Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Configure conectores de red privada de Microsoft Entra para usar servidores proxy salientes. En el artículo se da por supuesto que el entorno de red ya tiene un servidor proxy.
Empezamos examinando estos escenarios de implementación principales:
- Configure los conectores para omitir los servidores proxy de salida locales.
- Configure los conectores para usar un proxy de salida para acceder al proxy de aplicación de Microsoft Entra.
- Configure mediante un proxy entre el conector y la aplicación back-end.
Para obtener más información sobre cómo funcionan los conectores, consulte Descripción de los conectores de red privada de Microsoft Entra.
Omitir servidores proxy salientes
Los conectores tienen componentes del sistema operativo subyacentes que realizan solicitudes salientes. Estos componentes intentan localizar automáticamente un servidor proxy en la red mediante la detección automática de proxy web (WPAD).
Los componentes del sistema operativo intentan localizar un servidor proxy mediante la realización de una búsqueda del sistema de nombres de dominio (DNS) para wpad.domainsuffix. Si la búsqueda se resuelve en DNS, se realiza una solicitud HTTP a la dirección de Protocolo de Internet (IP) para wpad.dat. Esta solicitud se convierte en el script de configuración de proxy en el entorno. El conector usa este script para seleccionar un servidor proxy saliente. Sin embargo, es posible que se produzca un error en el tráfico del conector porque se necesitan más opciones de configuración en el proxy.
Puede configurar el conector para omitir el proxy local para asegurarse de que usa conectividad directa con el servicio de proxy de aplicación De Microsoft Entra. Se recomiendan conexiones directas porque requieren menos configuración. Sin embargo, algunas directivas de red requieren tráfico que pasa por un servidor proxy local.
Para deshabilitar el uso del proxy de salida para el conector, edite el C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config archivo y agregue la system.net sección que se muestra en el ejemplo de código:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Para asegurarse de que el servicio Connector Updater también omite el proxy, realice un cambio similar al MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config archivo. Este archivo se encuentra en C:\Program Files\Microsoft Entra private network connector Updater.
Asegúrese de realizar copias de los archivos originales, en caso de que necesite revertir a los archivos predeterminados .config .
Uso del servidor proxy de salida
Algunos entornos requieren que todo el tráfico saliente pase por un proxy saliente, sin excepción. Como resultado, pasar el proxy no es una opción.
Puede configurar el tráfico del conector para que pase por el proxy de salida, como se muestra en el diagrama siguiente:
Como resultado de tener solo tráfico saliente, no es necesario configurar el acceso entrante a través de los firewalls.
Nota:
El proxy de aplicación no admite la autenticación en otros servidores proxy. Las cuentas de servicio de red del conector o actualizador deben poder conectarse al proxy sin que se le pida autenticación.
Paso 1: Configurar el conector y los servicios relacionados para pasar por el proxy de salida
Si WPAD está habilitado en el entorno y configurado correctamente, el conector detecta automáticamente el servidor proxy saliente e intenta usarlo. Sin embargo, puede configurar explícitamente el conector para que pase por un proxy de salida.
Para ello, edite el C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config archivo y agregue la system.net sección que se muestra en el ejemplo de código. Cambie proxyserver:8080 para reflejar el nombre del servidor proxy local o la dirección IP y el puerto. El valor debe tener el prefijo http:// incluso si usa una dirección IP.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
A continuación, configure el servicio Connector Updater para que use el proxy realizando un cambio similar al C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config archivo.
Nota:
El servicio Connector evalúa la configuración defaultProxy para su uso en %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, si defaultProxy no está configurado (de forma predeterminada) en MicrosoftEntraPrivateNetworkConnectorService.exe.config. Lo mismo se aplica al servicio Connector Updater (MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config) también.
