Förstå anslutningsprogrammet för privata Microsoft Entra-nätverk
Det är anslutningar som gör Microsoft Entra privat-åtkomst och programproxy möjligt. De är enkla, enkla att distribuera och underhålla och superstarka. I den här artikeln beskrivs vad kontakter är, hur de fungerar och några förslag på hur du optimerar utplaceringen.
Vad är en privat nätverksanslutning?
Anslutningsappar är enkla agenter som finns i ett privat nätverk och underlättar utgående anslutning till Microsoft Entra privatåtkomst- och programproxytjänster. Kontakter måste installeras på en Windows Server som har åtkomst till bakresurserna. Du kan ordna anslutningar i anslutningsgrupper, där varje grupp hanterar trafik till specifika resurser. Mer information om programproxy och en diagrammatisk representation av programproxyarkitektur finns i Använda Microsoft Entra-programproxy för att publicera lokala appar för fjärranvändare.
Mer information om hur du konfigurerar den privata Nätverksanslutningen för Microsoft Entra finns i Konfigurera privata nätverksanslutningar för Microsoft Entra privatåtkomst.
Privata nätverksanslutningar är lätta agenter som distribueras lokalt och som underlättar den utgående anslutningen till programproxytjänsten i molnet. Anslutningsprogrammen måste vara installerade på en Windows Server som har åtkomst till bakgrundsapplikationen. Användare ansluter till molntjänsten för programproxy som dirigerar deras trafik till apparna via anslutningarna.
Installation och registrering mellan en anslutningsapp och programproxytjänsten utförs på följande sätt:
- IT-administratören öppnar portarna 80 och 443 för utgående trafik och ger åtkomst till flera URL:er som behövs av anslutningsappen, programproxytjänsten och Microsoft Entra-ID.
- Administratören loggar in på administrationscentret för Microsoft Entra och kör en körbar fil för att installera anslutningsappen på en lokal Windows-server.
- Anslutningsappen börjar "lyssna" på programproxytjänsten.
- Administratören lägger till det lokala programmet i Microsoft Entra-ID:t och konfigurerar inställningar som de URL:er som användarna behöver för att ansluta till sina appar.
Vi rekommenderar att du alltid implementerar flera anslutningar för säkerhetskopiering och skalning. Kopplingarna, i samverkan med tjänsten, tar hand om alla uppgifter relaterade till hög tillgänglighet och kan läggas till eller tas bort dynamiskt. Varje gång en ny begäran tas emot, dirigeras den till en av de tillgängliga anslutningarna. När en anslutning är aktiv förblir den så medan den uppkopplar sig mot tjänsten. Om en konnektor är tillfälligt otillgänglig svarar den inte på den här trafiken. Oanvända anslutningar taggas som inaktiva och tas bort efter 10 dagars inaktivitet.
Anslutningsprogram kontrollerar också servern för att ta reda på om det finns en nyare version av anslutningsprogrammet. Även om du kan göra en manuell uppdatering, uppdateras anslutningarna automatiskt så länge Uppdateringstjänsten för privata nätverksanslutningar körs. För hyresgäster med flera anslutningar riktar sig de automatiska uppdateringarna mot en anslutning i taget i varje grupp för att förhindra stilleståndstid i din miljö.
Kommentar
Du kan övervaka sidan versionshistorik för att hålla dig informerad om de senaste uppdateringarna.
Varje privat nätverksanslutning tilldelas till en anslutningsgrupp. Kontaktenheter i samma anslutningsgrupp fungerar som en enhet för hög tillgänglighet och belastningsutjämning. Du kan skapa nya grupper, tilldela anslutningsappar till dem i administrationscentret för Microsoft Entra och sedan tilldela specifika anslutningsappar för att hantera specifika program. Vi rekommenderar att du har minst två kontakter i varje anslutningsgrupp för hög tillgänglighet.
Anslutningsgrupper är användbara när du behöver stöd för följande scenarier:
- Publicering av geografiska appar
- Applikationssegmentering/isolering
- Publicera webbappar som körs i molnet eller lokalt
Mer information om hur du väljer var du vill installera dina anslutningsappar och optimera nätverket finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.
Underhåll
Anslutningskomponenterna och tjänsten tar hand om alla uppgifter relaterade till hög tillgänglighet. De kan läggas till eller tas bort dynamiskt. Nya begäranden dirigeras till en av de tillgängliga anslutningarna. Om en kontakt är tillfälligt otillgänglig ger den inget svar på den här trafiken.
