Citrix SD-WAN Orchestrator

Office 365 の最適化

Office 365最適化機能はMicrosoft Office 365ネットワーク接続原則に準拠しており、Office365を最適化しています。Office 365 は、グローバルに配置された複数のサービスエンドポイント (フロントドア) を通じてサービスとして提供されます。

Office 365 トラフィックに最適なユーザーエクスペリエンスを実現するには、Office 365 トラフィックをブランチ環境からインターネットに直接リダイレクトすることをお勧めします。中央プロキシへのバックホールなどのプラクティスは避けてください。Outlook、WordなどのOffice 365トラフィックはレイテンシーの影響を受けやすく、バックホールトラフィックによってレイテンシーが増加し、ユーザーエクスペリエンスが低下します。Citrix SD-WANを使用すると、インターネットへのOffice 365トラフィックを突破するポリシーを構成できます。

Office 365 トラフィックは、世界中の Microsoft Office 365 インフラストラクチャのEdgeに存在する最も近い Office 365 サービスエンドポイントに送信されます。トラフィックが正面玄関に到達すると、Microsoftネットワークを経由して実際の目的地に到達します。顧客ネットワークから Office 365 エンドポイントへのラウンドトリップ時間が短縮されるため、レイテンシーが最小限に抑えられます。

Office 365 の最適化の仕組み

Microsoft エンドポイントの署名は最大で 1 日に 1 回更新されます。アプライアンス上のエージェントは、毎日Citrixサービス(sdwan-app-routing.citrixnetworkapi.net)をポーリングして、最新のエンドポイント署名のセットを取得します。SD-WANアプライアンスは、アプライアンスの電源がオンになると、毎日1回、Citrixサービス(sdwan-app-routing.citrixnetworkapi.net)をポーリングします。

使用可能な新しいシグニチャがある場合、アプライアンスはそのシグニチャをダウンロードし、データベースに保存します。シグニチャは、基本的に、どのトラフィックステアリングポリシーを構成できるかに基づいて Office 365 トラフィックを検出するために使用される URL と IP のリストです。

注:

Office 365 の既定のカテゴリを除き、Office 365 ブレークアウト機能が有効かどうかに関係なく、Office 365 トラフィックの最初のパケット検出と分類が既定で実行されます。

Office 365 アプリケーションの要求が到着すると、アプリケーション分類子は、最初のパケット分類子データベース検索、識別、および Office 365 トラフィックをマークします。Office 365 トラフィックが分類されると、自動作成されたアプリケーションルートとファイアウォールポリシーが有効になり、インターネットに直接トラフィックが遮断されます。Office 365 の DNS 要求は、Quad9 などの特定の DNS サービスに転送されます。

O365-working

署名は、クラウドサービス(sdwan-app-routing.citrixnetworkapi.net)からダウンロードされます。

Office 365 ブレークアウトを構成する

Office 365 ブレイクアウトポリシーでは、ブランチから直接抜け出すことができる Office 365 トラフィックのカテゴリを指定できます。Office 365 ブレークアウトを有効にして構成をコンパイルすると、DNS オブジェクト、アプリケーションオブジェクト、アプリケーションルート、およびファイアウォールポリシーテンプレートが自動的に作成され、インターネットサービスを使用してブランチサイトに適用されます。

前提条件

次の項目があることを確認します。

  1. Office 365 のブレイクアウトを実行するには、アプライアンスでインターネットサービスを構成する必要があります。

  2. 管理インターフェイスにインターネット接続があることを確認します。

  3. 管理 DNS が設定されていることを確認します。

Citrix SD-WAN Orchestratorサービスでは、 デフォルトですべてのネットワークにアプリケーショングループの下にOffice365ルールがあります。ナビゲートするには、[ ネットワーク設定] > [ルーティング] > [ルーティングポリシー] > [アプリケーションルート] に移動します。

