Grundlegendes zu Azure AD-AnwendungsproxyconnectorsUnderstand Azure AD Application Proxy connectors

Connectors sind die Komponenten, die den Azure AD-Anwendungsproxy erst möglich machen.Connectors are what make Azure AD Application Proxy possible. Sie sind einfach aufgebaut, leicht bereitzustellen und zu verwalten und haben eine hohe Leistungsstärke.They're simple, easy to deploy and maintain, and super powerful. Dieser Artikel erläutert, was Connectors sind und wie sie funktionieren, und stellt einige Vorschläge für die Optimierung Ihrer Bereitstellung vor.This article discusses what connectors are, how they work, and some suggestions for how to optimize your deployment.

Was ist ein Anwendungsproxyconnector?What is an Application Proxy connector?

Bei Connectors handelt es sich um einfache Agents, die lokal eingerichtet sind und die ausgehende Verbindung zum Anwendungsproxydienst vereinfachen.Connectors are lightweight agents that sit on-premises and facilitate the outbound connection to the Application Proxy service. Connectors müssen auf einem Windows-Server installiert sein, der auf die Back-End-Anwendung zugreifen kann.Connectors must be installed on a Windows Server that has access to the backend application. Sie können Connectors in Connectorgruppen organisieren, wobei jede Gruppe für den Datenverkehr an bestimmte Anwendungen zuständig ist.You can organize connectors into connector groups, with each group handling traffic to specific applications.

Anforderungen und BereitstellungRequirements and deployment

Für die erfolgreiche Bereitstellung des Anwendungsproxys benötigen Sie mindestens einen Connector, aber es wird empfohlen, für größere Resilienz über mindestens zwei zu verfügen.To deploy Application Proxy successfully, you need at least one connector, but we recommend two or more for greater resiliency. Installieren Sie den Connector auf einem Computer mit Windows Server 2012 R2 oder höher.Install the connector on a machine running Windows Server 2012 R2 or later. Der Connector muss mit dem Anwendungsproxydienst und mit den lokalen Anwendungen, die Sie veröffentlichen, kommunizieren können.The connector needs to communicate with the Application Proxy service and the on-premises applications that you publish.

Windows-ServerWindows server

Sie benötigen einen Server, auf dem Windows Server 2012 R2 oder höher ausgeführt wird und auf dem Sie den Anwendungsproxy-Connector installieren können.You need a server running Windows Server 2012 R2 or later on which you can install the Application Proxy connector. Der Server muss eine Verbindung mit den Anwendungsproxydiensten in Azure sowie mit den lokalen Anwendungen herstellen können, die Sie veröffentlichen.The server needs to connect to the Application Proxy services in Azure, and the on-premises applications that you're publishing.

Auf dem Windows-Server muss TLS 1.2 aktiviert werden, bevor Sie den Anwendungsproxy-Connector installieren.The windows server needs to have TLS 1.2 enabled before you install the Application Proxy connector. So aktivieren Sie TLS 1.2 auf dem ServerTo enable TLS 1.2 on the server:

  1. Legen Sie die folgenden Registrierungsschlüssel fest:Set the following registry keys:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Neustarten des ServersRestart the server

Weitere Informationen zu den Netzwerkanforderungen für den Connectorserver finden Sie unter Erste Schritte mit dem Anwendungsproxy und Installieren des Connectors.For more information about the network requirements for the connector server, see Get started with Application Proxy and install a connector.

Wartung Maintenance

Die Connectors und der Dienst führen alle Aufgaben in Bezug auf Hochverfügbarkeit aus.The connectors and the service take care of all the high availability tasks. Diese können dynamisch hinzugefügt oder entfernt werden.They can be added or removed dynamically. Jedes Mal, wenn eine neue Anforderung eintrifft, wird diese an einen der gerade verfügbaren Connectors geleitet.Each time a new request arrives it is routed to one of the connectors that is currently available. Falls ein Connector vorübergehend nicht verfügbar ist, reagiert er nicht auf diesen Datenverkehr.If a connector is temporarily not available, it doesn't respond to this traffic.

