VPN:n jakotunnelin toteuttaminen Microsoft 365:lle
Huomautus
Tämä artikkeli on osa artikkeleita, jotka käsittelevät Microsoft 365:n optimointia etäkäyttäjille.
- Yleiskatsaus MICROSOFT 365 -yhteyden optimoinnista etäkäyttäjille VPN-tunneloinnin avulla on artikkelissa Yleiskatsaus: VPN:n jakotunneli Microsoft 365:lle.
- Yksityiskohtainen luettelo VPN:n jakotunnelin skenaarioista on artikkelissa Microsoft 365:n yleiset VPN-jakotunnelin skenaariot.
- Saat lisätietoja Teams-medialiikenteen suojaamisesta VPN:n jaetun tunneloinnin ympäristöissä artikkelista Teams-medialiikenteen suojaaminen VPN-tunneloinnin kautta.
- Lisätietoja Streamin ja live-tapahtumien määrittämisestä VPN-ympäristöissä on kohdassa Streamiin liittyvät erityisnäkökohdat ja VPN-ympäristöjen live-tapahtumat.
- Lisätietoja Microsoft 365:n maailmanlaajuisen vuokraajan suorituskyvyn optimoimisesta käyttäjille Kiinassa on artikkelissa Microsoft 365:n suorituskyvyn optimointi Kiinan käyttäjille.
Microsoftin suositeltu etätyöntekijän yhteysstrategia keskittyy ongelmien nopeaan lieventämiseen ja suorituskykyyn muutamalla yksinkertaisella vaiheella. Nämä vaiheet muokkaavat vanhaa VPN-lähestymistapaa muutamissa määritetyissä päätepisteissä, jotka ohittavat pullonkaulat VPN-palvelimet. Eri kerroksissa voidaan käyttää vastaavaa tai jopa ylivertaista suojausmallia, jonka avulla voidaan poistaa tarve suojata kaikki liikenne yritysverkon lähtevän liikenteen kautta. Useimmissa tapauksissa tämä voidaan toteuttaa tehokkaasti muutamassa tunnissa, ja se skaalataan sitten muihin kuormituksiin vaatimusten ja ajan salliessa.
VPN-jakotunnelin käyttöönotto
Tässä artikkelissa on yksinkertaiset vaiheet VPN-asiakasarkkitehtuurin siirtämiseksi VPN-pakotetusta tunnelistaVPN-pakotettuun tunneliin muutamaa luotettua poikkeusta lukuun ottamatta, VPN:n jaettu tunnelimalli 2Yleisissä VPN-tunnelointitilanteissa Microsoft 365:lle.
Alla olevassa kaaviossa kuvataan, miten suositeltu VPN-tunneliratkaisu toimii:
1. Optimoitavat päätepisteet
Microsoft 365:n URL-osoitteet ja IP-osoitealueet -artikkelissa Microsoft tunnistaa selkeästi tärkeimmät päätepisteet, jotka sinun on optimoitava, ja luokittelee ne optimoinniksi. Tällä hetkellä on vain neljä URL-osoitetta ja 20 IP-aliverkkoa, jotka on optimoitava. Tämän pienen päätepisteryhmän osuus Microsoft 365 -palveluun liikenteen määrästä on noin 70 –80 prosenttia, mukaan lukien viiveet huomioon ottava päätepisteet, kuten Teams-median päätepisteet. Pohjimmiltaan tämä on liikenne, josta meidän on erityisesti huolehdittava, ja se on myös liikenne, joka aiheuttaa uskomattomia paineita perinteisille verkkopoluille ja VPN-infrastruktuurille.
Tämän luokan URL-osoitteilla on seuraavat ominaisuudet:
- Ovatko Microsoftin omistamat ja hallitut päätepisteet Isännöity Microsoftin infrastruktuurissa?