O365

ルールを削除することはできませんが、必要に応じて設定を構成できます。

O365の詳細

Office 365ルールをクリックすると、 マッチタイプ、アプリケーショングループ、デリバリーサービスなどのデフォルト設定が表示されます 。これらのデフォルト設定は変更できません。

Office 365 エンドポイントは、ネットワークアドレスとサブネットのセットです。Citrix SD-WAN 11.4.0以降、Office 365エンドポイントは最適化許可およびデフォルトのカテゴリに分類されます 。Citrix SD-WANでは、 **最適化と許可のカテゴリをより細かく分類できるため** 、選択的な予約が可能になり、ネットワークに敏感なOffice 365トラフィックのパフォーマンスを向上させることができます。ネットワークに依存するトラフィックを、クラウドの SD-WAN (クラウドダイレクトまたは Azure 上の SD-WAN VPX)、または自宅の SD-WAN デバイスから近くの場所にある SD-WAN に、より信頼性の高いインターネット接続で転送することで、QoS と優れた接続復元性を実現します。トラフィックを最寄りのトラフィックにステアリングするだけの場合と比べて、QoS と優れた接続復元性を実現します。Office 365 フロントドア、レイテンシーの増加を犠牲に。QoSを備えたブックエンドSD-WANソリューションは、VoIPのドロップアウトと切断を減らし、ジッターを減らし、Microsoft Teamsのメディア品質の平均オピニオンスコアを向上させます。エンドポイントは、次の 3 つのカテゴリに分類されます。

  • 最適化 -これらのエンドポイントは、Office 365のすべてのサービスと機能への接続を提供し、可用性、パフォーマンス、待ち時間に敏感です。Office 365 の帯域幅、接続、データ量の 75% 以上を占めています。すべての Optimize エンドポイントは、Microsoft データセンターでホストされます。これらのエンドポイントへのサービスリクエストは、ブランチからインターネットへのブレークアウトである必要があります。また、データセンターを経由しないでください。

    最適化カテゴリは 、次のサブカテゴリに分類されます。

    • Microsoft Teams Realtime
    • Exchange Online
    • SharePoint最適化
  • 許可 -これらのエンドポイントは、特定の Office 365 サービスおよび機能への接続のみを提供し、ネットワークのパフォーマンスと待ち時間にはそれほど敏感ではありません。Office 365 の帯域幅と接続数の表現も低くなります。これらのエンドポイントは、Microsoft データセンターでホストされます。これらのエンドポイントへのサービスリクエストは、ブランチからインターネットへのブレークアウトであるか、データセンターを経由する可能性があります。

    [ 許可 ] カテゴリは、次のサブカテゴリに分類されます。

    • Teams TCP フォールバック
    • メールを交換する
    • SharePoint 許可
    • O365 コモン

    注:

    Teams Realtime サブカテゴリは UDP リアルタイム転送プロトコルを使用して Microsoft Teams トラフィックを管理し、 Teams TCP フォールバックサブカテゴリは TCP トランスポート層プロトコルを使用します。メディアトラフィックはレイテンシーに敏感であるため、このトラフィックは可能な限り最も直接的なパスを利用し、トランスポート層プロトコルとして TCP ではなく UDP を使用する方が望ましい場合があります(品質面では、インタラクティブリアルタイムメディアでは最も好ましいトランスポート)。UDP は Teams メディアトラフィックの優先プロトコルですが、ファイアウォールで特定のポートを許可する必要があります。ポートが許可されていない場合、Teams トラフィックは TCP をフォールバックとして使用します。Teams TCP フォールバックの最適化を有効にすると、このシナリオでは Teams アプリケーションの配信が向上します。詳細については、「 Microsoft Teams の呼び出しフロー」を参照してください。

  • デフォルト -これらのエンドポイントは、最適化を必要としない Office 365 サービスを提供し、通常のインターネットトラフィックとして扱うことができます。これらのエンドポイントの一部は、Microsoft データセンターでホストされていない可能性があります。このカテゴリのトラフィックは、遅延の変化の影響を受けません。したがって、このタイプのトラフィックを直接遮断しても、インターネットのブレイクアウトと比較してパフォーマンスが向上することはありません。さらに、このカテゴリのトラフィックは Office 365 トラフィックとは限らないため、ネットワークで Office 365 ブレークアウトを有効にする場合は、このオプションを無効にすることをお勧めします。

