Microsoft Entra privé-netwerkconnectoren

Connectors maken microsoft Entra Private Access en toepassingsproxy mogelijk. In dit artikel wordt uitgelegd wat connectors zijn, hoe ze werken en hoe u uw implementatie kunt optimaliseren.

Wat is een privénetwerkconnector?

Privénetwerkconnectors zijn lichtgewicht agents die u op Windows Server in uw netwerk installeert. Ze maken uitgaande verbindingen met de privétoegangs- en toepassingsproxyservices om back-endbronnen te bereiken.

Gebruikers maken verbinding met de cloudservice, waarmee verkeer wordt gerouteerd naar apps via de connectors. Zie Microsoft Entra-toepassingsproxy gebruiken voor het publiceren van on-premises apps voor externe gebruikers voor een overzicht van de architectuur.

Een connector instellen en registreren bij de toepassingsproxyservice:

1. Open uitgaande poorten 80 en 443 en sta toegang toe tot de vereiste service- en Microsoft Entra-ID-URL's.
2. Meld u aan bij het Microsoft Entra-beheercentrum en voer het installatieprogramma uit op een on-premises Windows Server-computer.
3. Start de connector zodat deze luistert naar de toepassingsproxyservice.
4. Voeg de on-premises toepassing toe aan de Microsoft Entra-id en stel de gebruikersgerichte URL's in.

Zie voor meer informatie over de installatie hoe u connectors voor privénetwerken configureert voor Microsoft Entra Private Access en toepassingsproxy.

Connectors en de service beheren hoge beschikbaarheid. U kunt op elk gewenst moment connectors toevoegen of verwijderen.

Connectorgroepen

U kunt connectors ordenen in connectorgroepen die verkeer voor specifieke resources verwerken. Connectors in dezelfde groep fungeren als één eenheid voor hoge beschikbaarheid en taakverdeling.

Maak groepen en wijs connectors toe in het Microsoft Entra-beheercentrum en wijs vervolgens groepen toe aan specifieke toepassingen. Gebruik ten minste twee connectors in elke groep voor hoge beschikbaarheid.

Connectorgroepen gebruiken voor:

• Geografische app-publicatie.
• Toepassingssegmentatie en isolatie.
• Web-apps publiceren die in de cloud of lokaal uitgevoerd worden.

Connectorgroepen vereenvoudigen het beheer van grote implementaties. Ze kunnen latentie verminderen voor tenants met resources en toepassingen in verschillende regio's. Maak op locatie gebaseerde connectorgroepen om alleen lokale toepassingen te gebruiken.

Meer informatie vindt u in Microsoft Entra Private Network Connector-groepen.

Onderhoud

De service stuurt nieuwe aanvragen naar een beschikbare connector. Als een connector tijdelijk niet beschikbaar is, ontvangt deze geen verkeer.

Connectors zijn staatloos en slaan geen configuratiegegevens op de computer op. Ze slaan alleen de instellingen op voor het maken van verbinding met de service en het verificatiecertificaat. Wanneer ze verbinding maken met de service, halen ze de vereiste configuratiegegevens op en vernieuwen ze deze om de paar minuten.

Connectorstatus

U kunt de status van connectors bekijken in het Microsoft Entra-beheercentrum:

• Voor privétoegang: Ga naar Global Secure Access>Connect>Connectors.
• Voor toepassingsproxy: Ga naar Identiteit>Toepassingen>Bedrijfstoepassingen, en selecteer vervolgens de toepassing. Selecteer toepassingsproxy op de toepassingspagina.

Logs

Connectors worden geïnstalleerd op Windows Server, zodat ze de meeste van dezelfde beheerhulpprogramma's hebben. U kunt Windows-gebeurtenislogboeken en Windows-prestatiecounters gebruiken om connectors te monitoren.

Connectors hebben zowel beheerders - als sessielogboeken . De beheerlogboeken bevatten belangrijke gebeurtenissen en de bijhorende fouten. Het sessielogboek bevatten alle transacties en hun verwerkingsdetails.

De logboeken weergeven:

1. Open Evenementenweergave en ga naar Toepassingen en Services-logboeken>Microsoft>Entra private network>Connector.

   Het beheerderslogboek is standaard zichtbaar.

2. Als u het sessielogboek zichtbaar wilt maken, selecteert u Analyse- en foutopsporingslogboeken weergeven in het menu Beeld.

   Het sessielogboek wordt doorgaans gebruikt voor probleemoplossing en is standaard uitgeschakeld. Schakel het in om gebeurtenissen te verzamelen en uit te schakelen wanneer u deze niet meer nodig hebt.

