Mevcut şirket içi proxy sunucularıyla çalışma

Bu makalede, Azure Active Directory (Azure AD) uygulama proxy bağlayıcılarının giden proxy sunucularıyla çalışacak şekilde nasıl yapılandırılacağı açıklanmaktadır. Mevcut proxy 'leri olan ağ ortamları olan müşterilere yöneliktir.

Şu ana dağıtım senaryolarına bakarak başlayacağız:

  • Bağlayıcıları şirket içi giden proxy 'larınızı atlayacak şekilde yapılandırın.
  • Bağlayıcıları Azure AD Uygulama Ara Sunucusu erişmek için bir giden proxy kullanacak şekilde yapılandırın.
  • Bağlayıcı ile arka uç uygulaması arasında bir ara sunucu kullanarak yapılandırın.

Bağlayıcıların nasıl çalıştığı hakkında daha fazla bilgi için bkz. Azure AD uygulama ara sunucusu bağlayıcıları anlama.

Giden proxy 'leri atla

Bağlayıcılar, giden istekleri yapan temel işletim sistemi bileşenlerine sahiptir. Bu bileşenler, Web proxy otomatik bulma (WPAD) kullanarak ağ üzerindeki bir proxy sunucusunu otomatik olarak bulmayı dener.

İşletim sistemi bileşenleri, WPAD. domainsuffix için bir DNS araması gerçekleştirerek bir ara sunucu bulmaya çalışır. Arama DNS 'de çözümlenirse, WPAD. dat için IP adresine bir HTTP isteği yapılır. Bu istek, ortamınızda ara sunucu yapılandırma betiği haline gelir. Bağlayıcı, giden bir ara sunucu seçmek için bu betiği kullanır. Bununla birlikte, ara sunucuda gereken ek yapılandırma ayarları nedeniyle bağlayıcı trafiği yine de gidemeyebilir.

Bağlayıcıyı, Azure hizmetlerine doğrudan bağlantı kullandığından emin olmak için şirket içi ara sunucusunu atlayacak şekilde yapılandırabilirsiniz. Bu yaklaşım, Ağ ilkeniz izin verdiği sürece, devam etmek için daha az bir yapılandırmaya sahip olduğunuz anlamına gelir.

Bağlayıcı için giden proxy kullanımını devre dışı bırakmak için, C:\Program Files\Microsoft AAD uygulama proxy Connector\ApplicationProxyConnectorService.exe.config dosyasını düzenleyin ve bu kod örneğinde gösterilen System.net bölümünü ekleyin:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="AadAppProxyConnector.log" />
  </appSettings>
</configuration>

Bağlayıcı Güncelleştiricisi hizmetinin proxy 'yi de atlayacak emin olmak için, ApplicationProxyConnectorUpdaterService.exe.config dosyasında benzer bir değişiklik yapın. Bu dosya C:\Program Files\Microsoft AAD App proxy Bağlayıcı Güncelleştiricisi konumundadır.

Varsayılan. config dosyalarına döndürmeniz gerekiyorsa, özgün dosyaların kopyalarını aldığınızdan emin olun.

Giden proxy sunucusunu kullanma

Bazı ortamlar, tüm giden trafiğin özel durum olmadan giden bir proxy üzerinden gitmesini gerektirir. Sonuç olarak, proxy 'yi atlamak bir seçenek değildir.

Bağlayıcı trafiğini, aşağıdaki diyagramda gösterildiği gibi giden proxy üzerinden gitmek üzere yapılandırabilirsiniz:

Bağlayıcı trafiğini, giden bir ara sunucudan Azure 'a gidecek şekilde yapılandırma AD Uygulama Ara Sunucusu

Yalnızca giden trafiğe sahip olmanın bir sonucu olarak, güvenlik duvarlarınız aracılığıyla gelen erişimi yapılandırmanız gerekmez.

Not

Uygulama proxy 'Si, diğer proxy 'lerde kimlik doğrulamasını desteklemez. Bağlayıcı/Güncelleştirici ağ hizmeti hesaplarının, kimlik doğrulaması için istemeden proxy 'ye bağlanabiliyor olması gerekir.