    注:

    デフォルトでは、「デフォルト」カテゴリと「最適化」および「許可」サブカテゴリのオプションは無効になっています。これらの設定を削除することはできませんが、必要に応じて有効にすることができます。

  • ビーコンサービスを有効にする -Citrix SD-WANを使用すると、ビーコンプローブを実行して、各WANリンクを介してOffice 365エンドポイントに到達するまでの待ち時間を判断できます。Office 365 ビーコンサービスは既定で有効になっています。このオプションをオフにすると、無効にすることができます。詳細については、「 Office 365 ビーコンサービス」を参照してください。

  • O365インテリジェントパス選択を有効にする -Citrix SD-WANを使用すると、Office 365のトラフィックを管理するのに最適なWANリンクを選択できます。たとえば、インターネットサービス用に 2 つの WAN リンクが設定されていて、そのうちの 1 つの WAN リンクの方がレイテンシーが高く、もう 1 つの WAN リンクのレイテンシーが低い場合、インテリジェントパス選択を有効にすると、提供されるレイテンシが最も低い WAN リンクが選択されるため、WAN リンクからのプローブは損失しません。

    O365 Metricsでは、レイテンシが最も低いWANリンクの詳細と下された決定事項の合計を確認できます

プローブに損失が多い場合、Citrix SD-WANはデフォルトのインターネット負荷分散ロジックを使用して最適なWANリンクを選択します。ただし、インテリジェントパス選択は有効になっています。

Office 365 の透過的なフォワーダー

Office 365 のブランチは、DNS 要求から始まります。Office 365 ドメインを経由する DNS 要求は、ローカルで操作する必要があります。Office 365 のインターネットブレークアウトを有効にすると、内部 DNS ルートが決定され、透過フォワーダーリストが自動的に設定されます。Office 365 の DNS 要求は、既定でオープンソースの DNS サービス Quad 9 に転送されます。Quad 9 DNSサービスは、安全でスケーラブルで、マルチポップな存在感を持っています。必要に応じて DNS サービスを変更できます。

Office 365 アプリケーション用の透過的なフォワーダーは、インターネットサービスと Office 365 ブレイクアウトが有効になっているすべてのブランチで作成されます。

別の DNS プロキシを使用している場合、または SD-WAN が DNS プロキシとして構成されている場合、Office 365 アプリケーションのフォワーダーがフォワーダー一覧に自動的に入力されます。

アップグレードに関する重要な考慮事項

カテゴリを最適化して許可する

[Office 365の最適化 ]および[ 許可 ]カテゴリでインターネットブレークアウトポリシーを有効にした場合、Citrix SD-WAN 11.4.0へのアップグレード時に、対応するサブカテゴリのインターネットブレークアウトポリシーが自動的に有効になります。

Citrix SD-WAN 11.4.0より古いソフトウェアバージョンにダウングレードする場合、Citrix SD-WAN 11.4.0バージョンで対応するサブカテゴリを有効にしたかどうかに関係なく、 [Office 365の最適化 ]または[ 許可 ]カテゴリでインターネットブレークアウトを手動で有効にする必要があります。そうじゃない

Office 365 アプリケーションオブジェクト

**O365Optimize_internetBreakoutおよびO365Allow_InternetBreakout自動生成されたアプリケーションオブジェクトを使用してルール/ルートを作成した場合は** 、Citrix SD-WAN 11.4.0にアップグレードする前に、ルール/ルートを削除してください。アップグレード後、対応する新しいアプリケーションオブジェクトを使用してルール/ルートを作成できます。

