Citrix SD-WAN WANOP

Office365アクセラレーション

  1. なぜSANを解析するのですか?

    ドメインごとにFQDNの複数のプロファイルを作成するのは面倒です。これを克服するために、証明書からSANを解析します。

  2. 除外リストとは何ですか?

    エラーまたは警告メッセージが表示されますブラウザまたはアプリにCA証明書が含まれていない場合、そのような場合、ブラウザまたはアプリからの接続を数回(2〜3回)試行すると、クライアントのIPアドレスが除外リストに追加されます。次の試行では、接続はSSLプロキシされておらず、エラーや警告なしにページが読み込まれます。クライアントIPアドレスは48時間除外リストに残ります。除外リストは、分割プロキシに対してのみ維持されます。

  3. Office 365アクセラレーション接続情報はどこで確認できますか?

    監視 > 接続 > 加速接続に移動しSSLプロキシの状態を確認します。接続の詳細については、詳細アイコンをクリックしてください。

    ローカライズされた画像

  4. SSLプロファイル構成の一部としてリストの除外オプションがデフォルトで有効になっていない場合はどうなりますか?

    ブラウザまたはアプリにCA証明書が含まれていない場合、エラーまたは警告が表示され、そのクライアントまたはアプリからの接続がブロックされます。このような問題を回避するには、SSLプロファイル構成の一部として [リスト を除外]オプションを選択します。

  5. 必要なSANがconfigured/created プロキシ証明書の一部でない場合はどうなりますか ?

    接続はSSLプロキシされません。また、プロキシされていないSSL接続のアクセラレーションの利点はありません。

  6. クライアントがドメインの一部ではない場合、またはクライアントがドメインのルート証明書を持っていない場合はどうなりますか?

    除外リストが有効になっていない場合、接続はブロックされます。

  7. データセンター側のCitrix SD-WAN WANOPにルートCAまたは中間CAがない場合はどうなりますか?

    接続がブロックされているか、不足しているルートCAまたは中間CAを必要とするOffice365アプリケーションページが部分的に読み込まれています。接続のブロックを解除するか、これらのページを完全にロードするには、適切なCA証明書を追加するか、SSLプロファイルのアクセラレーションを無効にします。

  8. どのクライアントがアクセラレーションから除外されているかを知る方法は?

    除外されたクライアント情報は、ログから、またはCLIコマンド show ssl-exclude-listを使用して知ることができます。

  9. クライアントが除外された場合はどうすればよいですか?

    デフォルトでは、アプライアンスから除外リスト情報は48時間後にクリアされます。ユーザーは、CLIコマンド *clear ssl-exclude-list -\<all\>/\<Client\_IP\>*を使用して除外リスト情報を強制的にクリアできます。

  10. どのSSL接続(SNI)がプロキシされていないかを知る方法は?

    ログから、またはCLIコマンド show ssl-non-proxied-sniを使用して、プロキシされていないSNIのリストを知ることができます。

  11. プロキシされていないSNIをクリアする方法は?

    CLIコマンド *clear ssl-non-proxied-sni -\<all\>/\<server name identifier\>*を使用します。

  12. 除外状態のクライアントのデフォルトの時間はどれくらいですか?

    クライアントは48時間除外状態のままです。

  13. 特定のサービスクラスに複数のプロファイルを適用できますか?

    はい、複数のSSLプロファイルを持つサービスクラスを適用できます。

    これを行うには、仮想WANアプライアンスで[ 構成]>サービスクラス>Web(インターネット-セキュア)>編集> (アプリケーション)を編集し 、利用可能なプロファイルを追加します。

  14. プロキシされていない接続の理由をどのように確認しますか?

    TCP接続ページを確認してください。詳細については、ログを確認してください。プロキシされていない接続の問題をデバッグするには、次の手順を実行します。

    1. ログに有効な構成が表示されない場合-有効な構成を設定します。Office 365機能の構成の詳細については、 Office365アクセラレーションを参照してください。

    2. ログに認証検証が失敗したことが示されている場合-有効なCA証明書をデータセンター側のCitrix SD-WAN WANOPアプライアンスに追加します。

    3. ログにクライアントが除外されていることが示されている場合-除外されたクライアントに関する情報は、CLIコマンド *clear ssl-exclude-list -\<all\>/\<Client\_IP\>*を使用してアプライアンスからクリアできます。

その他の注意事項

  • OneDriveクライアントにログを記録すると、「誤った警告」という警告メッセージが表示されることがあります。これはMicrosoft(https://support.microsoft.com/en-us/kb/3097938 )の既知の問題であり、Citrix SD-WAN WANOPアプライアンスに固有のものではありません。

  • プロキシされるOffice365リダイレクトページの場合、リダイレクトされたページの証明書に対応するSANリストを含む別のプロキシ証明書を作成することをお勧めします。このプロキシ証明書を使用して別のプロファイルを作成し、サービスクラスに適用します。また、Citrix SD-WAN WANOPアプライアンスに関連するCAを追加します。

  • ブラウザに正しいCA証明書が表示されない場合があります。そのような場合は、WiresharkまたはOpenSSLを使用してルートおよび中間CA名を取得し、「本物の」ソース(たとえば、Windows SSLストア)から証明書を取得します。

  • ブラウザーの動作の違いは、必要な証明書がなく、[リストの除外]オプションが無効になっているさまざまなブラウザーからOffice365アプリケーションにアクセスするときに観察されます。

  • Office 365接続がSSLプロキシされ(つまり、SSLプロキシがTrueに設定されている)、ブラウザーでプロキシ証明書の代わりにOffice 365証明書が表示される場合は、ブラウザーを非認識モードで開き、動作を確認するか、キャッシュをクリアすることをお勧めします。その後、動作を再度確認します。

  • Microsoft Office 365には、OneDrive、Outlook、SharePoint、Word、PPT、Excel、OneNoteなどの多くのコンポーネントとアプリケーションが含まれています。これらのアプリケーションはすべてテスト済みであり、問題なく動作することがわかっています。他のアプリケーションも問題なく動作することが期待されます。ただし、このステータスは時間の経過とともに変化する可能性があり、不明な問題が発生する可能性があります。

Office365アクセラレーション