Grundlegendes zu Microsoft Entra-Anwendungsproxyconnectors

Connectors ermöglichen Microsoft Entra-Anwendungsproxy. Sie sind einfach aufgebaut, leicht bereitzustellen und zu verwalten und haben eine hohe Leistungsstärke. Dieser Artikel erläutert, was Connectors sind und wie sie funktionieren, und stellt einige Vorschläge für die Optimierung Ihrer Bereitstellung vor.

Was ist ein Anwendungsproxyconnector?

Bei Connectors handelt es sich um einfache Agents, die lokal eingerichtet sind und die ausgehende Verbindung zum Anwendungsproxydienst vereinfachen. Connectors müssen auf einem Windows-Server installiert sein, der auf die Back-End-Anwendung zugreifen kann. Sie können Connectors in Connectorgruppen organisieren, wobei jede Gruppe für den Datenverkehr an bestimmte Anwendungen zuständig ist. Weitere Informationen zum Anwendungsproxy sowie eine grafische Darstellung der Anwendungsproxyarchitektur finden Sie unter Veröffentlichen von lokalen Apps für dem Remotezugriff mit dem Microsoft Entra-Anwendungsproxy.

Anforderungen und Bereitstellung

Für die erfolgreiche Bereitstellung des Anwendungsproxys benötigen Sie mindestens einen Connector, aber es wird empfohlen, für größere Resilienz über mindestens zwei zu verfügen. Installieren Sie den Connector auf einem Computer mit Windows Server 2012 R2 oder höher. Der Connector muss mit dem Anwendungsproxydienst und mit den lokalen Anwendungen, die Sie veröffentlichen, kommunizieren können.

Windows Server

Sie benötigen einen Server, auf dem Windows Server 2012 R2 oder höher ausgeführt wird und auf dem Sie den Anwendungsproxy-Connector installieren können. Der Server muss eine Verbindung mit den Anwendungsproxydiensten in Azure sowie mit den lokalen Anwendungen herstellen können, die Sie veröffentlichen.

Wichtig

Version 1.5.3437.0+ erfordert für die Installation oder das Upgrade die .NET-Version 4.7.1 oder höher.

Auf dem Server muss Transport Layer Security (TLS) 1.2 aktiviert werden, bevor Sie den Anwendungsproxyconnector installieren. So aktivieren Sie TLS 1.2 auf dem Server

  1. Legen Sie die folgenden Registrierungsschlüssel fest:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0] "SchUseStrongCrypto"=dword:00000001
    

    Eine regedit-Datei, die Sie zum Festlegen dieser Werte verwenden können, sieht wie folgt aus:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Neustarten des Servers

Weitere Informationen zu den Netzwerkanforderungen für den Connectorserver finden Sie unter Erste Schritte mit dem Anwendungsproxy und Installieren des Connectors.

Wartung

Die Connectors und der Dienst führen alle Aufgaben in Bezug auf Hochverfügbarkeit aus. Diese können dynamisch hinzugefügt oder entfernt werden. Neue Anforderungen werden an einen der verfügbaren Connector weitergeleitet. Falls ein Connector vorübergehend nicht verfügbar ist, reagiert er nicht auf diesen Datenverkehr.

Die Connectors sind zustandslos und verfügen über keine Konfigurationsdaten auf dem Computer. Die einzigen Daten, die sie speichern, sind die Einstellungen für das Verbinden des Diensts mit dessen Authentifizierungszertifikat. Wenn die Verbindung mit dem Dienst hergestellt wird, werden alle erforderlichen Konfigurationsdaten abgerufen und jeweils nach einigen Minuten aktualisiert.

Connectors fragen auch den Server ab, um zu ermitteln, ob es eine neuere Version des Connectors gibt. Wenn ja, führen die Connectors die Aktualisierung selbst durch.

