Požadavky na Microsoft Tunnel v Intune

Než budete moct nainstalovat Microsoft Tunnel bránu VPN pro Microsoft Intune, musíte nakonfigurovat požadavky. Požadavky zahrnují použití linuxového serveru, na kterém běží kontejnery k hostování Tunnel serverového softwaru. Budete také muset nakonfigurovat síť, brány firewall a proxy servery pro podporu komunikace pro Microsoft Tunnel.

Abyste mohli používat Microsoft Tunnel, budete potřebovat následující:

  • Předplatné Azure.
  • Předplatné Intune.
  • Linuxový server, na kterém běží kontejnery. Tento server může být místní nebo v cloudu:
    • Podman pro Red Hat Enterprise Linux (RHEL) 8.4 a 8.5 (viz požadavky na linuxový server.)
    • Docker pro všechny ostatní distribuce Linuxu
  • Certifikát TLS (Transport Layer Security) pro linuxový server pro zabezpečení připojení ze zařízení k serveru Tunnel Gateway.
  • Zařízení se systémem Android nebo iOS/iPadOS.

Mezi požadavky, které nakonfigurujete, patří příprava sítě, bran firewall a proxy serveru pro podporu používání Microsoft Tunnel.

Po dokončení konfigurace požadavků doporučujeme spustit nástroj připravenosti , který vám pomůže ověřit, jestli je vaše prostředí správně nakonfigurované pro úspěšnou instalaci.

Následující části podrobně popisují požadavky pro Microsoft Tunnel a poskytují pokyny k používání nástroje pro připravenost.

Linuxový server

Nastavte virtuální počítač s Linuxem nebo fyzický server, na který se Microsoft Tunnel Gateway nainstaluje.

Poznámka

Podporují se pouze operační systémy a verze kontejnerů uvedené v následující tabulce. Verze, které nejsou uvedené v seznamu, nejsou podporované. Teprve po ověření testování a podpory jsou do tohoto seznamu přidány novější verze.

  • Podporované distribuce Linuxu – Následující tabulka uvádí, které verze Linuxu jsou podporované pro Tunnel server a kontejner, který vyžadují:

    Distributonová verze Požadavky na kontejnery Úvahy
    CentOS 7.4+ Docker CE CentOS 8+ se nepodporuje
    Red Hat (RHEL) 7.4+ Docker CE
    Red Hat (RHEL) 8.4 Podman 3.0
    Red Hat (RHEL) 8.5 Podman 3.0 Tato verze RHEL automaticky nenačítá modul ip_tables do jádra Linuxu. Pokud používáte tuto verzi, naplánujte ruční načtení ip_tables před instalací Tunnel.
    Ubuntu 18.04 Docker CE
    Ubuntu 20.04 Docker CE
  • Velikost linuxového serveru: Pokud chcete vyhovět očekávanému použití, použijte následující doprovodné materiály:

    # Zařízení # PROCESORY Gb paměti  # Servery # Weby Místo na disku GB 
    1,000  4 4 1 1 30
    2,000  4 4 1 1 30
    5,000  8 8 2 1 30
    10,000  8 8 3 1 30
    20,000  8 8 4 1 30
    40,000  8 8 8 1 30

    Podpora škálování lineárně I když každá Microsoft Tunnel podporuje až 64 000 souběžných připojení, jednotlivá zařízení mohou otevřít více připojení.

  • PROCESOR: 64bitový procesor AMD/Intel.

  • Instalace Dockeru CE nebo Podmana: V závislosti na verzi Linuxu, kterou používáte pro Tunnel server, budete muset na linuxový server nainstalovat jednu z těchto věcí:

    • Docker verze 19.03 CE nebo novější
    • Podman verze 3.0

    Microsoft Tunnel vyžaduje, aby Docker nebo Podman na serveru s Linuxem poskytoval podporu kontejnerů. Kontejnery poskytují konzistentní spouštěcí prostředí, monitorování stavu a proaktivní nápravu a čisté prostředí pro upgrade.

    Informace o instalaci a konfiguraci Dockeru nebo Podmana najdete v tématech:

  • Certifikát TLS (Transport Layer Security): Linuxový server vyžaduje důvěryhodný certifikát TLS k zabezpečení připojení mezi zařízeními a serverem Tunnel Gateway. Během instalace služby Tunnel Gateway přidáte na server certifikát TLS, včetně úplného důvěryhodného řetězu certifikátů.