Die Connectors sind zustandslos und verfügen über keine Konfigurationsdaten auf dem Computer.The connectors are stateless and have no configuration data on the machine. Die einzigen Daten, die sie speichern, sind die Einstellungen für das Verbinden des Diensts mit dessen Authentifizierungszertifikat.The only data they store is the settings for connecting the service and its authentication certificate. Wenn die Verbindung mit dem Dienst hergestellt wird, werden alle erforderlichen Konfigurationsdaten abgerufen und jeweils nach einigen Minuten aktualisiert.When they connect to the service, they pull all the required configuration data and refresh it every couple of minutes.

Connectors fragen den Server ab, um zu ermitteln, ob eine neuere Version des Connectors vorhanden ist.Connectors also poll the server to find out whether there is a newer version of the connector. Wenn ja, führen die Connectors die Aktualisierung selbst durch.If one is found, the connectors update themselves.

Sie können Ihre Connectors auf dem Computer überwachen, auf dem sie ausgeführt werden, indem Sie das Ereignisprotokoll und die Leistungsindikatoren verwenden.You can monitor your connectors from the machine they are running on, using either the event log and performance counters. Alternativ dazu können Sie ihren Status auch im Azure-Portal auf der Seite „Anwendungsproxy“ überwachen:Or you can view their status from the Application Proxy page of the Azure portal:

Beispiel: Azure AD-Anwendungsproxy-Connectors

Sie müssen nicht verwendete Connectors nicht manuell löschen.You don't have to manually delete connectors that are unused. Wenn ein Connector ausgeführt wird, bleibt er beim Herstellen der Verbindung mit dem Dienst aktiv.When a connector is running, it remains active as it connects to the service. Connectors, die nicht verwendet werden, werden als inaktiv gekennzeichnet und nach 10 Tagen Inaktivität entfernt.Unused connectors are tagged as inactive and are removed after 10 days of inactivity. Wenn Sie einen Connector deinstallieren möchten, müssen Sie jedoch sowohl den Connectordienst als auch den Updatedienst auf dem Server deinstallieren.If you do want to uninstall a connector, though, uninstall both the Connector service and the Updater service from the server. Starten Sie den Computer neu, um den Dienst vollständig zu entfernen.Restart your computer to fully remove the service.

Automatische AktualisierungenAutomatic updates

Azure AD bietet automatische Updates für alle von Ihnen bereitgestellten Connectors.Azure AD provides automatic updates for all the connectors that you deploy. Solange der Connectorupdatedienst für den Anwendungsproxy ausgeführt wird, werden Ihre Connectors automatisch aktualisiert.As long as the Application Proxy Connector Updater service is running, your connectors update automatically. Falls der Connectorupdatedienst auf Ihrem Server nicht angezeigt wird, müssen Sie den Connector neu installieren, um Updates zu erhalten.If you don’t see the Connector Updater service on your server, you need to reinstall your connector to get any updates.

Wenn Sie nicht warten möchten, bis ein Connector automatisch aktualisiert wird, können Sie die Aktualisierung manuell vornehmen.If you don't want to wait for an automatic update to come to your connector, you can do a manual upgrade. Rufen Sie auf dem Server mit dem Connector die Downloadseite für den Connector auf, und wählen Sie Herunterladen.Go to the connector download page on the server where your connector is located and select Download. Durch diesen Prozess wird ein Upgrade für den lokalen Connector gestartet.This process kicks off an upgrade for the local connector.

Bei Mandanten mit mehreren Connectors werden die automatischen Updates nacheinander auf die einzelnen Connectors in jeder Gruppe angewendet, um Ausfallzeiten in Ihrer Umgebung zu vermeiden.For tenants with multiple connectors, the automatic updates target one connector at a time in each group to prevent downtime in your environment.

