共用方式為

使用現有的內部部署 Proxy 伺服器

  • 發行項

設定Microsoft Entra 專用網連接器以使用輸出 Proxy 伺服器。 本文假設網路環境已經有 Proxy 伺服器。

我們一開始會查看下列主要部署案例:

  • 設定連接器以略過您的內部部署對外代理伺服器。
  • 設定連接器以使用出口代理伺服器存取 Microsoft Entra 應用程式代理。
  • 使用代理伺服器在連接器與後端應用程式之間進行配置。

如需連接器運作方式的詳細資訊,請參閱 瞭解 Microsoft Entra 專用網連接器

跳過外部代理伺服器

連接器具有發出輸出要求的基礎 OS 元件。 這些元件會自動嘗試使用 Web Proxy 自動探索 (WPAD) 在網路上尋找 Proxy 伺服器。

OS 元件會藉由執行網域名稱系統(DNS)查詢 wpad.domainsuffix來嘗試尋找代理伺服器。 如果查詢在 DNS 中解析成功,則會向 wpad.dat的 IP 位址發送 HTTP 請求。 此要求會成為您環境中的 Proxy 組態腳本。 連接器會使用此腳本來選取輸出 Proxy 伺服器。 不過,連接器流量可能仍然會失敗,因為在代理伺服器上需要做更多的配置設定。

您可以將連接器設定為繞過內部部署的 Proxy,以確保它直接連接到 Microsoft Entra 應用程式 Proxy 服務。 建議直接連線,因為它們需要較少的組態。 不過,某些網路原則要求流量要透過本機代理伺服器。

若要停用連接器的輸出 Proxy 使用方式,請編輯 C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config 檔案,並新增程式代碼範例中顯示的 system.net 區段:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

若要確保連接器更新程序服務也會略過 Proxy,請對 MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config 檔案進行類似的變更。 此檔案位於 C:\Program Files\Microsoft Entra private network connector Updater

請務必複製原始檔案,以便在需要時還原為預設 .config 檔案。

使用外部 Proxy 伺服器

某些環境必須讓所有外發數據流量通過外發代理伺服器,沒有例外。 因此,略過 Proxy 不是選項。

您可以將連接器流量設定為透過出站代理,如下圖所示:

設定連接器流量經由出口 Proxy 到 Microsoft Entra 應用程式代理

由於只有輸出流量,因此不需要透過防火牆設定輸入存取。

注意

應用程式 Proxy 不支援對其他 Proxy 進行驗證。 連接器/更新器網路服務帳戶應該能夠連線到代理伺服器,不需進行身份驗證。

如果在環境中啟用 WPAD 並適當設定,連接器會自動探索輸出 Proxy 伺服器並嘗試使用它。 不過,您可以明確設定連接器以通過外部代理伺服器。

若要這樣做,請編輯 C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config 檔案,並新增程式代碼範例中顯示的 system.net 區段。 變更 proxyserver:8080 以反映本地 Proxy 伺服器名稱或 IP 位址及其端口。 即使您使用 IP 位址,該值也必須有前綴符號 http://

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

接下來,將連接器更新程序服務設定為使用 Proxy,方法是對 C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config 檔案進行類似的變更。

注意

連接器服務會評估 defaultProxy 組態,以便用於 %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config,如果在 MicrosoftEntraPrivateNetworkConnectorService.exe.config中未設定 預設的 defaultProxy(這是預設狀況)。這同樣適用於連接器更新器服務(MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config)。

輸出 Proxy 有四個方面需要考慮:

  • 代理伺服器輸出規則
  • 代理驗證
  • 代理埠
  • 傳輸層安全性 (TLS) 檢查

Proxy 輸出規則

允許存取下列 URL:

URL 港口
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS 連接器與應用程式 Proxy 雲端服務之間的通訊
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP 連接器會使用這些 URL 來驗證憑證。
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com		 443/HTTPS 連接器會在註冊程式期間使用這些 URL。
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP 連接器會在註冊程式期間使用這些 URL。

如果您的防火牆或代理伺服器可讓您設定 DNS 允許清單,您可以允許連線到 *.msappproxy.net*.servicebus.windows.net

如果您無法允許完整功能變數名稱 (FQDN) 的連線,且必須改為指定IP範圍,請使用下列選項:

  • 允許連接器的外部存取至所有目的地。
  • 允許連接器輸出存取所有 Azure 資料中心 IP 範圍。 使用 Azure 資料中心 IP 範圍清單的挑戰是每周更新一次。 您必須設定程式,以確保您的存取規則會據以更新。 只使用部分IP位址會導致您的配置失效。 最新的 Azure 資料中心 IP 範圍可在 https://download.microsoft.com下載。 使用搜尋字詞,Azure IP Ranges and Service Tags。 請務必選取相關的雲端。 例如,您可以搜尋 Azure IP Ranges and Service Tags – Public Cloud來找到公用雲端IP範圍。 您可以搜尋 Azure IP Ranges and Service Tags – US Government Cloud來找到美國政府雲端。

