Trabalhar com servidores proxy locais existentes

  • Artigo

Configure os conectores de rede privada do Microsoft Entra para usar servidores proxy de saída. O artigo assume que o ambiente de rede já tem um servidor proxy.

Começamos examinando estes principais cenários de implantação:

  • Configure conectores para ignorar seus proxies de saída locais.
  • Configure conectores para usar um proxy de saída para acessar o proxy de aplicativo Microsoft Entra.
  • Configure usando um proxy entre o conector e o aplicativo back-end.

Para obter mais informações sobre como os conectores funcionam, consulte Compreender os conectores de rede privada do Microsoft Entra.

Ignorar proxies de saída

Os conectores têm componentes subjacentes do sistema operacional que fazem solicitações de saída. Esses componentes tentam localizar automaticamente um servidor proxy na rede usando Web Proxy Auto-Discovery (WPAD).

Os componentes do SO tentam localizar um servidor proxy efetuando uma pesquisa de DNS (Sistema de Nomes de Domínio) para wpad.domainsuffix. Se a pesquisa for resolvida no DNS, uma solicitação HTTP será feita para o endereço IP (Internet Protocol) do wpad.dat. Essa solicitação se torna o script de configuração de proxy em seu ambiente. O conector usa esse script para selecionar um servidor proxy de saída. No entanto, o tráfego do conector pode continuar a falhar porque são necessárias mais definições de configuração no proxy.

Você pode configurar o conector para ignorar seu proxy local para garantir que ele use conectividade direta com o serviço de proxy de aplicativo Microsoft Entra. As conexões diretas são recomendadas porque exigem menos configuração. No entanto, algumas diretivas de rede exigem tráfego passando por um servidor proxy local.

Para desabilitar o uso de proxy de saída para o conector, edite o C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config arquivo e adicione a seção mostrada system.net no exemplo de código:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Para garantir que o serviço Connector Updater também ignore o proxy, faça uma alteração semelhante no MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config arquivo. Este arquivo está localizado em C:\Program Files\Microsoft Entra private network connector Updater.

Certifique-se de fazer cópias dos arquivos originais, caso precise reverter para os arquivos padrão .config .

Usar o servidor proxy de saída

Alguns ambientes exigem que todo o tráfego de saída passe por um proxy de saída, sem exceção. Como resultado, ignorar o proxy não é uma opção.

Você pode configurar o tráfego do conector para passar pelo proxy de saída, conforme mostrado no diagrama a seguir:

Configurando o tráfego do conector para passar por um proxy de saída para o proxy de aplicativo Microsoft Entra

Como resultado de ter apenas tráfego de saída, não há necessidade de configurar o acesso de entrada através de seus firewalls.

Nota

O proxy de aplicativo não oferece suporte à autenticação para outros proxies. As contas de serviço de rede do conector/atualizador devem ser capazes de se conectar ao proxy sem serem desafiadas para autenticação.

Se o WPAD estiver habilitado no ambiente e configurado adequadamente, o conector descobrirá automaticamente o servidor proxy de saída e tentará usá-lo. No entanto, você pode configurar explicitamente o conector para passar por um proxy de saída.

Para fazer isso, edite o C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config arquivo e adicione a seção mostrada system.net no exemplo de código. Altere proxyserver:8080 para refletir o nome do servidor proxy local ou o endereço IP e a porta. O valor deve ter o prefixo http:// mesmo se você estiver usando um endereço IP.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

Em seguida, configure o serviço Connector Updater para usar o proxy fazendo uma alteração semelhante no C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config arquivo.

Nota

O serviço Connector avalia a configuração defaultProxy para uso no %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, se o defaultProxy não estiver configurado (por padrão) no MicrosoftEntraPrivateNetworkConnectorService.exe.config. O mesmo se aplica ao serviço Connector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config) também.

