Descripción del conector de red privada de Microsoft Entra

Los conectores son los que hacen posible el acceso privado y el proxy de aplicaciones de Microsoft Entra. Son simples, fáciles de implementar y mantener, y muy eficaces. En este artículo se habla de qué son los conectores, cómo funcionan, y se ofrecen algunas sugerencias para optimizar la implementación.

¿Qué es un conector de red privada?

Los conectores son agentes ligeros que se sitúan en una red privada y facilitan la conexión saliente a los servicios de acceso privado y proxy de aplicaciones de Microsoft Entra. Los conectores deben instalarse en un servidor de Windows Server con acceso a los recursos de back-end. Puede organizar los conectores en grupos de conectores, con cada grupo gestionando el tráfico hacia recursos específicos. Para obtener más información sobre el proxy de aplicación y una representación en diagramas de su arquitectura, consulte el documento sobre el uso del proxy de aplicaciones de Microsoft Entra para publicar aplicaciones locales para usuarios remotos.

Para obtener información sobre cómo configurar el conector de red privada de Microsoft Entra, consulte Configuración de conectores de red privada para el acceso privado de Microsoft Entra.

Los conectores de red privada son agentes ligeros implementados en el entorno local que facilitan la conexión saliente al servicio de proxy de aplicación en la nube. Los conectores deben instalarse en un servidor de Windows Server con acceso a la aplicación de back-end. Los usuarios se conectan al servicio en la nube del proxy de aplicaciones que dirige su tráfico a las aplicaciones a través de los conectores.

La configuración y el registro entre un conector y el servicio del proxy aplicación se realiza de la siguiente manera:

1. El administrador de TI abre los puertos 80 y 443 al tráfico de salida y permite el acceso a varias direcciones URL que son necesarias para el conector, el servicio del proxy de aplicación y Microsoft Entra ID.
2. El administrador inicia sesión en el centro de administración de Microsoft Entra y ejecuta un ejecutable para instalar el conector en un servidor Windows local.
3. El conector comienza a "escuchar" el servicio proxy de la aplicación.
4. El administrador agrega la aplicación local a Microsoft Entra y configura parámetros como las direcciones URL que los usuarios necesitan para conectarse a las aplicaciones.

Se recomienda implementar siempre varios conectores para obtener redundancia y escalabilidad. Los conectores, junto con el servicio, se encargan de todas las tareas de alta disponibilidad y pueden agregarse o eliminarse dinámicamente. Cada vez que llega una solicitud nueva, esta se enruta a uno de los conectores que esté disponible. Cuando hay un conector en ejecución, este permanece activo tal y como se conecta al servicio. Si un conector no está disponible temporalmente, no responde a este tráfico. Los conectores que no se utilizan se etiquetan como inactivos y se quitan tras 10 días de inactividad.

Cada conector de red privada se asigna a un grupo de conectores. Los conectores del mismo grupo funcionan como una única unidad para una alta disponibilidad y equilibrio de carga. Puede crear nuevos grupos, asignar conectores a ellos en el Centro de administración de Microsoft Entra y, a continuación, asignar conectores específicos para atender aplicaciones específicas. Se recomienda tener al menos dos conectores en cada grupo de conectores para lograr una alta disponibilidad.

Los grupos de conectores son útiles cuando necesitas soportar los siguientes escenarios:

• Publicación de aplicaciones geográficas
• Aislamiento o segmentación de aplicaciones
• Publicación de aplicaciones web que se ejecutan en la nube o en el entorno local

Para más información sobre cómo elegir dónde instalar los conectores y optimizar su red, consulte Consideraciones sobre la topología de red al utilizar la aplicación proxy de Microsoft Entra.

Mantenimiento

Los conectores y el servicio se encargan de todas las tareas de alta disponibilidad. Se pueden agregar o quitar de forma dinámica. Las nuevas solicitudes se enrutan a uno de los conectores disponibles. Si un conector no está disponible temporalmente, no responde a este tráfico.

Los conectores son independientes y no tienen datos de configuración en el equipo. Los únicos datos que almacenan son los valores de configuración para conectar el servicio y su certificado de autenticación. Cuando se conectan al servicio, extraen todos los datos de configuración requeridos y los actualizan cada dos minutos.

Los conectores también sondean al servidor para averiguar si hay una versión más reciente del conector. Si se encuentra uno, los conectores se actualizan a sí mismos.

