Citrix SD-WAN

Office 365 の最適化

Office 365 最適化 機能は、Office 365 を最適化するためにMicrosoft Office 365 のネットワーク接続原則に準拠しています。Office 365 は、グローバルに配置された複数のサービスエンドポイント (フロントドア) を通じてサービスとして提供されます。Office 365 トラフィックの最適なユーザーエクスペリエンスを実現するために、Microsoft では、Office 365 トラフィックをブランチ環境から直接インターネットにリダイレクトし、中央プロキシへのバックホールなどのプラクティスを回避することをお勧めします。これは、Outlook や Word などの Office 365 トラフィックが遅延の影響を受けやすく、バックホートラフィックの遅延が大きくなり、ユーザーエクスペリエンスが低下するためです。Citrix SD-WANを使用すると、インターネットへのOffice 365トラフィックを突破するポリシーを構成できます。

Office 365 トラフィックは、世界中の Microsoft Office 365 インフラストラクチャのエッジに存在する最も近い Office 365 サービスエンドポイントに送信されます。トラフィックがフロントドアに到達すると、それはMicrosoftのネットワークを経由し、実際の宛先に到達します。これにより、お客様のネットワークから Office 365 エンドポイントへの往復時間が短縮されるにつれて、待ち時間が最小限に抑えられます。

Office 365 エンドポイント

Office 365 エンドポイントは、ネットワークアドレスとサブネットのセットです。エンドポイントは、次の 3 つのカテゴリに分類されます。

  • 最適化 -これらのエンドポイントは、すべての Office 365 サービスおよび機能への接続を提供し、可用性、パフォーマンス、待機時間に影響されます。Office 365 の帯域幅、接続、データ量の 75% 以上を占めています。すべての Optimize エンドポイントは、Microsoft データセンターでホストされます。これらのエンドポイントへのサービスリクエストは、ブランチからインターネットにブレークアウトし、データセンターを通過しないようにする必要があります。

  • 許可 -これらのエンドポイントは、特定の Office 365 サービスおよび機能への接続のみを提供し、ネットワークのパフォーマンスと待ち時間に対してそれほど影響を受けません。Office 365 の帯域幅と接続数の表現も低くなります。これらのエンドポイントは、Microsoft データセンターでホストされます。これらのエンドポイントへのサービスリクエストは、ブランチからインターネットにブレークアウトしたり、データセンターを経由したりする場合があります。

  • 既定値 -これらのエンドポイントは、最適化を必要としない Office 365 サービスを提供し、通常のインターネットトラフィックとして扱うことができます。これらのエンドポイントの一部は、Microsoft データセンターでホストされていない可能性があります。このカテゴリのトラフィックは、遅延の変化の影響を受けません。したがって、このタイプのトラフィックを直接遮断しても、インターネットのブレイクアウトと比較してパフォーマンスが向上することはありません。また、このカテゴリのトラフィックが常に Office 365 トラフィックであるとは限りません。したがって、ネットワークで Office 365 ブレイクアウトを有効にする場合は、このオプションを無効にすることをお勧めします。

Office 365 の最適化の仕組み

Microsoft エンドポイントの署名は最大で 1 日に 1 回更新されます。アプライアンス上のエージェントは、毎日Citrixサービス(sdwan-app-routing.citrixnetworkapi.net)をポーリングして、最新のエンドポイント署名のセットを取得します。SD-WANアプライアンスは、アプライアンスの電源がオンになり、Office 365の最適化が有効になっているときに、Citrixサービス(sdwan-app-routing.citrixnetworkapi.net)を毎日1回ポーリングします。使用可能な新しいシグニチャがある場合、アプライアンスはそのシグニチャをダウンロードし、データベースに保存します。シグニチャは、基本的に、どのトラフィックステアリングポリシーを構成できるかに基づいて Office 365 トラフィックを検出するために使用される URL と IP のリストです。

Office 365 トラフィックの最初のパケット検出と分類は、Office 365 ブレークアウト機能が有効な場合にのみ実行されます。

Office 365 アプリケーションの要求が到着すると、アプリケーション分類子は、最初のパケット分類子のデータベース検索を実行し、Office 365 トラフィックを識別し、マークします。Office 365 トラフィックが分類されると、自動作成されたアプリケーションルートとファイアウォールポリシーが有効になり、インターネットに直接トラフィックが遮断されます。Office 365 の DNS 要求は、Quad9 などの特定の DNS サービスに転送されます。詳細については、「 ドメインネームシステム」を参照してください