Há quatro aspetos a considerar no proxy de saída:

  • Regras de saída de proxy
  • Autenticação de proxy
  • Portas proxy
  • Inspeção TLS (Transport Layer Security, segurança da camada de transporte)

Regras de saída de proxy

Permita acesso aos seguintes URLs:

URL Porta Utilizar
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicação entre o conector e o serviço de nuvem de proxy de aplicativo
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP O conector usa essas URLs para verificar certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com		 443/HTTPS O conector usa essas URLs durante o processo de registro.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP O conector usa essas URLs durante o processo de registro.

Se o firewall ou proxy permitir que você configure listas de permissões DNS, você poderá permitir conexões com *.msappproxy.net e *.servicebus.windows.net.

Se você não puder permitir a conectividade por FQDN (Nome de Domínio Totalmente Qualificado) e precisar especificar intervalos de IP, use estas opções:

  • Permita o acesso de saída do conector a todos os destinos.
  • Permita o acesso de saída do conector a todos os intervalos de IP do datacenter do Azure. O desafio de usar a lista de intervalos de IP do datacenter do Azure é que eles são atualizados semanalmente. Você precisa colocar um processo em prática para garantir que suas regras de acesso sejam atualizadas de acordo. Somente o uso de um subconjunto dos endereços IP faz com que sua configuração seja interrompida. Os intervalos de IP mais recentes do Data Center do Azure são baixados em https://download.microsoft.com. Use o termo de pesquisa, Azure IP Ranges and Service Tags. Certifique-se de selecionar a nuvem relevante. Por exemplo, os intervalos de IP da nuvem pública podem ser encontrados pesquisando por Azure IP Ranges and Service Tags – Public Cloud. A nuvem do governo dos EUA pode ser encontrada pesquisando por Azure IP Ranges and Service Tags – US Government Cloud.

Autenticação de proxy

Atualmente, não há suporte para autenticação de proxy. Nossa recomendação atual é permitir o acesso anônimo do conector aos destinos da Internet.

Portas proxy

O conector faz conexões de saída baseadas em TLS usando o método CONNECT. Esse método essencialmente configura um túnel através do proxy de saída. Configure o servidor proxy para permitir o túnel para as portas 443 e 80.

Nota

Quando o Service Bus é executado por HTTPS, ele usa a porta 443. No entanto, por padrão, o Service Bus tenta conexões diretas de protocolo TCP (Transmission Control Protocol) e retorna ao HTTPS somente se a conectividade direta falhar.

Inspeção TLS

Não use a inspeção TLS para o tráfego do conector, porque isso causa problemas para o tráfego do conector. O conector usa um certificado para autenticar no serviço de proxy de aplicativo, e esse certificado pode ser perdido durante a inspeção TLS.

Configurar usando um proxy entre o conector e o aplicativo de back-end

O uso de um proxy de encaminhamento para a comunicação com o aplicativo de back-end é um requisito especial em alguns ambientes. Para habilitar um proxy de encaminhamento, execute estas etapas:

Etapa 1: Adicionar o valor do Registro necessário ao servidor

  1. Para habilitar o uso do proxy padrão, adicione o valor do Registro (DWORD)UseDefaultProxyForBackendRequests = 1 à chave do Registro de configuração do conector localizada em HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.

Etapa 2: Configurar o servidor proxy manualmente usando o comando netsh

  1. Habilite a política Make proxy settings per-machinede grupo . A política de grupo encontra-se em: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. A política de grupo precisa ser definida em vez de ter a política definida por usuário.
  2. Execute gpupdate /force no servidor. Como alternativa, para garantir que a diretiva de grupo seja atualizada, reinicie o servidor.
  3. Inicie um prompt de comando elevado com direitos de administrador e digite control inetcpl.cpl.
  4. Configure as configurações de proxy necessárias.

As configurações fazem com que o conector use o mesmo proxy de encaminhamento para a comunicação com o Azure e com o aplicativo de back-end. Modifique o arquivo MicrosoftEntraPrivateNetworkConnectorService.exe.config para alterar o proxy de encaminhamento. A configuração de proxy de encaminhamento é descrita nas seções Ignorar proxies de saída e Usar o servidor proxy de saída.

