Citrix SD-WAN WANOP

Accélération Office 365

  1. Pourquoi analyser le SAN ?

    Il est fastidieux de créer plusieurs profils pour FQDNS pour chacun des domaines, pour surmonter cela, nous analysons le SAN à partir des certificats.

  2. Qu’est-ce qu’une liste d’exclusion ?

    Un message d’erreur ou d’avertissement s’affiche Si le navigateur ou l’application ne contient pas le certificat de l’autorité de certification, dans de tels cas, l’adresse IP du client sera ajoutée à une liste d’exclusion après quelques tentatives de connexion depuis le navigateur ou l’application (2-3 fois). Lors de la prochaine tentative, la connexion n’est pas proxy SSL et la page se charge sans erreur ni avertissement. L’adresse IP du client restera dans la liste d’exclusion pendant 48 heures. La liste d’exclusion est conservée uniquement pour le proxy fractionné.

  3. Où vérifier les informations de connexion d’accélération Office 365 ?

    Accédez à Surveillance > Connexions > Connexions accélérées, vérifiez l’état du proxy SSL. Pour plus d’informations sur la connexion, cliquez sur l’icône Détails.

    image localisée

  4. Que se passe-t-il si l’option de liste d’exclusion n’est pas activée par défaut dans le cadre de la configuration du profil SSL ?

    Si le navigateur ou l’application ne contient pas le certificat de l’autorité de certification, il affiche une erreur ou un avertissement et les connexions de ce client ou de cette application seront bloquées. Pour éviter de tels problèmes, sélectionnez l’option Exclure la liste dans le cadre de la configuration du profil SSL.

  5. Que se passe-t-il si les SAN requis ne font pas partie du certificat proxy configuré/créé ?

    Les connexions ne seront pas transmises par proxy SSL et il n’y aura aucun avantage d’accélération pour les connexions SSL sans proxy.

  6. Que se passe-t-il lorsque le client ne fait pas partie du domaine ou si le client ne possède pas le certificat racine du domaine ?

    Les connexions sont bloquées si la liste d’exclusion n’est pas activée.

  7. Que se passe-t-il si le serveur Citrix SD-WAN WANOP côté datacenter n’a pas d’autorité de certification racine ou intermédiaire ?

    Les connexions sont bloquées ou les pages d’application Office 365 qui nécessitent l’autorité de certification racine ou intermédiaire manquante sont partiellement chargées. Pour débloquer les connexions ou pour que ces pages soient complètement chargées, ajoutez les certificats d’autorité de certification appropriés ou désactivez le profil SSL de l’accélération.

  8. Comment savoir quels clients sont exclus de l’accélération ?

    Les informations sur les clients exclus peuvent être connues à partir des journaux ou à l’aide de la commande CLI show ssl-exclude -list.

  9. Que faire lorsque les clients sont exclus ?

    Par défaut, les informations de liste d’exclusion de l’appliance sont effacées au bout de 48 heures. L’utilisateur peut effacer de force les informations de liste d’exclusion à l’aide des commandes CLI *clear ssl-exclude-list -\<all\>/\<Client\_IP\>*.

  10. Comment savoir quelles connexions SSL (SNI) ne sont pas proxy ?

    À partir des journaux ou en utilisant la commande CLI show ssl-non-proxied-sni, vous pouvez connaître la liste des SNI ne passant pas par un proxy.

  11. Comment effacer les SNI n’utilisant pas un proxy ?

    Utilisation de la commande CLI *clear ssl-non-proxied-sni -\<all\>/\<server name identifier\>*.

  12. Quelle est l’heure par défaut pour le client en état d’exclusion ?

    Le client reste à l’état exclu pendant 48 heures.

  13. Peut-on appliquer plusieurs profils pour une classe de service particulière ?

    Oui, nous pouvons appliquer des classes de service avec plusieurs profils SSL.

    Pour ce faire, sur votre appliance Virtual WAN, accédez à Configuration > Classe de service > Web (Sécurisé Internet) > Modifier> Modifier (Application) et ajoutez les profils disponibles.

  14. Comment vérifier pourquoi des connexions n’utilisent pas un proxy ?

    Vérifiez la page de connexion TCP, pour plus d’informations, consultez les journaux. Pour déboguer les problèmes de connexion n’utilisant pas un proxy, procédez comme suit.

    1. Si le journal n’affiche aucune configuration valide - Définissez la configuration valide. Pour plus d’informations sur la configuration de la fonctionnalité Office 365, reportez-vous à la section Accélération Office 365.

    2. Si le journal indique que la vérification de certification a échoué, ajoutez des certificats d’autorité de certification valides à l’appliance Citrix SD-WAN WANOP côté datacenter.

    3. si le journal affiche le client exclu : les informations sur les clients exclus peuvent être effacées de l’appliance à l’aide de la commande CLI *clear ssl-exclude-list -\<all\>/\<Client\_IP\>*.

Notes supplémentaires

  • La journalisation sur le client OneDrive affiche parfois un message d’avertissement « avertissement erroné », Ceci est un problème connu de Microsoft (https://support.microsoft.com/en-us/kb/3097938) et non spécifique à Citrix SD-WAN appliance WANOP.

  • Pour que les pages redirigées Office 365 soient transmises par proxy, il est recommandé de créer un certificat proxy distinct contenant la liste SAN correspondant au certificat des pages redirigées. Créez un autre profil avec ce certificat proxy et appliquez-le à la classe de service. Ajoutez également l’autorité de certification pertinente dans l’appliance Citrix SD-WAN WANOP.

  • Parfois, le navigateur n’affiche pas les certificats d’autorité de certification corrects, dans de tels cas, utilisez Wireshark ou OpenSSL pour obtenir les noms d’autorité de certification racine et intermédiaire et obtenir les certificats de source « authentique » (par exemple, Windows SSL store).

  • Différence dans le comportement du navigateur peut être observée dans l’accès aux applications Office 365 à partir de différents navigateurs n’ayant pas de certificats requis et avec l’option de liste Exclure désactivée.

  • Lorsque les connexions Office 365 sont proxy SSL (cela signifie que le proxy SSL est défini sur True) et que dans le navigateur Office 365 certificat est affiché à la place du certificat proxy, il est recommandé d’ouvrir le navigateur en mode cognitif et de vérifier le comportement ou effacer le cache, puis de vérifier à nouveau le comportement.

  • Microsoft Office 365 comprend de nombreux composants et applications tels que OneDrive, Outlook, SharePoint, Word, PPT, Excel, OneNote. Toutes ces applications ont été testées et sont connues pour fonctionner sans aucun problème. D’autres applications sont également censées fonctionner sans aucun problème ; cependant, cet état peut changer au fil du temps et vous risquez de rencontrer des problèmes inconnus.

Accélération Office 365