Citrix SD-WAN Orchestrator

Office 365-Optimierung

Die Office 365-Optimierungsfunktionen entsprechen den Microsoft Office 365-Netzwerkkonnektivitätsprinzipien, um Office 365 zu optimieren. Office 365 wird als Service über mehrere Service-Endpunkte (Fronttüren) bereitgestellt, die sich global befinden.

Um eine optimale Benutzererfahrung für den Office 365-Datenverkehr zu erzielen, empfiehlt Microsoft, Office365-Datenverkehr von Zweigstellenumgebungen direkt auf das Internet umzuleiten. Vermeiden Sie Praktiken wie Backhauling zu einem zentralen Proxy. Office 365-Datenverkehr wie Outlook, Word reagiert empfindlich auf Latenz und Backhauling-Verkehr führt zu mehr Latenz, was zu einer schlechten Benutzererfahrung führt. Mit Citrix SD-WAN können Sie Richtlinien konfigurieren, um Office 365-Datenverkehr zum Internet auszuschalten.

Der Office 365-Verkehr wird zum nächstgelegenen Office 365-Dienstendpunkt geleitet, der an den Rändern der Microsoft Office 365-Infrastruktur weltweit existiert. Sobald der Verkehr eine Haustür erreicht, geht er über das Microsoft-Netzwerk und erreicht das eigentliche Ziel. Es minimiert die Latenz, da die Roundtrip-Zeit vom Kundennetzwerk zum Office 365-Endpunkt reduziert wird.

Funktionsweise der Office 365-Optimierung

Die Microsoft-Endpunktsignaturen werden höchstens einmal täglich aktualisiert. Der Agent auf der Appliance fragt täglich den Citrix Dienst (sdwan-app-routing.citrixnetworkapi.net) ab, um die neuesten Endpunktsignaturen zu erhalten. Die SD-WAN-Appliance fragt den Citrix Dienst (sdwan-app-routing.citrixnetworkapi.net) einmal täglich ab, wenn die Appliance eingeschaltet ist.

Wenn neue Signaturen verfügbar sind, lädt die Appliance sie herunter und speichert sie in der Datenbank. Bei den Signaturen handelt es sich im Wesentlichen um eine Liste von URLs und IPs, die verwendet werden, um Office 365-Datenverkehr basierend auf den Verkehrssteuerungsrichtlinien zu erkennen, die konfiguriert werden können.

Hinweis

Mit Ausnahme der Kategorie Office 365 Default wird standardmäßig die erste Paketerkennung und -klassifizierung des Office 365-Datenverkehrs durchgeführt, unabhängig davon, ob die Office 365-Breakout-Funktion aktiviert ist oder nicht.

Wenn eine Anforderung für die Office 365-Anwendung eintrifft, führt der Anwendungsklassifizierer eine erste Paketklassifizierungsdatenbank durch, identifiziert und markiert den Office-365-Datenverkehr. Sobald der Office 365-Datenverkehr klassifiziert ist, werden die automatisch erstellten Anwendungsroute und Firewallrichtlinien wirksam und unterbricht den Datenverkehr direkt zum Internet. Die Office 365-DNS-Anforderungen werden an bestimmte DNS-Dienste wie Quad9 weitergeleitet.

O365-working

Die Signaturen werden vom Cloud Service (sdwan-app-routing.citrixnetworkapi.net) heruntergeladen.

Konfigurieren von Office 365 - Breakout

Mit der Office 365-Richtlinie können Sie angeben, welche Kategorie von Office 365-Datenverkehr Sie direkt aus dem Zweig ausbrechen können. Beim Aktivieren des Office 365-Breakouts und der Kompilierung der Konfiguration wird ein DNS-Objekt, ein Anwendungsobjekt, eine Anwendungsroute und eine Firewall-Richtlinienvorlage automatisch erstellt und mit dem Internetdienst auf Zweigstellen angewendet.

Voraussetzungen

Stellen Sie sicher, dass Sie Folgendes haben:

  1. Um Office 365 Breakout durchzuführen, muss ein Internetdienst auf der Appliance konfiguriert werden.

  2. Stellen Sie sicher, dass die Verwaltungsschnittstelle über eine Internetverbindung verfügt.

  3. Stellen Sie sicher, dass das Management-DNS konfiguriert ist.

Im Citrix SD-WAN Orchestrator Service verfügt standardmäßig jedes Netzwerk über die Office 365-Regel unter Anwendungsgruppe. Um zu navigieren, gehen Sie zu Netzwerkkonfiguration > Routing > Routing-Richtlinien > Anwendungsrouten.

O365

Sie können die Regel nicht löschen, können aber die Einstellungen nach Bedarf konfigurieren.

