Laboratório Técnico: Diagnose and Resolve Client-Side and Authentication Issues
Questões
Questão 1 — Múltipla Escolha
Uma equipe de rede reporta que usuários conseguem resolver o FQDN de um endpoint privado pelo nome público, mas a conexão TCP falha ao tentar alcançar o recurso dentro da VNet. O grupo de segurança de rede (NSG) da sub-rede está configurado corretamente, e o Private Endpoint aparece como Aprovado no portal.
Qual é a causa mais provável do problema?
A) O DNS privado não está vinculado à VNet que contém o cliente, retornando o IP público em vez do IP privado do endpoint.
B) O registro A no Private DNS Zone aponta para o IP público do serviço, sobrescrevendo a resolução privada.
C) O serviço de destino não suporta Private Endpoint e está respondendo via Service Endpoint em vez disso.
D) O NSG da sub-rede do Private Endpoint está bloqueando a porta 443 para o IP do cliente.
Questão 2 — Cenário Técnico
Um administrador configurou uma conexão VPN Site-to-Site entre uma rede on-premises e uma VNet do Azure. O túnel IPsec aparece como Conectado no portal, mas o tráfego de retorno (on-premises para Azure) não chega às VMs. Considere a configuração abaixo:
Local Network Gateway (on-premises):
Address Space: 10.1.0.0/24
Azure VNet:
Address Space: 10.2.0.0/16
Sub-rede das VMs: 10.2.1.0/24
VM - IP privado: 10.2.1.5
NSG da sub-rede das VMs: permite Any inbound da origem 10.0.0.0/8
O cliente on-premises (IP 10.1.0.10) consegue pingar a VM, mas a VM não consegue responder de volta. Qual é a causa mais provável?
A) O BGP não está habilitado no Virtual Network Gateway, impedindo a propagação de rotas de retorno.
B) A rota de retorno da VM não está sendo propagada porque a tabela de rotas da sub-rede tem uma rota padrão apontando para a Internet em vez do Virtual Network Gateway.
C) O NSG da sub-rede bloqueia o tráfego de saída da VM para o prefixo 10.1.0.0/24 porque não existe regra de outbound explícita.
D) O Local Network Gateway não inclui o prefixo 10.2.1.0/24 no seu espaço de endereços, causando descarte assimétrico no lado Azure.
Questão 3 — Verdadeiro ou Falso
Afirmação: Em uma topologia hub-and-spoke, quando o peering entre o hub e um spoke tem a opção Use Remote Gateways habilitada no spoke, o tráfego originado nesse spoke pode alcançar redes on-premises via o Virtual Network Gateway do hub, mesmo sem nenhuma rota definida pelo usuário (UDR) na sub-rede do spoke.
Verdadeiro ou Falso?
Questão 4 — Múltipla Escolha
Uma aplicação web hospedada em uma VM do Azure autentica usuários via Microsoft Entra ID usando o fluxo OAuth 2.0 (Authorization Code Flow). Após uma mudança de configuração no tenant, usuários começam a receber o erro AADSTS50011 durante o login. O registro da aplicação no Microsoft Entra ID não foi alterado.
O que esse erro indica e qual é a ação correta?
A) O token de acesso expirou; a aplicação deve implementar o fluxo de refresh token para renovar a sessão automaticamente.
B) A URI de redirecionamento enviada na requisição de autenticação não corresponde a nenhuma URI cadastrada no registro da aplicação; a URI correta deve ser adicionada ao registro.
C) O certificado do cliente usado no fluxo confidencial expirou; um novo certificado deve ser carregado no registro da aplicação.
D) O tenant foi movido para uma região diferente e o endpoint de autorização deve ser atualizado para o novo URL regional.
Questão 5 — Cenário Técnico
Uma empresa usa Microsoft Entra Application Proxy para publicar uma aplicação interna. Usuários externos relatam que conseguem autenticar com sucesso no Microsoft Entra ID, mas recebem o erro 502 Bad Gateway ao tentar acessar a aplicação. O conector do Application Proxy está instalado em um servidor on-premises. Veja o estado do ambiente:
Conector: Status = Ativo (último heartbeat há 2 minutos)
Aplicação interna: URL = http://app-interno.corp.local
Regra de firewall on-premises: permite saída HTTPS (443) para *.msappproxy.net
Servidor da aplicação interna: respondendo na porta 80 internamente
Qual é a causa mais provável do erro 502?
A) O conector não consegue alcançar o serviço do Application Proxy na nuvem porque a porta 443 está bloqueada para o endpoint específico de autenticação do Microsoft Entra ID.
B) A URL interna da aplicação está configurada como HTTP, mas o conector tenta estabelecer conexão TLS com o servidor interno, resultando em falha de handshake.
C) O conector está ativo, mas não consegue alcançar o servidor interno app-interno.corp.local na porta configurada, ou o servidor interno está rejeitando a conexão.