In folgenden Fällen kann es während der Aktualisierung eines Connectors zu Ausfallzeiten kommen:You may experience downtime when your connector updates if:

  • Sie haben nur einen Connector. Wir empfehlen, einen zweiten Connector zu installieren und eine Connectorgruppe zu erstellen.You only have one connector we recommend you install a second connector and create a connector group. Dadurch werden Ausfallzeiten vermieden, und die Verfügbarkeit wird erhöht.This will avoid downtime and provide higher availability.
  • Zu Beginn der Aktualisierung befand sich ein Connector mitten in einer Transaktion.A connector was in the middle of a transaction when the update began. Obwohl die ursprüngliche Transaktion verloren gegangen ist, sollte Ihr Browser automatisch versuchen, den Vorgang zu wiederholen. Andernfalls können Sie die Seite aktualisieren.Although the initial transaction is lost, your browser should automatically retry the operation or you can refresh your page. Wenn die Anforderung erneut gesendet wird, wird der Datenverkehr an einen Backupconnector weitergeleitet.When the request is resent, the traffic is routed to a backup connector.

Informationen zu zuvor veröffentlichten Versionen und Änderungen, die sie umfassen, finden Sie unter Application Proxy – Versionsgeschichte.To see information about previously released versions and what changes they include, see Application Proxy- Version Release History.

Erstellen von ConnectorgruppenCreating connector groups

Mit Connectorgruppen können Sie Anwendungen bestimmte Connectors zuweisen.Connector groups enable you to assign specific connectors to serve specific applications. Sie können mehrere Connectors gruppieren, und dann jede Anwendung einer Gruppe zuweisen.You can group a number of connectors together, and then assign each application to a group.

Connectorgruppen erleichtern das Verwalten großer Bereitstellungen.Connector groups make it easier to manage large deployments. Darüber hinaus Verringern Sie Wartezeiten für Mandanten, deren Anwendungen in verschiedenen Regionen gehostet werden, da Sie standortbasierte Connectorgruppen erstellen können, die nur für lokale Anwendungen bestimmt sind.They also improve latency for tenants that have applications hosted in different regions, because you can create location-based connector groups to serve only local applications.

Weitere Informationen zu Connectorgruppen finden Sie unter Veröffentlichen von Anwendungen in getrennten Netzwerken und an getrennten Standorten mithilfe von Connectorgruppen.To learn more about connector groups, see Publish applications on separate networks and locations using connector groups.

KapazitätsplanungCapacity planning

Sie sollten unbedingt sicherstellen, dass Sie ausreichend Kapazität zwischen den Connectors zum Verarbeiten des erwarteten Datenverkehrs geplant haben.It is important to make sure you have planned enough capacity between connectors to handle the expected traffic volume. Um Hochverfügbarkeit und Skalierung zu gewährleisten, sollten jeder Connectorgruppe mindestens zwei Connectors zugewiesen werden.We recommend that each connector group has at least two connectors to provide high availability and scale. Mit drei Connectors sind Sie in dem Fall, dass Sie einen Computer warten müssen, optimal aufgestellt.Having three connectors is optimal in case you may need to service a machine at any point.

Im Allgemeinen gilt: Je mehr Benutzer Sie haben, desto größer muss der Computer dimensioniert sein.In general, the more users you have, the larger a machine you'll need. Die Tabelle weiter unten bietet einen Überblick über das Volumen und die erwartete Latenz bei verschiedenen Computern.Below is a table giving an outline of the volume and expected latency different machines can handle. Hinweis: Da Nutzungsmuster variieren und sich somit nicht für die Lastprognose eignen, basieren die Angaben nicht auf Benutzern, sondern jeweils auf den erwarteten Transaktionen pro Sekunde (TPS).Note it is all based on expected Transactions Per Second (TPS) rather than by user since usage patterns vary and can't be used to predict load. Abhängig von der Antwortgröße und der Antwortzeit der Back-End-Anwendung ist außerdem mit gewissen Abweichungen zu rechnen: Bei größeren Antworten und längeren Antwortzeiten verringert sich der TPS-Maximalwert.There will also be some differences based on the size of the responses and the backend application response time - larger response sizes and slower response times will result in a lower Max TPS. Es wird empfohlen, zusätzliche Computer einzusetzen, um für die auf die Computer verteilte Last immer ausreichend Puffer zur Verfügung zu haben.We also recommend having additional machines so that the distributed load across the machines always provides ample buffer. Die zusätzliche Kapazität sorgt für Hochverfügbarkeit und Resilienz.The extra capacity will ensure that you have high availability and resiliency.