Anslutningarna är tillståndslösa och har ingen konfigurationsdata på datorn. De enda data de lagrar är inställningarna för att ansluta tjänsten och dess autentiseringscertifikat. När de ansluter till tjänsten hämtar de alla nödvändiga konfigurationsdata och uppdaterar dem med några minuters mellanrum.
Anslutningsappar avsöker också servern för att ta reda på om det finns en nyare version av anslutningsappen. Om en hittas uppdaterar anslutningarna sig själva.
Du kan övervaka dina anslutningsappar från den dator som de körs på med antingen händelseloggen och prestandaräknaren. Du kan också visa deras status i administrationscentret för Microsoft Entra. För Microsoft Entra privatåtkomst går du till Global säker åtkomst, Anslut och väljer Anslutningsappar. För programproxy går du till Identitet, Program, Företagsprogram och väljer programmet. På programsidan väljer du programproxy.
Du behöver inte manuellt ta bort anslutningar som inte används. När en anslutare körs förblir den aktiv medan den ansluter till tjänsten. Oanvända anslutningar taggas som _inactive_
och tas bort efter 10 dagars inaktivitet. Om du vill avinstallera en anslutningsapp avinstallerar du dock både anslutningstjänsten och Updater-tjänsten från servern. Starta om datorn för att ta bort tjänsten helt.
Automatiska uppdateringar
Microsoft Entra ID tillhandahåller automatiska uppdateringar för alla anslutningar som du distribuerar. Så länge uppdateringstjänsten för privata nätverksanslutare körs uppdateras anslutare automatiskt med den senaste större versionen av anslutaren. Om du inte ser tjänsten Connector Updater på servern måste du installera om anslutningsappen för att få uppdateringar.
Om du inte vill vänta på att en automatisk uppdatering ska komma till anslutningen kan du göra en manuell uppgradering. Gå till nedladdningssidan för anslutningsappen på servern där anslutningsappen finns och välj Ladda ned. Den här processen startar en uppgradering för den lokala kopplaren.
För användare med flera anslutningar är de automatiska uppdateringarna inriktade på en anslutning i taget i varje grupp för att förhindra avbrott i din miljö.
Du kan uppleva stilleståndstid när anslutningsappen uppdateras om:
- Du har bara en kontakt. En andra kontakt och en kontaktgrupp rekommenderas för att undvika driftavbrott och ge högre tillgänglighet.
- En kontakt var mitt i en transaktion när uppdateringen påbörjades. Även om den första transaktionen går förlorad bör webbläsaren automatiskt försöka utföra åtgärden igen eller så kan du uppdatera sidan. När begäran skickas igen dirigeras trafiken till en reservanslutning.
Information om tidigare utgivna versioner och vilka ändringar de innehåller finns i Programproxy – Versionshistorik.
Skapa anslutningsgrupper
Med anslutningsgrupper kan du tilldela specifika anslutningar för att tjäna specifika program. Du kan gruppera många anslutningar och sedan tilldela varje resurs eller applikation till en grupp.
Anslutningsgrupper gör det enklare att hantera stora distributioner. De förbättrar också svarstiden för klienter som har resurser och program i olika regioner, eftersom du kan skapa platsbaserade anslutningsgrupper för att endast hantera lokala program.
Mer information om anslutningsgrupper finns i Förstå grupper för privata nätverksanslutningar i Microsoft Entra.
Säkerhet och nätverk
Anslutningsappar kan installeras var som helst i nätverket så att de kan skicka begäranden till Microsoft Entra privatåtkomst- och programproxytjänsten. Det viktiga är att datorn som kör anslutningsappen också har åtkomst till dina appar och resurser. Du kan installera anslutningsappar i företagets nätverk eller på en virtuell dator som körs i molnet. Anslutningar kan köras i ett perimeternätverk, även kallat en demilitariserad zon (DMZ), men det är inte nödvändigt eftersom all trafik är utåtgående och nätverket förblir säkert.
Anslutningsappar skickar endast utgående begäranden. Den utgående trafiken skickas till tjänsten och till de publicerade resurserna och programmen. Du behöver inte öppna inkommande portar eftersom trafiken flödar åt båda hållen när en session har upprättats. Du behöver inte heller konfigurera inkommande åtkomst via brandväggarna.
