Citrix SD-WAN WANOP

Office 365-Beschleunigung

  1. Warum analysieren wir das SAN?

    Es ist mühsam, mehrere Profile für FQDNS für jede der Domänen zu erstellen, um dies zu überwinden, analysieren wir das SAN von den Zertifikaten.

  2. Was ist eine Ausschlussliste?

    Eine Fehler- oder Warnmeldung wird angezeigt Wenn der Browser oder die App das CA-Zertifikat nicht enthält, wird die IP-Adresse des Clients in solchen Fällen nach einigen Versuchen, eine Verbindung vom Browser/App herzustellen (2-3 Mal), zu einer Ausschlussliste hinzugefügt. Beim nächsten Versuch wird die Verbindung nicht SSL-Proxy durchgeführt und die Seite wird ohne Fehler oder Warnung geladen. Die Client-IP-Adresse bleibt 48 Stunden lang in der Ausschlussliste. Die Ausschlussliste wird nur für geteilten Proxy beibehalten.

  3. Wo soll nach Office 365-Beschleunigungsverbindungsinformationen gesucht werden?

    Navigieren Sie zuMonitoring > Connections > Accelerated Connectionsund suchen Sie nach dem SSL-Proxystatus. Um Verbindungsdetails zu erhalten, klicken Sie auf das Symbol Details.

    lokalisiertes Bild

  4. Was passiert, wenn die Option Liste ausschließen nicht standardmäßig als Teil der SSL-Profilkonfiguration aktiviert ist?

    Wenn der Browser oder die App das Zertifizierungsstellenzertifikat nicht enthält, wird ein Fehler oder eine Warnung angezeigt, und die Verbindungen von diesem Client oder der App werden blockiert. Um solche Probleme zu vermeiden, wählen Sie Liste ausschließen als Teil der SSL-Profilkonfiguration.

  5. Was passiert, wenn die erforderlichen SANs nicht Teil des konfigurierten/erstellten Proxy-Zertifikats sind?

    Die Verbindungen werden nicht SSL-Proxy durchgeführt und es gibt keine Beschleunigungsvorteile für Nicht-Proxy-SSL-Verbindungen.

  6. Was passiert, wenn der Client nicht Teil der Domäne ist oder wenn der Client nicht über das Stammzertifikat der Domäne verfügt?

    Die Verbindungen werden blockiert, wenn die Ausschlussliste nicht aktiviert ist.

  7. Was passiert, wenn Citrix SD-WAN WANOP auf der Rechenzentrumsseite keine Root- oder Zwischenzertifizierungsstellen hat?

    Die Verbindungen werden blockiert oder die Office 365-Anwendungsseiten, für die die fehlenden Stamm- oder Zwischenzertifizierungsstellen erforderlich sind, werden teilweise geladen. Um die Blockierung der Verbindungen aufzuheben oder diese Seiten vollständig zu laden, fügen Sie entweder die entsprechenden Zertifizierungsstellenzertifikate hinzu oder deaktivieren Sie das SSL-Profil für die Beschleunigung.

  8. Wie kann man wissen, welche Clients von der Beschleunigung ausgeschlossen sind?

    Ausgeschlossene Clientinformationen können aus Protokollen oder mithilfe des CLI-Befehls show ssl-exclude -listbekannt sein.

  9. Was tun, wenn Kunden ausgeschlossen sind?

    Standardmäßig werden die Ausschlusslisteninformationen von der Appliance nach 48 Stunden gelöscht. Der Benutzer kann die Informationen der Ausschlussliste zwangsweise löschen, indem er CLI-Befehle clear ssl-exclude-list -/<all> verwenden <Client_IP>.

  10. Wie kann man wissen, für welche SSL-Verbindungen (SNIs) kein Proxy verwendet wird?

    In den Protokollen oder mit dem CLI-Befehlshow ssl-non-proxied-snikönnen Sie die Liste der nicht über Proxy-Proxy-Proxys erfahrenen SNIs erfahren.

  11. Wie lösche ich Nicht-Proxy-SNIs?

    Verwenden Sie den CLI-Befehlclear ssl-non-proxied-sni - <all>/<server name identifier>.