Nota

Há várias maneiras de configurar o proxy de internet no sistema operacional. As configurações de proxy definidas via NETSH WINHTTP (executar NETSH WINHTTP SHOW PROXY para verificar) substituem as configurações de proxy definidas na Etapa 2.

O serviço atualizador do conector usa o proxy da máquina. A configuração é encontrada no MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config arquivo.

Solucionar problemas de proxy de conector e problemas de conectividade de serviço

Agora você deve ver todo o tráfego fluindo através do proxy. Se você tiver problemas, as seguintes informações de solução de problemas devem ajudar.

A melhor maneira de identificar e solucionar problemas de conectividade do conector é fazer uma captura de rede ao iniciar o serviço de conector. Aqui estão algumas dicas rápidas sobre como capturar e filtrar rastreamentos de rede.

Você pode usar a ferramenta de monitoramento de sua escolha. Para os fins deste artigo, usamos o Microsoft Message Analyzer.

Nota

O Microsoft Message Analyzer (MMA) foi desativado e seus pacotes de download removidos de microsoft.com sites em 25 de novembro de 2019. Atualmente, não há nenhum substituto da Microsoft para o Microsoft Message Analyzer em desenvolvimento no momento. Para funcionalidades semelhantes, considere o uso de uma ferramenta de análise de protocolo de rede de terceiros como o Wireshark.

Os exemplos a seguir são específicos do Message Analyzer, mas os princípios podem ser aplicados a qualquer ferramenta de análise.

Faça uma captura do tráfego do conector

Para a solução de problemas inicial, execute as seguintes etapas:

  1. A partir de , pare o serviço de conector de services.mscrede privada Microsoft Entra.

    Serviço de conector de rede privada Microsoft Entra em services.msc

  2. Execute o Message Analyzer como administrador.

  3. Selecione Iniciar rastreamento local.

  4. Inicie o serviço de conector de rede privada Microsoft Entra.

  5. Pare a captura de rede.

    A captura de tela mostra o botão Parar captura de rede

Verifique se o tráfego do conector ignora os proxies de saída

Se você espera que o conector faça conexões diretas com serviços de proxy de aplicativo, SynRetransmit as respostas na porta 443 são uma indicação de que você tem um problema de rede ou firewall.

Use o filtro Analisador de Mensagens para identificar tentativas de conexão TCP (Transmission Control Protocol) com falha. Entre property.TCPSynRetransmit na caixa de filtro e selecione Aplicar.

Um pacote de sincronização (SYN) é o primeiro pacote enviado para estabelecer uma conexão TCP. Se esse pacote não retornar uma resposta, o SYN será tentado novamente. Você pode usar o filtro para ver quaisquer pacotes SYN retransmitidos. Em seguida, você pode verificar se esses pacotes SYN correspondem a qualquer tráfego relacionado ao conector.

Verifique se o tráfego do conector usa proxies de saída

Se você configurou o tráfego do conector de rede privada para passar pelos servidores proxy, procure conexões com falha https com o proxy.

Use o filtro Analisador de Mensagens para identificar tentativas de conexão HTTPS com falha com seu proxy. Entre (https.Request or https.Response) and tcp.port==8080 no filtro Analisador de Mensagens, substituindo 8080 pela porta do serviço de proxy. Selecione Aplicar para ver os resultados do filtro.

O filtro anterior mostra apenas as solicitações HTTPs e as respostas de/para a porta proxy. Você está procurando as solicitações CONNECT que mostram comunicação com o servidor proxy. Após o sucesso, você recebe uma resposta HTTP OK (200).

Se você vir outros códigos de resposta, como 407 ou 502, isso significa que o proxy está exigindo autenticação ou não permitindo o tráfego por algum outro motivo. Neste ponto, você envolve sua equipe de suporte do servidor proxy.

Próximos passos