    • Alternativní název subjektu (SAN) certifikátu TLS, který používáte k zabezpečení koncového bodu Tunnel Gateway, se musí shodovat s IP adresou nebo plně kvalifikovaným názvem domény serveru služby Tunnel Gateway.

    • Certifikát TLS nemůže mít datum vypršení platnosti delší než dva roky. Pokud je datum delší než dva roky, nebude přijato na iOS zařízeních.

    • Použití zástupných znaků má omezenou podporu. Podporuje se například *.contoso.com . cont.com* se nepodporuje.

    • Během instalace serveru Tunnel Gateway musíte zkopírovat celý důvěryhodný řetěz certifikátů na linuxový server. Instalační skript poskytuje umístění, do kterého kopírujete soubory certifikátů, a vyzve vás k tomu.

    • Pokud používáte certifikát TLS, který není veřejně důvěryhodný, musíte do zařízení vložit celý řetěz důvěryhodnosti pomocí profilu Intune důvěryhodného certifikátu.

    • Certifikát TLS může být ve formátu PEM nebo pfx .

  • Verze protokolu TLS: Ve výchozím nastavení používají připojení mezi klienty Microsoft Tunnel a servery protokol TLS 1.3. Pokud není dostupný protokol TLS 1.3, připojení se může vrátit k použití protokolu TLS 1.2.

Výchozí síť mostů

Kontejnery Podman i Docker používají k přesměrování provozu přes hostitele Linuxu síť mostů. Když kontejnery přemostí síť v konfliktu s podnikovou sítí, Tunnel Gateway nemůže úspěšně směrovat provoz do dané podnikové sítě.

Výchozí sítě mostů jsou:

  • Docker: 172.17.0.0/16
  • Podman: 10.88.0.0/16

Abyste se vyhnuli konfliktům, můžete překonfigurovat podman i Docker tak, aby používaly síť mostu, kterou zadáte.

Důležité

Před změnou konfigurace sítě přemostí musí být nainstalován server brány Tunnel.

Změna výchozí sítě mostu používané v Dockeru

Docker ke konfiguraci nové výchozí IP adresy mostu používá soubor /etc/docker/daemon.json . V souboru musí být IP adresa mostu zadána v zápisu CIDR (classless inter-domain routing), což je kompaktní způsob, jak reprezentovat IP adresu spolu s přidruženou maskou podsítě a předponou směrování.

Důležité

Příkladem je IP adresa použitá v následujících krocích. Ujistěte se, že IP adresa, kterou používáte, není v konfliktu s vaší podnikovou sítí.

  1. Pomocí následujícího příkazu zastavte kontejner MS Tunnel Gateway:sudo mst-cli server stop ; sudo mst-cli agent stop

  2. Potom spuštěním následujícího příkazu odeberte stávající zařízení mostu Dockeru: sudo ip link del docker0

  3. Pokud je soubor /etc/docker/daemon.json na vašem serveru, upravte soubor pomocí editoru souborů, jako je vi nebo nano . Spusťte editor souborů s oprávněními root nebo sudo:

    • Pokud je položka "bip": přítomná s IP adresou, upravte ji přidáním nové IP adresy do zápisu CIDR.
    • Pokud položka "bip": není k dispozici, musíte přidat hodnotu "bip": a novou IP adresu v zápisu CIDR.

    Následující příklad ukazuje strukturu souboru daemon.json s aktualizovanou položkou "bip": položka, která používá upravenou IP adresu 192.168.128.1/24.

    Příklad souboru daemon.json:

    {
    "bip": "192.168.128.1/24"
    }
    
  4. Pokud soubor /etc/docker/daemon.json na vašem serveru není, vytvořte soubor spuštěním příkazu podobného následujícímu příkladu a definujte IP adresu mostu, kterou chcete použít.

    Například: sudo echo '{ "bip":"192.168.128.1/24" }' > /etc/docker/daemon.json

  5. Pomocí následujícího příkazu spusťte kontejner MS Tunnel Gateway:sudo mst-cli agent start ; sudo mst-cli server start

Další informace najdete v tématu Použití sítí mostů v dokumentaci k Dockeru.

