Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Requisitos de proxy
Los dispositivos requieren acceso directo al punto de conexión de servicio en la nube de optimización de distribución: *.do.dsp.mp.microsoft.com. Configure el proxy para permitir el tráfico a este punto de conexión. Aunque optimización de distribución puede usar la funcionalidad de detección automática de proxy de WinHttp para controlar la comunicación de proxy, el acceso directo a este punto de conexión garantiza un rendimiento y conectividad P2P óptimos.
Se recomienda omitir el proxy cuando el proxy realiza cualquiera de las siguientes acciones:
- Inspección de TLS.
- Examina o modifica el contenido de la respuesta.
- Oculta la verdadera dirección IP pública del cliente de forma que pueda afectar negativamente a la conectividad P2P.
- No se puede configurar de otro modo para evitar los comportamientos enumerados anteriormente.
La omisión de este punto de conexión ayuda a garantizar que la optimización de distribución pueda identificar con precisión los dispositivos del mismo nivel y establecer conexiones P2P eficaces.
Nota
Si permitir el acceso directo a Internet no es una opción, pruebe a usar Group DownloadMode '2' para definir el grupo de emparejamiento. Obtenga más información sobre el uso de Group DownloadMode.
Inspección de TLS y anclaje de certificados
Optimización de distribución usa el anclaje de certificados al conectarse a sus puntos de conexión de servicio en la nube. El cliente comprueba que el servidor presenta un certificado de Microsoft específico. Un proxy que realiza la inspección tls (también denominada inspección SSL o interceptación HTTPS) reemplaza el certificado de servidor por uno firmado por la propia entidad de certificación del proxy. Esto interrumpe la validación de certificados de optimización de distribución, lo que provoca un error en las conexiones de servicio.
Importante
La inspección de TLS debe deshabilitarse para los puntos de conexión de optimización de distribución y caché conectada de Microsoft. No hay ninguna solución alternativa. Optimización de distribución no aceptará un certificado sustituto para estas conexiones.
Puntos de conexión que se van a excluir de la inspección de TLS
Debe omitir la inspección de TLS para los siguientes puntos de conexión:
| Extremo | Usado por | Por qué se requiere la exención |
|---|---|---|
geo.prod.do.dsp.mp.microsoft.com |
Inicialización de MCC y servicio geográfico de DO | Anclaje de certificados: MCC notifica "Error en la comprobación del certificado geográfico" si se intercepta |
array*.prod.do.dsp.mp.microsoft.com |
DO cloud service (detección del mismo nivel, configuración) | Anclaje de certificados: se produce un error en la conexión si se reemplaza el certificado. |
Nota
Otros puntos de conexión de carga no usan el anclaje de certificados. Puede mantener habilitada la inspección de TLS para estos puntos de conexión.
Para obtener una lista completa de los puntos de conexión utilizados por optimización de distribución y caché conectada de Microsoft, consulte Puntos de conexión de contenido y servicios de la caché conectada de Microsoft.
Impacto cuando la inspección de TLS está activa
Cuando la inspección de TLS está activa en los puntos de conexión de optimización de distribución, puede experimentar lo siguiente:
- Se produce un error en las descargas punto a punto (P2P). Optimización de distribución no se puede conectar al servicio en la nube para detectar elementos del mismo nivel, por lo que todas las descargas se vuelven a realizar solo en CDN.
- Se produce un error en la detección de la caché conectada de Microsoft (MCC). MCC usa el mismo servicio en la nube para la inicialización. Si se produce un error en la conexión del servicio geográfico, MCC notifica "Error en la comprobación del certificado geográfico" y no puede completar su configuración.
- Las descargas vuelven a ser solo HTTP. Mientras el contenido sigue descargando, perderá el ahorro de ancho de banda de P2P y MCC.
Comprobación y solución de problemas
Para confirmar que el proxy no intercepta las conexiones de optimización de distribución, ejecute el Solucionador de problemas de optimización de distribución con el -HealthCheck modificador . Esto comprueba la conectividad con los puntos de conexión de servicio de DO e informa de errores de validación de certificados. Para obtener más información, consulte Solución de problemas de optimización de distribución.
