Förstå anslutningsprogrammet för privata Microsoft Entra-nätverk

  • Artikel

Anslut orer är det som gör Microsoft Entra privatåtkomst och programproxy möjligt. De är enkla, enkla att distribuera och underhålla och superstarka. I den här artikeln beskrivs vad anslutningsappar är, hur de fungerar och några förslag på hur du optimerar distributionen.

Vad är en privat nätverksanslutning?

Anslut orer är lätta agenter som finns i ett privat nätverk och underlättar utgående anslutning till Microsoft Entra privatåtkomst- och programproxytjänster. Anslut orer måste installeras på en Windows Server som har åtkomst till serverdelsresurserna. Du kan ordna anslutningsappar i anslutningsgrupper, där varje grupp hanterar trafik till specifika resurser. Mer information om programproxy och en diagrammatisk representation av programproxyarkitektur finns i Använda Microsoft Entra-programproxy för att publicera lokala appar för fjärranvändare.

Mer information om hur du konfigurerar den privata Nätverksanslutningen för Microsoft Entra finns i Konfigurera privata nätverksanslutningar för Microsoft Entra privatåtkomst.

Privata nätverksanslutningar är lätta agenter som distribueras lokalt och som underlättar den utgående anslutningen till programproxytjänsten i molnet. Anslutningsprogrammen måste vara installerade på en Windows Server som har åtkomst till serverdelsprogrammet. Användare ansluter till molntjänsten för programproxy som dirigerar sin trafik till apparna via anslutningsapparna.

Installation och registrering mellan en anslutningsapp och programproxytjänsten utförs på följande sätt:

  1. IT-administratören öppnar portarna 80 och 443 för utgående trafik och ger åtkomst till flera URL:er som behövs av anslutningsappen, programproxytjänsten och Microsoft Entra-ID.
  2. Administratören loggar in på administrationscentret för Microsoft Entra och kör en körbar fil för att installera anslutningsappen på en lokal Windows-server.
  3. Anslutningsappen börjar "lyssna" på programproxytjänsten.
  4. Administratören lägger till det lokala programmet i Microsoft Entra-ID:t och konfigurerar inställningar som de URL:er som användarna behöver för att ansluta till sina appar.

Vi rekommenderar att du alltid distribuerar flera anslutningsappar för redundans och skalning. Anslutningsapparna tar tillsammans med tjänsten hand om alla uppgifter med hög tillgänglighet och kan läggas till eller tas bort dynamiskt. Varje gång en ny begäran tas emot dirigeras den till en av de anslutningsappar som är tillgängliga. När en anslutningsapp körs förblir den aktiv när den ansluter till tjänsten. Om en anslutningsapp är tillfälligt otillgänglig svarar den inte på den här trafiken. Oanvända anslutningsappar taggas som inaktiva och tas bort efter 10 dagars inaktivitet.

Anslut orer avsöker också servern för att ta reda på om det finns en nyare version av anslutningsappen. Även om du kan göra en manuell uppdatering uppdateras anslutningsapparna automatiskt så länge uppdateringstjänsten för privata nätverksanslutningar körs. För klienter med flera anslutningsappar är de automatiska uppdateringarna inriktade på en anslutningsapp i taget i varje grupp för att förhindra stilleståndstid i din miljö.

Kommentar

Du kan övervaka sidan versionshistorik för att hålla dig informerad om de senaste uppdateringarna.

Varje privat nätverksanslutning tilldelas till en anslutningsgrupp. Anslut orer i samma anslutningsgrupp fungerar som en enda enhet för hög tillgänglighet och belastningsutjämning. Du kan skapa nya grupper, tilldela anslutningsappar till dem i administrationscentret för Microsoft Entra och sedan tilldela specifika anslutningsappar för att hantera specifika program. Vi rekommenderar att du har minst två anslutningsappar i varje anslutningsgrupp för hög tillgänglighet.

Anslut eller-grupper är användbara när du behöver stöd för följande scenarier:

  • Geografisk apppublicering
  • Programsegmentering/isolering
  • Publicera webbappar som körs i molnet eller lokalt

Mer information om hur du väljer var du vill installera dina anslutningsappar och optimera nätverket finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.

Underhåll

Anslutningsapparna och tjänsten tar hand om alla uppgifter med hög tillgänglighet. De kan läggas till eller tas bort dynamiskt. Nya begäranden dirigeras till en av de tillgängliga anslutningsprogrammen. Om en anslutningsapp är tillfälligt otillgänglig svarar den inte på den här trafiken.