Sie können Ihre Connectors auf dem Computer überwachen, auf dem sie ausgeführt werden, indem Sie das Ereignisprotokoll und die Leistungsindikatoren verwenden. Weitere Informationen finden Sie unter Überwachen und Überprüfen von Protokollen für lokale Microsoft Entra-Instanzen.

Alternativ dazu können Sie ihren Status auch im Microsoft Entra Admin Center auf der Seite „Anwendungsproxy“ überwachen:

Example: Microsoft Entra application proxy connectors

Sie müssen nicht verwendete Connectors nicht manuell löschen. Wenn ein Connector ausgeführt wird, bleibt er beim Herstellen der Verbindung mit dem Dienst aktiv. Connectors, die nicht verwendet werden, werden als inaktiv gekennzeichnet und nach 10 Tagen Inaktivität entfernt. Wenn Sie einen Connector deinstallieren möchten, müssen Sie jedoch sowohl den Connectordienst als auch den Updatedienst auf dem Server deinstallieren. Starten Sie den Computer neu, um den Dienst vollständig zu entfernen.

Automatische Aktualisierungen

Microsoft Entra ID bietet automatische Updates für alle von Ihnen bereitgestellten Connectors. Solange der Updater-Dienst des Anwendungsproxyconnectors ausgeführt wird, werden Ihre Connectors automatisch mit der letzten Hauptversion des Connectors aktualisiert. Falls der Connectorupdatedienst auf Ihrem Server nicht angezeigt wird, müssen Sie den Connector neu installieren, um Updates zu erhalten.

Wenn Sie nicht warten möchten, bis ein Connector automatisch aktualisiert wird, können Sie die Aktualisierung manuell vornehmen. Rufen Sie auf dem Server mit dem Connector die Downloadseite für den Connector auf, und wählen Sie Herunterladen. Durch diesen Prozess wird ein Upgrade für den lokalen Connector gestartet.

Bei Mandanten mit mehreren Connectors werden die automatischen Updates nacheinander auf die einzelnen Connectors in jeder Gruppe angewendet, um Ausfallzeiten in Ihrer Umgebung zu vermeiden.

In folgenden Fällen könnte es während der Aktualisierung eines Connectors zu Ausfallzeiten kommen:

  • Sie verfügen nur über einen Connector. Um Ausfallzeiten zu vermeiden und eine höhere Verfügbarkeit zu gewährleisten, empfiehlt es sich, einen zweiten Connector zu verwenden und eine Connector-Gruppe zu erstellen.
  • Zu Beginn der Aktualisierung befand sich ein Connector mitten in einer Transaktion. Obwohl die ursprüngliche Transaktion verloren gegangen ist, sollte Ihr Browser automatisch versuchen, den Vorgang zu wiederholen. Andernfalls können Sie die Seite aktualisieren. Wenn die Anforderung erneut gesendet wird, wird der Datenverkehr an einen Backupconnector weitergeleitet.

Informationen zu zuvor veröffentlichten Versionen und Änderungen, die sie umfassen, finden Sie unter Anwendungsproxy – Versionsverlauf.

Erstellen von Connectorgruppen

Mit Connectorgruppen können Sie Anwendungen bestimmte Connectors zuweisen. Sie können viele Connectors gruppieren und dann einer Gruppe die einzelnen Anwendungen zuweisen.

Connectorgruppen erleichtern das Verwalten großer Bereitstellungen. Darüber hinaus Verringern Sie Wartezeiten für Mandanten, deren Anwendungen in verschiedenen Regionen gehostet werden, da Sie standortbasierte Connectorgruppen erstellen können, die nur für lokale Anwendungen bestimmt sind.

Weitere Informationen zu Connectorgruppen finden Sie unter Veröffentlichen von Anwendungen in getrennten Netzwerken und an getrennten Standorten mithilfe von Connectorgruppen.

Kapazitätsplanung

Planen Sie ausreichend Kapazität zwischen den Connectors zum Verarbeiten des erwarteten Datenverkehrs ein. Mindestens zwei Connectors pro Connector-Gruppe gewährleisten Hochverfügbarkeit und Skalierbarkeit. Drei Connectors sind jedoch optimal.

