Partilhar via

Trabalhar com servidores proxy locais existentes

  • Artigo

Configure os conectores de rede privada do Microsoft Entra para usar servidores proxy de saída. O artigo assume que o ambiente de rede já tem um servidor proxy.

Começamos examinando estes principais cenários de implantação:

  • Configure conectores para ignorar seus proxies de saída locais.
  • Configure os conectores para usar um proxy de saída para aceder ao proxy de aplicação Microsoft Entra.
  • Configure usando um proxy entre o conector e a aplicação de servidor.

Para obter mais informações sobre como os conectores funcionam, consulte Compreender os conectores de rede privada do Microsoft Entra.

Ignorar os proxies de saída

Os conectores têm componentes subjacentes do sistema operacional que fazem solicitações de saída. Esses componentes tentam localizar automaticamente um servidor proxy na rede usando Web Proxy Auto-Discovery (WPAD).

Os componentes do sistema operacional tentam localizar um servidor proxy realizando uma pesquisa de DNS (Sistema de Nomes de Domínio) para wpad.domainsuffix. Se a pesquisa for resolvida no DNS, uma solicitação HTTP será feita para o endereço de Protocolo de Internet (IP) associado a wpad.dat. Essa solicitação se torna o script de configuração de proxy em seu ambiente. O conector usa esse script para selecionar um servidor proxy de saída. No entanto, o tráfego do conector pode continuar a falhar porque são necessárias mais definições de configuração no proxy.

Você pode configurar o conector para ignorar seu proxy local para garantir que ele use conectividade direta com o serviço de proxy de aplicativo Microsoft Entra. As conexões diretas são recomendadas porque exigem menos configuração. No entanto, algumas diretivas de rede exigem tráfego passando por um servidor proxy local.

Para desativar o uso de proxy de saída para o conector, edite o arquivo de C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config e adicione a seção system.net mostrada no exemplo de código:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Para garantir que o serviço Connector Updater também ignore o proxy, faça uma alteração semelhante no arquivo MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config. Este arquivo está localizado em C:\Program Files\Microsoft Entra private network connector Updater.

Certifique-se de fazer cópias dos arquivos originais, caso precise reverter para os arquivos .config padrão.

Usar o servidor proxy de saída

Alguns ambientes exigem que todo o tráfego de saída passe por um proxy de saída, sem exceção. Como resultado, ignorar o proxy não é uma opção.

Você pode configurar o tráfego do conector para passar pelo proxy de saída, conforme mostrado no diagrama a seguir:

Configurando o tráfego do conector para passar por um proxy de saída para o proxy de aplicativo Microsoft Entra

Como resultado de ter apenas tráfego de saída, não há necessidade de configurar o acesso de entrada através de seus firewalls.

Observação

O proxy de aplicativo não oferece suporte à autenticação para outros proxies. As contas de serviço de rede do conector/atualizador devem ser capazes de se conectar ao proxy sem serem desafiadas para autenticação.

Se o WPAD estiver habilitado no ambiente e configurado adequadamente, o conector descobrirá automaticamente o servidor proxy de saída e tentará usá-lo. No entanto, você pode configurar explicitamente o conector para passar por um proxy de saída.

Para fazer isso, edite o arquivo C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config e adicione a seção system.net mostrada no exemplo de código. Altere proxyserver:8080 para refletir o nome do servidor proxy local ou o endereço IP e a porta. O valor deve ter o prefixo http:// mesmo se você estiver usando um endereço IP.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Em seguida, configure o serviço Connector Updater para usar o proxy fazendo uma alteração semelhante no arquivo C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.

Observação

O serviço Connector avalia a configuração defaultProxy para uso no %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, se a defaultProxy não estiver configurada (por padrão) no MicrosoftEntraPrivateNetworkConnectorService.exe.config. O mesmo se aplica ao serviço Connector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config) também.

