使用現有的內部部署 Proxy 伺服器

  • 發行項

設定 Microsoft Entra 專用網連接器以使用輸出 Proxy 伺服器。 本文假設網路環境已經有 Proxy 伺服器。

我們一開始會查看下列主要部署案例:

  • 設定連接器以略過內部部署輸出 Proxy。
  • 設定連接器以使用輸出 Proxy 來存取 Microsoft Entra 應用程式 Proxy。
  • 使用連接器與後端應用程式之間的 Proxy 進行設定。

如需連接器運作方式的詳細資訊,請參閱 瞭解 Microsoft Entra 專用網連接器

略過輸出 Proxy

連線 ors 具有發出輸出要求的基礎 OS 元件。 這些元件會自動嘗試使用 Web Proxy 自動探索 (WPAD) 在網路上尋找 Proxy 伺服器。

OS 元件會藉由執行功能變數名稱系統 (DNS) 查閱 wpad.domainsuffix來嘗試尋找 Proxy 伺服器。 如果查閱在 DNS 中解析,則會對 的因特網通訊協定 (IP) 位址 wpad.dat提出 HTTP 要求。 此要求會成為您環境中的 Proxy 組態腳本。 連接器會使用此腳本來選取輸出 Proxy 伺服器。 不過,連接器流量可能會繼續失敗,因為 Proxy 上需要更多組態設定。

您可以將連接器設定為略過內部部署 Proxy,以確保其使用與 Microsoft Entra 應用程式 Proxy 服務的直接連線。 建議直接連線,因為它們需要較少的組態。 不過,某些網路原則需要透過本機 Proxy 伺服器的流量。

若要停用連接器的輸出 Proxy 使用方式,請編輯 C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config 檔案,並新增 system.net 程式碼範例中顯示的區段:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>
    <defaultProxy enabled="false"></defaultProxy>
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

若要確保 連線 or Updater 服務也會略過 Proxy,請對檔案進行類似的變更MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config。 檔案位於 C:\Program Files\Microsoft Entra private network connector Updater

請務必複製源檔,以防您需要還原為默認 .config 檔案。

使用輸出 Proxy 伺服器

某些環境需要所有輸出流量通過輸出 Proxy,但無例外。 因此,略過 Proxy 不是選項。

您可以設定連接器流量以透過輸出 Proxy,如下圖所示:

設定連接器流量以通過輸出 Proxy 至 Microsoft Entra 應用程式 Proxy

由於只有輸出流量,因此不需要透過防火牆設定輸入存取。

注意

應用程式 Proxy 不支援對其他 Proxy 進行驗證。 連接器/更新程序網路服務帳戶應該能夠連線到 Proxy,而不會受到驗證的挑戰。

如果在環境中啟用 WPAD 並適當設定,連接器會自動探索輸出 Proxy 伺服器並嘗試使用它。 不過,您可以明確設定連接器以通過輸出 Proxy。

若要這樣做,請編輯 C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config 檔案,並新增程式 system.net 碼範例中顯示的區段。 變更 proxyserver:8080 以反映本機 Proxy 伺服器名稱或IP位址和埠。 即使您使用IP位址,值也必須有前置 http:// 詞。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.net>  
    <defaultProxy>   
      <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>   
    </defaultProxy>  
  </system.net>
  <runtime>
    <gcServer enabled="true"/>
  </runtime>
  <appSettings>
    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
  </appSettings>
</configuration>

接下來,將 連線 or Updater 服務設定為使用 Proxy,方法是對檔案進行類似的變更C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config

注意

如果 MicrosoftEntraPrivateNetwork 連線 orService.exe.config 中未設定 defaultProxy,則 連線 or 服務會評估 中的 %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configdefaultProxy 組態。同樣適用於 連線 or Updater 服務(MicrosoftEntraPrivateNetwork 連線 orUpdaterService.exe.config)。

輸出 Proxy 有四個方面需要考慮:

  • Proxy 輸出規則
  • Proxy 驗證
  • Proxy 埠
  • 傳輸層安全性 (TLS) 檢查

Proxy 輸出規則

允許存取下列 URL:

URL 連接埠 使用
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS 連接器與應用程式 Proxy 雲端服務之間的通訊
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP 連接器會使用這些 URL 來驗證憑證。
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com		 443/HTTPS 連接器會在註冊程式期間使用這些 URL。
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP 連接器會在註冊程式期間使用這些 URL。

如果您的防火牆或 Proxy 可讓您設定 DNS 允許清單,您可以允許和 *.servicebus.windows.net的連線*.msappproxy.net

如果您無法允許完整功能變數名稱 (FQDN) 的連線,且必須改為指定IP範圍,請使用下列選項:

  • 允許連接器輸出存取所有目的地。
  • 允許連接器輸出存取所有 Azure 資料中心 IP 範圍。 使用 Azure 資料中心 IP 範圍清單的挑戰是每周更新一次。 您必須設定程式,以確保您的存取規則會據以更新。 只有使用IP位址的子集,您的組態才會中斷。 最新的 Azure 資料中心 IP 範圍會在 下載。https://download.microsoft.com 使用搜尋字詞 Azure IP Ranges and Service Tags。 請務必選取相關的雲端。 例如,您可以搜尋 Azure IP Ranges and Service Tags – Public Cloud來找到公用雲端IP範圍。 搜尋 即可找到 Azure IP Ranges and Service Tags – US Government Cloud美國政府雲端。