Servicestatus

De connector bestaat uit twee Windows-services: de werkelijke connector en de updater. Beide moeten voortdurend draaien. U kunt de status van de services bekijken in het venster Services .

Afhandelen van problemen met connectorservers

Als een of meer connectorservers niet beschikbaar zijn vanwege een storing in een server, netwerk of vergelijkbaar, voert u de volgende stappen uit om de continuïteit te behouden:

1. Identificeer en verwijder de betrokken servers uit de connectorgroep.
2. Voeg beschikbare gezonde servers of back-upservers toe aan de connectorgroep om de capaciteit te herstellen.
3. Start de betrokken servers opnieuw op om bestaande verbindingen leeg te maken. Bestaande lopende verbindingen worden niet onmiddellijk verwijderd met wijzigingen in de connectorgroep.

Gebruik deze volgorde om de service stabiel te houden en onderbrekingen te minimaliseren wanneer connectorservers problemen hebben.

Connector Updates

Microsoft Entra-id biedt af en toe automatische updates voor de connectors die u implementeert. Connectors peilen de updaterservice voor updates. Wanneer er een nieuwere versie beschikbaar is voor een automatische update, worden de connectors zelf bijgewerkt. Zodra de updaterservice actief is, kunnen uw connectors automatisch worden bijgewerkt naar de nieuwste belangrijkste connectorrelease. Als u de updaterservice niet op uw server ziet, moet u de connector opnieuw installeren om updates te krijgen.

Niet alle releases zijn gepland voor automatische updates. Bewaak de pagina versiegeschiedenis om te zien of een update automatisch wordt geïmplementeerd of een handmatige implementatie in de Microsoft Entra-portal vereist. Als u een handmatige update moet uitvoeren, gaat u op de server die als host fungeert voor uw connector naar de downloadpagina van de connector en selecteert u Downloaden. Met deze actie wordt een update gestart voor de lokale connector.

In tenants met meerdere connectors zijn automatische updates gericht op één connector tegelijk in elke groep om downtime te voorkomen. Mogelijk ondervindt u downtime tijdens een update als:

• U hebt slechts één connector. Als u downtime wilt voorkomen en hogere beschikbaarheid wilt bieden, voegt u een tweede connector en een connectorgroep toe.
• De update wordt gestart terwijl een connector een transactie verwerkt. De initiële transactie gaat verloren, maar de browser probeert de bewerking automatisch opnieuw uit te voeren of u kunt de pagina vernieuwen. De opnieuw verzonden aanvraag wordt doorgestuurd naar een back-upconnector.

Zie Microsoft Entra Private Network Connector: Releasegeschiedenis van versie voor meer informatie over eerdere versies en hun wijzigingen.

Beveiliging en netwerken

Connectors kunnen overal in het netwerk worden geïnstalleerd, zodat ze aanvragen kunnen verzenden naar de privétoegangs- en toepassingsproxyservices. Belangrijk is dat de computer waarop de connector draait, ook toegang heeft tot uw apps en resources.

U kunt connectors in uw bedrijfsnetwerk of op een virtuele machine (VM) installeren die in de cloud wordt uitgevoerd. Connectors kunnen binnen een perimeternetwerk worden uitgevoerd, maar dat is niet noodzakelijk aangezien al het verkeer omwille van de netwerkbeveiliging naar buiten gaat.

Connectors verzenden alleen uitgaande aanvragen. Het uitgaande verkeer wordt verzonden naar de service en naar de gepubliceerde resources en toepassingen. U hoeft geen binnenkomende poorten te openen omdat verkeer in beide richtingen stroomt nadat een sessie is opgezet. U hoeft ook geen binnenkomende toegang via uw firewalls te configureren.

Prestaties en schaalbaarheid

Schaal voor de services voor privétoegang en toepassingsproxy is transparant, maar schaal is een factor voor connectors. U moet over voldoende connectors beschikken om pieken in het verkeer af te kunnen handelen.

Connectoren zijn staatloos en het aantal gebruikers of sessies heeft geen invloed op hen. In plaats daarvan reageren ze op het aantal aanvragen en de nettoladinggrootte. Met standaard webverkeer kan een gemiddelde machine 2000 aanvragen per seconde verwerken. De specifieke capaciteit is afhankelijk van de exacte computerkenmerken.

CPU en het netwerk definiëren de prestaties van de connector. CPU-prestaties zijn nodig voor TLS-versleuteling en -ontsleuteling, terwijl netwerken belangrijk zijn voor snelle connectiviteit met de toepassingen en de onlineservice.

