Citrix SD-WAN

Office 365-Optimierung

Die Office 365-Optimierungsfunktionen halten sich an dieMicrosoft Office 365-Netzwerkverbindungsgrundsätze, um Office 365 zu optimieren. Office 365 wird als Service über mehrere Service-Endpunkte (Fronttüren) bereitgestellt, die sich global befinden. Um eine optimale Benutzererfahrung für Office 365-Datenverkehr zu erzielen, empfiehlt Microsoft, Office365-Datenverkehr aus Zweigumgebungen direkt ins Internet umzuleiten und Praktiken wie Backhauling auf einen zentralen Proxy zu vermeiden. Dies liegt daran, dass Office 365-Datenverkehr wie Outlook, Word usw. empfindlich auf Latenz reagieren und Backhauling-Datenverkehr mehr Latenz führt, was zu einer schlechten Benutzererfahrung führt. Mit Citrix SD-WAN können Sie Richtlinien konfigurieren, um Office 365-Datenverkehr zum Internet auszuschalten.

Der Office 365-Datenverkehr wird an den nächsten Office 365-Dienstendpunkt weitergeleitet, der an den Rändern der Microsoft Office 365-Infrastruktur weltweit vorhanden ist. Sobald der Datenverkehr eine Haustür erreicht, geht er über das Microsoft-Netzwerk und erreicht das eigentliche Ziel. Dadurch wird die Latenz minimiert, da die Roundtrip Zeit vom Kundennetzwerk zum Office 365-Endpunkt reduziert wird.

Office 365-Endpunkte

Office 365-Endpunkte sind eine Reihe von Netzwerkadressen und Subnetzen. Endpunkte werden in die folgenden drei Kategorien unterteilt:

  • Optimieren - Diese Endpunkte bieten Konnektivität zu jedem Office 365-Dienst und -Feature und sind empfindlich auf Verfügbarkeit, Leistung und Latenz. Es stellt über 75% der Office 365-Bandbreite, Verbindungen und Datenvolumen dar. Alle Endpunkte optimieren werden in Microsoft-Rechenzentren gehostet. Serviceanforderungen an diese Endpunkte sollten vom Zweig zum Internet ausbrechen und nicht über das Rechenzentrum gehen.

  • Zulassen - Diese Endpunkte bieten nur Verbindungen zu bestimmten Office 365-Diensten und -Features und sind nicht so empfindlich auf Netzwerkleistung und Latenz. Die Darstellung der Office 365-Bandbreite und der Anzahl der Verbindungen ist ebenfalls geringer. Diese Endpunkte werden in Microsoft-Rechenzentren gehostet. Dienstanforderungen an diese Endpunkte können vom Zweig zum Internet ausbrechen oder das Rechenzentrum durchlaufen.

  • Standard - Diese Endpunkte stellen Office 365-Dienste bereit, die keine Optimierung erfordern und als normaler Internetverkehr behandelt werden können. Einige dieser Endpunkte werden möglicherweise nicht in Microsoft-Rechenzentren gehostet. Der Datenverkehr in dieser Kategorie ist nicht anfällig für Latenzschwankungen. Daher führt ein direktes Ausbrechen dieser Art von Datenverkehr zu keiner Leistungssteigerung im Vergleich zum Internetausfall. Darüber hinaus ist der Datenverkehr in dieser Kategorie möglicherweise nicht immer Office 365-Datenverkehr. Daher wird empfohlen, diese Option zu deaktivieren, wenn Office 365-Unterbrechung in Ihrem Netzwerk aktiviert wird.

Funktionsweise der Office 365-Optimierung

Die Microsoft-Endpunktsignaturen werden höchstens einmal täglich aktualisiert. Der Agent auf der Appliance fragt täglich den Citrix Dienst (sdwan-app-routing.citrixnetworkapi.net) ab, um die neuesten Endpunktsignaturen zu erhalten. Die SD-WAN-Appliance fragt den Citrix Dienst (sdwan-app-routing.citrixnetworkapi.net) einmal täglich ab, wenn die Appliance eingeschaltet und Office 365-Optimierung aktiviert ist. Wenn neue Signaturen verfügbar sind, lädt die Appliance sie herunter und speichert sie in der Datenbank. Bei den Signaturen handelt es sich im Wesentlichen um eine Liste von URLs und IPs, die verwendet werden, um Office 365-Datenverkehr basierend auf den Verkehrssteuerungsrichtlinien zu erkennen, die konfiguriert werden können.

Hinweis

Erste Paketerkennung und Klassifizierung von Office 365-Datenverkehr wird nur durchgeführt, wenn das Office 365-Breakout-Feature aktiviert ist.

Wenn eine Anforderung für Office 365-Anwendung eintrifft, führt der Anwendungsklassifikator eine erste Paketklassifikatordatenbanksuche durch, identifiziert und markiert Office 365-Datenverkehr. Sobald der Office 365-Datenverkehr klassifiziert ist, werden die automatisch erstellten Anwendungsroute und Firewallrichtlinien wirksam und unterbricht den Datenverkehr direkt zum Internet. Die Office 365-DNS-Anforderungen werden an bestimmte DNS-Dienste wie Quad9 weitergeleitet. Weitere Informationen finden Sie unter Domänennamensystem.