Paso 2: Configurar el proxy para permitir que el tráfico desde el conector y los servicios relacionados fluyan a través de
Hay cuatro aspectos que se deben tener en cuenta en el proxy de salida:
- Reglas de salida de proxy
- Autenticación de proxy
- Puertos proxy
- Inspección de seguridad de la capa de transporte (TLS)
Reglas de salida de proxy
Permitir el acceso a las siguientes direcciones URL:
| URL | Puerto | Uso |
|---|---|---|
| *.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Comunicación entre el conector y el servicio en la nube del proxy de aplicación |
| crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | El conector usa estas direcciones URL para comprobar los certificados. |
| login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | El conector usa estas direcciones URL durante el proceso de registro. |
| ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | El conector usa estas direcciones URL durante el proceso de registro. |
Si el firewall o el proxy le permiten configurar listas de permitidos de DNS, puede permitir conexiones a *.msappproxy.net y *.servicebus.windows.net.
Si no puede permitir la conectividad por nombre de dominio completo (FQDN) y necesita especificar intervalos IP en su lugar, use estas opciones:
- Permita que el conector tenga acceso saliente a todos los destinos.
- Permita el acceso saliente del conector a todos los intervalos IP del centro de datos de Azure. El desafío con el uso de la lista de intervalos IP del centro de datos de Azure es que se actualizan semanalmente. Debe poner en marcha un proceso para asegurarse de que las reglas de acceso se actualicen en consecuencia. Usar solo un subconjunto de las direcciones IP causa que la configuración se rompa. Los intervalos IP de Azure Data Center más recientes se descargan en https://download.microsoft.com. Use el término de búsqueda,
Azure IP Ranges and Service Tags. Asegúrese de seleccionar la nube pertinente. Por ejemplo, los intervalos IP de la nube pública se pueden encontrar buscandoAzure IP Ranges and Service Tags – Public Cloud. La nube del Gobierno de Estados Unidos se puede encontrar buscandoAzure IP Ranges and Service Tags – US Government Cloud.
Autenticación de proxy
Actualmente no se admite la autenticación de proxy. Nuestra recomendación actual es permitir el acceso anónimo del conector a los destinos de Internet.
Puertos proxy
El conector realiza conexiones salientes basadas en TLS mediante el método CONNECT. Este método configura básicamente un túnel a través del proxy de salida. Configure el servidor proxy para permitir la tunelización a los puertos 443 y 80.
Nota:
Cuando Service Bus se ejecuta a través de HTTPS, usa el puerto 443. Sin embargo, de forma predeterminada, Service Bus intenta conexiones directas del Protocolo de control de transmisión (TCP) y vuelve a HTTPS solo si se produce un error en la conectividad directa.
Inspección de TLS
No utilice la inspección TLS para el tráfico del conector, ya que ocasiona problemas en él. El conector usa un certificado para autenticarse en el servicio de proxy de aplicación y ese certificado se puede perder durante la inspección de TLS.
Configuración mediante un proxy entre el conector y la aplicación back-end
El uso de un proxy de reenvío para la comunicación con la aplicación back-end es un requisito especial en algunos entornos. Para habilitar un proxy de reenvío, siga estos pasos:
Paso 1: Agregar el valor del Registro necesario al servidor
- Para habilitar el uso del proxy predeterminado, agregue el valor del Registro (DWORD)
UseDefaultProxyForBackendRequests = 1a la clave del Registro de configuración del conector ubicada enHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connector.
Paso 2: Configurar el servidor proxy manualmente mediante el comando netsh
- Habilite la directiva de grupo
Make proxy settings per-machine. La directiva de grupo se encuentra en:Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer. La directiva de grupo debe establecerse en lugar de tener una directiva establecida por cada usuario. - Ejecute
gpupdate /forceen el servidor. Como alternativa, para asegurarse de que la directiva de grupo se actualiza, reinicie el servidor. - Inicie un símbolo del sistema con permisos de administrador y con derechos elevados, luego escriba
control inetcpl.cpl. - Configura la configuración de proxy necesaria.
