Aceleración de Office 365
-
¿Por qué analizamos el SAN?
Es tedioso crear múltiples perfiles para nombres FQDN para cada uno de los dominios, para superar esto analizamos el SAN a partir de los certificados.
-
¿Qué es una lista de exclusión?
Aparece un mensaje de error o advertencia Si el explorador web o la aplicación no contienen el certificado de CA, en tales casos la dirección IP del cliente se agregará a una lista de exclusión después de varios intentos de conectarse desde el explorador o la aplicación (2-3 veces). En el siguiente intento, la conexión no es proxy SSL y la página se carga sin ningún error o advertencia. La dirección IP del cliente permanecerá en la lista de exclusión durante 48 horas. La lista de exclusión se mantiene solo para el proxy dividido.
-
¿Dónde verificar la información de conexión de aceleración de Office 365?
Vaya a Supervisión > Conexiones > Conexiones aceleradas, compruebe el estado del proxy SSL. Para obtener detalles de la conexión, haga clic en el icono de detalles.
-
¿Qué sucede si la opción de excluir lista no está habilitada de forma predeterminada como parte de la configuración del perfil SSL?
Si el explorador web o la aplicación no contienen el certificado de CA, muestra un error o advertencia y las conexiones de ese cliente o aplicación se bloquearán. Para evitar estos problemas, seleccione la opción Excluir lista como parte de la configuración del perfil SSL.
-
¿Qué sucede si las SAN requeridas no forman parte del certificado proxy configurado o creado?
Las conexiones no serán proxy SSL y no habrá beneficios de aceleración para conexiones SSL no proxy.
-
¿Qué sucede cuando el cliente no forma parte del dominio o si el cliente no tiene el certificado raíz del dominio?
Las conexiones se bloquean si la lista de exclusión no está habilitada.
-
¿Qué sucede si el lado del centro de datos Citrix SD-WAN WANOP no tiene CA raíz o intermedias?
Las conexiones están bloqueadas o las páginas de aplicación de Office 365 que requieren las CA raíz o intermedias que faltan están parcialmente cargadas. Para desbloquear las conexiones o tener estas páginas completamente cargadas, agregue los certificados de CA apropiados o inhabilite el perfil SSL de la aceleración.
-
¿Cómo saber qué clientes están excluidos de la aceleración?
La información de cliente excluida se puede conocer de los registros o mediante el comando CLI show ssl-exclude -list.
-
¿Qué hacer cuando se excluye a los clientes?
De forma predeterminada, la información de la lista de exclusión del dispositivo se borrará después de 48 horas. El usuario puede borrar forzosamente la información de la lista de exclusión mediante comandos CLI
*clear ssl-exclude-list -\<all\>/\<Client\_IP\>*
. -
¿Cómo saber qué conexiones SSL (SNI) no son proxy?
Desde los registros o mediante el comando CLI show ssl-non-proxied-sni, puede conocer la lista de los SNI sin proxy.
-
¿Cómo borrar SNI no proxy?
Mediante el comando CLI
*clear ssl-non-proxied-sni -\<all\>/\<server name identifier\>*
. -
¿Cuál es el tiempo predeterminado para el cliente en estado de exclusión?
El cliente permanece en estado de exclusión durante 48 horas.
-
¿Podemos tener varios perfiles aplicados para una clase de servicio en particular?
Sí, podemos aplicar clases de servicio con múltiples perfiles SSL.
Para ello, en el dispositivo WAN virtual, vaya a Configuración > Clase de servicio > Web (Internet Secure) > Modificar > Modificar (Aplicación) y agregue los perfiles disponibles.
-
¿Cómo se verifica el motivo de las conexiones no proxy?
Compruebe la página de conexión TCP, para obtener más información, consulte los registros. Para depurar los problemas de conexión no proxy, haga lo siguiente.
-
Si el registro no muestra ninguna configuración válida - Establezca la configuración válida. Para obtener más información sobre cómo configurar la función Office 365, consulte Aceleración de Office 365.
-
Si el registro muestra que la verificación de certificación ha fallado: agregue certificados de CA válidos al dispositivo Citrix SD-WAN WANOP del centro de datos.
-
si el registro muestra el cliente excluido: la información sobre los clientes excluidos se puede borrar del dispositivo mediante el comando CLI
*clear ssl-exclude-list -\<all\>/\<Client\_IP\>*
.
-
Notas adicionales
-
El registro en el cliente de OneDrive a veces muestra un mensaje de “advertencia falsa”. Este es un problema conocido de Microsoft (https://support.microsoft.com/en-us/kb/3097938) y no específico del dispositivo Citrix SD-WAN WANOP.
-
Para que las páginas redirigidas de Office 365 sean proxy, se recomienda crear un certificado proxy independiente que contenga la lista SAN correspondiente al certificado de las páginas redirigidas. Cree otro perfil con este certificado proxy y aplíquelo a la clase de servicio. Agregue también la CA relevante en el dispositivo Citrix SD-WAN WANOP.
-
A veces el explorador web no muestra los certificados de CA correctos, en tales casos usa Wireshark o OpenSSL para obtener los nombres de CA raíz e intermedia y obtener los certificados de origen ‘auténtico’ (por ejemplo, almacén SSL de Windows).
-
La diferencia en el comportamiento del explorador web se puede observar al acceder a las aplicaciones de Office 365 desde diferentes exploradores web que no tienen certificados requeridos y con la opción Excluir lista inhabilitada.
-
Cuando las conexiones de Office 365 son proxy SSL (es decir, proxy SSL establecido en True) y en el explorador se muestra el certificado de Office 365 en lugar del certificado proxy, se recomienda abrir el explorador web en modo incógnito y comprobar el comportamiento o borrar la caché y, a continuación, comprobar el comportamiento de nuevo.
-
Microsoft Office 365 incluye muchos componentes y aplicaciones como OneDrive, Outlook, SharePoint, Word, PPT, Excel y OneNote. Todas estas aplicaciones han sido probadas y se sabe que funcionan sin ningún problema. Se espera que otras aplicaciones funcionen también sin problemas; sin embargo, este estado puede cambiar con el tiempo y es posible que se produzcan problemas desconocidos.