Mer information om hur du konfigurerar regler för utgående brandvägg finns i Arbeta med befintliga lokala proxyservrar.
Prestanda och skalbarhet
Skala för Microsoft Entra Private Access och programproxytjänsterna är transparent, men skala är en faktor för anslutningar. Du måste ha tillräckligt med kontakter för att hantera trafiktoppar. Kopplingar är tillståndslösa och påverkas inte av antalet användare eller sessioner. I stället svarar de på antalet begäranden och deras nyttolaststorlek. Med standardwebbtrafik kan en genomsnittlig dator hantera 2 000 begäranden per sekund. Den specifika kapaciteten beror på de exakta datoregenskaperna.
CPU och nätverk definierar anslutningens prestanda. Processorprestanda krävs för TLS-kryptering och dekryptering, medan nätverk är viktigt för att få snabb anslutning till programmen och onlinetjänsten.
Däremot är minnet mindre av ett problem för anslutningsappar. Onlinetjänsten tar hand om mycket av bearbetningen och all oautentiserad trafik. Allt som kan göras i molnet görs i molnet.
När kontakter eller maskiner inte är tillgängliga, går trafiken till en annan kontakt i gruppen. Flera anslutningar i en anslutningsgrupp ger motståndskraft.
En annan faktor som påverkar prestanda är kvaliteten på nätverkandet mellan kontakterna, inklusive:
- Onlinetjänsten: Långsamma eller långa anslutningar till Microsoft Entra-tjänsten påverkar anslutningsprestandan. För bästa prestanda kan du ansluta din organisation till Microsoft med Express Route. Annars måste nätverksteamet se till att anslutningarna till Microsoft hanteras så effektivt som möjligt.
- Serverdelsprogram: I vissa fall finns det extra proxyservrar mellan anslutningsappen och serverdelsresurserna och programmen som kan sakta ned eller förhindra anslutningar. Om du vill felsöka det här scenariot öppnar du en webbläsare från anslutningsservern och försöker komma åt programmet eller resursen. Om du kör anslutningsapparna i molnet men programmen är lokala kanske upplevelsen inte är vad användarna förväntar sig.
- Domänkontrollanterna: Om anslutningsapparna utför enkel inloggning (SSO) med Kerberos-begränsad delegering kontaktar de domänkontrollanterna innan de skickar begäran till serverdelen. Anslutningsprogrammen har en cache med Kerberos-biljetter, men i en upptagen miljö kan svarstiden hos domänkontrollanterna påverka prestandan. Det här problemet är vanligare för anslutningsappar som körs i Azure men som kommunicerar med domänkontrollanter som är lokala.
Mer information om hur du optimerar nätverket finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.
Specifikationer och storlekskrav
Följande specifikationer rekommenderas för varje Entra Private Network-konnektor:
- minne: 8 GiB eller mer
- CPU: 4 CPU-kärnor eller mer
Se till att dina kontakter är mindre än 70% för optimal minnesanvändning och CPU-användning. Om processor- eller minnesanvändningen överskrider det föreslagna maxvärdet kan du överväga att lägga till fler anslutningsappar för att distribuera dina arbetsbelastningar effektivt.
- Dataflöde: Varje anslutningsapp, konfigurerad med ovanstående specifikationer, kan ha stöd för upp till 1,5 Gbit/s dataflöde över TCP på en virtuell Azure-dator. Dataflödet mäts som summan av både inkommande och utgående trafik. Högre dataflöde kan uppnås genom att köra anslutningsappen på virtuella datorer med ökat minne, processorresurser och förbättrade nätverkslänkhastigheter.
ytterligare information:
- Storleksrekommendationerna ovan baseras på prestandatestning som utförs på en testklientorganisation med hjälp av iPerf3-verktyget med TCP-dataströmmar. Faktiska prestanda kan variera i olika testmiljöer. Mer information om specifika testfall kommer att publiceras som en del av den här dokumentationen under de kommande månaderna.
- När en anslutning har registrerats upprättas utgående TLS-tunnlar till molninfrastrukturen för privat åtkomst. Dessa tunnlar hanterar all trafik i datavägen. Dessutom har vi en kontrollplanskanal som driver pulsslag som håller vid liv, hälsorapportering, anslutningsuppgraderingar och så vidare med minimal bandbredd.