KerneCores RAMRAM Erwartete Wartezeit (ms) – P99Expected Latency (MS)-P99 TPS (maximal)Max TPS
22 88 325325 586586
44 1616 320320 11501150
88 3232 270270 1.1901190
1616 6464 245245 1200*1200*

* Dieser Computer hat eine benutzerdefinierte Einstellung verwendet, um einige der Standardgrenzwerte für Verbindungen über die für .NET empfohlenen Einstellungen zu erhöhen.* This machine used a custom setting to raise some of the default connection limits beyond .NET recommended settings. Es wird empfohlen, vor der Kontaktaufnahme mit dem Support einen Test mit den Standardeinstellungen durchzuführen, um diesen Grenzwert für Ihren Mandanten ändern zu lassen.We recommend running a test with the default settings before contacting support to get this limit changed for your tenant.

Hinweis

Bei Computern mit vier, acht und 16 Kernen ist der Unterschied beim TPS-Maximalwert minimal.There is not much difference in the maximum TPS between 4, 8, and 16 core machines. Sie unterscheiden sich hauptsächlich bei der erwarteten Wartezeit.The main difference between those is in the expected latency.

Diese Tabelle nennt auch auf die erwartete Leistung eines Connectors basierend auf dem Computertyp, auf dem er installiert ist.This table also focuses on the expected performance of a connector based on the type of machine it is installed on. Dies ist unabhängig von den Drosselungsgrenzwerten des Anwendungsproxydiensts, siehe Dienstgrenzwerte und Einschränkungen.This is separate from the Application Proxy service's throttling limits, see Service limits and restrictions.

Sicherheit und NetzwerkSecurity and networking

Connectors können überall im Netzwerk installiert werden, sodass Anforderungen an den Anwendungsproxydienst gesendet werden können.Connectors can be installed anywhere on the network that allows them to send requests to the Application Proxy service. Wichtig ist nur, dass der Computer, auf dem der Connector ausgeführt ist, ebenfalls Zugriff auf Ihre Apps hat.What's important is that the computer running the connector also has access to your apps. Sie können die Connectors in Ihrem Unternehmensnetzwerk oder auf einem virtuellen Computer installieren, der in der Cloud ausgeführt wird.You can install connectors inside of your corporate network or on a virtual machine that runs in the cloud. Connectors können in einem Umkreisnetzwerk, auch bekannt als demilitarisierte Zone (Demilitarized Zone, DMZ) ausgeführt werden, aber dies ist nicht notwendig, da der gesamte Datenverkehr ausgehend ist und das Netzwerk somit sicher bleibt.Connectors can run within a perimeter network, also known as a demilitarized zone (DMZ), but it's not necessary because all traffic is outbound so your network stays secure.

Connectors senden nur ausgehende Anforderungen.Connectors only send outbound requests. Der ausgehende Datenverkehr wird an den Anwendungsproxydienst und die veröffentlichten Anwendungen gesendet.The outbound traffic is sent to the Application Proxy service and to the published applications. Das Öffnen von eingehenden Ports ist nicht erforderlich, da der Datenverkehr nach dem Einrichten einer Sitzung in beide Richtungen fließt.You don't have to open inbound ports because traffic flows both ways once a session is established. Auch der eingehende Zugriff über die Firewalls muss nicht konfiguriert werden.You also don't have to configure inbound access through your firewalls.

Weitere Informationen zum Konfigurieren von Firewallregeln für ausgehenden Datenverkehr finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.For more information about configuring outbound firewall rules, see Work with existing on-premises proxy servers.

Leistung und SkalierbarkeitPerformance and scalability

Die Skalierung für den Anwendungsproxy ist transparent, aber die Skalierung in Bezug auf Connectors ist ein wichtiger Faktor.Scale for the Application Proxy service is transparent, but scale is a factor for connectors. Sie müssen über eine ausreichende Zahl von Connectors verfügen, um Spitzenlasten verarbeiten zu können.You need to have enough connectors to handle peak traffic. Da Connectors zustandslos sind, wirkt sich die Anzahl von Benutzern oder Sitzungen nicht auf sie aus.Since connectors are stateless, they aren't affected by the number of users or sessions. Stattdessen wirkt sich die Anzahl von Anforderungen und deren Nutzlastgröße auf sie aus.Instead, they respond to the number of requests and their payload size. Bei standardmäßigem Webdatenverkehr kann ein Computer mit durchschnittlicher Leistungsfähigkeit einige Tausend Anforderungen pro Sekunde verarbeiten.With standard web traffic, an average machine can handle a couple thousand requests per second. Diese Kapazität richtet sich nach den genauen Eigenschaften des jeweiligen Computers.The specific capacity depends on the exact machine characteristics.