Die Tabelle enthält das Volumen und die erwartete Latenzzeit für verschiedene Computerspezifikationen. Da Nutzungsmuster variieren und sich somit nicht für die Lastprognose eignen, basieren die Angaben nicht auf der Benutzeranzahl, sondern jeweils auf den erwarteten Transaktionen pro Sekunde (TPS). Abhängig von der Antwortgröße und der Antwortzeit der Back-End-Anwendung ist außerdem mit gewissen Abweichungen zu rechnen: Bei größeren Antworten und längeren Antwortzeiten verringert sich der TPS-Maximalwert. Mehr Computer verteilen die Last und sorgen für einen ausreichenden Puffer. Die zusätzliche Kapazität sorgt für hohe Verfügbarkeit und Resilienz.

Kerne RAM Erwartete Wartezeit (ms) – P99 TPS (maximal)
2 8 325 586
4 16 320 1150
8 32 270 1.190
16 64 245 1200*

* Der Computer hat eine benutzerdefinierte Einstellung verwendet, um einige der Standardgrenzwerte für Verbindungen über die für .NET empfohlenen Einstellungen zu erhöhen. Es wird empfohlen, vor der Kontaktaufnahme mit dem Support einen Test mit den Standardeinstellungen durchzuführen, um diesen Grenzwert für Ihren Mandanten ändern zu lassen.

Hinweis

Bei Computern mit vier, acht und 16 Kernen ist der Unterschied beim TPS-Maximalwert minimal. Der Hauptunterschied ist die erwartete Latenz.

Die Tabelle konzentriert sich auf die erwartete Leistung eines Connectors je nach Art des Geräts, auf dem er installiert ist. Dies ist unabhängig von den Drosselungsgrenzwerten des Anwendungsproxydiensts, siehe Dienstgrenzwerte und Einschränkungen.

Sicherheit und Netzwerk

Connectors können überall im Netzwerk installiert werden, sodass Anforderungen an den Anwendungsproxydienst gesendet werden können. Wichtig ist nur, dass der Computer, auf dem der Connector ausgeführt ist, ebenfalls Zugriff auf Ihre Apps hat. Sie können die Connectors in Ihrem Unternehmensnetzwerk oder auf einem virtuellen Computer installieren, der in der Cloud ausgeführt wird. Connectors können in einem Umkreisnetzwerk, auch bekannt als demilitarisierte Zone (Demilitarized Zone, DMZ) ausgeführt werden, aber dies ist nicht notwendig, da der gesamte Datenverkehr ausgehend ist und das Netzwerk somit sicher bleibt.

Connectors senden nur ausgehende Anforderungen. Der ausgehende Datenverkehr wird an den Anwendungsproxydienst und die veröffentlichten Anwendungen gesendet. Das Öffnen von eingehenden Ports ist nicht erforderlich, da der Datenverkehr nach dem Einrichten einer Sitzung in beide Richtungen fließt. Auch der eingehende Zugriff über die Firewalls muss nicht konfiguriert werden.

Weitere Informationen zum Konfigurieren von Firewallregeln für ausgehenden Datenverkehr finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.

Leistung und Skalierbarkeit

Die Skalierung für den Anwendungsproxy ist transparent, aber die Skalierung in Bezug auf Connectors ist ein wichtiger Faktor. Sie müssen über eine ausreichende Zahl von Connectors verfügen, um Spitzenlasten verarbeiten zu können. Connectors sind zustandslos und die Benutzer- oder Sitzungsanzahl wirkt sich nicht auf sie aus. Stattdessen wirkt sich die Anzahl von Anforderungen und deren Nutzlastgröße auf sie aus. Bei standardmäßigem Webdatenverkehr kann ein Computer mit durchschnittlicher Leistungsfähigkeit 2000 Anforderungen pro Sekunde verarbeiten. Diese Kapazität richtet sich nach den genauen Eigenschaften des jeweiligen Computers.

