Citrix SD-WAN

Office 365 の最適化

Office 365 の最適化 機能は、Microsoft Office 365 のネットワーク接続に関する原則に準拠し Office 365 を最適化します。Office 365 は、グローバルに配置された複数のサービスエンドポイント (フロントドア) を通じてサービスとして提供されます。Office 365 トラフィックの最適なユーザーエクスペリエンスを実現するために、Microsoft では、Office 365 トラフィックをブランチ環境から直接インターネットにリダイレクトし、中央プロキシへのバックホールなどのプラクティスを回避することをお勧めします。これは、Outlook や Word などの Office 365 トラフィックが遅延の影響を受けやすく、バックホートラフィックによって遅延が増え、ユーザーエクスペリエンスが低下するためです。Citrix SD-WANを使用すると、インターネットへのOffice 365トラフィックを突破するポリシーを構成できます。

Office 365 トラフィックは、世界中の Microsoft Office 365 インフラストラクチャのエッジに存在する最も近い Office 365 サービスエンドポイントに送信されます。トラフィックがフロントドアに到達すると、それはMicrosoftのネットワークを経由し、実際の宛先に到達します。これにより、お客様のネットワークから Office 365 エンドポイントへの往復時間が短縮されるにつれて、待ち時間が最小限に抑えられます。

Office 365 エンドポイント

Office 365 エンドポイントは、ネットワークアドレスとサブネットのセットです。エンドポイントは、次の 3 つのカテゴリに分類されます。

  • 最適化 -これらのエンドポイントは、Office 365のすべてのサービスと機能への接続を提供し、可用性、パフォーマンス、待ち時間に敏感です。Office 365 の帯域幅、接続、データ量の 75% 以上を占めています。すべての Optimize エンドポイントは、Microsoft データセンターでホストされます。これらのエンドポイントへのサービスリクエストは、ブランチからインターネットにブレークアウトする必要があり、データセンターを通過してはなりません。

  • 許可 -これらのエンドポイントは、特定の Office 365 サービスおよび機能への接続のみを提供し、ネットワークのパフォーマンスと待ち時間にはそれほど敏感ではありません。Office 365 の帯域幅と接続数の表現も大幅に低くなっています。これらのエンドポイントは、Microsoft データセンターでホストされます。これらのエンドポイントへのサービスリクエストは、ブランチからインターネットにブレークアウトしたり、データセンターを経由したりする可能性があります。

  • デフォルト -これらのエンドポイントは、最適化を必要としない Office 365 サービスを提供し、通常のインターネットトラフィックとして扱うことができます。これらのエンドポイントの一部は、Microsoft データセンターでホストされていない可能性があります。このカテゴリのトラフィックは、遅延の変化の影響を受けません。したがって、このタイプのトラフィックを直接遮断しても、インターネットのブレイクアウトと比較してパフォーマンスが向上することはありません。また、このカテゴリのトラフィックが常に Office 365 トラフィックであるとは限りません。そのため、ネットワークで Office 365 ブレイクアウトを有効にする場合は、このオプションを無効にすることをお勧めします。

Office 365 の最適化の仕組み

Microsoft エンドポイントの署名は最大で 1 日に 1 回更新されます。アプライアンス上のエージェントは、毎日Citrixサービス(sdwan-app-routing.citrixnetworkapi.net)をポーリングして、最新のエンドポイント署名のセットを取得します。SD-WANアプライアンスは、アプライアンスの電源がオンになり、Office 365の最適化が有効になっているときに、Citrixサービス(sdwan-app-routing.citrixnetworkapi.net)を毎日1回ポーリングします。使用可能な新しいシグニチャがある場合、アプライアンスはそのシグニチャをダウンロードし、データベースに保存します。シグニチャは、基本的に、どのトラフィックステアリングポリシーを構成できるかに基づいて Office 365 トラフィックを検出するために使用される URL と IP のリストです。

注:

Office 365 トラフィックの最初のパケット検出と分類は、Office 365 ブレークアウト機能が有効な場合にのみ実行されます。

Office 365 アプリケーションの要求が到着すると、アプリケーション分類子は、最初のパケット分類子のデータベース検索を実行し、Office 365 トラフィックを識別し、マークします。Office 365 トラフィックが分類されると、自動作成されたアプリケーションルートとファイアウォールポリシーが有効になり、インターネットに直接トラフィックが遮断されます。Office 365 の DNS 要求は、Quad9 などの特定の DNS サービスに転送されます。詳しくは、「ドメイン・ネーム・システム」を参照してください。

Office 365 の作業中

署名は、クラウドサービス(sdwan-app-routing.citrixnetworkapi.net)からダウンロードされます。

Office 365 ブレークアウトを構成する

Office 365 ブレイクアウトポリシーでは、ブランチから直接抜け出すことができる Office 365 トラフィックのカテゴリを指定できます。Office 365 ブレークアウトを有効にして構成をコンパイルすると、DNS オブジェクト、アプリケーションオブジェクト、アプリケーションルート、およびファイアウォールポリシーテンプレートが自動的に作成され、インターネットサービスを持つブランチサイトに適用されます。