Die Connectorleistung wird durch die CPU und das Netzwerk bestimmt.The connector performance is bound by CPU and networking. Eine gute CPU-Leistung wird für die TLS-Verschlüsselung und -Entschlüsselung benötigt, und die Netzwerkeigenschaften sind wichtig, um eine gute Konnektivität für die Anwendungen und den Online-Dienst in Azure zu erzielen.CPU performance is needed for TLS encryption and decryption, while networking is important to get fast connectivity to the applications and the online service in Azure.

Der Arbeitsspeicher ist für Connectors dagegen weniger wichtig.In contrast, memory is less of an issue for connectors. Der Online-Dienst übernimmt einen Großteil der Verarbeitung und den gesamten nicht authentifizierten Datenverkehr.The online service takes care of much of the processing and all unauthenticated traffic. Alle Schritte, die in der Cloud ausgeführt werden können, werden auch in der Cloud ausgeführt.Everything that can be done in the cloud is done in the cloud.

Sollte der Connector oder der Computer aus irgendeinem Grund nicht mehr zur Verfügung stehen, wird der Datenverkehr an einen anderen Connector in der Gruppe geleitet.If for any reason that connector or machine becomes unavailable, the traffic will start going to another connector in the group. Aufgrund dieser Resilienz empfiehlt sich auch die Verwendung mehrerer Connectors.This resiliency is also why we recommend having multiple connectors.

Ein weiterer Leistungsfaktor ist die Qualität der Netzwerkverbindung zwischen den Connectors, z.B.:Another factor that affects performance is the quality of the networking between the connectors, including:

  • Onlinedienst: Langsame Verbindungen oder Verbindungen mit hoher Wartezeit mit dem Anwendungsproxydienst in Azure beeinflussen die Leistung des Connectors.The online service: Slow or high-latency connections to the Application Proxy service in Azure influence the connector performance. Stellen Sie für eine optimale Leistung eine Verbindung zwischen Ihrer Organisation und Azure über ExpressRoute her.For the best performance, connect your organization to Azure with Express Route. Andernfalls muss das Netzwerkteam sicherstellen, dass Verbindungen mit Azure so effizient wie möglich verarbeitet werden.Otherwise, have your networking team ensure that connections to Azure are handled as efficiently as possible.
  • Back-End-Anwendungen: In einigen Fällen sind zwischen dem Connector und den Back-End-Anwendungen zusätzliche Proxys vorhanden, die Verbindungen verlangsamen oder verhindern können.The backend applications: In some cases, there are additional proxies between the connector and the backend applications that can slow or prevent connections. Öffnen Sie zur Behebung des Problems in diesem Szenario einen Browser vom Connectorserver aus und versuchen Sie, auf die Anwendung zuzugreifen.To troubleshoot this scenario, open a browser from the connector server and try to access the application. Wenn Sie die Connectors in Azure ausführen, die Anwendungen aber lokal vorliegen, ist die Benutzerfreundlichkeit möglicherweise nicht so hoch wie erwartet.If you run the connectors in Azure but the applications are on-premises, the experience might not be what your users expect.
  • Domänencontroller: Wenn die Connectors SSO (Single Sign-On, einmaliges Anmelden) per eingeschränkter Kerberos-Delegierung durchführen, nehmen sie vor dem Senden der Anforderung an das Back-End Kontakt mit den Domänencontrollern auf.The domain controllers: If the connectors perform single sign-on (SSO) using Kerberos Constrained Delegation, they contact the domain controllers before sending the request to the backend. Die Connectors verfügen zwar über einen Cache mit Kerberos-Tickets, aber in einer Umgebung mit hoher Auslastung kann sich die Reaktionsfähigkeit der Domänencontroller auf die Leistung auswirken.The connectors have a cache of Kerberos tickets, but in a busy environment the responsiveness of the domain controllers can affect performance. Dieses Problem tritt häufiger bei Connectors auf, die in Azure ausgeführt werden, aber mit Domänencontrollern kommunizieren, die lokal installiert sind.This issue is more common for connectors that run in Azure but communicate with domain controllers that are on-premises.