Změna výchozí sítě mostu používané podmanem

Podman používá soubor /etc/cni/net.d jako 87-podman-bridge.conflist ke konfiguraci nové výchozí IP adresy mostu.

  1. Pomocí následujícího příkazu zastavte kontejner MS Tunnel Gateway:sudo mst-cli server stop ; sudo mst-cli agent stop

  2. Potom spuštěním následujícího příkazu odeberte stávající zařízení mostu Podman: sudo ip link del cni-podman0

  3. Pomocí kořenových oprávnění a editoru souborů, jako je vi nebo nano, upravte soubor /etc/cni/net.d jako 87-podman-bridge.conflist a aktualizujte výchozí hodnoty pro podsíť:" a "gateway:" nahrazením výchozích hodnot Podman požadovanými adresami podsítě a brány. Adresa podsítě musí být zadána v zápisu CIDR.

    Podman výchozí hodnoty jsou:

    • podsíť: 10.88.0.0/16
    • brána: 10.88.0.1
  4. Pomocí následujícího příkazu restartujte kontejnery MS Tunnel Gateway:sudo mst-cli agent start ; sudo mst-cli server start

Další informace najdete v tématu Konfigurace sítí kontejnerů pomocí Podmana v dokumentaci k Red Hatu.

Síťové

  • Povolení předávání paketů pro protokol IPv4: Každý linuxový server, který je hostitelem softwaru Tunnel serveru, musí mít povolené předávání IP pro protokol IPv4. Pokud chcete zkontrolovat stav předávání IP, spusťte na serveru jeden z následujících obecných příkazů jako root nebo sudo. Oba příkazy vrátí hodnotu 0 pro zakázáno a hodnotu 1 pro povoleno:

    • sysctl net.ipv4.ip_forward
    • cat /proc/sys/net/ipv4/ip_forward

    Pokud není povolené, můžete dočasně povolit předávání IP spuštěním jednoho z následujících obecných příkazů jako root nebo sudo na serveru. Tyto příkazy můžou změnit konfiguraci předávání IP, dokud se server nerestartuje. Po restartování vrátí server chování předávání IP do předchozího stavu. Pro oba příkazy použijte k povolení předávání hodnotu 1. Hodnota 0 zakáže předávání. Následující příklady příkazů k povolení předávání používají hodnotu 1:

    • sysctl -w net.ipv4.ip_forward=1
    • echo 1 > /proc/sys/net/ipv4/ip_forward

    Pokud chcete, aby předávání IP bylo trvalé, upravte na každém serveru s Linuxem soubor /etc/sysctl.conf a odeberte počáteční hashtag (#) z #net.ipv4.ip_forward=1 , aby se povolil přeposílání paketů. Po úpravě by se položka měla zobrazit takto:

    # Uncomment the next line to enable packet forwarding for IPv4
    net.ipv4.ip_forward=1
    

    Aby se tato změna projevila, musíte server restartovat nebo spustit sysctl -p.

    Pokud se očekávaná položka v souboru sysctl.conf nenachází, projděte si dokumentaci k distribuci, kterou používáte k povolení předávání IP. Obvykle můžete upravit sysctl.conf přidat chybějící řádek na konci souboru trvale povolit předávání IP.

  • Konfigurace více síťových adaptérů na server (volitelné): Ke zlepšení výkonu doporučujeme použít dva řadiče síťového rozhraní (NIC) na linuxový server, i když použití dvou adaptérů je volitelné.

    • Nic 1 – Tato síťová karta zpracovává provoz ze spravovaných zařízení a měla by být ve veřejné síti s veřejnou IP adresou.Tato IP adresa je adresa, kterou nakonfigurujete v konfiguraci lokality. Tato adresa může představovat jeden server nebo nástroj pro vyrovnávání zatížení.

    • Nic 2 – Tato síťová karta zpracovává provoz do místních prostředků a měla by být ve vaší privátní interní síti bez segmentace sítě.