Há quatro aspetos a considerar no proxy de saída:

  • Regras de saída de proxy
  • Autenticação de proxy
  • Portas proxy
  • Inspeção TLS (Transport Layer Security, segurança da camada de transporte)

Regras de saída de proxy

Permita acesso aos seguintes URLs:

URL Porto Utilização
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicação entre o conector e o serviço de nuvem de proxy de aplicativo
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP O conector usa essas URLs para verificar certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com		 443/HTTPS O conector usa essas URLs durante o processo de registro.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP O conector usa essas URLs durante o processo de registro.

Se o seu firewall ou proxy permitir que você configure listas de permissões DNS, você pode permitir conexões para *.msappproxy.net e *.servicebus.windows.net.

Se você não puder permitir a conectividade por FQDN (Nome de Domínio Totalmente Qualificado) e precisar especificar intervalos de IP, use estas opções:

  • Permita que o conector tenha acesso de saída para todos os destinos.
  • Permita o acesso de saída do conector a todos os intervalos de endereços IP do datacenter do Azure. O desafio de usar a lista de intervalos de IP do datacenter do Azure é que eles são atualizados semanalmente. Você precisa colocar um processo em prática para garantir que suas regras de acesso sejam atualizadas de acordo. Somente o uso de um subconjunto dos endereços IP faz com que a configuração falhe. Os mais recentes intervalos de IP do Centro de Dados do Azure são descarregados em https://download.microsoft.com. Use o termo de pesquisa Azure IP Ranges and Service Tags. Certifique-se de selecionar a nuvem relevante. Por exemplo, os intervalos de IP da nuvem pública podem ser encontrados pesquisando por Azure IP Ranges and Service Tags – Public Cloud. A nuvem do governo dos EUA pode ser encontrada pesquisando por Azure IP Ranges and Service Tags – US Government Cloud.

Autenticação de proxy

Atualmente, não há suporte para autenticação de proxy. Nossa recomendação atual é permitir o acesso anônimo do conector aos destinos da Internet.

Portas proxy

O conector faz conexões de saída baseadas em TLS usando o método CONNECT. Esse método essencialmente configura um túnel através do proxy de saída. Configurar o servidor proxy para permitir o "tunneling" nas portas 443 e 80.

Observação

Quando o Service Bus é executado por HTTPS, ele usa a porta 443. No entanto, por padrão, o Service Bus tenta conexões diretas de protocolo TCP (Transmission Control Protocol) e retorna ao HTTPS somente se a conectividade direta falhar.

Inspeção TLS

Não use a inspeção TLS para o tráfego do conector, pois isso pode causar problemas. O conector utiliza um certificado para autenticar-se ao serviço de proxy de aplicativos, e esse certificado pode perder-se durante a inspeção do TLS.

Configurar usando um proxy entre o conector e o aplicativo de back-end

A utilização de um proxy de encaminhamento para a comunicação com a aplicação de back-end é um requisito especial em alguns ambientes. Para habilitar um proxy de encaminhamento, execute estas etapas:

Etapa 1: Adicionar o valor do Registro necessário ao servidor

  1. Para ativar o uso do proxy padrão, adicione o valor de registo (DWORD)UseDefaultProxyForBackendRequests = 1 à chave de registo da configuração do conector localizada em HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.

Etapa 2: Configurar o servidor proxy manualmente usando o comando netsh

  1. Habilite a política de grupo Make proxy settings per-machine. A política de grupo encontra-se em: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. A política de grupo precisa ser definida em vez de ter a política definida por usuário.
  2. Execute gpupdate /force no servidor. Como alternativa, para garantir que a diretiva de grupo seja atualizada, reinicie o servidor.
  3. Inicie um prompt de comando elevado com direitos de administrador e digite control inetcpl.cpl.
  4. Configure as configurações de proxy necessárias.

As configurações levam o conector a utilizar o mesmo proxy para a comunicação com o Azure e com a aplicação de back-end. Modifique o arquivo MicrosoftEntraPrivateNetworkConnectorService.exe.config para alterar o proxy de encaminhamento. A configuração do proxy de encaminhamento é descrita nas seções Ignorar proxies de saída e Utilizar o proxy de saída.