Weitere Informationen zur Optimierung Ihres Netzwerks finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Azure Active Directory-Anwendungsproxys.For more information about optimizing your network, see Network topology considerations when using Azure Active Directory Application Proxy.

DomänenbeitrittDomain joining

Connectors können auf einem Computer ausgeführt werden, der nicht in eine Domäne eingebunden ist.Connectors can run on a machine that is not domain-joined. Wenn Sie jedoch das einmalige Anmelden für Anwendungen einrichten möchten, die die integrierte Windows-Authentifizierung (IWA) nutzen, benötigen Sie einen Computer, der in eine Domäne eingebunden ist.However, if you want single sign-on (SSO) to applications that use Integrated Windows Authentication (IWA), you need a domain-joined machine. In diesem Fall müssen die Connectorcomputer in eine Domäne eingebunden werden, die die eingeschränkte Kerberos-Delegierung im Namen der Benutzer für die veröffentlichten Anwendungen durchführen kann.In this case, the connector machines must be joined to a domain that can perform Kerberos Constrained Delegation on behalf of the users for the published applications.

Connectors können auch in Domänen oder Gesamtstrukturen mit einer Teilvertrauensstellung oder in schreibgeschützte Domänencontroller eingebunden werden.Connectors can also be joined to domains in forests that have a partial trust, or to read-only domain controllers.

Connectorbereitstellungen in festgeschriebenen UmgebungenConnector deployments on hardened environments

In der Regel ist die Connectorbereitstellung unkompliziert und erfordert keine spezielle Konfiguration.Usually, connector deployment is straightforward and requires no special configuration. Es gibt jedoch einige Bedingungen, die berücksichtigt werden müssen:However, there are some unique conditions that should be considered:

  • Organisationen, die ausgehenden Datenverkehr einschränken, müssen erforderliche Ports öffnen.Organizations that limit the outbound traffic must open required ports.
  • Möglicherweise muss die Konfiguration von FIPS-konformen Computern geändert werden, damit die Connectorprozesse ein Zertifikat generieren und speichern können.FIPS-compliant machines might be required to change their configuration to allow the connector processes to generate and store a certificate.
  • Organisationen, die ihre Umgebung basierend auf den Prozessen sperren, die die Netzwerkanforderungen ausgeben, müssen sicherstellen, dass für beide Connectordienste der Zugriff auf alle erforderlichen Ports und IPs zugelassen ist.Organizations that lock down their environment based on the processes that issue the networking requests have to make sure that both connector services are enabled to access all required ports and IPs.
  • In einigen Fällen kann es passieren, dass Proxys für die Weiterleitung des ausgehenden Datenverkehrs die zweistufige Authentifizierung per Zertifikat verhindern, sodass bei der Kommunikation ein Fehler auftritt.In some cases, outbound forward proxies may break the two-way certificate authentication and cause the communication to fail.

ConnectorauthentifizierungConnector authentication

Zur Bereitstellung eines sicheren Diensts müssen sich Connectors beim Dienst authentifizieren, und der Dienst muss sich beim Connector authentifizieren.To provide a secure service, connectors have to authenticate toward the service, and the service has to authenticate toward the connector. Für die Authentifizierung werden Client- und Serverzertifikate verwendet, wenn die Connectors die Verbindung initiieren.This authentication is done using client and server certificates when the connectors initiate the connection. So wird erreicht, dass der Benutzername und das Kennwort des Administrator nicht auf dem Connectorcomputer gespeichert werden.This way the administrator’s username and password are not stored on the connector machine.