La configuración hace que el conector use el mismo proxy de reenvío para la comunicación a Azure y a la aplicación back-end. Modifique el archivo MicrosoftEntraPrivateNetworkConnectorService.exe.config para cambiar el proxy de reenvío. La configuración del proxy de reenvío se describe en las secciones Omitir servidores proxy salientes y Usar el servidor proxy de salida.
Nota:
Hay varias maneras de configurar el proxy de Internet en el sistema operativo. Las opciones de proxy configuradas a través de NETSH WINHTTP anulan la configuración de proxy que usted configuró en el paso 2. Ejecute NETSH WINHTTP SHOW PROXY para verificar.
El servicio de actualización del conector utiliza el proxy de la máquina. La configuración se encuentra en el MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config archivo .
Solucionar problemas del proxy del conector y problemas de conectividad del servicio
Ahora debería ver todo el tráfico que fluye a través del proxy. Si tiene problemas, la siguiente información de solución de problemas debe ayudar.
La mejor manera de identificar y solucionar problemas de conectividad del conector es tomar una captura de red al iniciar el servicio del conector. Aquí tienes algunos consejos rápidos sobre la captura y el filtrado de trazas de red.
Puede usar la herramienta de supervisión que prefiera. Para los fines de este artículo, usamos El Analizador de mensajes de Microsoft.
Nota:
Microsoft Message Analyzer (MMA) se retiró y sus paquetes de descarga se quitaron de microsoft.com sitios el 25 de noviembre de 2019. Actualmente no hay ningún reemplazo de Microsoft para el Analizador de mensajes de Microsoft en desarrollo en este momento. Para una funcionalidad similar, considere la posibilidad de usar una herramienta de analizador de protocolos de red de asociados que no sea de Microsoft, como Wireshark.
Los ejemplos siguientes son específicos del Analizador de mensajes, pero los principios se pueden aplicar a cualquier herramienta de análisis.
Tomar una captura del tráfico del conector
Para la solución de problemas inicial, realice los pasos siguientes:
Desde
services.msc, detenga el servicio del conector de red privada de Microsoft Entra.
Ejecute el Analizador de mensajes como administrador.
Seleccione Iniciar seguimiento local.
Inicie el servicio de conector de red privada de Microsoft Entra.
Detenga la captura de red.
Compruebe si el tráfico del conector omite los servidores proxy salientes.
Si espera que el conector realice conexiones directas a los servicios de proxy de aplicación, SynRetransmit las respuestas en el puerto 443 son una indicación de que tiene un problema de red o firewall.
Utilice el filtro Analizador de mensajes para identificar los intentos de conexión de Protocolo de control de transmisión (TCP) fallidos. Escriba property.TCPSynRetransmit en el cuadro de filtro y seleccione Aplicar.
Un paquete de sincronización (SYN) es el primer paquete enviado para establecer una conexión TCP. Si este paquete no devuelve una respuesta, el SYN se reintenta. Puede usar el filtro para ver los paquetes SYN retransmitidos. A continuación, puede comprobar si estos paquetes SYN corresponden a cualquier tráfico relacionado con el conector.
Comprobación de si el tráfico del conector usa servidores proxy salientes
Si configuró el tráfico del conector de red privada que pase por los servidores proxy, busque conexiones fallidas https a su proxy.
Use el filtro de Analizador de Mensajes para identificar los intentos de conexión HTTPS fallidos a su proxy. Escriba (https.Request or https.Response) and tcp.port==8080 en el filtro Analizador de mensajes y reemplace por 8080 el puerto del servicio proxy. Seleccione Aplicar para ver los resultados del filtro.
El filtro anterior muestra solo las solicitudes HTTPs y las respuestas hacia o desde el puerto proxy. Busca las solicitudes CONNECT que indican comunicación con el servidor proxy. Tras el éxito, obtendrá una respuesta HTTP OK (200).
Si ve otros códigos de respuesta, como 407 o 502, significa que el proxy requiere autenticación o no permite el tráfico por algún otro motivo. En este momento, póngase en contacto con el equipo de soporte técnico del servidor proxy.