- Du kan distribuera ytterligare kontakter inom samma anslutningsgrupp för att öka det totala dataflödet, förutsatt att det finns tillräcklig nätverks- och internetanslutning. Vi rekommenderar att du upprätthåller minst två hälsosamma kontakter för att säkerställa motståndskraft och konsekvent tillgänglighet. Metodtips för hög tillgänglighet finns i vägledningen här.
Domänanslutning
Connectors kan köras på en maskin som inte är domänansluten. Men om du vill ha enkel inloggning (SSO) för program som använder integrerad Windows-autentisering (IWA) behöver du en domänansluten dator. I det här fallet måste anslutningsdatorerna vara anslutna till en domän som kan utföra Kerberos-begränsad delegering för användarnas räkning för de publicerade programmen.
Anslutningar kan också anslutas till domäner i skogar som har delvis tillit eller till skrivskyddade domänkontrollanter.
Distribuering av anslutningar i härdade miljöer
Implementeringen av anslutningsmodulen är vanligtvis enkel och kräver ingen särskild konfiguration.
Det finns dock några unika villkor som bör beaktas:
- Utgående trafik kräver att specifika portar är öppna. Mer information finns i konfigurera anslutningsappar.
- FIPS-kompatibla datorer kan kräva en konfigurationsändring så att anslutningsprocesserna kan generera och lagra ett certifikat.
- Utgående proxyservrar för vidarebefordran kan bryta tvåvägscertifikatautentiseringen och orsaka att kommunikationen misslyckas.
Autentisering av anslutning
För att tillhandahålla en säker tjänst måste anslutningar autentiseras för tjänsten, och tjänsten måste autentiseras för anslutningarna. Den här autentiseringen görs med hjälp av klient- och servercertifikat när kontakterna initierar anslutningen. På så sätt lagras inte administratörens användarnamn och lösenord på anslutningsdatorn.
De certifikat som används är specifika för tjänsten. De skapas under den första registreringen och förnyas automatiskt varannan månad.
Efter den första lyckade certifikatförnyelsen har Microsoft Entra-tjänsten för privata nätverksanslutningar (nätverkstjänst) ingen behörighet att ta bort det gamla certifikatet från det lokala datorarkivet. Om certifikatet upphör att gälla eller inte används av tjänsten kan du ta bort det på ett säkert sätt.
För att undvika problem med certifikatförnyelse kontrollerar du att nätverkskommunikationen från anslutningsappen mot de dokumenterade destinationerna är aktiverad.
Om en connector inte är ansluten till tjänsten på flera månader kan dess certifikat vara inaktuella. I det här fallet avinstallerar och installerar du om anslutningen för att utlösa registreringen. Du kan köra följande PowerShell-kommandon:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
För myndigheter använder du -EnvironmentName "AzureUSGovernment"
. Mer information finns i Installera agent för Azure Government Cloud.
Information om hur du verifierar certifikatet och felsöker problem finns i Verifiera stöd för dator- och serverdelskomponenter för programproxyförtroendecertifikat.
Under motorhuven
Anslutningsappar är installerade på Windows Server, så de har de flesta av samma hanteringsverktyg, inklusive Windows-händelseloggar och Windows-prestandaräknare.
Kontakterna har både administratörs och sessionsloggar. Administratörsloggen innehåller viktiga händelser och deras fel. Sessionsloggen innehåller alla transaktioner och deras bearbetningsinformation.
Om du vill se loggarna öppnar du Loggboken och går till Program- och tjänstloggar>Microsoft>Microsoft Entra private network>Connector. Om du vill göra sessionsloggen synlig går du till menyn Visa och väljer Visa analys- och felsökningsloggar. Sessionsloggen används vanligtvis för felsökning och är inaktiverad som standard. Aktivera den för att börja samla in händelser och inaktivera den när den inte längre behövs.
Du kan undersöka tjänstens tillstånd i fönstret Tjänster. Anslutningsappen består av två Windows-tjänster: den faktiska anslutningsappen och uppdateringstjänsten. Båda två måste gå hela tiden.
Inaktiva kontakter
Ett vanligt problem är att anslutningar är inaktiva i en anslutningsgrupp. En brandvägg som blockerar de portar som krävs är en vanlig orsak till inaktiva kontakter.