Geheugen is daarentegen minder een probleem voor connectors. De online service zorgt voor een groot deel van de verwerking en al het niet-geverifieerde verkeer. Alles wat in de cloud kan worden gedaan, gebeurt in de cloud.

Wanneer connectors of machines niet beschikbaar zijn, gaat verkeer naar een andere connector in de groep. Meerdere connectors in een connectorgroep bieden tolerantie.

Een andere factor die de prestaties beïnvloedt, is de kwaliteit van het netwerk tussen de connectors, waaronder:

• Onlineservice: verbindingen met trage of hoge latentie met de Microsoft Entra-service beïnvloeden de prestaties van de connector. Voor de beste prestaties verbindt u uw organisatie met Microsoft via Azure ExpressRoute. Zorg er anders voor dat uw netwerkteam ervoor zorgt dat verbindingen met Microsoft zo efficiënt mogelijk worden afgehandeld.
• Back-endtoepassingen: In sommige gevallen zijn er extra proxy's tussen de connector en de back-endbronnen en toepassingen die verbindingen kunnen vertragen of voorkomen. Als u problemen met dit scenario wilt oplossen, opent u een browser vanaf de connectorserver en probeert u toegang te krijgen tot de toepassing of resource. Als u de connectors in de cloud uitvoert, maar de toepassingen on-premises zijn, is de ervaring mogelijk niet wat uw gebruikers verwachten.
• Domeincontrollers: als de connectors eenmalige aanmelding (SSO) uitvoeren met behulp van beperkte Kerberos-delegering (KCD), neemt deze contact op met de domeincontrollers voordat ze de aanvraag naar de back-end verzenden. De connectors hebben een cache van Kerberos-tickets, maar de reactiesnelheid van de domeincontrollers kan van invloed zijn op de prestaties in een drukke omgeving. Dit probleem is gebruikelijker voor connectors die worden uitgevoerd in Azure, maar communiceren met domeincontrollers die on-premises zijn.

Zie Verkeersstroom optimaliseren met Microsoft Entra-toepassingsproxy voor hulp bij het installeren van connectors en het optimaliseren van uw netwerk.

Het tijdelijke poortenbereik uitbreiden

Privénetwerkconnectors initiëren TCP- en UDP-verbindingen met aangewezen doeleindpunten. Voor deze verbindingen zijn beschikbare bronpoorten op de hostcomputer van de connector vereist. Als u het tijdelijke poortbereik uitbreidt, kunt u de beschikbaarheid van bronpoorten verbeteren, met name wanneer u een groot aantal gelijktijdige verbindingen beheert.

Gebruik de volgende netsh opdrachten om het huidige dynamische poortbereik op een systeem weer te geven:

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• netsh int ipv6 show dynamicport tcp
• netsh int ipv6 show dynamicport udp

Hier volgen voorbeeldopdrachten netsh om de poorten te verhogen:

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• netsh int ipv6 set dynamicport udp start=1025 num=64511

Met deze opdrachten wordt het dynamische poortbereik ingesteld van 1025 tot maximaal 65535. De minimale beginpoort is 1025.

Specificaties en groottevereisten

We raden de volgende specificaties aan voor elke Microsoft Entra private network-connector:

• Geheugen: 8 GiB of meer.
• CPU: vier CPU-kernen of meer.

Houd het maximale CPU- en geheugengebruik per connector onder de 70%. Als het langdurige gebruik groter is dan 70%, voegt u connectors toe aan de groep of schaalt u de hostcapaciteit op om de belasting te verdelen. Controleer met de Windows-prestatiecounters om te valideren dat de benutting terugkeert naar een acceptabel bereik.

U kunt maximaal 1,5 Gbps cumulatieve TCP-doorvoer (gecombineerde inkomende en uitgaande) per connector verwachten op een Virtuele Machine van Azure met vier vCPU's en 8 GiB van RAM met standaardnetwerken. U kunt hogere doorvoer bereiken met behulp van grotere VM-grootten (meer vCPU's, meer geheugen en versnelde of hoge bandbreedte NIC's), of door meer connectors in dezelfde groep toe te voegen om uit te schalen.

We hebben deze prestatierichtlijnen afgeleid van gecontroleerde labtests die iPerf3 TCP-gegevensstromen gebruikten in een toegewezen testtenant. De werkelijke doorvoer kan variëren op basis van:

• CPU-generatie.
• NIC-mogelijkheden (versneld netwerken, offloads).
• TLS-coderingssuites.
• Netwerklatentie en jitter.
• Pakketverlies.
• Gelijktijdige protocolmix (HTTPS, SMB, RDP).
• Tussenliggende apparaten (firewalls, IDS/IPS, SSL-inspectie).
• Reactiesnelheid van back-endtoepassingen.