O365-working

Die Signaturen werden vom Cloud Service (sdwan-app-routing.citrixnetworkapi.net) heruntergeladen.

Konfigurieren von Office 365 - Breakout

Mit der Office 365-Richtlinie können Sie angeben, welche Kategorie von Office 365-Datenverkehr Sie direkt aus dem Zweig ausbrechen können. Beim Aktivieren von Office 365-Unterbrechung und Kompilieren der Konfiguration wird automatisch ein DNS-Objekt, ein Anwendungsobjekt, eine Anwendungsroute und eine Firewallrichtlinienvorlage erstellt und auf Zweigstandorte mit Internetdienst angewendet.

Voraussetzungen

Stellen Sie sicher, dass Sie Folgendes haben:

  1. Um Office 365 Breakout durchzuführen, muss ein Internetdienst auf der Appliance konfiguriert werden. Weitere Informationen zum Konfigurieren des Internetdienstes finden Sie unterInternetzugriff.

  2. Stellen Sie sicher, dass die Verwaltungsschnittstelle über eine Internetverbindung verfügt.

    Sie können die Einstellungen der Verwaltungsschnittstelle mithilfe der Citrix SD-WAN -Webschnittstelle konfigurieren.

  3. Stellen Sie sicher, dass das Management-DNS konfiguriert ist. Um das DNS der Verwaltungsschnittstelle zu konfigurieren, navigieren Sie zu Konfiguration > Einheiteneinstellungen > Netzwerkadapter. Geben Sie im Abschnitt DNS-Einstellungen die Details des primären und sekundären DNS-Servers ein, und klicken Sie auf Einstellungen ändern .

    DNS-Einstellungen

Die Einstellung Office 365 Breakout Policy ist unter globalen Einstellungen verfügbar, wählen Sie die erforderliche Office 365-Kategorie für Internetbreakout aus, und klicken Sie auf Übernehmen .

O365 aktivieren

Nachdem Sie Office 365 konfiguriert haben, brechen Sie Richtlinieneinstellungen aus und kompilieren Sie die Konfiguration. Die folgenden Einstellungen werden automatisch ausgefüllt.

  • DNS-Objekt - Das DNS-Objekt gibt an, welche Art von Datenverkehr an den DNS-Dienst weitergeleitet werden soll, den der Benutzer konfiguriert ist. Die DNS-Anforderungen werden auf allen vertrauenswürdigen Schnittstellen gehört, und DNS-Weiterleitungen sind enthalten, um Office 365-DNS-Anforderungen an den Quad9-Dienst zu leiten. Diese Weiterleitungsregel hat die höchste Priorität. Weitere Informationen finden Sie im Abschnitt Domain Name Service .

  • Anwendungsobjekt - Ein Anwendungsobjekt mit der vom Benutzer ausgewählten Office 365-Kategorie wird erstellt. Wenn Sie die Kategorien Optimieren, Zulassen und Standardkategorien ausgewählt haben, werden die Anwendungsobjekte O365Optimize_InternetBreakout, O365Allow_InternetBreakout und O365Default_InternetBreakout erstellt.

    Anwendungsobjekt

  • Anwendungsroute: Für jedes Office 365-Anwendungsobjekt mit dem Internetdiensttyp wird eine Anwendungsroute erstellt. Anwendungsweg

  • Firewall-Richtlinienvorlage für die Pre-Appliance: Für jede konfigurierte Office 365-Kategorie wird eine globale Richtlinienvorlage für die Pre-Appliance erstellt. Diese Vorlage wird auf alle Zweigwebsites angewendet, die über einen Internetdienst verfügen. Die Richtlinie vor der Appliance hat Vorrang vor lokalen Richtlinienvorlagen und Post-Appliance-Richtlinien.

    Firewall-Anwendungsrichtlinienvorlage

Transparente Weiterleitung für Office 365

Der Zweig bricht für Office 365 beginnt mit einer DNS-Anforderung. Die DNS-Anforderung, die Office 365-Domänen durchläuft, muss lokal gesteuert werden. Wenn Office 365 Internet Breakout aktiviert ist, werden die internen DNS-Routen ermittelt und die Liste der transparenten Weiterleitungen automatisch aufgefüllt. Office 365-DNS-Anforderungen werden standardmäßig an den Open-Source-DNS-Dienst Quad 9 weitergeleitet. Der Quad 9-DNS-Dienst ist sicher, skalierbar und verfügt über Multi-Pop-Präsenz. Sie können den DNS-Dienst bei Bedarf ändern.

Transparente Weiterleitungen für Office 365-Anwendungen werden in jeder Zweigstelle erstellt, in der Internetdienst und Office 365-Breakout aktiviert sind.

Wenn Sie einen anderen DNS-Proxy verwenden oder SD-WAN als DNS-Proxy konfiguriert ist, wird die Weiterleitungsliste automatisch mit Weiterleitungen für Office 365-Anwendungen gefüllt.