Configuración del proxy en la nube (Zscaler, similar)
Si usa Zscaler o un proxy en la nube similar:
- Omita los nombres de host del servicio DO (
*.do.dsp.mp.microsoft.com) de la inspección de TLS y permita ese tráfico directamente a Internet. - Las direcciones URL de contenido y metadatos pueden pasar opcionalmente por el proxy, pero no deben tener su contenido modificado.
- Compruebe que el proxy no modifica la dirección IP de origen del cliente para las llamadas de servicio DO. Optimización de distribución usa la dirección IP del cliente para la ubicación geográfica y la coincidencia del mismo nivel.
Nota
Las llamadas al servicio optimización de distribución (a *.do.dsp.mp.microsoft.com) no pueden pasar por un proxy que altere la dirección IP del cliente, porque el servicio usa la dirección IP para la ubicación geográfica y la coincidencia del mismo nivel. Las descargas de carga de contenido (archivos de actualización reales) pueden pasar por un proxy.
Configuración del proxy
Cuando Optimización de distribución descarga contenido de orígenes HTTP, usa la funcionalidad de detección automática de proxy de WinHttp estableciendo la marca WINHTTP_ACCESS_TYPE_AUTOMATIC_PROXY en todas las llamadas HTTP. Proporciona WinHttp con un token para el usuario que ha iniciado sesión actualmente, que WinHttp usa para autenticarse automáticamente en el proxy.
Para habilitar la optimización de distribución para usar el proxy, configúrelo a través de la configuración de Proxy de Windows (WinINET, valores de proxy de Internet Explorer históricamente).
Establezca el proxy de Windows como todo el dispositivo para asegurarse de que el dispositivo puede acceder al servidor proxy incluso cuando ningún usuario haya iniciado sesión. En este caso, se accede al proxy con el contexto "NetworkService" si se requiere autenticación de proxy.
Nota
No se recomienda usar netsh winhttp set proxy ProxyServerName:PortNumber. Este comando no ofrece detección automática del proxy, no admite direcciones URL pac explícitas ni autenticación en el proxy. WinHTTP también lo omite para las solicitudes que usan la detección automática con un token de usuario interactivo.
Comportamiento del proxy por contexto de usuario:
- Cuando un usuario inicia sesión, el sistema usa el proxy de Windows.
- Cuando no se ha iniciado sesión ningún usuario y se establecen las configuraciones de Proxy de Windows y netsh, la configuración de netsh tiene prioridad. Esto puede dar lugar a errores de descarga, como errores de HTTP_E_STATUS_PROXY_AUTH_REQ o HTTP_E_STATUS_DENIED.
Si la configuración de proxy usa un proxy estáticoServerName:Port, puede importar la configuración de proxy desde Internet Explorer mediante:
netsh winhttp import proxy source=ie
Sin embargo, las mismas limitaciones mencionadas anteriormente se aplican a esta configuración importada.
Configuración de un proxy en todo el dispositivo mediante MDM
Para establecer la configuración de proxy para todos los usuarios a través de MDM (por ejemplo, Intune), use el CSP del proxy de red. Este método aplica la configuración de proxy de todo el dispositivo que funciona para todos los contextos de usuario, incluidos los usuarios interactivos y los servicios en segundo plano como NetworkService.
Configuración de un proxy en todo el dispositivo mediante directiva de grupo
Si administra dispositivos a través de Active Directory, puede aplicar la configuración de proxy a todos los usuarios del dispositivo habilitando la directiva Configuración > del equipo Plantillas > administrativas Componentes de Windows Internet > Explorer > Establecer la configuración de proxy por equipo (en lugar de por usuario).
Al habilitar esta directiva, la configuración del proxy se aplica uniformemente a todos los usuarios del dispositivo. Esto significa que todos los usuarios deben usar el mismo conjunto de configuración de proxy en el nivel de dispositivo y los usuarios no pueden invalidarlo con su propia configuración de proxy. Si deshabilita esta directiva o la deja "No configurada", los usuarios pueden establecer su propia configuración de proxy individual.
Compatibilidad con solicitudes de intervalo de bytes
Optimización de distribución descarga contenido en fragmentos, normalmente 1 MB cada uno, mediante encabezados de intervalo HTTP. El proxy debe admitir solicitudes de intervalo de bytes (respuestas de contenido parcial HTTP 206) para que las descargas funcionen correctamente.
Si el proxy bloquea o quita las solicitudes de intervalo de bytes:
- En su lugar, las descargas obtienen archivos completos. Sin compatibilidad con intervalos de bytes, el cliente descarga el archivo completo, que es significativamente mayor.