Anslutningsapparna är tillståndslösa och har inga konfigurationsdata på datorn. De enda data de lagrar är inställningarna för att ansluta tjänsten och dess autentiseringscertifikat. När de ansluter till tjänsten hämtar de alla nödvändiga konfigurationsdata och uppdaterar dem med några minuters mellanrum.

Anslut orer avsöker också servern för att ta reda på om det finns en nyare version av anslutningsappen. Om en hittas uppdateras anslutningsapparna själva.

Du kan övervaka dina anslutningsappar från den dator som de körs på med antingen händelseloggen och prestandaräknaren. Mer information finns i Övervaka och granska loggar för lokala Microsoft Entra.

Du kan också visa deras status i administrationscentret för Microsoft Entra. För Microsoft Entra privatåtkomst går du till Global säker åtkomst (förhandsversion), Anslut och väljer Anslut orer. För programproxy går du till Identitet, Program, Företagsprogram och väljer programmet. På programsidan väljer du programproxy.

Du behöver inte ta bort anslutningsappar som inte används manuellt. När en anslutningsapp körs förblir den aktiv när den ansluter till tjänsten. Oanvända anslutningsappar taggas som _inactive_ och tas bort efter 10 dagars inaktivitet. Om du vill avinstallera en anslutningsapp avinstallerar du dock både Anslut eller-tjänsten och Updater-tjänsten från servern. Starta om datorn för att ta bort tjänsten helt.

Automatiska uppdateringar

Microsoft Entra ID tillhandahåller automatiska uppdateringar för alla anslutningsappar som du distribuerar. Så länge uppdateringstjänsten för privata nätverksanslutningar körs uppdateras anslutningsapparna automatiskt med den senaste versionen av huvudanslutningsappen. Om du inte ser tjänsten Anslut eller Updater på servern måste du installera om anslutningsappen för att få uppdateringar.

Om du inte vill vänta på att en automatisk uppdatering ska komma till anslutningsappen kan du göra en manuell uppgradering. Gå till nedladdningssidan för anslutningsappen på servern där anslutningsappen finns och välj Ladda ned. Den här processen startar en uppgradering för den lokala anslutningsappen.

För klienter med flera anslutningsappar är de automatiska uppdateringarna inriktade på en anslutningsapp i taget i varje grupp för att förhindra stilleståndstid i din miljö.

Du kan uppleva stilleståndstid när anslutningsappen uppdateras om:

  • Du har bara en anslutningsapp. En andra anslutningsapp och en anslutningsgrupp rekommenderas för att undvika stilleståndstid och ge högre tillgänglighet.
  • En anslutningsapp var mitt i en transaktion när uppdateringen påbörjades. Även om den första transaktionen går förlorad bör webbläsaren automatiskt försöka utföra åtgärden igen eller så kan du uppdatera sidan. När begäran skickas igen dirigeras trafiken till en anslutningsapp för säkerhetskopiering.

Information om tidigare utgivna versioner och vilka ändringar de innehåller finns i Programproxy – Versionshistorik.

Skapa anslutningsgrupper

Anslut ellergrupper kan du tilldela specifika anslutningsappar för att hantera specifika program. Du kan gruppera många anslutningsappar och sedan tilldela varje resurs eller program till en grupp.

Anslut eller-grupper gör det enklare att hantera stora distributioner. De förbättrar också svarstiden för klienter som har resurser och program i olika regioner, eftersom du kan skapa platsbaserade anslutningsgrupper för att endast hantera lokala program.

Mer information om anslutningsgrupper finns i Förstå grupper för privata nätverksanslutningar i Microsoft Entra.

Kapacitetsplanering

Planera för tillräckligt med kapacitet mellan anslutningsappar för att hantera den förväntade trafikvolymen. Minst två anslutningsappar i en anslutningsgrupp ger hög tillgänglighet och skalning. Men tre anslutningsappar är optimala.

Tabellen innehåller volym och förväntad svarstid för olika datorspecifikationer. Data baseras på förväntade transaktioner per sekund (TPS) i stället för av användaren eftersom användningsmönstren varierar och inte kan användas för att förutsäga belastning. Det finns vissa skillnader baserat på svarsstorleken och svarstiden för serverdelsprogrammet – större svarsstorlekar och långsammare svarstider resulterar i en lägre max-TPS. Fler datorer distribuerar belastningen och ger gott om buffert. Extra kapacitet säkerställer hög tillgänglighet och återhämtning.

