Meer informatie over de microsoft Entra private network-connector
Connectors maken Microsoft Entra-privétoegang en toepassingsproxy mogelijk. Ze zijn eenvoudig, gemakkelijk te implementeren en te onderhouden, en super krachtig. In dit artikel wordt beschreven wat connectors zijn, hoe ze werken en enkele suggesties voor het optimaliseren van uw implementatie.
Wat is een privénetwerkconnector?
Connectors zijn lichtgewicht agents die zich in een privénetwerk bevinden en de uitgaande verbinding met de Microsoft Entra-privétoegang- en toepassingsproxyservices mogelijk maken. Connectors moeten worden geïnstalleerd op een Windows Server die toegang heeft tot de back-endbronnen. U kunt connectors in connectorgroepen organiseren, waarbij elke groep verkeer naar specifieke resources verwerkt. Zie Microsoft Entra-toepassingsproxy gebruiken voor het publiceren van on-premises apps voor externe gebruikers voor meer informatie over de toepassingsproxy en een diagrammatische weergave van de toepassingsproxyarchitectuur.
Privénetwerkconnectors zijn lichtgewicht agents die on-premises zijn geïmplementeerd om de uitgaande verbinding met de toepassingsproxyservice in de cloud te vergemakkelijken. De connectors moeten worden geïnstalleerd op een Windows-Server die toegang heeft tot de back-end-toepassing. Gebruikers maken verbinding met de cloudservice van de toepassingsproxy die hun verkeer via de connectors naar de apps stuurt.
De installatie en registratie tussen een connector en de toepassingsproxyservice wordt als volgt uitgevoerd:
- De IT-beheerder opent poorten 80 en 443 voor uitgaand verkeer en biedt toegang tot verschillende URL's die nodig zijn voor de connector, de toepassingsproxyservice en Microsoft Entra-id.
- De beheerder meldt zich aan bij het Microsoft Entra-beheercentrum en voert een uitvoerbaar bestand uit om de connector op een on-premises Windows-server te installeren.
- De connector begint te luisteren naar de toepassingsproxyservice.
- De beheerder voegt de on-premises toepassing toe aan de Microsoft Entra-id en configureert instellingen zoals de URL's die gebruikers nodig hebben om verbinding te maken met hun apps.
Het is raadzaam om altijd meerdere connectors te implementeren voor redundantie en schaal. De connectors, in combinatie met de service, nemen alle taken met hoge beschikbaarheid op zich en kunnen dynamisch worden toegevoegd of verwijderd. Telkens wanneer een nieuwe aanvraag arriveert, wordt deze doorgestuurd naar een van de beschikbare connectors. Wanneer een connector wordt uitgevoerd, blijft deze actief wanneer deze verbinding maakt met de service. Als een connector tijdelijk niet beschikbaar is, reageert deze niet op dit verkeer. Ongebruikte connectors zijn gelabeld als inactief en worden verwijderd na 10 dagen van inactiviteit.
Connectors peilen ook de server om erachter te komen of er een nieuwere versie van de connector is. Hoewel u een handmatige update kunt uitvoeren, worden connectors automatisch bijgewerkt zolang de Updater-service voor de privénetwerkconnector wordt uitgevoerd. Voor tenants met meerdere connectors, worden de automatische updates per één connector in elke groep uitgevoerd om uitvaltijd in uw omgeving te voorkomen.
Notitie
U kunt de pagina versiegeschiedenis controleren om op de hoogte te blijven van de nieuwste updates.
Elke privénetwerkconnector wordt toegewezen aan een connectorgroep. Connectors in dezelfde connectorgroep fungeren als één eenheid voor hoge beschikbaarheid en taakverdeling. U kunt nieuwe groepen maken, er connectors aan toewijzen in het Microsoft Entra-beheercentrum en vervolgens specifieke connectors toewijzen voor specifieke toepassingen. Het wordt aanbevolen om ten minste twee connectors in elke connectorgroep te hebben voor hoge beschikbaarheid.
Connectorgroepen zijn handig wanneer u de volgende scenario's moet ondersteunen:
- Geografische apps publiceren
- Toepassingssegmentatie/-isolatie
- Publiceren van web-apps die in de cloud of on-premises worden uitgevoerd
Zie Overwegingen voor netwerktopologie bij het gebruik van de Microsoft Entra-toepassingsproxy voor meer informatie over het kiezen van de locatie van uw connectors en het optimaliseren van uw netwerk.