  • Ujistěte se, že cloudové virtuální počítače s Linuxem mají přístup k vaší místní síti: Pokud spouštíte Linux jako virtuální počítač v cloudu, ujistěte se, že server má přístup k vaší místní síti. Například pro virtuální počítač v Azure můžete použít Azure ExpressRoute nebo něco podobného k poskytnutí přístupu. Azure ExpressRoute není nutné při spuštění serveru v místním virtuálním počítači.

  • Nástroje pro vyrovnávání zatížení (volitelné): Pokud se rozhodnete přidat nástroj pro vyrovnávání zatížení, projděte si podrobnosti o konfiguraci v dokumentaci od vašich dodavatelů. Vezměte v úvahu síťový provoz a porty brány firewall specifické pro Intune a Microsoft Tunnel.

Brány firewall

Ve výchozím nastavení používají Microsoft Tunnel a server následující porty:

Příchozí porty:

  • TCP 443 – vyžaduje Microsoft Tunnel.
  • UDP 443 – vyžaduje Microsoft Tunnel.
  • TCP 22 – volitelné. Používá se pro SSH/SCP na linuxový server.

Odchozí porty:

  • TCP 443 – Vyžadováno pro přístup ke službám Intune. K vyžádání imagí vyžaduje Docker nebo Podman.

Při vytváření konfigurace serveru pro tunel můžete zadat jiný port, než je výchozí hodnota 443. Pokud zadáte jiný port, nakonfigurujte brány firewall tak, aby podporovaly vaši konfiguraci.

Další požadavky:

Proxy

S Microsoft Tunnel můžete použít proxy server. Následující aspekty vám můžou pomoct s konfigurací linuxového serveru a vašeho prostředí pro úspěch:

Konfigurace odchozího proxy serveru pro Docker

  • Pokud používáte interní proxy server, možná budete muset nakonfigurovat hostitele Linuxu tak, aby používal váš proxy server pomocí proměnných prostředí. Pokud chcete použít proměnné, upravte soubor /etc/environment na serveru s Linuxem a přidejte následující řádky:

    http_proxy=[address]
    https_proxy=[address]

  • Ověřené proxy servery se nepodporují.

  • Proxy server nemůže provést přerušení a kontrolu, protože linuxový server při připojování k Intune používá vzájemné ověřování TLS.

  • Nakonfigurujte Docker tak, aby k vyžádání imagí používal proxy server. Uděláte to tak, že upravíte soubor /etc/systemd/system/docker.service.d/http-proxy.conf na serveru s Linuxem a přidáte následující řádky:

    [Service]
    Environment="HTTP_PROXY=http://your.proxy:8080/"
    Environment="HTTPS_PROXY=https://your.proxy:8080/"
    Environment="NO_PROXY=127.0.0.1,localhost"
    

    Poznámka

    Microsoft Tunnel nepodporuje Azure AD proxy aplikací ani podobná proxy řešení.

Konfigurace odchozího proxy serveru pro Podman

Následující podrobnosti vám můžou pomoct při konfiguraci interního proxy serveru při použití Podmamu:

  • Ověřené proxy servery se nepodporují.

  • Proxy server nemůže provést přerušení a kontrolu, protože linuxový server při připojování k Intune používá vzájemné ověřování TLS.

  • Podman čte informace http proxy serveru uložené v souboru /etc/profile.d/http_proxy.sh. Pokud tento soubor na vašem serveru neexistuje, vytvořte ho. Upravte soubor http_proxy.sh a přidejte následující dva řádky. Na následujících řádcích je příkladem položky adresy:port 10.10.10.1:3128 . Když tyto řádky přidáte, nahraďte 10.10.10.1:3128 hodnotami pro vaši IP adresu proxy serveru: port:

    export HTTP_PROXY=http://10.10.10.1:3128
    export HTTPS_PROXY=http://10.10.10.1:3128

    Pokud máte přístup k zákaznickému portálu Red Hat, můžete si prohlédnout znalostní báze článek přidružený k tomuto řešení. Viz Nastavení proměnných http proxy serveru pro Podman – portál pro zákazníky Red Hat.

  • Když tyto dva řádky přidáte do souboru http_proxy.sh před instalací Microsoft Tunnel Gateway spuštěním příkazu mstunnel-setup, skript automaticky nakonfiguruje proměnné prostředí proxy Tunnel Gateway v souboru /etc/mstunnel/env.sh.