WPAD, ortamda etkinse ve uygun şekilde yapılandırıldıysa, bağlayıcı giden proxy sunucusunu otomatik olarak bulur ve kullanmayı dener. Ancak, bağlayıcıyı bir giden proxy üzerinden gitmek üzere açıkça yapılandırabilirsiniz.

Bunu yapmak için, C:\Program Files\Microsoft AAD uygulama proxy Connector\ApplicationProxyConnectorService.exe.config dosyasını düzenleyin ve bu kod örneğinde gösterilen System.net bölümünü ekleyin. ProxyServer: 8080 ' i yerel ara sunucu ADıNıZı veya IP adresinizi ve dinlediği bağlantı noktasını yansıtacak şekilde değiştirin. Bir IP adresi kullanıyor olsanız bile, değerin http://öneki olmalıdır.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="AadAppProxyConnector.log" />
  </appSettings>
</configuration>

Daha sonra, Bağlayıcı Güncelleştiricisi hizmetini, C:\Program Files\Microsoft AAD uygulama proxy Bağlayıcısı Updater\ApplicationProxyConnectorUpdaterService.exe.config dosyasında benzer bir değişiklik yaparak proxy 'yi kullanacak şekilde yapılandırın.

Not

' %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config ApplicationProxyConnectorService.exe.config de defaultProxy yapılandırılmamışsa (varsayılan olarak), bağlayıcı hizmeti ' de kullanım için defaultProxy yapılandırmasını değerlendirir. Aynı Bağlayıcı Güncelleştiricisi hizmeti (ApplicationProxyConnectorUpdaterService.exe.config) için de geçerlidir.

Giden ara sunucuda dikkate alınması gereken dört önemli nokta vardır:

  • Proxy giden kuralları
  • Proxy kimlik doğrulaması
  • Proxy bağlantı noktaları
  • TLS incelemesi

Proxy giden kuralları

Aşağıdaki URL 'Lere erişime izin ver:

URL Bağlantı noktası Nasıl kullanılır?
*. msappproxy.net
*. servicebus.windows.net
443/HTTPS Bağlayıcı ile uygulama proxy 'Si bulut hizmeti arasındaki iletişim
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Bağlayıcı, sertifikaları doğrulamak için bu URL 'Leri kullanır.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*. microsoftonline-p.com
*. msauth.net
*. msauthimages.net
*. msecnd.net
*. msftauth.net
*. msftauthimages.net
*. phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
443/HTTPS Bağlayıcı, kayıt işlemi sırasında bu URL 'Leri kullanır.
ctldl.windowsupdate.com 80/HTTP Bağlayıcı, kayıt işlemi sırasında bu URL 'YI kullanır.

Güvenlik duvarınız veya proxy 'niz DNS izin verilenler listelerini yapılandırmanıza izin veriyorsa, * . msappproxy.net ve. ServiceBus.Windows.net bağlantılarına izin verebilirsiniz * .

FQDN ile bağlantıya izin veremiyorum ve bunun yerine IP aralıklarını belirtmeniz gerekiyorsa, şu seçenekleri kullanın:

  • Bağlayıcının tüm hedeflere giden erişimine izin verin.
  • Bağlayıcının tüm Azure veri merkezi IP aralıklarına giden erişimine izin verin. Azure veri merkezi IP aralıkları listesini kullanmayla ilgili zorluk, haftalık olarak güncelleştirilir. Erişim kurallarınızın uygun şekilde güncelleştirildiğinden emin olmak için bir işlem yerine getirmeniz gerekir. Yalnızca IP adreslerinin bir alt kümesini kullanmak yapılandırmanızın kesintiye neden olabilir. En son Azure veri merkezi IP aralıklarını indirmek için şuraya gidin https://download.microsoft.com ve "Azure IP aralıkları ve hizmet etiketleri" için arama yapın. İlgili bulutu seçtiğinizden emin olun. Örneğin, genel bulut IP aralıkları, "Azure IP aralıkları ve hizmet etiketleri – genel bulut" ile bulunabilir. ABD kamu bulutu, "Azure IP aralıkları ve hizmet etiketleri – ABD kamu bulutu" aranarak bulunabilir.

Proxy kimlik doğrulaması

Proxy kimlik doğrulaması şu anda desteklenmiyor. Geçerli önerimiz, bağlayıcının Internet hedeflerine anonim erişimine izin vermimize yönelik.