Op scenario's gebaseerde benchmarkgegevens (gemengde workloads, gelijktijdigheid van verbindingen, latentiegevoelige toepassingen) worden toegevoegd aan deze documentatie zodra deze beschikbaar zijn.

Nadat een connector is ingeschreven, worden uitgaande TLS-tunnels naar de cloudinfrastructuur voor privétoegang tot stand gebracht. Deze tunnels verwerken al het gegevenspadverkeer. Daarnaast gebruikt het besturingsvlakkanaal minimale bandbreedte om keep-alive heartbeat, statusrapportage, connectorupdates en andere functies te stimuleren.

U kunt meer connectors in dezelfde connectorgroep implementeren om de totale doorvoer te verhogen als er voldoende netwerk- en internetverbinding beschikbaar is. U wordt aangeraden minimaal twee gezonde connectors te onderhouden om tolerantie en consistente beschikbaarheid te garanderen.

Zie Aanbevolen procedures voor hoge beschikbaarheid van connectors voor meer informatie.

Domeinlidmaatschap

Connectors kunnen worden uitgevoerd op een computer die geen lid is van een domein. Als u echter eenmalige aanmelding wilt gebruiken voor toepassingen die gebruikmaken van geïntegreerde Windows-verificatie, hebt u een computer nodig die lid is van een domein. In dit geval moeten de connectormachines worden gekoppeld aan een domein dat KCD kan uitvoeren namens de gebruikers voor de gepubliceerde toepassingen.

U kunt ook connectors koppelen aan:

• Domeinen in bossen met gedeeltelijk vertrouwen.
• Alleen-lezen domeincontrollers.

Connectorimplementaties in geharde omgevingen

Meestal is de implementatie van de connector eenvoudig en is geen speciale configuratie vereist. Maar houd rekening met deze unieke voorwaarden:

• Uitgaand verkeer vereist dat specifieke poorten zijn geopend (80 en 443).
• VOOR FIPS-compatibele machines is mogelijk een configuratiewijziging vereist, zodat de connectorprocessen een certificaat kunnen genereren en opslaan.
• Uitgaande proxy's kunnen de tweerichtingscertificaatverificatie verbreken en ervoor zorgen dat communicatie mislukt.

Authenticatie van de connector

Om een beveiligde service te bieden, moeten connectors zich authenticeren met de service en moet de service zich authenticeren met de connector. Deze verificatie maakt gebruik van client- en servercertificaten wanneer de connectors de verbinding initiëren. Op deze manier worden de gebruikersnaam en het wachtwoord van de beheerder niet opgeslagen op de connectorcomputer.

De certificaten zijn specifiek voor de service. Ze worden gemaakt tijdens de eerste registratie en worden elke paar maanden automatisch verlengd.

Na de eerste geslaagde certificaatvernieuwing is de connectorservice niet gemachtigd om het oude certificaat uit het lokale computerarchief te verwijderen. Als het certificaat verloopt of als de service het niet gebruikt, kunt u het veilig verwijderen.

Om problemen met certificaatvernieuwing te voorkomen, moet u ervoor zorgen dat de netwerkcommunicatie van de connector naar de gedocumenteerde bestemmingen is ingeschakeld.

Als een connector gedurende enkele maanden niet is verbonden met de service, zijn de certificaten mogelijk verouderd. In dit geval verwijdert u de connector en installeert u deze opnieuw om de registratie te activeren. U kunt de volgende PowerShell-opdrachten uitvoeren:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Gebruik -EnvironmentName "AzureUSGovernment"voor Azure Government. Zie De agent installeren voor de Azure Government-cloud voor meer informatie.

Zie Problemen met het installeren van de privénetwerkconnector oplossen voor meer informatie over het controleren van het certificaat en het oplossen van problemen.

Inactieve connectors

U hoeft ongebruikte connectors niet handmatig te verwijderen. De service tagt inactieve connectors als _inactive_ en verwijdert ze na 10 dagen.

Als u een connector wilt verwijderen, verwijdert u zowel de connectorservice als de updaterservice. Start vervolgens de computer opnieuw op.

Als connectors die u verwacht te activeren, als inactief worden weergegeven in een connectorgroep, blokkeert een firewall mogelijk de vereiste poorten. Zie Werken met bestaande, on-premises proxyservers voor meer informatie over het configureren van uitgaande firewallregels.

Verwante inhoud

• Microsoft Entra Private Network Connector-groepen
• Het oplossen van toepassingsproxy- en connectorfouten
• Een script maken voor installatie zonder toezicht van de Microsoft Entra-privénetwerkconnector