    Pokud chcete nakonfigurovat proxy server po dokončení instalace služby Microsoft Tunnel Gateway, proveďte následující akce:

    1. Upravte nebo vytvořte soubor /etc/profile.d/http_proxy.sh a přidejte dva řádky z předchozího bodu odrážky.

    2. Upravte soubor /etc/mstunnel/env.sh a na konec souboru přidejte následující dva řádky. Stejně jako na předchozích řádcích nahraďte ukázkovou hodnotu address:port 10.10.10.1:3128 hodnotami pro vaši IP adresu proxy serveru: port:

      HTTP_PROXY=http://10.10.10.1:3128
      HTTPS_PROXY=http://10.10.10.1:3128

    3. Restartujte server brány Tunnel: Spustitmst-cli server restart

    Mějte na paměti, že RHEL používá SELinux. Protože proxy server, který neběží na portu SELinux pro http_port_t může vyžadovat další konfiguraci, zkontrolujte použití portů spravovaných seLinuxem pro http. Spuštěním následujícího příkazu zobrazte konfigurace: sudo semanage port -l | grep “http_port_t”

    Příklad výsledků příkazu pro kontrolu portů V tomto příkladu proxy server používá 3128 a není uvedený v seznamu:

    Snímek obrazovky kontroly portu

    • Pokud váš proxy server běží na jednom z portů SELinux pro http_port_t, můžete pokračovat v procesu instalace Tunnel Gateway.

    • Pokud váš proxy server neběží na portu SELunux pro http_port_t jako v předchozím příkladu, budete muset provést další konfigurace.

      Pokud váš port proxy serveru není uvedený * http_port_t _, zkontrolujte, jestli port proxy používá jiná služba. Pomocí příkazu _semnage* nejprve zkontrolujte port, který váš proxy server používá, a v případě potřeby ho později změňte. Pokud chcete zkontrolovat port, který váš proxy server používá, spusťte: sudo semanage port -l | grep “your proxy port”

      Příklad výsledků kontroly služby, která může tento port používat:

      Snímek obrazovky kontroly služby

      • V tomto příkladu port, který očekáváme (3128), používá chobotovka, což je služba proxy OSS. Zásady SELinux proxy Squid jsou součástí mnoha běžných distribucí. Vzhledem k tomu , že chobotovka používá port 3128 (náš ukázkový port), musíme upravit porty http_port_t a přidat port 3128, aby byl povolený přes SELinux pro proxy server používaný Tunnel. Pokud chcete upravit použití portu, spusťte následující příkaz: sudo semanage port -m -t http_port_t -p tcp “your proxy port”

        Příklad příkazu pro úpravu portu:

        Snímek obrazovky s úpravou portu

        Po spuštění příkazu pro změnu portu spusťte následující příkaz a zkontrolujte, jestli port používá jiná služba: sudo semanage port -l | grep “your proxy port”

        Příklad příkazu ke kontrole portu po úpravě portu:

        Snímek obrazovky s kontrolou portu po úpravě

        V tomto příkladu je port 3128 přidružený k http_port-t i squid_port_t. Tento výsledek se očekává. Pokud váš port proxy serveru není uvedený při spuštění portu sudo semanage -l | příkazu grep "your_proxy_port" , spusťte příkaz a upravte port znovu, ale příkaz -m v příkazu semanage s -a: sudo semanage port -a -t http_port_t -p tcp “your proxy port”

Aktualizace proxy serveru používaného serverem tunelového propojení

Pokud chcete změnit konfiguraci proxy serveru, kterou používá hostitel linuxového tunelového serveru, použijte následující postup:

  1. Na serveru tunelového propojení upravte soubor /etc/mstunnel/env.sh a zadejte nový proxy server.

  2. Spustit mst-cli install.

    Tento příkaz znovu sestaví kontejnery s podrobnostmi o novém proxy serveru. Během tohoto procesu se zobrazí výzva k ověření obsahu souboru /etc/mstunnel/env.h a ověření, že je certifikát nainstalovaný. Certifikát by již měl být přítomen z předchozí konfigurace proxy serveru.

    Pokud chcete potvrdit obojí a dokončit konfiguraci, zadejte ano.