Proxy bağlantı noktaları

Bağlayıcı, CONNECT metodunu kullanarak giden TLS tabanlı bağlantılar oluşturur. Bu yöntem, aslında giden proxy üzerinden bir tünel kurar. Proxy sunucusunu, 443 ve 80 bağlantı noktalarına tünel sağlamak üzere yapılandırın.

Not

Service Bus, HTTPS üzerinden çalıştırıldığında 443 numaralı bağlantı noktasını kullanır. Bununla birlikte, varsayılan olarak, Service Bus doğrudan bağlantı başarısız olursa, doğrudan TCP bağlantılarını dener ve yalnızca HTTPS 'ye geri döner.

TLS incelemesi

Bağlayıcı trafiği için sorun oluşmasına neden olduğundan bağlayıcı trafiği için TLS incelemesi kullanmayın. Bağlayıcı, uygulama proxy 'Si hizmetinde kimlik doğrulaması yapmak için bir sertifika kullanır ve bu sertifika TLS denetlemesi sırasında kaybolabilir.

Bağlayıcı ile arka uç uygulaması arasında bir ara sunucu kullanarak yapılandırma

Arka uç uygulamasına yönelik iletişim için bir ilet proxy kullanmak bazı ortamlarda özel bir gereksinim olabilir. Bunu etkinleştirmek için lütfen sonraki adımları izleyin:

1. Adım: gerekli kayıt defteri değerini sunucuya ekleme

  1. Varsayılan proxy 'yi kullanmayı etkinleştirmek için aşağıdaki kayıt defteri değerini (DWORD) UseDefaultProxyForBackendRequests = 1 "HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft AAD App Proxy Connector" içinde bulunan bağlayıcı yapılandırması kayıt defteri anahtarına ekleyin.

2. Adım: netsh komutunu kullanarak proxy sunucusunu el ile yapılandırma

  1. Grup ilkesini makine başına ara sunucu ayarları yapın ' i etkinleştirin. Bu içinde bulunur: Bilgisayar Yapılandırması \ Yönetim Şablonları \ Windows bileşenleri \ Internet Explorer Bu ilkenin Kullanıcı başına ayarlanmış olması yerine, bu ilkenin ayarlanması gerekir.
  2. gpupdate /forceSunucu üzerinde çalıştırın veya güncelleştirilmiş Grup İlkesi ayarlarını kullandığından emin olmak için sunucuyu yeniden başlatın.
  3. Yönetici haklarıyla yükseltilmiş bir komut istemi başlatın ve girin control inetcpl.cpl .
  4. Gerekli proxy ayarlarını yapılandırın.

Bu ayarlar, bağlayıcının Azure ile iletişim için aynı ileri ara sunucusunu ve arka uç uygulamasını kullanmasını sağlar. Azure iletişimine yönelik bağlayıcı, ileri ara sunucu veya farklı bir ileri ara sunucu gerektirmez, bu ayarı, giden proxy 'leri atlama veya giden ara sunucu kullanma bölümlerinde açıklandığı gibi dosya ApplicationProxyConnectorService.exe.config değiştirmek üzere ayarlayabilirsiniz.

Not

İşletim sisteminde Internet proxy 'yi yapılandırmanın çeşitli yolları vardır. NETSH WINHTTP (doğrulamak için Çalıştır) ile yapılandırılan proxy ayarları NETSH WINHTTP SHOW PROXY 2. adımda yapılandırdığınız proxy ayarlarını geçersiz kılar.

Bağlayıcı Güncelleştirici hizmeti, makine proxy 'sini de kullanacaktır. Bu davranış, ApplicationProxyConnectorUpdaterService.exe.config dosya değiştirilerek değiştirilebilir.

Bağlayıcı ara sunucu sorunlarını ve hizmet bağlantı sorunlarını giderme

Artık ara sunucu üzerinden akan tüm trafiği görmeniz gerekir. Sorun yaşıyorsanız, aşağıdaki sorun giderme bilgileri yardımcı olmalıdır.

Bağlayıcı bağlantı sorunlarını belirlemek ve sorunlarını gidermek için en iyi yol, bağlayıcı hizmetini başlatırken ağ yakalama işleminin sürme yoludur. Ağ izlemelerini yakalama ve filtreleme hakkında bazı hızlı ipuçları aşağıda verilmiştir.