- Onko IPS:iä annettu
- Pieni muutosaste, jonka odotetaan pysyvän pienenä (tällä hetkellä 20 IP-aliverkkoa)
- Onko kaistanleveys ja/tai viive merkitsevä
- Palvelun pakolliset suojauselementit eivät ole verkossa
- Microsoft 365 -palveluun liikenteen osuus on noin 70–80 %
Lisätietoja Microsoft 365 -päätepisteistä ja niiden luokittelusta ja hallinnasta on artikkelissa Microsoft 365 -päätepisteiden hallinta.
URL-osoitteiden optimointi
Nykyiset optimoinnin URL-osoitteet löytyvät alla olevasta taulukosta. Useimmissa tilanteissa sinun tulee käyttää URL-päätepisteitä vain selaimen PAC-tiedostossa , jossa päätepisteet on määritetty lähetettäväksi suoraan välityspalvelimen sijaan.
| URL-osoitteiden optimointi | Portti tai protokolla | Käyttötarkoitus |
|---|---|---|
| https://outlook.office365.com | TCP 443 | Tämä on yksi tärkeimmistä URL-osoitteista, joiden avulla Outlook muodostaa yhteyden Exchange Online palvelimeen. Sen kaistanleveyden ja yhteyksien määrä on suuri. Verkko-ominaisuuksille, kuten pikahaulle, muille postilaatikoiden kalentereille, vapaiden ja varattujen aikojen hauille, sääntöjen ja ilmoitusten hallintaan, Exchange Online -arkistolle, lähtevät sähköpostit, tarvitaan pieni verkon viive. |
| https://outlook.office.com | TCP 443 | Tätä URL-osoitetta käytetään Outlook Online Web Accessissa yhteyden muodostamiseksi Exchange Online palvelimeen, ja se huomioi verkkoviiveen. Yhdistettävyyttä tarvitaan erityisesti suurten tiedostojen lataamiseen ja lataamiseen SharePoint Onlinen avulla. |
https://\<tenant\>.sharepoint.com |
TCP 443 | Tämä on SharePoint Onlinen ensisijainen URL-osoite, ja sen käyttökaistan leveys on suuri. |
https://\<tenant\>-my.sharepoint.com |
TCP 443 | Tämä on OneDrive for Business ensisijainen URL-osoite, ja sillä on suuri kaistanleveys ja mahdollisesti suuri yhteyksien määrä OneDrive for Business Sync -työkalusta. |
| Teams-media-IP:t (ei URL-osoitetta) | UDP 3478, 3479, 3480 ja 3481 | Releen resurssienetsintä ja reaaliaikainen liikenne. Nämä ovat päätepisteet, joita käytetään Skype for Business- ja Microsoft Teams -medialiikenteessä (puhelut, kokoukset jne.). Useimmat päätepisteet annetaan, kun Microsoft Teams -asiakasohjelma muodostaa kutsun (ja ne sisältyvät palvelun pakollisiin IPS-tunnuksiin). Optimaalisen medialaadun takaaminen edellyttää UDP-protokollan käyttöä. |
Yllä oleissa esimerkeissä vuokraaja tulee korvata Microsoft 365 -vuokraajan nimelläsi. Esimerkiksi contoso.onmicrosoft.comkäyttäisivät contoso.sharepoint.com ja contoso-my.sharepoint.com.
IP-osoitealueiden optimointi
Kirjoitettaessa IP-osoitealueita, joita nämä päätepisteet vastaavat, ovat seuraavat. Suosittelemme painokkaasti , että käytät tämän esimerkin kaltaisia komentosarjoja , Microsoft 365:n IP- ja URL-verkkopalvelua tai URL-osoitetta/IP-sivua , jotta voit tarkistaa päivitykset määritystä käytettäessä ja ottaa käytännön käyttöön säännöllisesti. Jos käytät jatkuvaa käytön arviointia, katso jatkuvan käytön arvioinnin IP-osoitevariaatio. Optimoidut IP-osoitteet luotettavan IP-osoitteen tai VPN:n kautta saatetaan vaatia estämään insufficient_claims liittyvät estot tai Ip-pikakäyttöönoton tarkistus epäonnistuivat tietyissä tilanteissa.