Kärnor RAM Förväntad svarstid (MS)-P99 Max TPS
2 8 325 586
4 16 320 1150
8 32 270 1190
16 64 245 1200*

* Datorn använde en anpassad inställning för att höja några av standardanslutningsgränserna utöver rekommenderade .NET-inställningar. Vi rekommenderar att du kör ett test med standardinställningarna innan du kontaktar supporten för att ändra den här gränsen för din klientorganisation.

Kommentar

Det finns ingen större skillnad i den maximala TPS mellan 4, 8 och 16 kärndatorer. Den största skillnaden är den förväntade svarstiden.

Tabellen fokuserar på den förväntade prestandan för en anslutningsapp baserat på vilken typ av dator den är installerad på. Detta är separat från tjänstens begränsningsgränser, se tjänstbegränsningar och begränsningar.

Säkerhet och nätverk

Anslut orer kan installeras var som helst i nätverket så att de kan skicka begäranden till Microsoft Entra privatåtkomst- och programproxytjänsten. Det viktiga är att datorn som kör anslutningsappen också har åtkomst till dina appar och resurser. Du kan installera anslutningsappar i företagets nätverk eller på en virtuell dator som körs i molnet. Anslut orer kan köras inom ett perimeternätverk, även kallat en demilitariserad zon (DMZ), men det är inte nödvändigt eftersom all trafik är utgående så att nätverket förblir säkert.

Anslut orer skickar endast utgående begäranden. Den utgående trafiken skickas till tjänsten och till de publicerade resurserna och programmen. Du behöver inte öppna inkommande portar eftersom trafiken flödar åt båda hållen när en session har upprättats. Du behöver inte heller konfigurera inkommande åtkomst via brandväggarna.

Mer information om hur du konfigurerar regler för utgående brandvägg finns i Arbeta med befintliga lokala proxyservrar.

Prestanda och skalbarhet   

Skala för Microsoft Entra privatåtkomst och programproxytjänsterna är transparenta, men skalning är en faktor för anslutningsappar. Du måste ha tillräckligt med anslutningsappar för att hantera trafiktoppar. Anslut orer är tillståndslösa och antalet användare eller sessioner påverkar dem inte. I stället svarar de på antalet begäranden och deras nyttolaststorlek. Med standardwebbtrafik kan en genomsnittlig dator hantera 2 000 begäranden per sekund. Den specifika kapaciteten beror på de exakta datoregenskaperna.

Cpu- och nätverksdefinierade anslutningsprestanda. Processorprestanda krävs för TLS-kryptering och dekryptering, medan nätverk är viktigt för att få snabb anslutning till programmen och onlinetjänsten.

Däremot är minnet mindre av ett problem för anslutningsappar. Onlinetjänsten tar hand om mycket av bearbetningen och all oautentiserad trafik. Allt som kan göras i molnet görs i molnet.

När anslutningsappar eller datorer inte är tillgängliga går trafiken till en annan anslutningsapp i gruppen. Flera anslutningsappar i en anslutningsgrupp ger återhämtning.

En annan faktor som påverkar prestanda är kvaliteten på nätverken mellan anslutningsprogrammen, inklusive:

  • Onlinetjänsten: Långsamma eller långa anslutningar till Microsoft Entra-tjänsten påverkar anslutningsprestandan. För bästa prestanda kan du ansluta din organisation till Microsoft med Express Route. Annars måste nätverksteamet se till att anslutningarna till Microsoft hanteras så effektivt som möjligt.
  • Serverdelsprogram: I vissa fall finns det extra proxyservrar mellan anslutningsappen och serverdelsresurserna och programmen som kan sakta ned eller förhindra anslutningar. Om du vill felsöka det här scenariot öppnar du en webbläsare från anslutningsservern och försöker komma åt programmet eller resursen. Om du kör anslutningsapparna i molnet men programmen är lokala kanske upplevelsen inte är vad användarna förväntar sig.
  • Domänkontrollanterna: Om anslutningsapparna utför enkel inloggning (SSO) med Kerberos-begränsad delegering kontaktar de domänkontrollanterna innan de skickar begäran till serverdelen. Anslutningsprogrammen har en cache med Kerberos-biljetter, men i en upptagen miljö kan svarstiden hos domänkontrollanterna påverka prestandan. Det här problemet är vanligare för anslutningsappar som körs i Azure men som kommunicerar med domänkontrollanter som är lokala.