Onderhoud
De connectors en de service neemt alle taken met hoge beschikbaarheid op zich. Deze kunnen dynamisch worden toegevoegd of verwijderd. Nieuwe aanvragen worden doorgestuurd naar een van de beschikbare connectors. Als een connector tijdelijk niet beschikbaar is, reageert deze niet op dit verkeer.
De connectors hebben geen status en hebben geen configuratiegegevens op de computer. De enige gegevens die ze opslaan, zijn de instellingen voor het verbinden van de service en het bijbehorende verificatiecertificaat. Wanneer ze verbinding maken met de service, halen ze alle vereiste configuratiegegevens op en vernieuwen ze deze om de paar minuten.
Connectors peilen ook de server om erachter te komen of er een nieuwere versie van de connector is. Als deze wordt gevonden, worden de connectors zelf bijgewerkt.
U kunt uw connectors bewaken vanaf de computer waarop ze worden uitgevoerd, met behulp van het gebeurtenislogboek en de prestatiemeteritems. U kunt hun status ook bekijken in het Microsoft Entra-beheercentrum. Voor Microsoft Entra-privétoegang gaat u naar Global Secure Access, Connect en selecteert u Connectors. Voor toepassingsproxy gaat u naar Identiteit, Toepassingen, Bedrijfstoepassingen en selecteert u de toepassing. Selecteer op de toepassingspagina de toepassingsproxy.
U hoeft ongebruikte connectors niet handmatig te verwijderen. Wanneer een connector wordt uitgevoerd, blijft deze actief wanneer deze verbinding maakt met de service. Ongebruikte connectors worden gelabeld als _inactive_
en worden na 10 dagen inactiviteit verwijderd. Als u een connector echter wilt verwijderen, verwijdert u de Connector- en de Updater-service van de server. Start de computer opnieuw op om de service volledig te verwijderen.
Automatische updates
Microsoft Entra ID biedt automatische updates voor alle connectors die u implementeert. Zolang de updaterservice voor de privénetwerkconnector wordt uitgevoerd, worden uw connectors automatisch bijgewerkt met de nieuwste primaire connectorrelease. Als u de Connector Updater-service niet ziet op uw server, moet u de connector opnieuw installeren om updates op te halen.
Als u niet wilt wachten tot er een automatische update naar uw connector komt, kunt u een handmatige upgrade uitvoeren. Ga naar de downloadpagina van de connector op de server waar de connector zich bevindt en selecteer Downloaden. Met dit proces wordt een upgrade voor de lokale connector gestart.
Voor tenants met meerdere connectors, worden de automatische updates per één connector in elke groep uitgevoerd om uitvaltijd in uw omgeving te voorkomen.
U kunt downtime ondervinden wanneer uw connector wordt bijgewerkt als:
- U hebt slechts één connector. Een tweede connector en een connectorgroep worden aanbevolen om downtime te voorkomen en hogere beschikbaarheid te bieden.
- Een connector was bezig met een transactie toen de update begon. Hoewel de initiële transactie verloren gaat, moet de bewerking automatisch opnieuw worden uitgevoerd in uw browser of u kunt de pagina vernieuwen. Wanneer de aanvraag opnieuw wordt verzonden, wordt het verkeer doorgestuurd naar een back-upconnector.
Zie De releasegeschiedenis van de toepassingsproxy voor informatie over eerder uitgebrachte versies en welke wijzigingen ze bevatten.
Connectorgroepen worden gemaakt
Met connectorgroepen kunt u specifieke connectors toewijzen voor specifieke toepassingen. U kunt veel connectors groeperen en vervolgens elke resource of toepassing toewijzen aan een groep.
Met connectorgroepen kunt u eenvoudiger grote implementaties beheren. Ze verbeteren ook de latentie voor tenants met resources en toepassingen die worden gehost in verschillende regio's, omdat u op locatie gebaseerde connectorgroepen kunt maken om alleen lokale toepassingen te bedienen.
Zie Microsoft Entra-groepen voor privénetwerkconnectorgroepen voor meer informatie over connectorgroepen.