O365-Detail

Klicken Sie auf die Office 365-Regel, um die Standardeinstellungen Match Type, Anwendungsgruppe, Bereitstellungsdienste usw. anzuzeigen. Sie können diese Standardeinstellungen nicht ändern.

Office 365-Endpunkte sind eine Reihe von Netzwerkadressen und Subnetzen. Ab Citrix SD-WAN 11.4.0 werden Office 365-Endpunkte in die Kategorien Optimize, Allow und Default eingeteilt. Citrix SD-WAN bietet eine detailliertere Klassifizierung der Kategorien Optimize und Allow und ermöglicht so selektive Einrahmung, um die Leistung von netzwerksensitivem Office 365-Datenverkehr zu verbessern. Die Weiterleitung von netzwerksensitivem Datenverkehr zu SD-WAN in der Cloud (Cloud Direct oder ein SD-WAN VPX auf Azure) oder von einem SD-WAN-Gerät zu einem SD-WAN an einem nahe gelegenen Ort mit zuverlässigerer Internetkonnektivität ermöglicht QoS und eine überlegene Verbindungsresilienz im Vergleich zur einfachen Steuerung des Datenverkehrs auf den nächsten Office 365 Haustür, auf Kosten einer Erhöhung der Latenz. Eine eingerahmte SD-WAN-Lösung mit QoS reduziert VoIP-Ausfälle und Verbindungsabbrüche, reduziert Jitter und verbessert die durchschnittlichen Meinungswerte zur Medienqualität für Microsoft Teams. Endpunkte werden in die folgenden drei Kategorien unterteilt:

  • Optimize - Diese Endpunkte bieten Konnektivität zu jedem Office 365-Dienst und -Feature und sind empfindlich auf Verfügbarkeit, Leistung und Latenz. Es stellt über 75% der Office 365-Bandbreite, Verbindungen und Datenvolumen dar. Alle Endpunkte optimieren werden in Microsoft-Rechenzentren gehostet. Serviceanfragen an diese Endpunkte müssen ein Breakout von der Zweigstelle zum Internet verwenden und dürfen nicht über das Rechenzentrum gehen.

    Die Kategorie Optimize ist in die folgenden Unterkategorien unterteilt:

    • Microsoft Teams in Echtzeit
    • Exchange Online
    • SharePoint Optimize
  • Allow - Diese Endpunkte bieten nur Verbindungen zu bestimmten Office 365-Diensten und -Features und sind nicht so empfindlich auf Netzwerkleistung und Latenz. Die Darstellung der Office 365-Bandbreite und der Anzahl der Verbindungen ist ebenfalls geringer. Diese Endpunkte werden in Microsoft-Rechenzentren gehostet. Serviceanfragen an diese Endpunkte können ein Breakout von der Zweigstelle zum Internet verwenden oder durch das Rechenzentrum gehen.

    Die Kategorie Allow ist in die folgenden Unterkategorien unterteilt:

    • Teams TCP Fallback
    • Exchange Mail
    • SharePoint Allow
    • O365 Common

    HINWEIS

    Die Unterkategorie Teams Realtime verwendet das UDP-Echtzeit-Transportprotokoll, um den Microsoft Teams-Datenverkehr zu verwalten, während die Unterkategorie Teams TCP Fallback das TCP-Transportschicht-Protokoll verwendet. Da der Medienverkehr sehr latenzempfindlich ist, bevorzugen Sie möglicherweise, dass dieser Datenverkehr den direktesten Weg einschlägt und UDP anstelle von TCP als Transportschichtprotokoll verwendet (am meisten bevorzugter Transport für interaktive Echtzeitmedien in Bezug auf Qualität). Während UDP ein bevorzugtes Protokoll für den Medienverkehr von Teams ist, müssen bestimmte Ports in der Firewall zugelassen werden. Wenn die Ports nicht erlaubt sind, verwendet der Teams-Datenverkehr TCP als Fallback, und die Aktivierung der Optimierung für Teams TCP Fallback gewährleistet eine bessere Bereitstellung der Teams-Anwendung in diesem Szenario. Weitere Informationen finden Sie unter Microsoft Teams-Callflows.

  • Default - Diese Endpunkte stellen Office 365-Dienste bereit, die keine Optimierung erfordern und als normaler Internetverkehr behandelt werden können. Einige dieser Endpunkte werden möglicherweise nicht in Microsoft-Rechenzentren gehostet. Der Datenverkehr in dieser Kategorie ist nicht anfällig für Latenzschwankungen. Daher führt ein direktes Ausbrechen dieser Art von Datenverkehr zu keiner Leistungssteigerung im Vergleich zum Internetausfall. Darüber hinaus ist der Datenverkehr in dieser Kategorie möglicherweise nicht immer Office 365-Datenverkehr, daher wird empfohlen, diese Option zu deaktivieren, wenn Sie das Office 365-Breakout in Ihrem Netzwerk aktivieren.