Platformy

Aby bylo možné Microsoft Tunnel podporovat, musí být zařízení zaregistrovaná do Intune. Podporují se jenom následující platformy zařízení:

  • iOS/iPadOS

  • Android Enterprise:

    • Plně spravovaná
    • pracovní profil Corporate-Owned
    • pracovní profil Personally-Owned

    Poznámka

    Microsoft Tunnel nepodporuje Android Enterprise vyhrazená zařízení.

Všechny platformy podporují následující funkce:

  • Azure Active Directory (Azure AD) ověřování Tunnel pomocí uživatelského jména a hesla.
  • Active Directory Federation Services (AD FS) (AD FS) ověřování na Tunnel pomocí uživatelského jména a hesla.
  • Podpora pro jednotlivé aplikace
  • Ruční tunel celé zařízení prostřednictvím aplikace Tunnel, kde uživatel spustí síť VPN a vybere Připojení.
  • Dělené tunelování. U iOS se ale pravidla rozděleného tunelového propojení ignorují, když váš profil VPN používá síť VPN pro jednotlivé aplikace.

Podpora proxy serveru je omezená na následující platformy:

  • Android 10 a novějších
  • iOS/iPadOS

Oprávnění

Ke správě Microsoft Tunnel musí mít uživatelé oprávnění, která jsou součástí skupiny oprávnění Microsoft Tunnel Gateway v Intune. Ve výchozím nastavení mají tato oprávnění správci Intune a správci Azure AD. Můžete je také přidat do vlastních rolí, které vytvoříte pro svého tenanta Intune.

Při konfiguraci role rozbalte na stránce Oprávnění Microsoft Tunnel bránu a pak vyberte oprávnění, která chcete udělit.

Snímek obrazovky s oprávněními brány tunelu v centru pro správu Microsoft Endpoint Manager

Skupina oprávnění Microsoft Tunnel Gateway uděluje následující oprávnění:

  • Vytvoření – konfigurace serverů a lokalit Microsoft Tunnel brány Konfigurace serveru zahrnují nastavení rozsahů IP adres, serverů DNS, portů a pravidel děleného tunelování. Lokality jsou logická seskupení více serverů, které podporují Microsoft Tunnel.

  • Aktualizace (úprava) – Aktualizace konfigurací a lokalit serveru brány Microsoft Tunnel. Konfigurace serveru zahrnují nastavení rozsahů IP adres, serverů DNS, portů a pravidel děleného tunelování. Lokality jsou logická seskupení více serverů, které podporují Microsoft Tunnel.

  • Odstranění – Odstranění konfigurací a lokalit serveru Microsoft Tunnel Brány Konfigurace serveru zahrnují nastavení rozsahů IP adres, serverů DNS, portů a pravidel děleného tunelování. Lokality jsou logická seskupení více serverů, které podporují Microsoft Tunnel.

  • Čtení – Zobrazení konfigurací a lokalit serveru Microsoft Tunnel brány Konfigurace serveru zahrnují nastavení rozsahů IP adres, serverů DNS, portů a pravidel děleného tunelování. Lokality jsou logická seskupení více serverů, které podporují Microsoft Tunnel.

Spuštění nástroje pro připravenost

Před zahájením instalace serveru doporučujeme stáhnout a spustit nejnovější verzi nástroje mst-readiness . Tento nástroj je skript, který běží na vašem serveru s Linuxem a provádí následující akce:

  • Ověří, že účet Azure Active Directory (Azure AD), který používáte k instalaci Microsoft Tunnel, má požadované role pro dokončení registrace.

  • Potvrdí, že konfigurace sítě umožňuje Microsoft Tunnel přístup k požadovaným koncovým bodům Microsoftu.

  • Zkontroluje přítomnost modulu ip_tables na serveru s Linuxem. Tato kontrola byla přidána do skriptu 11. února 2022, kdy byla přidána podpora pro RHEL 8.5. RHEL 8.5 ve výchozím nastavení nenačítá modul ip_tables. Pokud po instalaci linuxového serveru chybí, musíte modul ip_tables načíst ručně.

Důležité

Nástroj pro připravenost neověřuje příchozí porty, což je běžná chybná konfigurace. Po spuštění nástroje pro připravenost zkontrolujte požadavky brány firewall a ručně ověřte, že brány firewall procházejí příchozím provozem.