D) O token emitido pelo Microsoft Entra ID é válido apenas para o domínio externo e não pode ser repassado ao servidor interno via conector.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: A
Explicar:
- Quando o Private DNS Zone não está vinculado à VNet do cliente, a resolução DNS usa os servidores públicos e retorna o IP público do serviço. O cliente estabelece a sessão TCP em direção ao IP público, que não é roteável dentro da VNet para o Private Endpoint. Por isso a resolução funciona (retorna algo) mas a conexão TCP falha.
- A alternativa B descreve uma situação impossível: registros A em Private DNS Zones são criados automaticamente com o IP privado, não com o IP público.
- A alternativa D é descartada porque o enunciado afirma que o NSG está correto; além disso, NSGs não bloqueiam tráfego de saída da sub-rede do cliente nesse fluxo.
- O ponto-chave: o status "Aprovado" do Private Endpoint confirma que o recurso foi provisionado corretamente; o problema está exclusivamente no plano de resolução DNS, não no plano de dados do endpoint.
Gabarito — Questão 2
Resposta: B
Explicar:
- O tráfego de ida (on-premises para Azure) chega porque o roteamento do lado on-premises conhece o prefixo 10.2.0.0/16. O tráfego de retorno da VM (10.2.1.5 para 10.1.0.10) precisa de uma rota que aponte para o Virtual Network Gateway. Se uma UDR com rota padrão
0.0.0.0/0apontando para a Internet estiver associada à sub-rede, ela tem precedência sobre as rotas do sistema, e o pacote de retorno é enviado para a Internet em vez do túnel VPN, causando descarte assimétrico. - A alternativa A é incorreta: BGP é necessário para propagação dinâmica de rotas, mas rotas estáticas configuradas no Local Network Gateway já são suficientes para o túnel funcionar. O enunciado não indica ausência de BGP como fator.
- A alternativa C está errada: NSGs do Azure permitem todo tráfego de saída por padrão; a ausência de regra de outbound explícita não causa bloqueio.
- A alternativa D inverteria o sintoma: se o Local Network Gateway não conhecesse o prefixo da VM, o tráfego de ida também falharia.
Gabarito — Questão 3
Resposta: Verdadeiro
Explicar:
- Quando Use Remote Gateways está habilitado no spoke e Allow Gateway Transit está habilitado no hub, o Azure injeta automaticamente as rotas aprendidas pelo gateway (incluindo as rotas on-premises via BGP ou rotas estáticas do Local Network Gateway) na tabela de rotas efetivas das sub-redes do spoke.
- Esse comportamento é gerenciado pelo plano de controle do Azure; não é necessária nenhuma UDR no spoke para que o tráfego seja encaminhado pelo gateway do hub.
- O equívoco comum é acreditar que UDRs são sempre necessárias para forçar o roteamento pelo gateway. Nesse caso específico, o mecanismo de gateway transit resolve o roteamento automaticamente.
- Limitação importante: isso só funciona se o peering for direto entre o spoke e o hub que contém o gateway; peerings transitivos (spoke-A para spoke-B via hub) não propagam rotas automaticamente.
Gabarito — Questão 4
Resposta: B
Explicar:
- O erro
AADSTS50011é específico do Microsoft Entra ID e indica que a Redirect URI (URI de redirecionamento) enviada na requisição de autorização não está cadastrada no registro da aplicação. Isso é uma medida de segurança: o Microsoft Entra ID recusa tokens para URIs não autorizadas, prevenindo ataques de redirecionamento aberto. - O enunciado menciona "mudança de configuração no tenant" sem alterar o registro da aplicação. Isso sugere que algo externo mudou o URL de acesso da aplicação (por exemplo, troca de domínio, mudança de balanceador de carga ou nova porta), gerando uma URI de callback diferente da registrada.
- A alternativa A descreve o erro
AADSTS70008(token expirado), não oAADSTS50011. - A alternativa C descreveria um erro de autenticação de credencial do cliente, com código diferente.
- A alternativa D é tecnicamente inválida: o Microsoft Entra ID não usa endpoints regionais distintos para autenticação.
Gabarito — Questão 5
Resposta: C
Explicar:
- O fluxo do Application Proxy tem dois segmentos independentes: (1) usuário externo para o serviço de nuvem da Microsoft, e (2) o conector on-premises para o servidor interno. O erro 502 Bad Gateway ocorre no segundo segmento: o conector está ativo e alcança a nuvem (confirmado pelo heartbeat), mas falha ao tentar alcançar
app-interno.corp.local. Causas típicas são: resolução DNS interna falhando para esse FQDN, servidor interno fora do ar, ou firewall interno bloqueando a conexão do servidor do conector para o servidor da aplicação. - A alternativa A está errada: a regra de firewall permite saída na porta 443 para
*.msappproxy.net, e o heartbeat ativo confirma que essa comunicação está funcionando. - A alternativa B descreve um cenário real de erro, mas o Application Proxy suporta URLs internas HTTP sem exigir TLS entre conector e servidor interno; o TLS é encerrado no serviço de nuvem.
- A alternativa D é incorreta: o conector não repassa o token do usuário ao servidor interno no modelo padrão sem autenticação delegada (Kerberos Constrained Delegation); a autenticação com o servidor interno é um processo separado.