Citrix SD-WAN WANOP

Office 365-Beschleunigung

  1. Warum analysieren wir das SAN?

    Es ist mühsam, mehrere Profile für FQDNS für jede der Domänen zu erstellen, um dies zu überwinden, analysieren wir das SAN von den Zertifikaten.

  2. Was ist eine Ausschlussliste?

    Wenn der Browser oder die App das Zertifizierungsstellenzertifikat nicht enthält, wird in solchen Fällen die IP-Adresse des Clients nach wenigen Versuchen, eine Verbindung über den Browser oder die App herzustellen (2-3 mal), einer Ausschlussliste hinzugefügt. Beim nächsten Versuch wird die Verbindung nicht SSL-Proxy durchgeführt und die Seite wird ohne Fehler oder Warnung geladen. Die Client-IP-Adresse bleibt 48 Stunden lang in der Ausschlussliste. Die Ausschlussliste wird nur für geteilten Proxy beibehalten.

  3. Wo soll nach Office 365-Beschleunigungsverbindungsinformationen gesucht werden?

    Navigieren Sie zu Überwachung > Verbindungen > Beschleunigte Verbindungen, und prüfen Sie den SSL-Proxystatus. Um Verbindungsdetails zu erhalten, klicken Sie auf das Symbol Details.

    lokalisiertes Bild

  4. Was passiert, wenn die Option Liste ausschließen nicht standardmäßig als Teil der SSL-Profilkonfiguration aktiviert ist?

    Wenn der Browser oder die App das Zertifizierungsstellenzertifikat nicht enthält, wird ein Fehler oder eine Warnung angezeigt, und die Verbindungen von diesem Client oder der App werden blockiert. Um solche Probleme zu vermeiden, wählen Sie Liste ausschließen als Teil der SSL-Profilkonfiguration.

  5. Was passiert, wenn die erforderlichen SANs nicht Teil des konfigurierten/erstellten Proxy-Zertifikats sind?

    Die Verbindungen werden nicht SSL-Proxy durchgeführt und es gibt keine Beschleunigungsvorteile für Nicht-Proxy-SSL-Verbindungen.

  6. Was passiert, wenn der Client nicht Teil der Domäne ist oder wenn der Client nicht über das Stammzertifikat der Domäne verfügt?

    Die Verbindungen werden blockiert, wenn die Ausschlussliste nicht aktiviert ist.

  7. Was passiert, wenn Citrix SD-WAN WANOP im Rechenzentrum keine Stamm- oder Zwischenzertifizierungsstellen aufweist?

    Die Verbindungen werden blockiert oder die Office 365-Anwendungsseiten, für die die fehlenden Stamm- oder Zwischenzertifizierungsstellen erforderlich sind, werden teilweise geladen. Um die Blockierung der Verbindungen aufzuheben oder diese Seiten vollständig zu laden, fügen Sie entweder die entsprechenden Zertifizierungsstellenzertifikate hinzu oder deaktivieren Sie das SSL-Profil für die Beschleunigung.

  8. Wie kann man wissen, welche Clients von der Beschleunigung ausgeschlossen sind?

    Ausgeschlossene Clientinformationen können aus Protokollen oder mithilfe des CLI-Befehls show ssl-exclude -listbekannt sein.

  9. Was tun, wenn Kunden ausgeschlossen sind?

    Standardmäßig werden die Ausschlusslisteninformationen von der Appliance nach 48 Stunden gelöscht. Benutzer können die Ausschlusslisteninformationen zwangsweise mithilfe von CLI-Befehlen löschen*clear ssl-exclude-list -\<all\>/\<Client\_IP\>*.

  10. Wie kann man wissen, für welche SSL-Verbindungen (SNIs) kein Proxy verwendet wird?

    Aus den Protokollen oder mit dem CLI-Befehl show ssl-non-proxied-sni können Sie die Liste der Nicht-Proxy-SNI erfahren.

  11. Wie lösche ich Nicht-Proxy-SNIs?

    Verwenden des CLI-Befehls *clear ssl-non-proxied-sni -\<all\>/\<server name identifier\>*.