Seçtiğiniz izleme aracını kullanabilirsiniz. Bu makalenin amaçları doğrultusunda, Microsoft Message Analyzer 'ı kullandık.

Not

Microsoft Message Analyzer (MMA) kullanımdan kaldırılmıştır ve indirme paketleri, Kasım 25 2019 ' deki Microsoft.com sitelerinden kaldırılmıştır. Şu anda geliştirmede Microsoft Ileti Çözümleyicisi için Microsoft 'a yönelik bir Microsoft tarafından değişiklik bulunmamaktadır. Benzer işlevler için lütfen Wireshark gibi bir 3. taraf ağ protokolü Çözümleyicisi aracı kullanmayı deneyin.

Aşağıdaki örnekler Ileti çözümleyici 'ye özgüdür, ancak ilkeler herhangi bir analiz aracına uygulanabilir.

Bağlayıcı trafiği yakalama

İlk sorun giderme için aşağıdaki adımları gerçekleştirin:

  1. Services. msc ' den Azure AD Uygulama Ara Sunucusu Bağlayıcısı hizmetini durdurun.

    Services. msc ' de Azure AD Uygulama Ara Sunucusu Bağlayıcısı hizmeti

  2. Ileti Çözümleyicisi 'ni yönetici olarak çalıştırın.

  3. Yerel Izlemeyi Başlat' ı seçin.

  4. Azure AD Uygulama Ara Sunucusu Bağlayıcısı hizmetini başlatın.

  5. Ağ yakalamayı durdurun.

    Ekran görüntüsü ağ yakalamayı Durdur düğmesini gösterir

Bağlayıcı trafiğinin giden proxy 'leri atladığını denetle

Uygulama proxy bağlayıcınızı proxy sunucularını atlayacak ve doğrudan uygulama ara sunucusu hizmetine bağlanacak şekilde yapılandırdıysanız, başarısız olan TCP bağlantı girişimleri için ağ yakalamaya bakmak isteyebilirsiniz.

Bu denemeleri belirlemek için Ileti Çözümleyicisi filtresini kullanın. property.TCPSynRetransmitFiltre kutusuna girin ve Uygula' yı seçin.

Bir SYN paketi, TCP bağlantısı kurmak için gönderilen ilk pakettir. Bu paket bir yanıt döndürmezse, SYN işlemi yeniden deneyin. Yeniden iletilen tüm sistem 'leri görmek için önceki filtreyi kullanabilirsiniz. Ardından, bu sistem 'lerin bağlayıcıyla ilgili herhangi bir trafiğe karşılık geldiğini kontrol edebilirsiniz.

Bağlayıcının Azure hizmetlerine doğrudan bağlantı yapmasını bekleliyorsanız, bağlantı noktası 443 ' deki Synyeniden yönlendirme yanıtları bir ağ veya güvenlik duvarı sorununuz olduğunu belirtir.

Bağlayıcı trafiğinin giden proxy 'leri kullanıp kullanmadığını denetleyin

Uygulama proxy Bağlayıcısı trafiğinizi proxy sunucular üzerinden gezinmek üzere yapılandırdıysanız, proxy 'nize yönelik başarısız HTTPS bağlantılarını aramak istersiniz.

Ağ yakalamayı bu bağlantı girişimleri için filtrelemek için, (https.Request or https.Response) and tcp.port==8080 Ileti çözümleyici filtresi ' ne girin ve 8080 ' i proxy hizmeti bağlantı noktasıyla değiştirin. Filtre sonuçlarını görmek için Uygula ' yı seçin.

Yukarıdaki filtrede yalnızca HTTPs istekleri ve proxy bağlantı noktasından/kaynağından gelen yanıtlar gösterilmektedir. Ara sunucu ile iletişimi gösteren bağlanma isteklerini arıyorsunuz. Başarılı olduğunda, HTTP Tamam (200) yanıtını alırsınız.

407 veya 502 gibi başka yanıt kodları görürseniz, bu, proxy 'nin kimlik doğrulama gerektirmesinin veya başka bir nedenden dolayı trafiğe izin vermemesinin gerektiği anlamına gelir. Bu noktada, proxy sunucusu destek ekibinize katılımını yapabilirsiniz.

Sonraki adımlar