Nástroj mst-readiness je závislý na procesoru JSON příkazového řádku jq. Před spuštěním nástroje pro připravenost se ujistěte, že je nainstalovaný jq . Informace o tom, jak získat a nainstalovat jq, najdete v dokumentaci k verzi Linuxu, kterou používáte.

Použití nástroje připravenosti:

  1. Nejnovější verzi nástroje pro připravenost získáte pomocí jedné z následujících metod:

    • Nástroj si můžete stáhnout přímo pomocí webového prohlížeče. Přejděte ke https://aka.ms/microsofttunnelready stažení souboru s názvem mst-readiness.

    • Přihlaste se k Microsoft Endpoint Manager centra > pro správuKlientská správa > Microsoft Tunnel Brána, vyberte kartu Servery, výběrem možnosti Vytvořit otevřete podokno Vytvořit server a pak vyberte Nástroj pro stažení připravenosti.

    • K přímému získání nástroje připravenosti použijte linuxový příkaz. K otevření odkazu https://aka.ms/microsofttunnelreadymůžete například použít wget nebo curl.

      Pokud například chcete použít wget a podrobnosti protokolu k mst-readiness během stahování, spusťte příkaz . wget --output-document=mst-readiness https://aka.ms/microsofttunnelready

    Skript můžete spustit z libovolného linuxového serveru, který je ve stejné síti jako server, který chcete nainstalovat, a povolit správcům sítě, aby ho spustili a mohli nezávisle řešit problémy se sítí.

  2. Pokud chcete ověřit konfiguraci sítě, spusťte skript s následujícími příkazy, abyste nejprve nastavili oprávnění ke spuštění skriptu a pak ověřili, Tunnel se může připojit ke správným koncovým bodům:

    • sudo chmod +x ./mst-readiness
    • sudo ./mst-readiness network

    Druhý příkaz spustí následující akce a hlásí úspěch nebo chybu pro obě akce:

    • Pokusí se připojit ke každému koncovému bodu Microsoftu, který bude tunel používat.
    • Zkontroluje, jestli jsou požadované porty otevřené v bráně firewall.
  3. Pokud chcete ověřit, že účet, který použijete k instalaci Microsoft Tunnel, má požadované role a oprávnění k dokončení registrace, spusťte skript s následujícím příkazovým řádkem:./mst-readiness account

    Skript vás vyzve k použití jiného počítače s webovým prohlížečem, který použijete k ověření pro Azure AD a k Intune. Nástroj bude hlásit úspěch nebo chybu.

Další informace o tomto nástroji najdete v referenčních informacích k nástroji mst-cli v referenčním článku Microsoft Tunnel článku.

Ruční načtení ip_tables

Zatímco většina distribucí Linuxu automaticky načte modul ip_tables, některé distribuce nemusí. Například REHL 8.5 ve výchozím nastavení nenačítá ip_tables.

Pokud chcete zkontrolovat přítomnost tohoto modulu, spusťte nejnovější verzi nástroje mst-readiness na serveru s Linuxem. Kontrola ip_tables byla přidána do skriptu nástrojů pro připravenost 11. února 2022.

Pokud modul není k dispozici, nástroj se zastaví při kontrole modulu ip_tables. V tomto scénáři můžete modul ručně načíst spuštěním následujících příkazů.

Ručně načtěte modul ip_tables:

V kontextu sudo spusťte na serveru s Linuxem následující příkazy:

  1. Ověřte přítomnost ip_tables na serveru: lsmod |grep ip_tables

  2. Pokud ip_tables není k dispozici, spusťte následující příkaz, který okamžitě načte modul do jádra bez restartování: /sbin/modprobe ip_tables

  3. Znovu spusťte ověření a ověřte, že se teď načítají tabulky: lsmod |grep ip_tables

Nakonfigurujte Linux tak, aby načetl ip_tables při spuštění:

V kontextu sudo spuštěním následujícího příkazu na serveru s Linuxem vytvořte konfigurační soubor, který během spouštění načte ip_tables do jádra: echo ip_tables > /etc/modules-load.d/mstunnel_iptables.conf

Další kroky

Konfigurace Microsoft Tunnel