  12. Was ist die Standardzeit für Client im Ausschlusszustand?

    Der Client bleibt 48 Stunden lang im Ausschlusszustand.

  13. Können mehrere Profile für eine bestimmte Serviceklasse angewendet werden?

    Ja, wir können Service-Klassen mit mehreren SSL-Profilen anwenden.

    Navigieren Sie dazu auf Ihrer Virtual WAN-Appliance zu Konfiguration > Service Class > Web (Internet-Secure) > Bearbeiten > Bearbeiten (Anwendung) und fügen Sie die verfügbaren Profile hinzu.

  14. Wie überprüfen Sie den Grund für nicht proxierte Verbindungen?

    Überprüfen Sie die TCP-Verbindungsseite. Weitere Informationen finden Sie in den Protokollen. Gehen Sie folgendermaßen vor, um die nicht-proxy Verbindungsprobleme zu debuggen.

    1. Wenn das Protokoll keine gültige Konfiguration anzeigt - Legen Sie die gültige Konfiguration fest. Weitere Informationen zum Konfigurieren der Office 365-Funktion finden Sie unter Office 365-Beschleunigung.

    2. Wenn das Protokoll zeigt, dass die Zertifizierungsüberprüfung fehlgeschlagen ist, fügen Sie der Citrix SD-WAN WANOP-Appliance gültige Zertifizierungsstellenzertifikate hinzu.

    3. wenn im Protokoll Client ausgeschlossen angezeigt wird - Informationen über ausgeschlossene Clients können mithilfe des CLI-Befehls von der Appliance gelöscht werden *clear ssl-exclude-list -\<all\>/\<Client\_IP\>*.

Zusätzliche Hinweise

  • Die Protokollierung auf OneDrive Client zeigt manchmal eine Warnmeldung Fehlwarnung, Dies ist ein bekanntes Problem von Microsoft (https://support.microsoft.com/en-us/kb/3097938) und nicht spezifisch für Citrix SD-WAN WANOP-Appliance.

  • Für die von Office 365 umgeleiteten Seiten wird empfohlen, ein separates Proxy-Zertifikat zu erstellen, das SAN-Liste enthält, die dem Zertifikat der umgeleiteten Seiten entspricht. Erstellen Sie ein anderes Profil mit diesem Proxyzertifikat und wenden Sie sich für die Dienstklasse an. Fügen Sie außerdem die entsprechende Zertifizierungsstelle in der Citrix SD-WAN WANOP-Appliance hinzu.

  • Manchmal zeigt der Browser nicht die richtigen CA-Zertifikate an, in solchen Fällen verwenden Sie Wireshark oder OpenSSL, um die Stamm- und Intermediate-CA-Namen zu erhalten und die Zertifikate von ‘authentischer’ Quelle zu erhalten (zum Beispiel Windows SSL Store).

  • Unterschiede im Browserverhalten können beim Zugriff auf die Office 365-Anwendungen von verschiedenen Browsern beobachtet werden, die keine erforderlichen Zertifikate haben und die Option Liste ausschließen deaktiviert ist.

  • Wenn Office 365-Verbindungen SSL-Proxy (d. h. SSL-Proxy auf True festgelegt) und im Browser Office 365-Zertifikat anstelle des Proxy-Zertifikats angezeigt wird, wird empfohlen, den Browser im kognitiven Modus zu öffnen und das Verhalten zu überprüfen oder den Cache zu löschen und dann das Verhalten erneut zu überprüfen.

  • Microsoft Office 365 umfasst viele Komponenten und Anwendungen wie OneDrive, Outlook, SharePoint, Word, PPT, Excel, OneNote. Alle diese Anwendungen wurden getestet und sind bekannt, dass sie problemlos funktionieren. Es wird erwartet, dass auch andere Anwendungen problemlos funktionieren. Dieser Status kann sich jedoch im Laufe der Zeit ändern und es können unbekannte Probleme auftreten.

Office 365-Beschleunigung