- El uso compartido de P2P deja de funcionar. Los elementos del mismo nivel comparten partes individuales entre sí. Sin compatibilidad con intervalos de bytes, el cliente descarga el archivo completo y no puede usar datos parciales de los elementos del mismo nivel.
- Se produce un error en las descargas de caché conectadas o se hace más grande. La caché conectada sirve contenido mediante intervalos de bytes HTTP estándar. Si el proxy elimina los encabezados de intervalo, el cliente recibe el archivo completo o encuentra errores.
Importante
Asegúrese de que el proxy permite solicitudes de intervalo de bytes para el tráfico de optimización de distribución. Compruebe que los Rangeencabezados HTTP , Content-Rangey Accept-Ranges pasan sin modificaciones.
Caché conectada de Microsoft detrás de un proxy
Si usa Microsoft Connected Cache, puede configurar el servidor de caché conectada para usar un proxy para las conexiones salientes a Internet.
La configuración de proxy del servidor de caché conectada es independiente de la configuración del proxy de optimización de distribución. Aunque los clientes de optimización de distribución necesitan la configuración de proxy para llegar al servicio en la nube (como se describió anteriormente), es posible que el propio servidor de caché conectada también necesite la configuración de proxy para llegar a los servidores de contenido de Microsoft.
La caché conectada admite el uso de un proxy no autenticado para las conexiones salientes. Para obtener pasos de configuración detallados, consulte Configuración del proxy de caché conectada de Microsoft.
Comportamiento de tiempo de conexión de proxy
Cuando optimización de distribución funciona detrás de un proxy, las descargas iniciales pueden tardar más tiempo en comenzar. Esto sucede porque la optimización de distribución debe realizar la detección de proxy y la autenticación de usuario a través de componentes de red de Windows antes de que se inicie la transferencia de contenido.
Comprenda lo siguiente sobre el comportamiento de conexión de optimización de distribución con servidores proxy:
- Varias conexiones: optimización de distribución establece varias conexiones entre el cliente y diferentes servicios en la nube de optimización de distribución.
- Reutilización de conexiones: optimización de distribución usa la agrupación de conexiones de WinHTTP para reutilizar las conexiones. Cuando una conexión está inactiva durante aproximadamente 60 segundos, se cierra. Las solicitudes posteriores deben establecer nuevas conexiones, lo que puede agregar tiempo a las descargas.
Este tiempo de configuración adicional es normal y el comportamiento esperado, y no indica un problema con la configuración del proxy.
Resumen del comportamiento de la configuración
En las tablas siguientes se muestra cómo optimización de distribución controla las distintas configuraciones de proxy en función del contexto de usuario. Las tablas distinguen entre dos escenarios: cuando un usuario ha iniciado sesión activamente y cuando se producen descargas sin un usuario interactivo (mediante el contexto NetworkService, normalmente para descargas en segundo plano o programadas).
Cuando un usuario interactivo ha iniciado sesión:
| Método de configuración | Optimización de distribución usa proxy |
|---|---|
| Proxy de Internet Explorer (usuario actual) | Sí |
| Proxy de Internet Explorer (en todo el dispositivo) | Sí |
| proxy netsh | No |
| Proxy de Internet Explorer (usuario actual) y proxy netsh | Sí, se usa el proxy de Internet Explorer |
| Proxy de Internet Explorer (todo el dispositivo) y proxy netsh | Sí, se usa el proxy de Internet Explorer |
Cuando no se ha iniciado sesión ningún usuario (contexto networkservice):
| Método de configuración | Optimización de distribución usa proxy |
|---|---|
| Proxy de Internet Explorer (usuario actual) | No |
| Proxy de Internet Explorer (en todo el dispositivo) | Sí |
| proxy netsh | Sí |
| Proxy de Internet Explorer (usuario actual) y proxy netsh | Sí, se usa el proxy netsh |
| Proxy de Internet Explorer (todo el dispositivo) y proxy netsh | Sí, se usa el proxy netsh |
Sugerencia
Para obtener la configuración de proxy más confiable, use la configuración de proxy de Internet Explorer para todo el dispositivo. Este método funciona en ambos contextos de usuario y garantiza que la optimización de distribución pueda acceder al proxy independientemente de si un usuario ha iniciado sesión o no.