代理身份驗證

目前不支援 Proxy 驗證。 我們目前的建議是允許連接器匿名存取因特網目的地。

代理埠

連接器會使用 CONNECT 方法來建立輸出 TLS 型連線。 這個方法基本上會透過出口代理設定通道。 將代理伺服器設定為允許通過 443 和 80 埠。

注意

當服務總線透過 HTTPS 執行時,它會使用埠 443。 不過,根據預設,服務總線會嘗試直接傳輸控制通訊協定 (TCP) 連線,只有在直接連線失敗時,才會回復為 HTTPS。

TLS 檢查

請勿針對連接器流量使用 TLS 檢查,因為它會造成連接器流量的問題。 連接器會使用憑證向應用程式 Proxy 服務進行驗證,而且該憑證可以在 TLS 檢查期間遺失。

在連接器與後端應用程式之間使用 Proxy 進行設定

在某些環境中,針對後端應用程式的通訊使用正向 Proxy 是一項特殊需求。 若要啟用轉寄 Proxy,請遵循下列步驟:

步驟 1:將必要的登錄值新增至伺服器

  1. 若要啟用預設 Proxy 的使用,請將登錄值 (DWORD)UseDefaultProxyForBackendRequests = 1 新增至位於 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector的連接器組態登錄機碼。

步驟 2:使用 netsh 命令手動設定 Proxy 伺服器

  1. 開啟群組原則 Make proxy settings per-machine。 組策略位於:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer。 必須設定組策略,而不是讓每個使用者設定原則。
  2. 在伺服器上執行 gpupdate /force。 或者,若要確保組策略已更新,請重新啟動伺服器。
  3. 使用系統管理員權限啟動提升權限的命令提示字元,然後輸入 control inetcpl.cpl
  4. 設定必要的 Proxy 設定。

這些設定可讓連接器使用相同的轉寄 Proxy 來與 Azure 和後端應用程式的通訊。 修改檔案 MicrosoftEntraPrivateNetworkConnectorService.exe.config 以變更正向代理。 正向代理設定在以下章節中說明:略過外部代理使用外部代理伺服器

注意

在作業系統中設定網路代理伺服器的方式有很多種。 透過 NETSH WINHTTP 設定的 Proxy 設定(執行 NETSH WINHTTP SHOW PROXY 驗證)會覆寫您在步驟 2 中設定的 Proxy 設定。

連接器更新程式服務會使用計算機 Proxy。 設定位於 MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config 檔案中。

針對連接器 Proxy 問題和服務連線問題進行疑難解答

現在您應該會看到所有流量流經代理伺服器。 如果您有問題,下列疑難解答資訊應該會有幫助。

找出連接器連線問題並進行疑難解答的最佳方式,是在啟動連接器服務時進行網路擷取。 以下是擷取和篩選網路追蹤的一些快速秘訣。

您可以使用您選擇的監視工具。 為了本文的目的,我們使用Microsoft訊息分析器。

注意

Microsoft訊息分析器 (MMA) 於 2019 年 11 月 25 日被淘汰,其下載套件已從 microsoft.com 網站移除。 目前沒有正在開發中的Microsoft訊息分析器替代品。 針對類似的功能,請考慮使用第三方網路協定分析器工具,例如Wireshark。

下列範例專屬於訊息分析器,但原則可以套用至任何分析工具。

擷取連接器流量

如需初始疑難解答,請執行下列步驟:

  1. services.msc開始,停止 Microsoft Entra 私用網路連接服務。

    在 services.mscMicrosoft Entra 私有網路連接器服務

  2. 以系統管理員身分執行 訊息分析器

  3. 選擇 啟動本機追蹤

  4. 啟動 Microsoft Entra 專用網連接器服務。

  5. 停止網路擷取。

    螢幕快照顯示 [停止網络擷取] 按鈕

檢查連接器流量是否繞過外部代理伺服器。

如果您預期連接器會直接連線到應用程式 Proxy 服務,SynRetransmit 埠 443 上的回應表示您有網路或防火牆問題。

使用訊息分析器篩選器來識別失敗的傳輸控制通訊協定 (TCP) 連線嘗試。 在篩選方塊中輸入 property.TCPSynRetransmit,然後選取「套用 」。

同步處理 (SYN) 封包是第一個傳送來建立 TCP 連線的封包。 如果此封包未傳回回應,則會重新嘗試 SYN。 您可以使用篩選來查看任何重新傳輸的 SYN 封包。 然後,您可以檢查這些 SYN 封包是否對應到任何連接器相關的流量。

檢查連接器流量是否使用出站代理伺服器

如果您將專用網路連接器流量設定為通過代理伺服器,請尋找到您代理伺服器的失敗 https 連線。

使用訊息分析器篩選來識別對 Proxy 的失敗 HTTPS 連線嘗試。 請在訊息分析器的篩選條件中輸入 (https.Request or https.Response) and tcp.port==8080,並將 8080 替換為您的代理服務埠。 選取 [套用 以查看篩選結果。

前面的過濾器只會顯示 HTTP 要求和來自/發到代理端口的回應。 您要尋找顯示與 Proxy 伺服器的通訊的 CONNECT 要求。 成功時,您會收到 HTTP OK (200) 回應。

如果您看到其他響應碼,例如 407 或 502,這表示 Proxy 需要驗證,或因其他原因不允許流量。 此時,您會與您的 Proxy 伺服器支援小組互動。

後續步驟