CPU und Netzwerk definieren die Connectorleistung. Eine gute CPU-Leistung wird für die TLS-Verschlüsselung und -Entschlüsselung benötigt, und die Netzwerkeigenschaften sind wichtig, um eine gute Konnektivität für die Anwendungen und den Online-Dienst zu erzielen.

Der Arbeitsspeicher ist für Connectors dagegen weniger wichtig. Der Online-Dienst übernimmt einen Großteil der Verarbeitung und den gesamten nicht authentifizierten Datenverkehr. Alle Schritte, die in der Cloud ausgeführt werden können, werden auch in der Cloud ausgeführt.

Wenn Connectors oder Computer nicht verfügbar sind, wird der Datenverkehr an einen anderen Connector in der Gruppe weitergeleitet. Mehrere Connectors in einer Connector-Gruppe bieten Resilienz.

Ein weiterer Leistungsfaktor ist die Qualität der Netzwerkverbindung zwischen den Connectors, z.B.:

  • Online-Dienst: Langsame Verbindungen oder Verbindungen mit hoher Wartezeit zum Anwendungsproxydienst in Azure beeinflussen die Leistung des Connectors. Stellen Sie für eine optimale Leistung eine Verbindung zwischen Ihrer Organisation und Azure über ExpressRoute her. Andernfalls muss das Netzwerkteam sicherstellen, dass Verbindungen mit Azure so effizient wie möglich verarbeitet werden.
  • Back-End-Anwendungen: In einigen Fällen sind zwischen dem Connector und den Back-End-Anwendungen zusätzliche Proxys vorhanden, die Verbindungen verlangsamen oder verhindern können. Öffnen Sie zur Behebung des Problems in diesem Szenario einen Browser vom Connectorserver aus und versuchen Sie, auf die Anwendung zuzugreifen. Wenn Sie die Connectors in Azure ausführen, die Anwendungen aber lokal vorliegen, ist die Benutzerfreundlichkeit möglicherweise nicht so hoch wie erwartet.
  • Domänencontroller: Wenn die Connectors SSO (Single Sign-On, einmaliges Anmelden) per eingeschränkter Kerberos-Delegierung durchführen, nehmen sie vor dem Senden der Anforderung an das Back-End Kontakt mit den Domänencontrollern auf. Die Connectors verfügen zwar über einen Cache mit Kerberos-Tickets, aber in einer Umgebung mit hoher Auslastung kann sich die Reaktionsfähigkeit der Domänencontroller auf die Leistung auswirken. Dieses Problem tritt häufiger bei Connectors auf, die in Azure ausgeführt werden, aber mit Domänencontrollern kommunizieren, die lokal installiert sind.

Weitere Informationen zur Optimierung Ihres Netzwerks finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Microsoft Entra-Anwendungsproxys.

Domänenbeitritt

Connectors können auf einem Computer ausgeführt werden, der nicht in eine Domäne eingebunden ist. Wenn Sie jedoch das einmalige Anmelden für Anwendungen einrichten möchten, die die integrierte Windows-Authentifizierung (IWA) nutzen, benötigen Sie einen Computer, der in eine Domäne eingebunden ist. In diesem Fall müssen die Connectorcomputer in eine Domäne eingebunden werden, die die eingeschränkte Kerberos-Delegierung im Namen der Benutzer für die veröffentlichten Anwendungen durchführen kann.

Connectors können auch in Domänen oder Gesamtstrukturen mit einer Teilvertrauensstellung oder in schreibgeschützte Domänencontroller eingebunden werden.

Connectorbereitstellungen in festgeschriebenen Umgebungen

In der Regel ist die Connectorbereitstellung unkompliziert und erfordert keine spezielle Konfiguration.