    HINWEIS

    Standardmäßig sind die Optionen der Kategorie Standard und der Unterkategorien Optimieren und Zulassen deaktiviert. Sie können diese Einstellungen nicht löschen, können aber bei Bedarf aktiviert werden.

  • Beacon-Dienst aktivieren — Mit Citrix SD-WAN können Sie Beacon-Tests durchführen und die Latenz bestimmen, um Office 365-Endpunkte über jede WAN-Verbindung zu erreichen. Office 365 Beacon-Dienste sind standardmäßig aktiviert. Sie können es deaktivieren, indem Sie diese Option deaktivieren. Weitere Informationen finden Sie unter Office 365 Beacon-Dienst.

  • Intelligente Pfadauswahl für O365 aktivieren — Mit Citrix SD-WAN können Sie die beste verfügbare WAN-Verbindung für die Verwaltung des Office 365-Datenverkehrs auswählen. Wenn beispielsweise 2 WAN-Verbindungen für einen Internetdienst konfiguriert sind, von denen eine WAN-Verbindung eine höhere Latenz und die andere WAN-Verbindung eine geringere Latenz aufweist, würde durch Aktivieren der intelligenten Pfadauswahl die WAN-Verbindung mit der niedrigsten bereitgestellten Latenz ausgewählt werden, die Sonden von der WAN-Verbindung sind nicht verlustbehaftet.

    Sie können Details zu den WAN-Links mit der geringsten Latenz und die Gesamtzahl der bei O365 Metricsgetroffenen Entscheidungen anzeigen.

Hinweis

Wenn Tests verlustbehaftet sind, verwendet Citrix SD-WAN die standardmäßige Internet-Lastausgleichslogik, um die beste WAN-Verbindung auszuwählen, obwohl die intelligente Pfadauswahl aktiviert ist.

Transparente Weiterleitung für Office 365

Der Zweig bricht für Office 365 aus, beginnt mit einer DNS-Anfrage. Die DNS-Anfrage, die Office 365-Domänen durchläuft, muss lokal gesteuert werden. Wenn Office 365-Internet-Break Out aktiviert ist, werden die internen DNS-Routen ermittelt und die Liste der transparenten Weiterleitungen automatisch ausgefüllt. Office 365-DNS-Anfragen werden standardmäßig an den Open Source DNS-Dienst Quad 9 weitergeleitet. Der Quad 9 DNS-Dienst ist sicher, skalierbar und verfügt über Multi-Pop-Präsenz. Sie können den DNS-Dienst bei Bedarf ändern.

Transparente Weiterleitungen für Office 365-Anwendungen werden in jeder Zweigstelle erstellt, in der Internetdienst und Office 365-Breakout aktiviert sind.

Wenn Sie einen anderen DNS-Proxy verwenden oder SD-WAN als DNS-Proxy konfiguriert ist, wird die Weiterleitungsliste automatisch mit Weiterleitungen für Office 365-Anwendungen gefüllt.

Wichtige Überlegungen für das Upgrade

Die Kategorien Optimize und Allow

Wenn Sie die Internet-Breakout-Richtlinie für die Kategorien Optimize und Allow von Office 365 aktiviert haben, aktiviert Citrix SD-WAN automatisch die Internet-Breakout-Richtlinie für die entsprechenden Unterkategorien beim Upgrade auf Citrix SD-WAN 11.4.0.

Wenn Sie auf eine Softwareversion herabstufen, die älter als Citrix SD-WAN 11.4.0 ist, müssen Sie den Internet-Breakout für die Kategorie Optimize oder Allow Office 365 manuell aktivieren, unabhängig davon, ob Sie die entsprechenden Unterkategorien in der Citrix SD-WAN 11.4.0 Version aktiviert haben oder nicht.

Office 365-Anwendungsobjekten

Wenn Sie Regeln/Routen mit den automatisch generierten Anwendungsobjekten O365Optimize_InternetBreakout und O365Allow_InternetBreakout erstellt haben, löschen Sie die Regeln/Routen, bevor Sie auf Citrix SD-WAN 11.4.0 aktualisieren. Nach dem Upgrade können Sie Regeln/Routen mit den entsprechenden neuen Anwendungsobjekten erstellen.