ルール/ルートを削除せずにCitrix SD-WAN 11.4.0のアップグレードを続行すると、エラーが表示され、アップグレードは失敗します。以下の例では、ユーザーがアプリケーションQoEプロファイルを構成し、ルール/ルートを削除せずにCitrix SD-WAN 11.4.0にアップグレードしようとするときにエラーが表示されます。

アップグレード中のサンプルエラー

注:

このアップグレードは、自動作成されたルール/ルートには必要ありません。これは、作成したルール/ルートにのみ適用されます。

DNS

Office365の最適化およびOffice 365許可アプリケーションを使用してDNSプロキシルールまたはDNS透過フォワーダルールを作成した場合は** 、Citrix SD-WAN 11.4.0にアップグレードする前にルールを削除してください。アップグレード後、対応する新しいアプリケーションを使用してルールを再度作成できます。

古いDNSプロキシまたは透過フォワーダルールを削除せずにCitrix SD-WAN 11.4.0のアップグレードを続行すると、エラーは表示されず、アップグレードも成功します。ただし、Citrix SD-WAN 11.4.0では、DNSプロキシルールと透過転送ルールは有効になりません。

注:

このアクティビティは、自動作成された DNS ルールには適用されません。これは、作成した DNS ルールにのみ適用されます。

制限事項

  • Office 365 ブレークアウトポリシーが構成されている場合、構成された IP アドレスのカテゴリ宛ての接続では、ディープパケットインスペクションは実行されません。
  • 自動作成されたファイアウォールポリシーとアプリケーションルートは編集できません。
  • 自動作成されたファイアウォールポリシーの優先順位が最も低く、編集できません。
  • 自動作成されたアプリケーションルートのルートコストは 5 です。このルートは、低コストのルートで上書きできます。

Office 365 ビーコンサービス

Microsoftは、WAN リンクを介した Office 365 の到達可能性を測定する Office 365 ビーコンサービスを提供しています。ビーコンサービスは、基本的にURLです-sdwan.measure.office.com/apc/trans.gifは、定期的にプローブされます。プローブは、インターネット対応のすべてのWANリンクについて、各アプライアンス上で実行されます。プローブごとに HTTP 要求がビーコンサービスに送信され、HTTP 応答が予期されます。HTTP 応答は、Office 365 サービスの可用性と到達可能性を確認します。

Citrix SD-WANを使用すると、ビーコンプロービングを実行できるだけでなく、各WANリンクを介してOffice 365エンドポイントに到達するレイテンシーも決定できます。待機時間は、WAN リンクを介して Office 365 ビーコンサービスから要求を送信し、応答を取得するのにかかるラウンドトリップ時間です。これにより、ネットワーク管理者は、ビーコンサービスの待ち時間レポートを表示し、Office 365 の直接ブレイクアウトに最適なインターネットリンクを手動で選択できます。ビーコンのプローブは、Citrix SD-WAN Orchestrator を介してのみ有効になります。既定では、Citrix SD-WAN Orchestratorを使用して Office 365 ブレークアウトが有効になっている場合、インターネットが有効なすべての WAN リンクでビーコンプローブが有効になります。

従量制課金リンクでは、Office 365 ビーコンプローブが有効になっていません。

Office 365 ビーコンサービスを無効にするには、SD-WAN Orchestrator で、ネットワークレベルで [ 構成 ] > [ ルーティング] > [ **ルーティングポリシー** ] > [ O365 ネットワーク最適化の設定] に移動し、[ ビーコンサービスを有効にする] をオフにします。

ビーコンサービスの有効化

ビーコンのプローブ可用性と待ち時間のレポートを表示するには、Citrix SD-WAN Orchestratorで、ネットワークレベルで[ レポート ]>[ O365メトリック]に移動します。

ネットワークレベルビーコンサービスレポート

ビーコンサービスの詳細なサイトレベルレポートを表示するには、SD-WAN Orchestrator でサイトレベルで[レポート] >[O365メトリック] に移動します。

サイトレベルビーコンサービスレポート

Office 365 の最適化