Observação

Há várias maneiras de configurar o proxy de internet no sistema operacional. As configurações de proxy definidas por meio de NETSH WINHTTP (executar NETSH WINHTTP SHOW PROXY para verificar) substituem as configurações de proxy definidas na Etapa 2.

O serviço de atualização do conector utiliza o proxy da máquina. A configuração é encontrada no arquivo MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config.

Solucionar problemas de conector de proxy e questões de conectividade de serviço

Agora você deve ver todo o tráfego fluindo através do proxy. Se você tiver problemas, as seguintes informações de solução de problemas devem ajudar.

A melhor maneira de identificar e solucionar problemas de conectividade do conector é capturar o tráfego de rede ao iniciar o serviço de conector. Aqui estão algumas dicas rápidas sobre como capturar e filtrar rastreamentos de rede.

Você pode usar a ferramenta de monitoramento de sua escolha. Para os fins deste artigo, usamos o Microsoft Message Analyzer.

Observação

Microsoft Message Analyzer (MMA) foi descontinuado e os seus pacotes de download removidos dos sites da microsoft.com a 25 de Novembro de 2019. Atualmente, não há nenhum substituto da Microsoft para o Microsoft Message Analyzer em desenvolvimento no momento. Para funcionalidades semelhantes, considere o uso de uma ferramenta de análise de protocolo de rede de terceiros como o Wireshark.

Os exemplos a seguir são específicos do Message Analyzer, mas os princípios podem ser aplicados a qualquer ferramenta de análise.

Faça uma captura do tráfego do conector

Para a solução de problemas inicial, execute as seguintes etapas:

  1. A partir de services.msc, pare o serviço de conector de rede privada Microsoft Entra.

    serviço de conector de rede privada Microsoft Entra em services.msc

  2. Execute Message Analyzer como administrador.

  3. Selecione Iniciar rastreamento local.

  4. Inicie o serviço de conector de rede privada Microsoft Entra.

  5. Pare a captura de rede.

    A captura de ecrã mostra o botão para parar a captura da rede

Verifique se o tráfego do conector ignora os proxies de saída

Se espera que o conector estabeleça conexões diretas com serviços de proxy de aplicações, respostas SynRetransmit na porta 443 indicam que há um problema de rede ou firewall.

Use o filtro Analisador de Mensagens para identificar tentativas de conexão TCP (Transmission Control Protocol) com falha. Digite property.TCPSynRetransmit na caixa de filtro e selecione Aplicar.

Um pacote de sincronização (SYN) é o primeiro pacote enviado para estabelecer uma conexão TCP. Se esse pacote não retornar uma resposta, o SYN será tentado novamente. Você pode usar o filtro para ver quaisquer pacotes SYN retransmitidos. Em seguida, você pode verificar se esses pacotes SYN correspondem a qualquer tráfego relacionado ao conector.

Verifique se o tráfego do conector usa proxies de saída

Se configuraste o tráfego do conector da tua rede privada para passar pelos servidores proxy, procura conexões https falhadas com o teu proxy.

Utilize o filtro Analisador de Mensagens para identificar tentativas de conexão HTTPS falhadas para o seu proxy. Insira (https.Request or https.Response) and tcp.port==8080 no filtro do Analisador de Mensagens, substituindo 8080 pela porta do seu serviço de proxy. Selecione Aplicar para ver os resultados do filtro.

O filtro anterior mostra apenas as solicitações HTTPs e as respostas de/para a porta proxy. Você está procurando as solicitações CONNECT que indicam comunicação com o servidor proxy. Após o sucesso, você recebe uma resposta HTTP OK (200).

Se você vir outros códigos de resposta, como 407 ou 502, isso significa que o proxy está exigindo autenticação ou não permitindo o tráfego por algum outro motivo. Neste ponto, você envolve sua equipe de suporte do servidor proxy.

Próximos passos