Puede supervisar los conectores desde la máquina en que se ejecutan, usando el registro de eventos y los contadores de rendimiento. También puede ver su estado en el Centro de administración de Microsoft Entra. Para Microsoft Entra Private Access, navegue a Acceso Global Seguro, Conectar y seleccione Conectores. Para el proxy de aplicación, vaya a Identidad, Aplicaciones, Aplicaciones empresariales y seleccione la aplicación. En la página de la aplicación, seleccione 'proxy' de la aplicación.

No es necesario que elimine manualmente los conectores que no se están utilizando. Cuando hay un conector en ejecución, este permanece activo tal y como se conecta al servicio. Los conectores que no se están usando se etiquetan como _inactive_ y se quitan tras 10 días de inactividad. No obstante, si quiere desinstalar un conector, desinstale el servicio de conector y el servicio de actualizador del servidor. Reinicie el equipo para quitar completamente el servicio.

Actualizaciones del conector

El identificador de Microsoft Entra proporciona ocasionalmente actualizaciones automáticas para todos los conectores que implemente. Siempre que se ejecute el servicio del actualizador de conectores de red privada, los conectores pueden actualizarse automáticamente con la versión más reciente del conector principal. Si no ve el servicio Connector Updater en el servidor, debe volver a instalar el conector con el fin de obtener las actualizaciones.

Si no quiere esperar a que haya una actualización automática para el conector, puede realizar una actualización manual. Vaya a la página de descarga del conector en el servidor en el que se encuentra el conector y seleccione Descargar. Este proceso inicia una actualización del conector local. Tenga en cuenta que no todas las actualizaciones están programadas para la actualización automática. Se recomienda supervisar la página del historial de versiones para obtener información sobre si una actualización se implementa automáticamente o manualmente a través del portal de Microsoft Entra.

Para los clientes con varios conectores, las actualizaciones automáticas apuntan a un conector a la vez en cada grupo para evitar tiempos de inactividad en su entorno.

Puede experimentar un tiempo de inactividad cuando el conector se actualiza si:

• Solo tiene un conector. Se recomienda un segundo conector y un grupo de conectores para evitar tiempos de inactividad y proporcionar una mayor disponibilidad.
• Un conector estaba en medio de una transacción cuando comenzó la actualización. Aunque se pierde la transacción inicial, el explorador debería reintentar automáticamente la operación o el usuario podría actualizar la página. Cuando se vuelve a enviar la solicitud, el tráfico se enruta a un conector de copia de seguridad.

Para consultar información sobre las versiones publicadas anteriormente y qué cambios incluyen, vea Application Proxy- Version Release History (Proxy de aplicación: Historial de lanzamiento de versiones).

Creación de grupos de conectores

Los grupos de conectores permiten asignar conectores específicos para atender a aplicaciones específicas. Puede agrupar varios conectores y, a continuación, asignar cada recurso o aplicación a un grupo.

Los grupos de conectores facilitan la administración de implementaciones a gran escala. También mejoran la latencia para los inquilinos que tienen recursos o aplicaciones hospedadas en distintas regiones, porque se pueden crear grupos de conectores basados en la ubicación para atender solo a las aplicaciones locales.

Para obtener más información sobre los conectores, consulte Comprender los grupos de conectores de red privada de Microsoft Entra.

Seguridad y redes

Los conectores se pueden instalar en cualquier lugar de la red que les permita enviar solicitudes al servicio de proxy de aplicación y acceso privado de Microsoft Entra. Lo importante es que el equipo que ejecuta el conector también tenga acceso a las aplicaciones y recursos. Puede instalar conectores dentro de la red corporativa o en una máquina virtual que se ejecute en la nube. Los conectores se pueden ejecutar en una red perimetral, también conocida como zona desmilitarizada (DMZ), pero no es necesario porque todo el tráfico es saliente, por lo que la red se mantiene protegida.

Los conectores solo envían solicitudes salientes. El tráfico saliente se envía al servicio y a los recursos y aplicaciones publicados. No hay que abrir los puertos de entrada, porque una vez que se ha establecido una sesión, el tráfico fluye en ambos sentidos. Tampoco es necesario que configure el acceso de entrada en los firewalls.

Para más información sobre cómo configurar reglas de firewall de salida, vea Trabajo con servidores proxy locales existentes.

Rendimiento y escalabilidad

La escala para el acceso privado de Microsoft Entra y los servicios de proxy de aplicaciones es transparente, pero la escala es un factor para los conectores. Debe tener suficientes conectores para administrar el tráfico en sus momentos de pico. Los conectores no tienen estado y el número de usuarios o sesiones no les afecta. Más bien dependen del número de solicitudes y del tamaño de la carga. En el caso del tráfico web estándar, una máquina puede controlar en promedio unas 2000 solicitudes por segundo. La capacidad específica depende de las características exactas de la máquina.