Wenn Sie mit dem Citrix SD-WAN 11.4.0-Upgrade fortfahren, ohne die Regeln/Routen zu löschen, wird ein Fehler angezeigt, und daher wird das Upgrade nicht erfolgreich. Im folgenden Beispiel hat ein Benutzer ein Application QoE-Profil konfiguriert und zeigt einen Fehler beim Versuch, auf Citrix SD-WAN 11.4.0 zu aktualisieren, ohne die Regeln/Routen zu löschen:

Beispielfehler während des Upgrades

Hinweis

Dieses Upgrade ist für automatisch erstellte Regeln/Routen nicht erforderlich. Sie gilt nur für Regele/Routen, die Sie erstellt haben.

DNS

Wenn Sie DNS-Proxy-Regeln oder transparente DNS-Forwarder-Regeln mit den Anwendungen Office 365 Optimize und Office 365 Allow erstellt haben, müssen Sie die Regeln vor dem Upgrade auf Citrix SD-WAN 11.4.0 löschen. Nach dem Upgrade können Sie die Regeln erneut mit den entsprechenden neuen Anwendungen erstellen.

Wenn Sie mit dem Citrix SD-WAN 11.4.0-Upgrade fortfahren, ohne die alten DNS-Proxy- oder transparenten Forwarder-Regeln zu löschen, wird kein Fehler angezeigt und das Upgrade wird ebenfalls erfolgreich. Die DNS-Proxy-Regeln und transparenten Weiterleitungsregeln werden in Citrix SD-WAN 11.4.0 jedoch nicht wirksam.

Hinweis

Diese Aktivität gilt nicht für die automatisch erstellten DNS-Regeln. Sie gilt nur für DNS-Regeln, die Sie erstellt haben.

Einschränkungen

  • Wenn die Office 365-Breakout-Richtlinie konfiguriert ist, wird Deep Packet Inspection nicht für Verbindungen durchgeführt, die für die konfigurierte Kategorie von IP-Adressen bestimmt sind.
  • Die automatisch erstellte Firewallrichtlinie und die Anwendungsrouten können nicht bearbeitet werden.
  • Die automatisch erstellte Firewall-Richtlinie hat die niedrigste Priorität und ist nicht editierbar.
  • Die Routenkosten für die automatisch erstellte Anwendungsroute betragen fünf. Sie können es mit einer kostengünstigeren Route überschreiben.

Office 365-Beacon-Dienst

Microsoft bietet den Office 365-Beacon-Dienst an, um die Office 365-Erreichbarkeit über die WAN-Verbindungen zu messen. Der Beacon-Dienst ist im Grunde eine URL - sdwan.measure.office.com/apc/trans.gif, die in regelmäßigen Abständen untersucht wird. Die Untersuchung erfolgt auf jeder Appliance für jede internetfähige WAN-Verbindung. Bei jedem Prüfpunkt wird eine HTTP-Anforderung an den Beacon-Dienst gesendet und eine HTTP-Antwort erwartet. Die HTTP-Antwort bestätigt die Verfügbarkeit und Erreichbarkeit des Office 365-Dienstes.

Mit Citrix SD-WAN können Sie nicht nur Beacon-Probing durchführen, sondern auch die Latenz bestimmen, mit der Office 365-Endpunkte über jede WAN-Verbindung erreicht werden. Die Latenz ist die Roundtrip-Zeit, die zum Senden einer Anfrage und zum Abrufen einer Antwort vom Office 365-Beacon-Dienst über eine WAN-Verbindung verwendet wird. Auf diese Weise können Netzwerkadministratoren den Bericht zur Beacon-Service-Latenz anzeigen und den besten Internetlink für den direkten Office 365-Breakout manuell auswählen. Das Beacon-Sondieren ist nur über Citrix SD-WAN Orchestrator aktiviert. Standardmäßig ist das Beacon-Sondieren für alle internetfähigen WAN-Verbindungen aktiviert, wenn der Office 365-Ausbruch über Citrix SD-WAN Orchestrator aktiviert ist.

Hinweis

Office 365-Beacon-Probing ist für getaktete Links nicht aktiviert.

Um den Office 365 Beacon-Dienst zu deaktivieren, navigieren Sie in SD-WAN Orchestrator auf Netzwerkebene zu Konfiguration > Routing > Routing-Richtlinien > O365 Network Optimization Settings und deaktivieren Sie Enable Beacon Service.

Beacon-Dienst aktivieren

Um die Beacon-Sondierungs- und Latenzberichte in Citrix SD-WAN Orchestrator auf Netzwerkebene anzuzeigen, navigieren Sie zu Berichte > O365-Metriken.

Bericht zum Beacon-Dienst auf Netzwerkebene

Um einen detaillierten Bericht auf Site-Ebene des Beacon-Service in SD-WAN Orchestrator auf Standortebene anzuzeigen, navigieren Sie zu Berichte > O365-Metriken.

Beacon-Service-Bericht auf Siteebene

Office 365-Optimierung