O365-working

署名は、クラウドサービス(sdwan-app-routing.citrixnetworkapi.net)からダウンロードされます。

Office 365 ブレークアウトを構成する

Office 365 ブレイクアウトポリシーでは、ブランチから直接抜け出すことができる Office 365 トラフィックのカテゴリを指定できます。Office 365 ブレークアウトを有効にして構成をコンパイルすると、DNS オブジェクト、アプリケーションオブジェクト、アプリケーションルート、およびファイアウォールポリシーテンプレートが自動的に作成され、インターネットサービスを持つブランチサイトに適用されます。

前提条件

次の項目があることを確認します。

  1. Office 365 のブレイクアウトを実行するには、アプライアンスでインターネットサービスを構成する必要があります。インターネットサービスの構成の詳細については、「 インターネットアクセス」を参照してください

  2. 管理インターフェイスにインターネット接続があることを確認します。

Citrix SD-WAN Webインターフェイスを使用して、管理インターフェイスの設定を構成できます。

  1. 管理 DNS が設定されていることを確認します。管理インターフェースDNSを構成するには、[ 構成]>[アプライアンスの設定]>[ネットワークアダプタ]に移動します。[ DNS 設定]セクションで、プライマリおよびセカンダリの DNS サーバーの詳細を入力し、[設定の 変更] をクリックします

DNS 設定

[ Office 365 ブレイクアウトポリシー]設定は、グローバル設定で使用できます。インターネットブレイクアウトに必要な Office 365 カテゴリを選択し、[ 適用] をクリックします

O365を有効にする

Office 365 を構成した後、ポリシー設定をブレークアウトし、構成をコンパイルします。次の設定は自動入力されます。

  • DNS オブジェクト -DNS オブジェクトは、ユーザーが構成されている DNS サービスに転送するトラフィックの種類を指定します。DNS 要求はすべての信頼されたインターフェイスで受信され、DNS フォワーダーは Office 365 の DNS 要求を Quad9 サービスに送信するために含まれます。このフォワーダ規則は、最も高い優先順位を取ります。詳細については、「 ドメインネームサービス」 セクションを参照してください。

  • アプリケーションオブジェクト -ユーザーが選択した Office 365 カテゴリを持つアプリケーションオブジェクトが作成されます。最適化、許可、デフォルト・カテゴリを選択した場合は、アプリケーション・オブジェクト O365Optimize_InternetBreakout、O365allow_InternetBreakoutO365Default_InternetBreakout が作成されます。

    アプリケーションオブジェクト

  • アプリケーションルート: インターネットサービスの種類の Office 365 アプリケーションオブジェクトごとに、アプリケーションルートが作成されます。アプリケーションルート

  • ファイアウォールプレアプライアンスポリシーテンプレート: 構成済みの Office 365 カテゴリごとに、グローバルプレアプライアンスポリシーテンプレートが作成されます。このテンプレートは、インターネットサービスを持つすべてのブランチサイトに適用されます。アプライアンスの前ポリシーは、ローカルおよびアプライアンスの後ポリシーテンプレートよりも優先されます。

    ファイアウォールアプリケーションポリシーテンプレート

Office 365 の透過的なフォワーダー

Office 365 のブランチは、DNS 要求から始まります。Office 365 ドメインを経由する DNS 要求は、ローカルで操作する必要があります。Office 365 のインターネットブレークアウトを有効にすると、内部 DNS ルートが決定され、透過フォワーダーリストが自動的に設定されます。Office 365 の DNS 要求は、既定でオープンソースの DNS サービス Quad 9 に転送されます。Quad 9 DNSサービスは、安全でスケーラブルで、マルチポップな存在感を持っています。必要に応じて DNS サービスを変更できます。

Office 365 アプリケーション用の透過的なフォワーダーは、インターネットサービスと Office 365 ブレイクアウトが有効になっているすべてのブランチで作成されます。

別の DNS プロキシを使用している場合、または SD-WAN が DNS プロキシとして構成されている場合、Office 365 アプリケーションのフォワーダーがフォワーダー一覧に自動的に入力されます。

