Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Configure conectores de rede privada do Microsoft Entra para usar servidores proxy de saída. O artigo pressupõe que o ambiente de rede já tenha um servidor proxy.
Começamos analisando estes principais cenários de implantação:
- Configure conectores para ignorar seus proxies de saída locais.
- Configurar conectores para usar um proxy de saída a fim de acessar o proxy de aplicativo do Microsoft Entra.
- Configure usando um proxy entre o conector e o aplicativo de back-end.
Para obter mais informações sobre como os conectores funcionam, consulte Noções básicas sobre conectores de rede privada do Microsoft Entra.
Ignorar proxies de saída
Os conectores têm componentes subjacentes do sistema operacional que fazem solicitações de saída. Esses componentes tentam localizar automaticamente um servidor proxy na rede usando o WPAD (Descoberta Automática de Proxy Web).
Os componentes do SO tentam localizar um servidor proxy realizando uma pesquisa de DNS (Sistema de Nomes de Domínio) para wpad.domainsuffix. Se a pesquisa for resolvida no DNS, uma solicitação HTTP será feita para o endereço IP de wpad.dat. Essa solicitação se torna o script de configuração de proxy em seu ambiente. O conector usa esse script para selecionar um servidor proxy de saída. No entanto, o tráfego do conector pode continuar falhando porque mais configurações são necessárias no proxy.
Você pode configurar o conector para ignorar o proxy local para garantir que ele use conectividade direta com o serviço proxy de aplicativo do Microsoft Entra. As conexões diretas são recomendadas porque exigem menos configuração. No entanto, algumas políticas de rede exigem tráfego passando por um servidor proxy local.
Para desabilitar o uso de proxy de saída para o conector, edite o C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config arquivo e adicione a system.net seção mostrada no exemplo de código:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Para garantir que o serviço do Conector Updater também ignore o proxy, faça uma alteração semelhante ao MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config arquivo. Esse arquivo está localizado em C:\Program Files\Microsoft Entra private network connector Updater.
Certifique-se de fazer cópias dos arquivos originais, caso precise reverter para os arquivos padrão .config .
Usar o servidor proxy de saída
Alguns ambientes exigem que todo o tráfego de saída passe por um proxy de saída, sem exceção. Como resultado, ignorar o proxy não é uma opção.
Você pode configurar o tráfego do conector para percorrer o proxy de saída, conforme mostrado no diagrama a seguir:
Como resultado de ter apenas tráfego de saída, não é necessário configurar o acesso de entrada por meio de seus firewalls.
Observação
O proxy de aplicativo não dá suporte à autenticação para outros proxies. As contas de serviço de rede do atualizador/conector devem ser capazes de se conectarem ao proxy sem serem desafiadas para autenticação.
Etapa 1: Configurar o conector e serviços relacionados para passar pelo proxy de saída
Se o WPAD estiver habilitado no ambiente e configurado adequadamente, o conector descobrirá automaticamente o servidor proxy de saída e tentará usá-lo. No entanto, você pode configurar explicitamente o conector para passar por um proxy de saída.
Para fazer isso, edite o C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config arquivo e adicione a system.net seção mostrada no exemplo de código. Altere proxyserver:8080 para refletir o nome do servidor proxy local ou o endereço IP e a porta. O valor deve ter o prefixo http:// mesmo se você estiver usando um endereço IP.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Em seguida, configure o serviço do Connector Updater para usar o proxy fazendo uma alteração semelhante ao C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config arquivo.
Observação
O serviço Conector avalia a configuração defaultProxy para uso em %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, se o defaultProxy não estiver configurado (por padrão) em MicrosoftEntraPrivateNetworkConnectorService.exe.config. O mesmo se aplica ao serviço do Conector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config) também.
