Dela via

Privata Nätverksanslutningar för Microsoft Entra

Anslutningar möjliggör Microsoft Entra Private Access och applikationsproxy. Den här artikeln förklarar vad kontakter är, hur de fungerar och hur du optimerar din utplacering.

Vad är en privat nätverksanslutning?

Privata nätverksanslutningar är lätta agenter som du installerar på Windows Server i nätverket. De skapar utgående anslutningar till privata åtkomst- och programproxytjänster för att nå serverdelsresurser.

Användare ansluter till molntjänsten, som dirigerar trafik till appar via kopplarna. En arkitekturöversikt finns i Använda Microsoft Entra-programproxy för att publicera lokala appar för fjärranvändare.

Så här installerar och registrerar du en anslutning till programproxytjänsten:

  1. Öppna utgående portar 80 och 443 och ge åtkomst till den nödvändiga tjänsten och Url:er för Microsoft Entra-ID.
  2. Logga in på administrationscentret för Microsoft Entra och kör installationsprogrammet på en lokal Windows Server-dator.
  3. Starta anslutningsappen så att den lyssnar på programproxytjänsten.
  4. Lägg till det lokala programmet i Microsoft Entra-ID och ange de användarriktade URL:erna.

Mer information om konfiguration finns i Konfigurera privata nätverksanslutningar för Microsoft Entra Private Access och programproxy.

Kontakterna och tjänsten hanterar hög tillgänglighet. Du kan lägga till eller ta bort kontakter när som helst.

Anslutningsgrupper

Du kan ordna anslutningar i anslutningsgrupper som hanterar trafik för specifika resurser. Anslutningar i samma grupp fungerar som en enda enhet för hög tillgänglighet och lastbalansering.

Skapa grupper i administrationscentret för Microsoft Entra, tilldela anslutare och mappa sedan grupper till specifika applikationer. Använd minst två kontakter i varje grupp för hög tillgänglighet.

Använd anslutningsgrupper för:

  • Geografisk app-publicering.
  • Programsegmentering och isolering.
  • Publicera webbappar som körs i molnet eller lokalt.

Anslutningsgrupper förenklar hanteringen av stora distributioner. De kan minska svarstiden för klienter som har resurser och program i olika regioner. Skapa platsbaserade anslutningsgrupper för att endast hantera lokala program.

Läs mer i microsoft entra-grupper för privata nätverksanslutningar.

Underhåll

Tjänsten dirigerar nya begäranden till en tillgänglig anslutning. Om en anslutning är tillfälligt otillgänglig tar den inte emot trafik.

Anslutningar är tillståndslösa och lagrar inga konfigurationsdata på datorn. De lagrar endast inställningarna för att ansluta till tjänsten och autentiseringscertifikatet. När de ansluter till tjänsten hämtar de nödvändiga konfigurationsdata och uppdaterar dem med några minuters mellanrum.

Status för anslutningsappen

Du kan visa status för anslutningar i Microsoft Entras administrationscenter.

  • För privat åtkomst: Gå till Global Secure Access>Anslut>Anslutningar.
  • För programproxy: Gå till Identity>Applications>Enterprise-program och välj sedan programmet. På programsidan väljer du Programproxy.

Loggfiler

Anslutningsappar installeras på Windows Server, så de har de flesta av samma hanteringsverktyg. Du kan använda Windows-händelseloggar och Windows-prestandaräknare för att övervaka anslutningsappar.

Anslutningsappar har både administratörs - och sessionsloggar . Administratörsloggen innehåller viktiga händelser och deras fel. Sessionsloggen innehåller alla transaktioner och deras bearbetningsinformation.

Så här visar du loggarna:

  1. Öppna Händelsevisaren och gå till Program- och tjänstloggar>Microsoft>Microsoft Entra privat nätverk>Connector.

    Administratörsloggen visas som standard.

  2. Om du vill göra sessionsloggen synlig går du till menyn Visa och väljer Visa analys- och felsökningsloggar.

    Sessionsloggen används vanligtvis för felsökning och är inaktiverad som standard. Aktivera det för att börja samla in händelser och inaktivera det när du inte längre behöver det.

Tjänsttillstånd

Anslutningsappen består av två Windows-tjänster: den faktiska anslutningsappen och uppdateringstjänsten. Båda två måste gå hela tiden. Du kan undersöka tjänsternas tillstånd i fönstret Tjänster .