前提条件

次の項目があることを確認します。

  1. Office 365 のブレイクアウトを実行するには、アプライアンスでインターネットサービスを構成する必要があります。インターネットサービスの設定の詳細については、インターネットアクセスを参照してください。

  2. 管理インターフェイスにインターネット接続があることを確認します。

    Citrix SD-WAN Webインターフェイスを使用して、管理インターフェイスの設定を構成できます。

  3. 管理 DNS が設定されていることを確認します。管理インターフェイスのDNSを設定するには、 [構成]>[アプライアンスの設定]>[ネットワークアダプタ]に移動します。[ DNS 設定] セクションで、プライマリ DNS サーバーとセカンダリ DNS サーバーの詳細を指定し、[ 設定の変更] をクリックします。

    DNS 設定

[ Office 365 ブレイクアウトポリシー ] 設定は、[グローバル設定] の下で使用できます。インターネットブレイクアウトに必要な Office 365 カテゴリを選択し、[ 適用] をクリックします。

O365有効化

Office 365 を構成した後、ポリシー設定をブレークアウトし、構成をコンパイルします。次の設定は自動入力されます。

  • DNSオブジェクト -DNSオブジェクトは、ユーザーが構成されているDNSサービスに転送するトラフィックの種類を指定します。DNS 要求はすべての信頼されたインターフェイスで受信され、DNS フォワーダーは Office 365 の DNS 要求を Quad9 サービスに送信するために含まれます。このフォワーダ規則は、最も高い優先順位を取ります。詳細については、「 ドメインネームサービス 」セクションを参照してください。

  • アプリケーションオブジェクト -ユーザーが選択した Office 365 カテゴリを持つアプリケーションオブジェクトが作成されます。最適化、許可、およびデフォルトのカテゴリを選択した場合は、アプリケーション・オブジェクト O365Optimize_InternetBreakout、O365Allow_InternetBreakoutO365Default_InternetBreakout が作成されます。

    アプリケーションオブジェクト

  • アプリケーションルート: インターネットサービスの種類を持つ Office 365 アプリケーションオブジェクトごとに、アプリケーションルートが作成されます。 アプリケーションルート

  • ファイアウォール事前アプライアンスポリシーテンプレート: 構成済みの Office 365 カテゴリごとに、グローバル事前アプライアンスポリシーテンプレートが作成されます。このテンプレートは、インターネットサービスを持つすべてのブランチサイトに適用されます。アプライアンスの前ポリシーは、ローカルおよびアプライアンスの後ポリシーテンプレートよりも優先されます。

    アプリケーション前ポリシー・テンプレート

Office 365 の透過的なフォワーダー

Office 365 のブランチは、DNS 要求から始まります。Office 365 ドメインを経由する DNS 要求は、ローカルで操作する必要があります。Office 365 のインターネットブレークアウトを有効にすると、内部 DNS ルートが決定され、透過フォワーダーリストが自動的に設定されます。Office 365 の DNS 要求は、既定でオープンソースの DNS サービス Quad 9 に転送されます。Quad 9 DNSサービスは、安全でスケーラブルで、マルチポップな存在感を持っています。必要に応じて DNS サービスを変更できます。

Office 365 アプリケーション用の透過的なフォワーダーは、インターネットサービスと Office 365 ブレイクアウトが有効になっているすべてのブランチで作成されます。

別の DNS プロキシを使用している場合、または SD-WAN が DNS プロキシとして構成されている場合、Office 365 アプリケーションのフォワーダーがフォワーダー一覧に自動的に入力されます。

転送フォワーダ

監視

Office 365 アプリケーションの統計情報は、次の SD-WAN 統計レポートで監視できます。

  • ファイアウォールの統計情報

    ファイアウォールの統計情報

  • フロー

    フロー

  • DNS 統計情報

    DNS プロキシの監視

  • アプリケーションルート統計情報

    アプリケーションルートの統計情報

SD-WAN Centerアプリケーションレポートで Office 365 アプリケーションの統計情報を表示することもできます。

アプリケーションレポート

トラブルシューティング

サービスエラーは、SD-WAN アプライアンスの [ イベント ] セクションで確認できます。

エラーを確認するには、[ 構成] > [システムメンテナンス] > [診断] の順に選択し、[ イベント ] タブをクリックします。

イベント

Citrix サービス(sdwan-app-routing.citrixnetworkapi.net)への接続に問題がある場合、エラーメッセージは[ イベントの表示 ]テーブルに表示されます。

イベントを表示

接続エラーも SDWAN_DPI.logに記録されます。ログを表示するには、 [構成]>[アプライアンスの設定]>[ログ/監視]>[ログオプション]に移動します。ドロップダウンリストから SDWAN_DPI.log を選択し、[ ログの表示] をクリックします。

ログファイルをダウンロードすることもできます。ログファイルをダウンロードするには、[Download Log file] セクションの下のドロップダウンリストから必要な ログファイルを選択し、[Download Log] をクリックします。

ログのダウンロード

制限事項

  • Office 365 のブレークアウトポリシーが構成されている場合、構成された IP アドレスのカテゴリ宛ての接続では、ディープパケットインスペクションは実行されません。
  • 自動作成されたファイアウォールポリシーとアプリケーションルートは編集できません。
  • 自動作成されたファイアウォールポリシーの優先順位が最も低く、編集できません。
  • 自動作成されたアプリケーションルートのルートコストは 5 です。このルートは、低コストのルートで上書きできます。
Office 365 の最適化