Mer information om hur du optimerar nätverket finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.

Domänanslutning

Anslut orer kan köras på en dator som inte är domänansluten. Men om du vill ha enkel inloggning (SSO) för program som använder integrerad Windows-autentisering (IWA) behöver du en domänansluten dator. I det här fallet måste anslutningsdatorerna vara anslutna till en domän som kan utföra Kerberos-begränsad delegering för användarnas räkning för de publicerade programmen.

Anslut orer kan också anslutas till domäner i skogar som har ett partiellt förtroende eller till skrivskyddade domänkontrollanter.

Anslut eller distributioner i härdade miljöer

Distributionen av anslutningsappen är vanligtvis enkel och kräver ingen särskild konfiguration.

Det finns dock några unika villkor som bör beaktas:

  • Utgående trafik kräver att specifika portar är öppna. Mer information finns i konfigurera anslutningsappar.
  • FIPS-kompatibla datorer kan kräva en konfigurationsändring så att anslutningsprocesserna kan generera och lagra ett certifikat.
  • Utgående proxyservrar för vidarebefordran kan bryta tvåvägscertifikatautentiseringen och orsaka att kommunikationen misslyckas.

Anslut eller-autentisering

För att tillhandahålla en säker tjänst måste anslutningsappar autentiseras mot tjänsten och tjänsten måste autentisera mot anslutningsappen. Den här autentiseringen görs med hjälp av klient- och servercertifikat när anslutningsapparna initierar anslutningen. På så sätt lagras inte administratörens användarnamn och lösenord på anslutningsdatorn.

De certifikat som används är specifika för tjänsten. De skapas under den första registreringen och förnyas automatiskt varannan månad.

Efter den första lyckade certifikatförnyelsen har Microsoft Entra-tjänsten för privata nätverksanslutningar (nätverkstjänst) ingen behörighet att ta bort det gamla certifikatet från det lokala datorarkivet. Om certifikatet upphör att gälla eller inte används av tjänsten kan du ta bort det på ett säkert sätt.

För att undvika problem med certifikatförnyelse kontrollerar du att nätverkskommunikationen från anslutningsappen mot de dokumenterade destinationerna är aktiverad.

Om en anslutningsapp inte är ansluten till tjänsten på flera månader kan dess certifikat vara inaktuella. I det här fallet avinstallerar och installerar du om anslutningsappen för att utlösa registreringen. Du kan köra följande PowerShell-kommandon:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

För myndigheter använder du -EnvironmentName "AzureUSGovernment". Mer information finns i Installera agent för Azure Government Cloud.

Information om hur du verifierar certifikatet och felsöker problem finns i Verifiera stöd för dator- och serverdelskomponenter för programproxyförtroendecertifikat.

Under huven

Anslut orer installeras på Windows Server, så de har de flesta av samma hanteringsverktyg, inklusive Windows-händelseloggar och Windows-prestandaräknare.

Anslutningsapparna har både administratörs - och sessionsloggar . Administratörsloggen innehåller viktiga händelser och deras fel. Sessionsloggen innehåller alla transaktioner och deras bearbetningsinformation.

Om du vill se loggarna öppnar du Loggboken och går till Program- och tjänstloggar>Microsoft>Microsoft Entra privat nätverk> Anslut eller. Om du vill göra sessionsloggen synlig går du till menyn Visa och väljer Visa analys- och felsökningsloggar. Sessionsloggen används vanligtvis för felsökning och är inaktiverad som standard. Aktivera den för att börja samla in händelser och inaktivera den när den inte längre behövs.

Du kan undersöka tjänstens tillstånd i fönstret Tjänster. Anslutningsappen består av två Windows-tjänster: den faktiska anslutningsappen och uppdateringstjänsten. Båda måste köras hela tiden.

Inaktiva anslutningsappar

Ett vanligt problem är att anslutningsappar visas som inaktiva i en anslutningsgrupp. En brandvägg som blockerar de portar som krävs är en vanlig orsak till inaktiva anslutningsappar.

Användningsvillkor

Din användning av Microsoft Entra privatåtkomst och Microsoft Entra internetåtkomst förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstens villkor för de avtal där du fick tjänsterna. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.

Nästa steg