Hantera problem med anslutningsservern

Om en eller flera anslutningsservrar är avstängda på grund av ett server-, nätverks- eller liknande avbrott följer du dessa steg för att upprätthålla kontinuiteten:

  1. Identifiera och ta bort de berörda servrarna från anslutningsgruppen.
  2. Lägg till tillgängliga felfria servrar eller säkerhetskopieringsservrar i anslutningsgruppen för att återställa kapaciteten.
  3. Starta om berörda servrar för att tömma befintliga anslutningar. Befintliga pågående anslutningar töms inte omedelbart med ändringar i anslutningsgruppen.

Använd den här sekvensen för att hålla tjänsten stabil och minimera störningar när anslutningsservrar har problem.

Anslutningsuppdateringar

Microsoft Entra ID tillhandahåller ibland automatiska uppdateringar för de anslutningar som du distribuerar. Anslutningsappar avsöker uppdateringstjänsten efter uppdateringar. När en nyare version är tillgänglig för en automatisk uppdatering uppdateras kontakterna. Så länge uppdateringstjänsten körs kan dina anslutningar uppdateras automatiskt till den senaste stora anslutningsversionen. Om du inte ser uppdateringstjänsten på servern måste du installera om anslutningsappen för att få uppdateringar.

Alla versioner är inte schemalagda för automatiska uppdateringar. Övervaka sidan versionshistorik för att se om en uppdatering distribueras automatiskt eller kräver en manuell distribution i Microsoft Entra-portalen. Om du behöver göra en manuell uppdatering går du till nedladdningssidan för anslutningsappen på den server som är värd för anslutningsappen och väljer Ladda ned. Den här åtgärden startar en uppdatering för den lokala anslutningen.

I hyresgäster som har flera anslutningar syftar de automatiska uppdateringarna på en anslutning i taget i varje grupp för att förhindra driftstopp. Du kan uppleva stilleståndstid under en uppdatering om:

  • Du har bara en anslutning. Lägg till en andra anslutning och en anslutningsgrupp för att undvika stilleståndstid och uppnå högre tillgänglighet.
  • Uppdateringen startar medan en kontakt bearbetar en transaktion. Den inledande transaktionen går förlorad, men webbläsaren försöker automatiskt utföra åtgärden igen, eller så kan du uppdatera sidan. Begäran som på nytt skickas dirigeras till en backupanslutning.

Mer information om tidigare versioner och deras ändringar finns i Microsoft Entra private network connector: Versionshistorik.

Säkerhet och nätverk

Anslutningsappar kan installeras var som helst i nätverket så att de kan skicka begäranden till privata åtkomst- och programproxytjänster. Det viktiga är att datorn som kör anslutningsappen också har åtkomst till dina appar och resurser.

Du kan installera anslutningsappar i företagets nätverk eller på en virtuell dator (VM) som körs i molnet. Kontakter kan köras i ett perimeternätverk, men det är inte nödvändigt eftersom all trafik är utgående med tanke på nätverkssäkerhet.

Anslutningsappar skickar endast utgående begäranden. Den utgående trafiken skickas till tjänsten och till de publicerade resurserna och programmen. Du behöver inte öppna inkommande portar eftersom trafiken flödar åt båda hållen när en session har upprättats. Du behöver inte heller konfigurera inkommande åtkomst via brandväggarna.

Prestanda och skalbarhet   

Skala för privata åtkomst- och applikationsproxytjänster är transparent, men skalning är en faktor för anslutningar. Du måste ha tillräckligt med kontakter för att hantera trafiktoppar.

Anslutningar är tillståndslösa och antalet användare eller sessioner påverkar dem inte. I stället svarar de på antalet begäranden och nyttolaststorleken. Med standardwebbtrafik kan en genomsnittlig dator hantera 2 000 begäranden per sekund. Den specifika kapaciteten beror på de exakta datoregenskaperna.

CPU och nätverket definierar anslutningsprestanda. Processorprestanda krävs för TLS-kryptering och dekryptering, medan nätverk är viktigt för att få snabb anslutning till programmen och onlinetjänsten.