Beveiliging en netwerken
Connectors kunnen overal in het netwerk worden geïnstalleerd, zodat ze aanvragen kunnen verzenden naar de Microsoft Entra-privétoegang- en toepassingsproxyservice. Wat belangrijk is, is dat de computer waarop de connector wordt uitgevoerd, ook toegang heeft tot uw apps en resources. U kunt connectors installeren in uw bedrijfsnetwerk of op een virtuele machine die in de cloud wordt uitgevoerd. Connectors kunnen worden uitgevoerd binnen een perimeternetwerk, ook wel een gedemilitariseerde zone (DMZ) genoemd. Maar dit is niet nodig omdat al het verkeer uitgaand is, zodat uw netwerk veilig blijft.
Connectors verzenden alleen uitgaande aanvragen. Het uitgaande verkeer wordt verzonden naar de service en naar de gepubliceerde resources en toepassingen. U hoeft geen binnenkomende poorten te openen, omdat verkeer op beide manieren stroomt zodra een sessie tot stand is gebracht. U hoeft ook geen binnenkomende toegang via uw firewalls te configureren.
Zie Werken met bestaande, on-premises proxyservers voor meer informatie over het configureren van uitgaande firewallregels.
Prestaties en schaalbaarheid
Schaal voor Microsoft Entra-privétoegang en de toepassingsproxyservices is transparant, maar schaal is een factor voor connectors. U moet over voldoende connectors beschikken om piekverkeer af te kunnen handelen. Connectors zijn staatloos en het aantal gebruikers of sessies heeft geen invloed op deze connectors. In plaats daarvan reageren ze op het aantal aanvragen en de bijhorende grootte van de nettobelasting. Met standaard webverkeer kan een gemiddelde machine 2000 aanvragen per seconde verwerken. De specifieke capaciteit is afhankelijk van de exacte computerkenmerken.
Cpu en netwerk definiëren de prestaties van de connector. CPU-prestaties zijn nodig voor TLS-versleuteling en -ontsleuteling, terwijl netwerken belangrijk zijn om snelle connectiviteit met de toepassingen en de onlineservice te krijgen.
Geheugen is daarentegen minder een probleem voor connectors. De online service zorgt voor een groot deel van de verwerking en al het niet-geverifieerde verkeer. Alles wat in de cloud kan worden gedaan, gebeurt in de cloud.
Wanneer connectors of machines niet beschikbaar zijn, gaat verkeer naar een andere connector in de groep. Meerdere connectors in een connectorgroep bieden tolerantie.
Een andere factor die de prestaties beïnvloedt, is de kwaliteit van het netwerk tussen de connectors, waaronder:
- De onlineservice: verbindingen met trage of hoge latentie met de Microsoft Entra-service beïnvloeden de prestaties van de connector. Voor de beste prestaties verbindt u uw organisatie met Microsoft met Express Route. Zorg er anders voor dat uw netwerkteam ervoor zorgt dat verbindingen met Microsoft zo efficiënt mogelijk worden afgehandeld.
- De back-endtoepassingen: in sommige gevallen zijn er extra proxy's tussen de connector en de back-endbronnen en toepassingen die verbindingen kunnen vertragen of voorkomen. Als u problemen met dit scenario wilt oplossen, opent u een browser vanaf de connectorserver en probeert u toegang te krijgen tot de toepassing of resource. Als u de connectors in de cloud uitvoert, maar de toepassingen on-premises zijn, is de ervaring mogelijk niet wat uw gebruikers verwachten.
- De domeincontrollers: als de connectors eenmalige aanmelding (SSO) uitvoeren met Kerberos Constrained Delegation, neemt deze contact op met de domeincontrollers vóórdat ze de aanvraag naar de back-end verzenden. De connectors hebben een cache met Kerberos-tickets. Maar in een drukke omgeving kan de reactiesnelheid van de domeincontrollers van invloed zijn op de prestaties. Dit probleem is gebruikelijker voor connectors die worden uitgevoerd in Azure, maar communiceren met domeincontrollers die on-premises zijn.
Zie Overwegingen voor netwerktopologie bij het gebruik van de Microsoft Entra-toepassingsproxy voor meer informatie over het optimaliseren van uw netwerk.