La CPU y la red definen el rendimiento del conector. El rendimiento de la CPU es necesario para el cifrado y el descifrado TLS, mientras que las redes son importantes para conectar rápidamente con las aplicaciones y el servicio en línea.

En cambio, la memoria no supone un problema para los conectores. El servicio en línea se encarga de gran parte del procesamiento y de todo el tráfico no autenticado. Todo lo que puede realizarse en la nube se realiza en la nube.

Cuando los conectores o máquinas no están disponibles, el tráfico pasa a otro conector del grupo. Varios conectores de un grupo de conectores proporcionan resistencia.

Otro factor que incide el rendimiento es la calidad de las conexiones entre los conectores; en particular:

• El servicio en línea: conexiones de latencia lenta o alta al servicio Microsoft Entra influyen en el rendimiento del conector. Para optimizar el rendimiento, conecte la organización a Microsoft con Express Route. Si no, el equipo de redes debe asegurarse de que las conexiones a Microsoft se administren de la manera más eficaz posible.
• Las aplicaciones de back-end: en algunos casos, hay servidores proxy adicionales entre el conector y los recursos de back-end y las aplicaciones que pueden ralentizar o impedir conexiones. Para solucionar esta situación, abra un explorador desde el servidor del conector e intente acceder a la aplicación o recurso. Si ejecuta los conectores en la nube, pero las aplicaciones están en local, la experiencia podría no corresponderse a lo que esperan los usuarios.
• Los controladores de dominio: si los conectores realizan el inicio de sesión único (SSO) utilizando la delegación restringida de Kerberos, se pondrán en contacto con los controladores de dominio antes de enviar la solicitud al back-end. Los conectores tienen una memoria caché de vales Kerberos, pero en un entorno ocupado, la capacidad de respuesta de los controladores de dominio puede afectar al rendimiento. Este problema es más común en el caso de los conectores que se ejecutan en Azure pero se comunican con controladores de dominio que están en local.

Para obtener más información sobre la optimización de la red, consulte Consideraciones sobre la topología de red al utilizar el proxy de aplicaciones de Microsoft Entra.

Ampliar el rango de puertos efímeros

Los conectores de red privada inician conexiones TCP/UDP a puntos de conexión de destino designados, lo que requiere puertos de origen disponibles en la máquina host del conector. La expansión del intervalo de puertos efímeros puede mejorar la disponibilidad de los puertos de origen, especialmente al administrar un gran volumen de conexiones simultáneas.

Para ver el intervalo de puertos dinámicos actual en un sistema, use los siguientes comandos netsh:

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 mostrar puertos dinámicos udp
• netsh int ipv6 mostrar puerto dinámico tcp
• netsh int ipv6 show dynamicport udp

Comandos netsh de ejemplo para aumentar los puertos

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• netsh int ipv6 set dynamicport udp start=1025 num=64511

Estos comandos establecen el intervalo de puertos dinámicos entre 1025 y el máximo de 65535. El puerto de inicio mínimo es 1025.

Especificaciones y requisitos de ajuste de tamaño

Se recomiendan las siguientes especificaciones para cada conector de red privada entra:

• Memoria: 8 GiB o más
• CPU: 4 núcleos de CPU o más

Asegúrese de que los conectores tengan menos de 70% para el uso máximo de memoria y el uso máximo de la CPU. Si el uso de cpu o memoria está por encima del máximo sugerido, puede considerar la posibilidad de agregar más conectores para distribuir las cargas de trabajo de forma eficaz.

• Rendimiento: Cada conector, configurado con las especificaciones anteriores, puede admitir un rendimiento de hasta 1,5 Gbps a través de TCP en una máquina virtual de Azure. El rendimiento se mide como el total del tráfico entrante y saliente. Se puede lograr un mayor rendimiento mediante la ejecución del conector en máquinas virtuales con mayor memoria, recursos de CPU y velocidades de vínculo de red mejoradas.

Detalles adicionales:

• Las recomendaciones de ajuste de tamaño anteriores se basan en las pruebas de rendimiento realizadas en un inquilino de prueba mediante la herramienta iPerf3 con flujos de datos TCP. El rendimiento real puede variar en entornos de prueba diferentes. En los próximos meses se publicarán más detalles sobre casos de prueba específicos.
• Una vez inscrito un conector, establece túneles TLS salientes en la infraestructura de nube de acceso privado. Estos túneles controlan todo el tráfico de ruta de acceso de datos. Además, tenemos algún canal del plano de control, conducción del latido de mantenimiento activo, informes de estado, actualizaciones del conector, etc., usando el ancho de banda mínimo.
• Puede implementar conectores adicionales dentro del mismo grupo de conectores para aumentar el rendimiento general, siempre que esté disponible la red adecuada y la conectividad a Internet. Se recomienda mantener un mínimo de dos conectores correctos para garantizar la resistencia y la disponibilidad coherente. Para conocer los procedimientos recomendados relacionados con la alta disponibilidad, consulte las instrucciones que se indican aquí.

