在企業(yè)環(huán)境中，時(shí)常需要通過(guò)使用HTTP Proxy訪問(wèn)Internet，在使用HTTP Proxy訪問(wèn)Internet的環(huán)境中部署Microsoft Entra Connect和Microsoft Entra Connect Health Agents可能會(huì)遇到一些額外的配置步驟，以便這些服務(wù)能夠正常連接到Internet。

一、HTTP Proxy環(huán)境下部署Microsoft Entra Connect

方式一：通過(guò)Internet Explorer設(shè)置HTTP Proxy

1. 打開(kāi)Windows Server上的 “Internet Explorer”。
2. 進(jìn)入 “Internet” 選項(xiàng) -> “連接” -> “局域網(wǎng)設(shè)置”。
3. 在“代理服務(wù)器”部分，勾選“為L(zhǎng)AN使用代理服務(wù)器”，并輸入代理服務(wù)器的IP地址和端口號(hào)。
4. 確保繞過(guò)本地地址的代理服務(wù)器復(fù)選框已勾選。

方式二：通過(guò)系統(tǒng)設(shè)置HTTP Proxy

1. 打開(kāi)“開(kāi)始”->“設(shè)置”->“網(wǎng)絡(luò)和Internet”->“代理”；
2. 在“手動(dòng)設(shè)置代理”部分，勾選 “使用代理服務(wù)器”，并輸入代理服務(wù)器的IP地址和端口號(hào)。
3. 確保繞過(guò)“請(qǐng)勿將代理服務(wù)器用于本地地址”復(fù)選框已勾選。

方式三：通過(guò)命令行（CLI）設(shè)置HTTP Proxy

1. 以管理員身份打開(kāi) 命令提示符 或 PowerShell。

2. 使用以下命令來(lái)設(shè)置HTTP Proxy：

netsh winhttp set proxy <proxy-server>:<port>

3. 使用以下命令查看代理設(shè)置是否生效：

netsh winhttp show proxy

方式四：修改配置文件設(shè)置HTTP Proxy

如果使用出站代理連接到 Internet，則必須在?C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config?文件中添加以下設(shè)置，才能將安裝向?qū)Ш?Microsoft Entra Connect 同步連接到 Internet 和 Microsoft Entra。 必須在文件底部輸入此文本。 在此代碼中，<PROXYADDRESS>?代表實(shí)際代理 IP 地址或主機(jī)名。???

<system.net><defaultProxy><proxyusesystemdefault="true"proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"bypassonlocal="true"/></defaultProxy></system.net>

如果代理服務(wù)器需要身份驗(yàn)證，服務(wù)帳戶必須位于域中。 使用自定義設(shè)置安裝路徑指定自定義服務(wù)帳戶。 還需要對(duì) machine.config 進(jìn)行不同的更改。在 machine.config 中進(jìn)行此更改之后，安裝向?qū)Ш屯揭骓憫?yīng)來(lái)自代理服務(wù)器的身份驗(yàn)證請(qǐng)求。 在所有安裝向?qū)ы?yè)中（“配置”頁(yè)除外）都使用已登錄用戶的憑據(jù)。 在安裝向?qū)┪驳摹?strong>配置”頁(yè)上，上下文將切換到你創(chuàng)建的服務(wù)帳戶。 machine.config 部分應(yīng)如下所示：???

<system.net><defaultProxy enabled="true" useDefaultCredentials="true"><proxyusesystemdefault="true"proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"bypassonlocal="true"/></defaultProxy></system.net>

如果代理配置是在現(xiàn)有設(shè)置中完成的，則需要重啟一次?Microsoft Entra ID Sync?服務(wù)，以便 Microsoft Entra Connect 讀取代理配置并更新行為。

當(dāng) Microsoft Entra Connect 在目錄同步過(guò)程中向 Microsoft Entra ID 發(fā)送 Web 請(qǐng)求時(shí)，Microsoft Entra ID 最多可能需要 5 分鐘才能做出響應(yīng)。 代理服務(wù)器具有連接空閑超時(shí)配置很常見(jiàn)。 確保配置設(shè)置為至少 6 分鐘或更長(zhǎng)時(shí)間。

有關(guān)默認(rèn)代理元素的詳細(xì)信息，請(qǐng)參閱 MSDN。 有關(guān)遇到連接問(wèn)題時(shí)的詳細(xì)信息，請(qǐng)參閱排查連接問(wèn)題。

上述方式確保Windows系統(tǒng)能夠通過(guò)代理連接到外部資源。Microsoft Entra Connect在其安裝和操作期間會(huì)繼承系統(tǒng)的代理設(shè)置。

二、HTTP Proxy環(huán)境下部署Microsoft Entra Connect Health Agents

可以將 Microsoft Entra Connect Health Agents配置為使用 HTTP 代理，但：

1. Netsh WinHttp set ProxyServerAddress 不受支持。 代理使用 System.Net 而不是 Windows HTTP 服務(wù)發(fā)出 Web 請(qǐng)求。
2. 配置的 HTTP 代理地址用于傳遞加密的 HTTP 消息。
3. 不支持經(jīng)過(guò)身份驗(yàn)證的代理（使用 HTTP Basic）。

若要將 Microsoft Entra Connect Health Agents配置為使用 HTTP 代理，你可以：

方式一：導(dǎo)入現(xiàn)有的代理設(shè)置

可以導(dǎo)入 Internet Explorer HTTP 代理設(shè)置，以便 Microsoft Entra Connect Health 代理可以使用這些設(shè)置。 在運(yùn)行 Health 代理的每臺(tái)服務(wù)器上運(yùn)行以下 PowerShell 命令：

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

可以導(dǎo)入 WinHTTP 代理設(shè)置，以便 Microsoft Entra Connect Health 代理可以使用它們。 在運(yùn)行 Health 代理的每臺(tái)服務(wù)器上運(yùn)行以下 PowerShell 命令：

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

方式二：手動(dòng)指定代理地址

可以手動(dòng)指定代理服務(wù)器。 在運(yùn)行 Health 代理的每臺(tái)服務(wù)器上運(yùn)行以下 PowerShell 命令：

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

通過(guò)上述方式，Microsoft Entra Connect和Health Agents應(yīng)已成功部署并配置為通過(guò)HTTP Proxy訪問(wèn)Internet?，F(xiàn)在可以開(kāi)始使用這些服務(wù)來(lái)監(jiān)控和管理你的混合身份環(huán)境了。

參考資料

https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-install-prerequisites#connectivity?

https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-health-agent-install#configure-microsoft-entra-connect-health-agents-to-use-http-proxy?