Domeindeelname
Connectors kunnen worden uitgevoerd op een computer die niet lid is van een domein. Als u echter eenmalige aanmelding (SSO) wilt gebruiken voor toepassingen die gebruikmaken van geïntegreerde Windows-verificatie (IWA), hebt u een computer nodig die lid is van een domein. In dit geval moeten de connectormachines worden gekoppeld aan een domein dat Kerberos Constrained Delegation kan uitvoeren namens de gebruikers voor de gepubliceerde toepassingen.
Connectors kunnen ook worden gekoppeld aan domeinen in forests met een gedeeltelijke vertrouwensrelatie of alleen-lezen domeincontrollers.
Connectorimplementaties in geharde omgevingen
Meestal is de implementatie van de connector eenvoudig en is geen speciale configuratie vereist.
Er zijn echter enkele unieke voorwaarden die moeten worden overwogen:
- Uitgaand verkeer vereist dat specifieke poorten zijn geopend. Zie Connectors configureren voor meer informatie.
- VOOR FIPS-compatibele machines is mogelijk een configuratiewijziging vereist, zodat de connectorprocessen een certificaat kunnen genereren en opslaan.
- Uitgaande uitgaande proxy's kunnen de verificatie van tweerichtingscertificaten verbreken en ervoor zorgen dat de communicatie mislukt.
Verificatie van de connector controleren
Als u een beveiligde service wilt aanbieden, moeten connectors zich verifiëren bij de service en moet de service zich verifiëren bij de connector. Deze verificatie wordt uitgevoerd met client- en servercertificaten wanneer de connectors de verbinding initiëren. Op deze manier worden de gebruikersnaam en het wachtwoord van de beheerder niet opgeslagen op de connectorcomputer.
De gebruikte certificaten zijn specifiek voor de service. Ze worden gemaakt tijdens de eerste registratie en worden elke paar maanden automatisch verlengd.
Na de eerste geslaagde certificaatvernieuwing heeft de Microsoft Entra Private Network Connector-service (Network Service) geen toestemming om het oude certificaat uit het archief van de lokale computer te verwijderen. Als het certificaat verloopt of niet door de service wordt gebruikt, kunt u het veilig verwijderen.
Om problemen met certificaatvernieuwing te voorkomen, moet u ervoor zorgen dat de netwerkcommunicatie van de connector naar de gedocumenteerde bestemmingen is ingeschakeld.
Als een connector gedurende enkele maanden niet is verbonden met de service, zijn de certificaten mogelijk verouderd. In dit geval verwijdert u de connector en installeert u deze opnieuw om de registratie te activeren. U kunt de volgende PowerShell-opdrachten uitvoeren:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Gebruik voor overheid -EnvironmentName "AzureUSGovernment"
. Zie Agent installeren voor de Azure Government Cloud voor meer informatie.
Zie Ondersteuning voor machine- en back-endonderdelen controleren voor het vertrouwenscertificaat van de toepassingsproxy voor meer informatie over het controleren van het certificaat en het oplossen van problemen.
Onder de motorkap
Connectors worden geïnstalleerd op Windows Server, dus ze hebben de meeste van dezelfde beheerhulpprogramma's, waaronder Windows-gebeurtenislogboeken en Windows-prestatiemeteritems.
De connectors bevatten Beheers- en sessielogboeken. De beheerlogboeken bevatten belangrijke gebeurtenissen en de bijhorende fouten. Het sessielogboek bevatten alle transacties en hun verwerkingsdetails.
Als u de logboeken wilt bekijken, opent u Logboeken en gaat u naar Toepassingen en Services-logboeken microsoft>>Entra-connector voor privénetwerk.> Als u het sessielogboek zichtbaar wilt maken, selecteert u Analyse- en foutopsporingslogboeken weergeven in het menu Beeld. Het sessielogboek wordt doorgaans gebruikt voor probleemoplossing en is standaard uitgeschakeld. Schakel het in om gebeurtenissen te verzamelen en schakel het uit wanneer dit niet meer nodig is.
U kunt de status van de service onderzoeken in het venster Services. De connector bestaat uit twee Windows-services: de werkelijke connector en de updater. Beide moeten altijd worden uitgevoerd.
Inactieve connectors
Een veelvoorkomend probleem is dat connectors inactief worden weergegeven in een connectorgroep. Een firewall die de vereiste poorten blokkeert, is een veelvoorkomende oorzaak voor inactieve connectors.