Etapa 2: Configurar o proxy para permitir o tráfego a partir do conector e que os serviços relacionados passem por ele
Há quatro aspectos a serem considerados no proxy de saída:
- Regras de saída do proxy
- Autenticação de proxy
- Portas de proxy
- Inspeção do protocolo TLS
Regras de saída do proxy
Permitir acesso às seguintes URLs:
| URL | Porto | Utilização |
|---|---|---|
| * .msappproxy.net *.servicebus.windows.net |
443/HTTPS | Comunicação entre o conector e o serviço na nuvem do proxy de aplicação |
| crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | O conector usa essas URLs para verificar certificados. |
| login.windows.net Secure.aadcdn.microsoftonline p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | O conector usa essas URLs durante o processo de registro. |
| ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | O conector usa essas URLs durante o processo de registro. |
Se o firewall ou o proxy permitir que você configure listas de permissões DNS, você poderá permitir conexões com *.msappproxy.net e *.servicebus.windows.net.
Se você não puder permitir a conectividade por FQDN (Nome de Domínio Totalmente Qualificado) e precisar especificar intervalos de IP, use estas opções:
- Permitir o acesso de saída do conector para todos os destinos.
- Permitir que o conector tenha acesso de saída a todos os intervalos de IP dos datacenters do Azure. O desafio de usar a lista de intervalos de IP do datacenter do Azure é que eles são atualizados semanalmente. Você precisa colocar um processo em prática para garantir que suas regras de acesso sejam atualizadas adequadamente. Usar apenas um subconjunto dos endereços IP faz com que sua configuração falhe. Os intervalos de IP mais recentes do Azure Data Center podem ser baixados em https://download.microsoft.com. Use o termo de pesquisa.
Azure IP Ranges and Service TagsCertifique-se de selecionar a nuvem relevante. Por exemplo, os intervalos de IP de nuvem pública podem ser encontrados pesquisando porAzure IP Ranges and Service Tags – Public Cloud. A nuvem do Governo dos EUA pode ser encontrada pesquisandoAzure IP Ranges and Service Tags – US Government Cloud.
Autenticação de proxy
Atualmente, não há suporte para autenticação de proxy. Nossa recomendação atual é permitir ao conector acesso anônimo aos destinos da Internet.
Portas de proxy
O conector faz conexões baseadas em TLS de saída usando o método CONNECT. Esse método basicamente configura um túnel por meio do proxy de saída. Configure o servidor proxy para permitir o tunelamento para as portas 443 e 80.
Observação
Quando o Barramento de Serviço for executado por HTTPS, ele usará a porta 443. No entanto, por padrão, o Barramento de Serviço tenta as conexões TCP diretas e voltará para o HTTPS somente se a conectividade direta falhar.
Inspeção TLS
Não use a inspeção TLS para o tráfego do conector, pois isso causa problemas nesse tráfego. O conector usa um certificado para autenticar no serviço de proxy de aplicativo e esse certificado pode ser perdido durante a inspeção do TLS.
Configurar usando um proxy entre o conector e o aplicativo de back-end
Usar um proxy de encaminhamento para a comunicação em direção ao aplicativo de back-end pode ser um requisito especial em alguns ambientes. Para habilitar um proxy de encaminhamento, siga estas etapas:
Etapa 1: Adicionar o valor necessário do registro ao servidor
- Para habilitar o uso do proxy padrão, adicione o valor do Registro (DWORD)
UseDefaultProxyForBackendRequests = 1à chave do Registro de configuração do conector localizada emHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.
Etapa 2: configurar o servidor proxy manualmente usando o comando netsh
- Habilite a política
Make proxy settings per-machinede grupo. A política de grupo é encontrada em:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. A política de grupo precisa ser definida em vez de ter a política definida por usuário. - Execute
gpupdate /forceno servidor. Como alternativa, para garantir que a política de grupo seja atualizada, reinicie o servidor. - Inicie um prompt de comando com privilégios elevados com direitos de administrador e insira
control inetcpl.cpl. - Defina as configurações de proxy necessárias.