Proxy 驗證

目前不支援 Proxy 驗證。 我們目前的建議是允許連接器匿名存取因特網目的地。

Proxy 埠

連接器會使用 CONNECT 方法來建立輸出 TLS 型連線。 這個方法基本上會透過輸出 Proxy 設定通道。 將 Proxy 伺服器設定為允許對埠 443 和 80 的通道。

注意

服務匯流排 透過 HTTPS 執行時,它會使用埠 443。 不過,根據預設,服務匯流排 嘗試直接傳輸控制通訊協定 (TCP) 連線,只有在直接連線失敗時,才會回復為 HTTPS。

TLS 檢查

請勿針對連接器流量使用 TLS 檢查,因為它會造成連接器流量的問題。 連接器會使用憑證向應用程式 Proxy 服務進行驗證,而且該憑證可以在 TLS 檢查期間遺失。

在連接器與後端應用程式之間使用 Proxy 進行設定

在某些環境中,針對後端應用程式的通訊使用正向 Proxy 是一項特殊需求。 若要啟用轉寄 Proxy,請遵循下列步驟:

步驟 1:將必要的登錄值新增至伺服器

  1. 若要啟用預設 Proxy 的使用,請將登錄值 (DWORD)UseDefaultProxyForBackendRequests = 1 新增至 位於的 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector連接器組態登錄機碼。

步驟 2:使用 netsh 命令手動設定 Proxy 伺服器

  1. 開啟群組原則 Make proxy settings per-machine。 組策略位於: Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer中。 必須設定組策略,而不是讓每個使用者設定原則。
  2. 在伺服器上執行 gpupdate /force 。 或者,若要確保組策略已更新,請重新啟動伺服器。
  3. 使用系統管理員權限啟動提升權限的命令提示字元,然後輸入 control inetcpl.cpl
  4. 設定必要的 Proxy 設定。

這些設定可讓連接器使用相同的轉寄 Proxy 來與 Azure 和後端應用程式的通訊。 修改檔案 MicrosoftEntraPrivateNetworkConnectorService.exe.config 以變更轉寄 Proxy。 轉寄 Proxy 組態會在略過輸出 Proxy 和使用輸出 Proxy 伺服器一節中說明。

注意

在操作系統中設定因特網 Proxy 的方式有很多種。 透過 NETSH WINHTTP 設定的 Proxy 設定(執行 NETSH WINHTTP SHOW PROXY 以驗證)覆寫您在步驟 2 中設定的 Proxy 設定。

連接器更新程式服務會使用計算機 Proxy。 此設定位於檔案中 MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config

針對連接器 Proxy 問題和服務連線問題進行疑難解答

現在您應該會看到流經 Proxy 的所有流量。 如果您有問題,下列疑難解答信息應該會有所説明。

找出連接器連線問題並進行疑難解答的最佳方式,是在啟動連接器服務時進行網路擷取。 以下是擷取和篩選網路追蹤的一些快速秘訣。

您可以使用您選擇的監視工具。 針對本文的目的,我們使用 Microsoft Message Analyzer。

注意

Microsoft Message Analyzer (MMA) 已淘汰 ,並在 2019 年 11 月 25 日從 microsoft.com 網站中移除其下載套件。 目前在開發中沒有 Microsoft Message Analyzer 的替代專案。 針對類似的功能,請考慮使用第三方網路協定分析器工具,例如Wireshark。

下列範例專屬於訊息分析器,但原則可以套用至任何分析工具。

擷取連接器流量

如需初始疑難解答,請執行下列步驟:

  1. services.msc停止 Microsoft Entra 專用網連接器服務。

    services.msc 中的 Microsoft Entra 專用網連接器服務

  2. 以系統管理員身分執行 訊息分析器

  3. 選取 [ 啟動本機追蹤]。

  4. 啟動 Microsoft Entra 專用網連接器服務。

  5. 停止網路擷取。

    顯示 [停止網络擷取] 按鈕的螢幕快照

檢查連接器流量是否略過輸出 Proxy

如果您預期連接器會直接連線到應用程式 Proxy 服務, SynRetransmit 埠 443 上的回應表示您有網路或防火牆問題。

使用訊息分析器篩選器來識別失敗的傳輸控制通訊協定 (TCP) 連線嘗試。 在篩選方塊中輸入 property.TCPSynRetransmit ,然後選取 [ 套用]。

同步處理 (SYN) 封包是第一個傳送來建立 TCP 連線的封包。 如果此封包未傳回回應,則會重新嘗試 SYN。 您可以使用篩選來查看任何重新傳輸的 SYN 封包。 然後,您可以檢查這些 SYN 封包是否對應至任何連接器相關的流量。

檢查連接器流量是否使用輸出 Proxy

如果您將專用網連接器流量設定為通過 Proxy 伺服器,請尋找 Proxy 的 https 失敗連線。

使用訊息分析器篩選來識別對 Proxy 的失敗 HTTPS 連線嘗試。 在 [訊息分析器] 篩選中輸入 (https.Request or https.Response) and tcp.port==8080 ,並將 取代 8080 為您的 Proxy 服務埠。 選取 [ 套用 ] 以查看篩選結果。

上述篩選只會顯示 HTTP 要求和從 Proxy 埠來回回應。 您要尋找顯示與 Proxy 伺服器的通訊的 CONNECT 要求。 成功時,您會收到 HTTP OK (200) 回應。

如果您看到其他響應碼,例如 407 或 502,這表示 Proxy 需要驗證,或因其他原因不允許流量。 此時,您會與您的 Proxy 伺服器支援小組互動。

下一步