Transparenter Forwarder

Überwachen

Sie können die Office 365-Anwendungsstatistiken in den folgenden SD-WAN-Statistikberichten überwachen:

  • Firewall-Statistiken

    Firewall-Statistiken

  • Strömungen

    Strömungen

  • DNS-Statistiken

    DNS-Statistiken

  • Anwendungs-Routenstatistiken

    Statistik der Anwendungsroute

Sie können Office 365-Anwendungsstatistiken auch im SD-WAN Center-Anwendungsbericht anzeigen.

Anwendungsbericht

Problembehandlung

Sie können den Dienstfehler im Abschnitt Ereignisse der SD-WAN-Appliance anzeigen.

Um die Fehler zu überprüfen, navigieren Sie zu Konfiguration > Systemwartung > Diagnose, und klicken Sie auf die Registerkarte Ereignisse.

Ereignis

Wenn bei der Verbindung mit dem Citrix Dienst ein Problem auftritt (sdwan-app-routing.citrixnetworkapi.net), wird die Fehlermeldung in der Tabelle Ereignisse anzeigen angezeigt.

Veranstaltungen anzeigen

Die Verbindungsfehler werden auch in SDWAN_DPI.log protokolliert. Um das Protokoll anzuzeigen, navigieren Sie zu Konfiguration > Appliance-Einstellungen > Logging/Überwachung > Log-Optionen. Wählen Sie SDWAN_DPI.log aus der Dropdown-Liste aus, und klicken Sie auf Protokoll anzeigen.

Sie können die Protokolldatei auch herunterladen. Um die Protokolldatei herunterzuladen, wählen Sie die erforderliche Protokolldatei aus der Dropdown-Liste unter dem Abschnitt Protokolldatei herunterladen aus und klicken Sie auf Protokoll herunterladen .

Protokoll herunterladen

Einschränkungen

  • Wenn Office 365-Breakout-Richtlinie konfiguriert ist, wird keine Deep Packet Inspection für Verbindungen durchgeführt, die für die konfigurierte Kategorie von IP-Adressen bestimmt sind.
  • Die automatisch erstellte Firewallrichtlinie und die Anwendungsrouten können nicht bearbeitet werden.
  • Die automatisch erstellte Firewallrichtlinie hat die niedrigste Priorität und kann nicht bearbeitet werden.
  • Die Routenkosten für die automatisch erstellte Anwendungsroute betragen fünf. Sie können es mit einer kostengünstigeren Route überschreiben.

Office 365-Beacon-Dienst

Microsoft bietet Office 365-Beacon-Dienst an, um die Erreichbarkeit von Office 365 über die WAN-Verbindungen zu messen. Der Beacon-Dienst ist im Grunde eine URL - sdwan.measure.office.com/apc/trans.gif, die in regelmäßigen Abständen untersucht wird. Die Untersuchung erfolgt auf jeder Appliance für jede internetfähige WAN-Verbindung. Bei jedem Prüfpunkt wird eine HTTP-Anforderung an den Beacon-Dienst gesendet und eine HTTP-Antwort erwartet. Die HTTP-Antwort bestätigt die Verfügbarkeit und Erreichbarkeit des Office 365-Dienstes.

Mit Citrix SD-WAN können Sie nicht nur Beacon-Probing durchführen, sondern auch die Latenz bestimmen, mit der Office 365-Endpunkte über jede WAN-Verbindung erreicht werden. Die Latenz ist die Roundtrip-Zeit, die zum Senden einer Anfrage und zum Abrufen einer Antwort vom Office 365-Beacon-Dienst über eine WAN-Verbindung verwendet wird. Auf diese Weise können Netzwerkadministratoren den Bericht zur Beacon-Service-Latenz anzeigen und den besten Internetlink für den direkten Office 365-Breakout manuell auswählen. Die Beacon-Sondierung ist nur über SD-WAN Orchestrator aktiviert. Standardmäßig ist das Beacon-Probing für alle im Internet aktivierten WAN-Verbindungen aktiviert, wenn Office 365-Breakout über Orchestrator aktiviert ist.

Hinweis

Office 365-Beacon-Probing ist für getaktete Links nicht aktiviert.

Sie können Office 365-Beacon-Probing deaktivieren und Latenzberichte im SD-WAN Orchestrator anzeigen. Weitere Informationen finden Sie unter Office 365-Optimierung.

Um den Office 365 Beacon-Dienst zu deaktivieren, navigieren Sie in SD-WAN Orchestrator auf Netzwerkebene zu Konfiguration > Routing > Routing Policies > O365 Network Optimization Settings und deaktivieren Sie Enable Beacon Service.

Beacon-Dienst aktivieren

Um die Beacon-Sondierungs- und Latenzberichte in SD-WAN Orchestrator auf Netzwerkebene anzuzeigen, navigieren Sie zu Berichte > O365-Metriken.

Bericht zum Beacon-Dienst auf Netzwerkebene

Um einen detaillierten Bericht auf Site-Ebene des Beacon-Service in SD-WAN Orchestrator auf Standortebene anzuzeigen, navigieren Sie zu Berichte > O365-Metriken.

Beacon-Service-Bericht auf Siteebene

Office 365-Optimierung