Es gibt jedoch einige Bedingungen, die berücksichtigt werden müssen:

Connectorauthentifizierung

Zur Bereitstellung eines sicheren Diensts müssen sich Connectors beim Dienst authentifizieren, und der Dienst muss sich beim Connector authentifizieren. Für die Authentifizierung werden Client- und Serverzertifikate verwendet, wenn die Connectors die Verbindung initiieren. So wird erreicht, dass der Benutzername und das Kennwort des Admins nicht auf dem Connectorcomputer gespeichert werden.

Die verwendeten Zertifikate gelten nur für den Anwendungsproxydienst. Sie werden während der ersten Registrierung erstellt und nach einigen Monaten automatisch erneuert.

Nach der ersten erfolgreichen Zertifikatsverlängerung verfügt der Microsoft Entra-Anwendungsproxy-Connectordienst (Netzwerkdienst) nicht über die Berechtigung, das alte Zertifikat aus dem Speicher des lokalen Computers zu entfernen. Wenn das Zertifikat abläuft oder von dem Dienst nicht mehr verwendet wird, können Sie es sicher löschen.

Um Probleme bei der Zertifikatsverlängerung zu vermeiden, müssen Sie sicherstellen, dass die Netzwerkkommunikation zwischen dem Connector und den dokumentierten Zielen aktiviert ist.

Wenn ein Connector über mehrere Monate hinweg keine Verbindung mit dem Dienst herstellt, könnten die Zertifikate veraltet sein. In diesem Fall müssen Sie den Connector deinstallieren und neu installieren, um die Registrierung auszulösen. Sie können die folgenden PowerShell-Befehle ausführen:

Import-module AppProxyPSModule
Register-AppProxyConnector -EnvironmentName "AzureCloud"

Verwenden Sie für IP-Adressen von Behörden -EnvironmentName "AzureUSGovernment". Weitere Informationen finden Sie unter Installieren des Agents für die Azure Government-Cloud.

Weitere Informationen zum Überprüfen des Zertifikats und zur Problembehandlung finden Sie unter Überprüfen der Unterstützung des Vertrauensstellungszertifikats des Anwendungsproxys durch Computer und Back-End-Komponenten.

Hinter den Kulissen

Connectors basieren auf dem Windows Server-Webanwendungsproxy und verwenden daher einen Großteil der gleichen Verwaltungstools wie z. B. Windows-Ereignisprotokolle und Windows-Leistungsindikatoren.

Manage event logs with the Event Viewer

Add counters to the connector with the Performance Monitor

Die Connectors verfügen über Administratorprotokolle und Sitzungsprotokolle. Das Administratorprotokoll enthält wichtige Ereignisse und die dazugehörigen Fehler. Das Sitzungsprotokoll enthält alle Transaktionen und die dazugehörigen Verarbeitungsdetails.

Zum Anzeigen der Protokolle öffnen Sie die Ereignisanzeige, und navigieren Sie dann zu Anwendungs- und Dienstprotokolle>Microsoft>AadApplicationProxy>Connector. Damit das Sitzungsprotokoll im Menü Ansicht angezeigt wird, klicken Sie auf Analytische und Debugprotokolle einblenden. Das Sitzungsprotokoll dient in der Regel zur Problembehandlung und ist standardmäßig definiert. Aktivieren Sie das Protokoll, um mit der Erfassung von Ereignissen zu beginnen, und deaktivieren Sie es, wenn Sie es nicht mehr benötigen.

Sie können den Zustand des Diensts im Fenster „Dienste“ untersuchen. Der Connector besteht aus zwei Windows-Diensten: dem eigentlichen Connector und dem Updatedienst. Beide Dienste müssen immer ausgeführt werden.

Example: Services window showing Microsoft Entra services local

Inaktive Connectors

Ein häufiges Problem besteht darin, dass Connectors in einer Connectorgruppe als inaktiv angezeigt werden. Eine Firewall, welche die erforderlichen Ports blockiert, ist eine häufige Ursache für inaktive Connectors.

Nächste Schritte