Unión a dominio

Los conectores se pueden ejecutar en un equipo que no esté unido a un dominio. Sin embargo, si desea usar el inicio de sesión único (SSO) para aplicaciones que usan la autenticación integrada de Windows (IWA), necesita una máquina unida a dominio. En este caso, los equipos del conector deben estar unidos a un dominio que pueda llevar a cabo la delegación limitada de Kerberos en nombre de los usuarios para las aplicaciones publicadas.

Los conectores también pueden estar unidos a dominios de bosques que tengan una relación de confianza parcial o a controladores de dominio de solo lectura.

Implementaciones del conector en entornos endurecidos

Por lo general, la implementación del conector es sencilla y no requiere ninguna configuración especial.

Sin embargo, hay algunas condiciones únicas que deben tenerse en cuenta:

• El tráfico saliente requiere que se abran puertos específicos. Para más información, consulte Configuración de conectores.
• Podría ser necesario que las máquinas compatibles con FIPS cambiaran su configuración para permitir que los procesos del conector generaran y almacenaran un certificado.
• Los proxy de reenvío de salida pueden interrumpir la autenticación de certificado de dos direcciones y provocar un error en la comunicación.

Autenticación del conector

Para proporcionar un servicio seguro, los conectores tienen que autenticarse hacia el servicio y el servicio tiene que autenticarse hacia el conector. Esta autenticación se lleva a cabo mediante certificados de cliente y servidor cuando los conectores inician la conexión. De este modo, el nombre de usuario y la contraseña del administrador no se almacenan en el equipo del conector.

Los certificados usados son específicos del servicio. Se crean durante el registro inicial y se renuevan automáticamente cada par de meses.

Después de la primera renovación correcta del certificado, el servicio de conector de red privada (Servicio de red) de Microsoft Entra no tiene permiso para quitar el certificado antiguo del almacén de máquinas locales. Si el servicio expira o no lo usa, puede eliminarlo de forma segura.

Para evitar problemas con la renovación de certificados, asegúrese de que la comunicación de red del conector hacia los destinos documentados está habilitada.

Si un conector no se conecta al servicio durante varios meses, puede que tenga los certificados caducados. En este caso, desinstale y vuelva a instalar el conector para provocar el registro. Puede ejecutar los siguientes comandos de PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Para la administración pública, use -EnvironmentName "AzureUSGovernment". Para más información, consulte Instalación del agente para la nube de Azure Government.

Para más información acerca de cómo comprobar el certificado y solucionar problemas, consulte Comprobación de que los componentes de máquina y back-end admitan el certificado de confianza del proxy de aplicación.

En segundo plano

Los conectores se instalan en Windows Server, por lo que tienen la mayoría de las mismas herramientas de administración, incluidos los registros de eventos de Windows y los contadores de rendimiento de Windows.

Los conectores tienen registros de administración y sesión. Los registros de administración incluyen eventos importantes y sus errores. Los registros de sesión incluyen todas las transacciones y sus detalles de procesamiento.

Para ver los registros, abra el Visor de eventos y vaya a Registros de aplicaciones y servicios>Microsoft>Red privada de Microsoft Entra>Conector. Para que el registro de sesión sea visible, en el menú Ver, seleccione Mostrar registros analíticos y de depuración. El registro de sesión se usa normalmente para solucionar problemas y está deshabilitado de forma predeterminada. Habilítelo para comenzar la recopilación de eventos y deshabilítelo cuando ya no se necesite.

Puede examinar el estado del servicio en la ventana Servicios. El conector consta de dos servicios de Windows: el conector real y el actualizador. Ambos deben ejecutarse todo el tiempo.

Conectores inactivos

Un problema común es que los conectores aparecen inactivos en un grupo de conectores. Una causa común de los conectores inactivos es el bloqueo de los puertos necesarios por parte de un firewall.

Pasos siguientes

• Descripción de los grupos de conectores de red privada de Microsoft Entra
• Trabajo con servidores proxy locales existentes
• Solución de problemas y mensajes de error del proxy de aplicación
• Instalación silenciosa del conector de red privada de Microsoft Entra