  12. Was ist die Standardzeit für Client im Ausschlusszustand?

    Der Client bleibt 48 Stunden lang im Ausschlusszustand.

  13. Können mehrere Profile für eine bestimmte Serviceklasse angewendet werden?

    Ja, wir können Service-Klassen mit mehreren SSL-Profilen anwenden.

    Navigieren Sie dazu auf Ihrer Virtual WAN-Appliance zu Konfiguration > Service Class > Web (Internet-Secure) > Bearbeiten > Bearbeiten (Anwendung) und fügen Sie die verfügbaren Profile hinzu.

  14. Wie überprüfen Sie den Grund für nicht proxierte Verbindungen?

    Überprüfen Sie die TCP-Verbindungsseite. Weitere Informationen finden Sie in den Protokollen. Gehen Sie folgendermaßen vor, um die nicht-proxy Verbindungsprobleme zu debuggen.

    1. Wenn das Protokoll keine gültige Konfiguration anzeigt - Legen Sie die gültige Konfiguration fest. Weitere Informationen zum Konfigurieren der Office 365-Funktion finden Sie unter Office 365-Beschleunigung.

    2. Wenn das Protokoll zeigt, dass die Zertifizierungsüberprüfung fehlgeschlagen ist - Fügen Sie der Citrix SD-WAN WANOP-Appliance im Rechenzentrum gültige CA-Zertifikate hinzu.

    3. <Client\ _IP\ >wenn das Protokoll anzeigt, dass der Client ausgeschlossen ist - Informationen über ausgeschlossene Clients können mit dem CLI-Befehl *clear ssl-exclude-list - \/ <all\ > * von der Appliance gelöscht werden.

Zusätzliche Hinweise

  • Bei der Protokollierung auf dem OneDrive-Client wird manchmal eine Warnmeldung „unechte Warnung“ angezeigt. Dies ist ein bekanntes Problem von Microsoft (https://support.microsoft.com/en-us/kb/3097938 ) und nicht spezifisch für die Citrix SD-WAN WANOP-Appliance.

  • Für die von Office 365 umgeleiteten Seiten wird empfohlen, ein separates Proxy-Zertifikat zu erstellen, das SAN-Liste enthält, die dem Zertifikat der umgeleiteten Seiten entspricht. Erstellen Sie ein anderes Profil mit diesem Proxyzertifikat und wenden Sie sich für die Dienstklasse an. Fügen Sie außerdem die relevante CA in der Citrix SD-WAN WANOP-Appliance hinzu.

  • Manchmal zeigt der Browser nicht die richtigen CA-Zertifikate an, in solchen Fällen verwenden Sie Wireshark oder OpenSSL, um die Stamm- und Intermediate-CA-Namen zu erhalten und die Zertifikate von ‘authentischer’ Quelle zu erhalten (zum Beispiel Windows SSL Store).

  • Ein Unterschied im Browserverhalten kann beim Zugriff auf Office 365-Anwendungen von verschiedenen Browsern aus beobachtet werden, die keine erforderlichen Zertifikate haben und die Option Liste ausschließen deaktiviert ist.

  • Wenn Office 365-Verbindungen SSL-Proxy (d. h. SSL-Proxy auf True festgelegt) und im Browser Office 365-Zertifikat anstelle des Proxy-Zertifikats angezeigt wird, wird empfohlen, den Browser im kognitiven Modus zu öffnen und das Verhalten zu überprüfen oder den Cache zu löschen und dann das Verhalten erneut zu überprüfen.

  • Microsoft Office 365 umfasst viele Komponenten und Anwendungen wie OneDrive, Outlook, SharePoint, Word, PPT, Excel, OneNote. Alle diese Anwendungen wurden getestet und sind bekannt, dass sie problemlos funktionieren. Es wird erwartet, dass auch andere Anwendungen problemlos funktionieren. Dieser Status kann sich jedoch im Laufe der Zeit ändern und es können unbekannte Probleme auftreten.

Office 365-Beschleunigung