透過フォワーダ

監視

Office 365 アプリケーションの統計情報は、次の SD-WAN 統計レポートで監視できます。

  • ファイアウォールの統計情報

    ファイアウォールの統計情報

  • フロー

    フロー

  • DNS 統計情報

    DNS 統計情報

  • アプリケーションルート統計情報

    アプリケーションルート統計情報

SD-WAN Centerアプリケーションレポートで Office 365 アプリケーションの統計情報を表示することもできます。

アプリケーションレポート

トラブルシューティング

サービスエラーは、SD-WAN アプライアンスの** [ **Events] セクションで確認できます。

エラーを確認するには、[ 構成] > [システムメンテナンス] > [診断] に移動し、[ イベント ] タブをクリックします。

イベント

Citrixサービスへの接続に問題がある場合(sdwan-app-routing.citrixnetworkapi.net)、エラーメッセージは「イベントの 表示」 テーブルに表示されます。

イベントの表示

接続エラーは SDWAN_dpi.log にも記録されます。ログを表示するには、[ 構成]>[アプライアンスの設定]>[ログ/監視]>[ログオプション]に移動します。ドロップダウンリストからSDWAN_dpi.log を選択し、[ ログの表示] をクリックします

ログファイルをダウンロードすることもできます。ログファイルをダウンロードするには、[ログファイルのダウンロード]セクションの下のドロップダウンリストから必要なログファイルを選択し、[ログの **ダウンロード] をクリックします。 **

ログのダウンロード

制限事項

  • Office 365 のブレークアウトポリシーが構成されている場合、構成された IP アドレスのカテゴリ宛ての接続では、ディープパケットインスペクションは実行されません。
  • 自動作成されたファイアウォールポリシーとアプリケーションルートは編集できません。
  • 自動作成されたファイアウォールポリシーの優先順位が最も低く、編集できません。
  • 自動作成されたアプリケーションルートのルートコストは 5 です。このルートは、低コストのルートで上書きできます。

Office 365 ビーコンサービス

Microsoftは、Office 365 ビーコンサービスを提供し、WAN リンクを介して Office 365 の到達可能性を測定します。ビーコンサービスは、基本的にURLです-sdwan.measure.office.com/apc/trans.gifは、定期的にプローブされます。プローブは、インターネット対応のすべてのWANリンクについて、各アプライアンス上で実行されます。プローブごとに HTTP 要求がビーコンサービスに送信され、HTTP 応答が予期されます。HTTP 応答は、Office 365 サービスの可用性と到達可能性を確認します。

Citrix SD-WANを使用すると、ビーコンプロービングを実行できるだけでなく、各WANリンクを介してOffice 365エンドポイントに到達するレイテンシーも決定できます。待機時間は、WAN リンクを介して Office 365 ビーコンサービスから要求を送信し、応答を取得するのにかかるラウンドトリップ時間です。これにより、ネットワーク管理者は、ビーコンサービスの待ち時間レポートを表示し、Office 365 の直接ブレイクアウトに最適なインターネットリンクを手動で選択できます。ビーコンプローブは、SD-WAN Orchestrator を介してのみ有効になります。既定では、Office 365 ブレークアウトが Orchestrator を介して有効になっている場合、インターネット対応のすべての WAN リンクでビーコンプローブが有効になります。

従量制課金リンクでは、Office 365 ビーコンプローブが有効になっていません。

Office 365 ビーコンプロービングを無効にし、SD-WAN Orchestrator で遅延レポートを表示するように選択できます。詳細については、「 Office 365 の最適化」を参照してください

Office 365 ビーコンサービスを無効にするには、SD-WAN Orchestrator で、ネットワークレベルで[ 構成] >[ルーティング]>[ ルーティングポリシー ] > [ O365 ネットワーク最適化設定] に移動し、ビーコン・サービスを有効をオフにします。

ビーコン・サービスの有効化

ビーコンのプローブ可用性レポートと遅延レポートを表示するには、SD-WAN Orchestrator で、ネットワークレベルで[ **レポート] > [ **O365 メトリック] に移動します

ネットワーク・レベルのビーコン・サービス・レポート

ビーコンサービスの詳細なサイト・レベル・レポートを表示するには、SD-WAN Orchestratorで、サイト・レベルで「 レポート」 >「 O365メトリック」に移動します

サイト・レベルのビーコン・サービス・レポート

Office 365 の最適化