Die verwendeten Zertifikate gelten nur für den Anwendungsproxydienst.The certificates used are specific to the Application Proxy service. Sie werden während der ersten Registrierung erstellt und von den Connectors alle paar Monate automatisch verlängert.They get created during the initial registration and are automatically renewed by the connectors every couple of months.

Nach der ersten erfolgreichen Zertifikatsverlängerung hat der Azure AD-Anwendungsproxy-Connectordienst (Netzwerkdienst) keine Berechtigung, das alte Zertifikat aus dem Speicher des lokalen Computers zu entfernen.After the first successful certificate renewal the Azure AD Application Proxy Connector service (Network Service) has no permission to remove the old certificate from the local machine store. Wenn das Zertifikat abgelaufen ist oder nicht mehr vom Dienst verwendet wird, können Sie es problemlos löschen.If the certificate has expired or it won't be used by the service anymore, you can delete it safely.

Um Probleme bei der Zertifikatsverlängerung zu vermeiden, müssen Sie sicherstellen, dass die Netzwerkkommunikation zwischen dem Connector und den dokumentierten Zielen aktiviert ist.To avoid problems with the certificate renewal, ensure that the network communication from the connector towards the documented destinations is enabled.

Wenn ein Connector über mehrere Monate hinweg keine Verbindung mit dem Dienst herstellt, sind die Zertifikate möglicherweise veraltet.If a connector is not connected to the service for several months, its certificates may be outdated. In diesem Fall müssen Sie den Connector deinstallieren und neu installieren, um die Registrierung auszulösen.In this case, uninstall and reinstall the connector to trigger registration. Sie können die folgenden PowerShell-Befehle ausführen:You can run the following PowerShell commands:

Import-module AppProxyPSModule
Register-AppProxyConnector

Weitere Informationen zum Überprüfen des Zertifikats und zur Problembehandlung finden Sie unter Überprüfen der Unterstützung des Vertrauensstellungszertifikats des Anwendungsproxys durch Computer und Back-End-Komponenten.To learn more about how to verify the certificate and troubleshoot problems see Verify Machine and backend components support for Application Proxy trust certificate.

Hinter den KulissenUnder the hood

Connectors basieren auf dem Windows Server-Webanwendungsproxy und verwenden daher einen Großteil der gleichen Verwaltungstools wie z. B. Windows-Ereignisprotokolle.Connectors are based on Windows Server Web Application Proxy, so they have most of the same management tools including Windows Event Logs

Verwalten von Ereignisprotokollen mit der Ereignisanzeige

und Windows-Leistungsindikatoren.and Windows performance counters.

Hinzufügen von Leistungsindikatoren zum Connector mit dem Leistungsmonitor

Die Connectors verfügen über Administrator- und Sitzungsprotokolle.The connectors have both admin and session logs. Die Administratorprotokolle enthalten wichtige Ereignisse und die dazugehörigen Fehler.The admin logs include key events and their errors. Die Sitzungsprotokolle enthalten alle Transaktionen und die dazugehörigen Verarbeitungsdetails.The session logs include all the transactions and their processing details.

Um die Protokolle anzuzeigen, wechseln Sie zur Ereignisanzeige, öffnen Sie das Menü Ansicht, und aktivieren Sie die Option Analytische und Debugprotokolle einblenden.To see the logs, go to the Event Viewer, open the View menu, and enable Show analytic and debug logs. Aktivieren Sie die Protokolle, um mit dem Erfassen von Ereignissen zu beginnen.Then, enable them to start collecting events. Diese Protokolle werden nicht im Webanwendungsproxy in Windows Server 2012 R2 angezeigt, da die Connectors auf einer neueren Version basieren.These logs do not appear in Web Application Proxy in Windows Server 2012 R2, as the connectors are based on a more recent version.

Sie können den Zustand des Diensts im Fenster „Dienste“ untersuchen.You can examine the state of the service in the Services window. Der Connector besteht aus zwei Windows-Diensten: dem eigentlichen Connector und dem Updatedienst.The connector is made up of two Windows Services: the actual connector, and the updater. Beide Dienste müssen immer ausgeführt werden.Both of them must run all the time.

Beispiel: Fenster „Dienste“ mit lokalen Azure AD-Diensten

Nächste SchritteNext steps