Däremot är minneskapacitet mindre av ett problem för anslutningar. Onlinetjänsten tar hand om mycket av bearbetningen och all oautentiserad trafik. Allt som kan göras i molnet görs i molnet.

När kontakter eller maskiner inte är tillgängliga, går trafiken till en annan kontakt i gruppen. Flera anslutningar i en anslutningsgrupp ger motståndskraft.

En annan faktor som påverkar prestanda är kvaliteten på nätverkandet mellan kontakterna, inklusive:

  • Onlinetjänst: Långsamma eller långa anslutningar till Microsoft Entra-tjänsten påverkar anslutningsprestanda. För bästa prestanda kan du ansluta din organisation till Microsoft via Azure ExpressRoute. Annars måste nätverksteamet se till att anslutningarna till Microsoft hanteras så effektivt som möjligt.
  • Serverdelsprogram: I vissa fall finns det extra proxyservrar mellan anslutningsappen och serverdelsresurserna och programmen som kan sakta ned eller förhindra anslutningar. Om du vill felsöka det här scenariot öppnar du en webbläsare från anslutningsservern och försöker komma åt programmet eller resursen. Om du kör anslutningsapparna i molnet men programmen är lokala kanske upplevelsen inte är vad användarna förväntar sig.
  • Domänkontrollanter: Om anslutningsapparna utför enkel inloggning (SSO) med hjälp av Kerberos-begränsad delegering (KCD) kontaktar de domänkontrollanterna innan de skickar begäran till serverdelen. Kopplingarna har en cache med Kerberos-biljetter, men domänkontrollanternas svarstider kan ha en inverkan på prestanda i en intensiv miljö. Det här problemet är vanligare för anslutningsappar som körs i Azure men som kommunicerar med domänkontrollanter som är lokala.

Mer information om var du installerar anslutningsappar och hur du optimerar nätverket finns i Optimera trafikflödet med Microsoft Entra-programproxy.

Expanderar tillfälliga portintervall

Privata nätverksanslutningar initierar TCP- och UDP-anslutningar till avsedda målslutpunkter. Dessa anslutningar kräver tillgängliga källportar på anslutningsappens värddator. Om du utökar det tillfälliga portintervallet kan du förbättra tillgängligheten för källportar, särskilt när du hanterar en stor mängd samtidiga anslutningar.

Om du vill visa det aktuella dynamiska portintervallet i ett system använder du följande netsh kommandon:

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

Här är exempelkommandon netsh för att öka portarna:

  • netsh int ipv4 set dynamicport tcp start=1025 num=64511
  • netsh int ipv4 set dynamicport udp start=1025 num=64511
  • netsh int ipv6 set dynamicport tcp start=1025 num=64511
  • netsh int ipv6 set dynamicport udp start=1025 num=64511

Dessa kommandon anger det dynamiska portintervallet från 1025 till högst 65535. Den minsta startporten är 1025.

Specifikationer och storlekskrav

Vi rekommenderar följande specifikationer för varje privat Microsoft Entra-nätverksanslutning:

  • Minne: 8 GiB eller mer.
  • CPU: Fyra CPU-kärnor eller mer.

Håll maximal CPU- och minnesanvändning per anslutning under 70%. Om den varaktiga användningen överskrider 70% lägger du till kopplingar i gruppen eller ökar värdkapaciteten för att distribuera belastningen. Övervaka med Windows prestandaräknare för att verifiera att användningen återgår till ett acceptabelt intervall.

Du kan förvänta dig upp till 1,5 Gbit/s aggregerat TCP-dataflöde (kombinerat inkommande och utgående) per anslutningsapp på en virtuell Azure-dator med fyra virtuella processorer och 8 GiB RAM-minne med standardnätverk. Du kan uppnå högre dataflöde genom att använda större VM-storlekar (fler virtuella processorer, mer minne och accelererade nätverkskort eller nätverkskort med hög bandbredd) eller genom att lägga till fler anslutningsappar i samma grupp för att skala ut.

Vi härledde den här prestandavägledningen från kontrollerade labbtester som använde iPerf3 TCP-dataströmmar i en dedikerad testklientorganisation. Det faktiska dataflödet kan variera beroende på:

  • CPU-generation.
  • NIC-funktioner (accelererat nätverk, avlastningar).
  • TLS chifferpaket
  • Nätverksfördröjning och jitter.
  • Paketförlust.
  • Samtidig protokollmix (HTTPS, SMB, RDP).
  • Mellanliggande enheter (brandväggar, IDS/IPS, SSL-inspektion).
  • Svarstider för back-end-applikation.