As configurações fazem com que o conector use o mesmo proxy de encaminhamento para a comunicação com o Azure e para o aplicativo de back-end. Modifique o arquivo MicrosoftEntraPrivateNetworkConnectorService.exe.config para alterar o proxy de encaminhamento. A configuração de proxy de encaminhamento é descrita nas seções Ignorar proxies de saída e Usar o servidor proxy de saída.
Observação
Há várias maneiras de configurar o proxy de Internet no sistema operacional. As configurações de proxy configuradas por meio NETSH WINHTTP (executar NETSH WINHTTP SHOW PROXY para verificar) substituem as configurações de proxy que você configurou na Etapa 2.
O serviço atualizador do conector usa o proxy do computador. A configuração é encontrada no MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config arquivo.
Solucionar problemas do proxy do conector e problemas de conectividade do serviço
Agora você deve ver todo o tráfego fluindo pelo proxy. Se você tiver problemas, as seguintes informações de solução de problemas deverão ajudar.
A melhor maneira de identificar e solucionar os problemas de conectividade do conector é usar uma captura da rede ao iniciar o serviço do conector. Aqui estão algumas dicas rápidas sobre como capturar e filtrar rastreamentos de rede.
Você pode usar a ferramenta de monitoramento de sua escolha. Para os fins deste artigo, usamos o Analisador de Mensagens da Microsoft.
Observação
O MMA (Analisador de Mensagens da Microsoft) foi desativado e seus pacotes de download foram removidos de microsoft.com sites em 25 de novembro de 2019. No momento, não há nenhuma substituição da Microsoft para o Analisador de Mensagens da Microsoft em desenvolvimento no momento. Para uma funcionalidade semelhante, considere o uso de uma ferramenta de analisador de protocolo de rede de parceiros não Microsoft, como o Wireshark.
Os exemplos a seguir são específicos do Analisador de Mensagens, mas os princípios podem ser aplicados a qualquer ferramenta de análise.
Fazer uma captura do tráfego do conector
Para solução de problemas inicial, execute as seguintes etapas:
No
services.msc, pare o serviço do conector de rede privada do Microsoft Entra.
Execute o Analisador de Mensagens como administrador.
Selecione Iniciar rastreamento local.
Inicie o serviço de conector de rede privada do Microsoft Entra.
Pare a captura de rede.
Verifique se o tráfego do conector ignora os proxies de saída.
Se você espera que o conector faça conexões diretas com serviços de proxy de aplicativo, SynRetransmit as respostas na porta 443 são uma indicação de que você tem um problema de rede ou firewall.
Use o filtro analisador de mensagens para identificar tentativas de conexão TCP (Protocolo de Controle de Transmissão) com falha. Insira property.TCPSynRetransmit a caixa de filtro e selecione Aplicar.
Um pacote SYN (sincronização) é o primeiro pacote enviado para estabelecer uma conexão TCP. Se o pacote não retornar uma resposta, o SYN fará uma nova tentativa. Você pode usar o filtro para ver os pacotes SYN retransmitidos. Em seguida, você pode verificar se esses pacotes SYN correspondem a qualquer tráfego relacionado ao conector.
Verificar se o tráfego do conector usa proxies de saída
Se você configurou o tráfego do seu conector de rede privada para passar pelos servidores de proxy, procure as conexões https com seu proxy que apresentaram falha.
Use o filtro do Message Analyzer para identificar tentativas de conexão HTTPS com falha ao seu proxy. Insira (https.Request or https.Response) and tcp.port==8080 no filtro do Analisador de Mensagens, substituindo 8080 pela porta do serviço proxy. Selecione Aplicar para ver os resultados do filtro.
O filtro anterior mostra apenas as solicitações de HTTPs e as respostas de/para a porta proxy. Você está procurando por solicitações CONNECT que demonstrem a comunicação com o servidor proxy. Após o sucesso, você obtém uma resposta HTTP OK (200).
Se você vir outros códigos de resposta, como 407 ou 502, isso significa que o proxy está exigindo autenticação ou não permitindo o tráfego por algum outro motivo. Neste ponto, você envolverá sua equipe de suporte do servidor proxy.