esempio Wireshark.
Gli esempi seguenti sono specifici di Message Analyzer, ma i principi possono essere applicati a qualsiasi strumento di analisi.
Acquisire il traffico del connettore
Per la risoluzione dei problemi iniziale, seguire questa procedura:
Dalla posizione
services.msc, interrompi il servizio Connettore di rete privata Microsoft Entra.
Eseguire Message Analyzer come amministratore.
Selezionare Avvia traccia locale.
Avviare il servizio Connettore di rete privata Microsoft Entra.
Interrompere l'acquisizione della rete.
Controllare se il traffico del connettore ignora i proxy in uscita
Se si prevede che il connettore effettui connessioni dirette ai servizi proxy dell'applicazione, le risposte SynRetransmit sulla porta 443 indicano che esiste un problema di rete o firewall.
Usare il filtro Message Analyzer per identificare i tentativi di connessione TCP (Transmission Control Protocol) non riusciti. Immettere property.TCPSynRetransmit nella casella del filtro e selezionare Applica.
Un pacchetto di sincronizzazione (SYN) è il primo pacchetto inviato per stabilire una connessione TCP. Se questo pacchetto non restituisce una risposta, il syn viene riabilito. È possibile usare il filtro per visualizzare eventuali pacchetti SYN ritrasmessi. È quindi possibile verificare se questi pacchetti SYN corrispondono a qualsiasi traffico correlato al connettore.
Controllare se il traffico del connettore usa proxy in uscita
Se hai configurato il traffico del connettore di rete privato per passare attraverso i server proxy, cerca connessioni non riuscite https al tuo proxy.
Usare il filtro Message Analyzer per identificare i tentativi di connessione HTTPS non riusciti al proxy. Immettere (https.Request or https.Response) and tcp.port==8080 nel filtro Message Analyzer, sostituendo 8080 con la porta del servizio proxy. Selezionare Applica per visualizzare i risultati del filtro.
Il filtro precedente mostra solo le richieste HTTP e le risposte da/verso la porta proxy. Stai cercando le richieste CONNECT che mostrano la comunicazione con il server proxy. In caso di esito positivo, si ottiene una risposta HTTP OK (200).
Se vengono visualizzati altri codici di risposta, ad esempio 407 o 502, significa che il proxy richiede l'autenticazione o non consente il traffico per altri motivi. A questo punto, si interagisce con il team di supporto del server proxy.