Scenariobaserade benchmark-data (blandade arbetsbelastningar, samtidighet med hög anslutning, svarstidskänsliga program) läggs till i den här dokumentationen när de blir tillgängliga.

När en kopplare har registrerats, etablerar den utgående TLS-tunnlar till den privata åtkomstens molninfrastruktur. Dessa tunnlar hanterar all trafik i datavägen. Dessutom använder kontrollplanets kanal minimal bandbredd för att upprätthålla pulsslag, hälsorapportering, anslutningsuppdateringar och andra funktioner.

Du kan distribuera fler anslutningsdelar i samma anslutningsgrupp för att öka totalt dataflöde om det finns tillräckligt med nätverks- och internetanslutning. Vi rekommenderar att du underhåller minst två friska kontakter för att säkerställa resiliens och konsekvent tillgänglighet.

Mer information finns i Bästa praxis för hög tillgänglighet av anslutningar.

Domänanslutning

Kopplingar kan köras på en dator som inte är ansluten till en domän. Men om du vill använda enkel inloggning för program som använder integrerad Windows-autentisering behöver du en domänansluten dator. I det här fallet måste anslutningsdatorerna vara anslutna till en domän som kan utföra KCD för användarnas räkning för de publicerade programmen.

Du kan också koppla kopplingar till:

  • Domäner i skogar som har delvis förtroende.
  • Skrivskyddade domänkontrollanter.

Implementeringar av anslutningar i härdade miljöer

Implementeringen av anslutningsmodulen är vanligtvis enkel och kräver ingen särskild konfiguration. Men tänk på dessa unika villkor:

  • Utgående trafik kräver att specifika portar är öppna (80 och 443).
  • FIPS-kompatibla datorer kan kräva en konfigurationsändring så att anslutningsprocesserna kan generera och lagra ett certifikat.
  • Utgående proxyservrar för vidarebefordran kan bryta tvåvägscertifikatautentiseringen och orsaka att kommunikationen misslyckas.

Autentisering av anslutning

För att tillhandahålla en säker tjänst måste anslutningar autentiseras för tjänsten, och tjänsten måste autentiseras för anslutningarna. Den här autentiseringen använder klient- och servercertifikat när konnektorer initierar anslutningen. På så sätt lagras inte administratörens användarnamn och lösenord på anslutningsdatorn.

Certifikaten är specifika för tjänsten. De skapas under den första registreringen och förnyas automatiskt varannan månad.

Efter den första lyckade certifikatförnyelsen har anslutningstjänsten ingen behörighet att ta bort det gamla certifikatet från det lokala datorarkivet. Om certifikatet upphör att gälla eller om tjänsten inte använder det kan du ta bort det på ett säkert sätt.

För att undvika problem med certifikatförnyelse kontrollerar du att nätverkskommunikationen från anslutningsappen mot de dokumenterade destinationerna är aktiverad.

Om en anslutning inte har varit ansluten till tjänsten under flera månader kan dess certifikat vara inaktuella. I det här fallet avinstallerar och installerar du om anslutningen för att utlösa registreringen. Du kan köra följande PowerShell-kommandon:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

För Azure Government använder du -EnvironmentName "AzureUSGovernment". Mer information finns i Installera agenten för Azure Government-molnet.

Information om hur du verifierar certifikatet och felsöker problem finns i Felsöka problem med att installera den privata nätverksanslutningen.

Inaktiva kontakter

Du behöver inte ta bort oanvända anslutningar manuellt. Tjänsten taggar inaktiva anslutningsappar som _inactive_ och tar bort dem efter 10 dagar.

Om du vill avinstallera en anslutningsapp avinstallerar du både anslutningstjänsten och uppdateringstjänsten. Starta sedan om datorn.

Om anslutningar som du förväntar dig ska vara aktiva visas som inaktiva i en anslutningsgrupp, kan en brandvägg blockera de nödvändiga portarna. Mer information om hur du konfigurerar regler för utgående brandvägg finns i Arbeta med befintliga lokala proxyservrar.

Relaterat innehåll