在企業(yè)環(huán)境中，時常需要通過使用HTTP Proxy訪問Internet，在使用HTTP Proxy訪問Internet的環(huán)境中部署Microsoft Entra Connect和Microsoft Entra Connect Health Agents可能會遇到一些額外的配置步驟，以便這些服務(wù)能夠正常連接到Internet。

一、HTTP Proxy環(huán)境下部署Microsoft Entra Connect

方式一：通過Internet Explorer設(shè)置HTTP Proxy

1. 打開Windows Server上的 “Internet Explorer”。
2. 進(jìn)入 “Internet” 選項 -> “連接” -> “局域網(wǎng)設(shè)置”。
3. 在“代理服務(wù)器”部分，勾選“為LAN使用代理服務(wù)器”，并輸入代理服務(wù)器的IP地址和端口號。
4. 確保繞過本地地址的代理服務(wù)器復(fù)選框已勾選。

方式二：通過系統(tǒng)設(shè)置HTTP Proxy

1. 打開“開始”->“設(shè)置”->“網(wǎng)絡(luò)和Internet”->“代理”；
2. 在“手動設(shè)置代理”部分，勾選 “使用代理服務(wù)器”，并輸入代理服務(wù)器的IP地址和端口號。
3. 確保繞過“請勿將代理服務(wù)器用于本地地址”復(fù)選框已勾選。

方式三：通過命令行（CLI）設(shè)置HTTP Proxy

1. 以管理員身份打開 命令提示符 或 PowerShell。

2. 使用以下命令來設(shè)置HTTP Proxy：

netsh winhttp set proxy <proxy-server>:<port>

3. 使用以下命令查看代理設(shè)置是否生效：

netsh winhttp show proxy

方式四：修改配置文件設(shè)置HTTP Proxy

如果使用出站代理連接到 Internet，則必須在?C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config?文件中添加以下設(shè)置，才能將安裝向?qū)Ш?Microsoft Entra Connect 同步連接到 Internet 和 Microsoft Entra。 必須在文件底部輸入此文本。 在此代碼中，<PROXYADDRESS>?代表實際代理 IP 地址或主機名。???

<system.net><defaultProxy><proxyusesystemdefault="true"proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"bypassonlocal="true"/></defaultProxy></system.net>

如果代理服務(wù)器需要身份驗證，服務(wù)帳戶必須位于域中。 使用自定義設(shè)置安裝路徑指定自定義服務(wù)帳戶。 還需要對 machine.config 進(jìn)行不同的更改。在 machine.config 中進(jìn)行此更改之后，安裝向?qū)Ш屯揭骓憫?yīng)來自代理服務(wù)器的身份驗證請求。 在所有安裝向?qū)ы撝?#xff08;“配置”頁除外）都使用已登錄用戶的憑據(jù)。 在安裝向?qū)┪驳摹?strong>配置”頁上，上下文將切換到你創(chuàng)建的服務(wù)帳戶。 machine.config 部分應(yīng)如下所示：???

<system.net><defaultProxy enabled="true" useDefaultCredentials="true"><proxyusesystemdefault="true"proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"bypassonlocal="true"/></defaultProxy></system.net>

如果代理配置是在現(xiàn)有設(shè)置中完成的，則需要重啟一次?Microsoft Entra ID Sync?服務(wù)，以便 Microsoft Entra Connect 讀取代理配置并更新行為。

當(dāng) Microsoft Entra Connect 在目錄同步過程中向 Microsoft Entra ID 發(fā)送 Web 請求時，Microsoft Entra ID 最多可能需要 5 分鐘才能做出響應(yīng)。 代理服務(wù)器具有連接空閑超時配置很常見。 確保配置設(shè)置為至少 6 分鐘或更長時間。

有關(guān)默認(rèn)代理元素的詳細(xì)信息，請參閱 MSDN。 有關(guān)遇到連接問題時的詳細(xì)信息，請參閱排查連接問題。

上述方式確保Windows系統(tǒng)能夠通過代理連接到外部資源。Microsoft Entra Connect在其安裝和操作期間會繼承系統(tǒng)的代理設(shè)置。

二、HTTP Proxy環(huán)境下部署Microsoft Entra Connect Health Agents

可以將 Microsoft Entra Connect Health Agents配置為使用 HTTP 代理，但：

1. Netsh WinHttp set ProxyServerAddress 不受支持。 代理使用 System.Net 而不是 Windows HTTP 服務(wù)發(fā)出 Web 請求。
2. 配置的 HTTP 代理地址用于傳遞加密的 HTTP 消息。
3. 不支持經(jīng)過身份驗證的代理（使用 HTTP Basic）。

若要將 Microsoft Entra Connect Health Agents配置為使用 HTTP 代理，你可以：

方式一：導(dǎo)入現(xiàn)有的代理設(shè)置

可以導(dǎo)入 Internet Explorer HTTP 代理設(shè)置，以便 Microsoft Entra Connect Health 代理可以使用這些設(shè)置。 在運行 Health 代理的每臺服務(wù)器上運行以下 PowerShell 命令：

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

可以導(dǎo)入 WinHTTP 代理設(shè)置，以便 Microsoft Entra Connect Health 代理可以使用它們。 在運行 Health 代理的每臺服務(wù)器上運行以下 PowerShell 命令：

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

方式二：手動指定代理地址

可以手動指定代理服務(wù)器。 在運行 Health 代理的每臺服務(wù)器上運行以下 PowerShell 命令：

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

通過上述方式，Microsoft Entra Connect和Health Agents應(yīng)已成功部署并配置為通過HTTP Proxy訪問Internet?，F(xiàn)在可以開始使用這些服務(wù)來監(jiān)控和管理你的混合身份環(huán)境了。

參考資料

https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-install-prerequisites#connectivity?

https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-health-agent-install#configure-microsoft-entra-connect-health-agents-to-use-http-proxy?