104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15
2. Optimoi näiden päätepisteiden käyttöoikeus VPN:n avulla
Nyt kun olemme tunnistaneet nämä kriittiset päätepisteet, ne on ohjattava pois VPN-tunnelista ja annettava niiden käyttää käyttäjän paikallista Internet-yhteyttä suoraan palveluun yhdistämiseen. Tapa, jolla tämä tehdään, vaihtelee käytetyn VPN-tuotteen ja -koneen käyttöympäristön mukaan, mutta useimmat VPN-ratkaisut mahdollistavat yksinkertaisen käytäntömäärityksen tämän logiikan soveltamiseksi. Lisätietoja VPN-alustakohtaisista jaetun tunnelin ohjeista on ohjeaiheessa YLEISTEN VPN-alustojen HOWTO-oppaat.
Jos haluat testata ratkaisua manuaalisesti, voit suorittaa seuraavan PowerShell-esimerkin jäljitelläksesi ratkaisua reititystaulukkotasolla. Tämä esimerkki lisää reitityksen kullekin Teams Media IP -aliverkolle reittitaulukkoon. Voit testata Teams-median suorituskykyä ennen ja jälkeen ja tarkkailla eroja määritettyjen päätepisteiden reiteillä.
Esimerkki: Teams-media-IP-aliverkkojen lisääminen reittitaulukkoon
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Yllä olevassa komentosarjassa $intIndex on Internetiin yhdistetyn liittymän indeksi (etsi suorittamalla get-netadapter PowerShellissä; etsi arvo ifIndex) ja $gateway on kyseisen liittymän oletusyhdyskäytävä (etsi suorittamalla ipconfig komentokehotteessa tai (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop PowerShellissä).
Kun olet lisännyt reitit, voit vahvistaa reititystaulukon olevan oikein suorittamalla reitityksen tulostuksen komentokehotteessa tai PowerShellissä. Tulosteen tulee sisältää lisäämäsi reitit, jotka näyttävät liittymäindeksin (tässä esimerkissä 22 ) ja kyseisen liittymän yhdyskäytävän (tässä esimerkissä 192.168.1.1 ):
Jos haluat lisätä reitityksiä kaikille Nykyisille IP-osoitealueille Optimoi-luokassa, voit käyttää seuraavaa komentosarjavariaatiota kyselemään Microsoft 365:n IP- ja URL-verkkopalvelua nykyisille IP-aliverkkojen optimointijoukolle ja lisäämään ne reittitaulukkoon.
Esimerkki: Lisää kaikki Optimoi aliverkot reititystaulukkoon
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Jos lisäsit vahingossa virheellisiä parametreja sisältäviä reittejä tai haluat vain palauttaa tekemäsi muutokset, voit poistaa juuri lisäämäsi reitit seuraavalla komennolla:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
VPN-asiakasohjelma tulee määrittää niin, että liikenne optimoinnin INTERNET-tiedostoihin reititetään tällä tavalla. Näin liikenne voi käyttää paikallisia Microsoftin resursseja, kuten Microsoft 365 Service Front Doorsia, kuten Azure Front Dooria , joka tarjoaa Microsoft 365 -palveluita ja yhteyspäätepisteitä mahdollisimman lähelle käyttäjiäsi. Näin voimme tarjota käyttäjille suuren suorituskyvyn kaikkialla maailmassa ja hyödyntää täysimääräisesti Microsoftin maailmanluokan maailmanlaajuista verkkoa, joka on todennäköisesti muutaman millisekunnin säteellä käyttäjien suorasta lähtemisestä.
HOWTO-oppaat yleisille VPN-alustoille
Tässä osiossa on linkkejä yksityiskohtaisiin oppaisiin microsoft 365 -liikenteen jaetun tunneloinnin toteuttamiseksi tämän tilan yleisimmistä kumppaneista. Lisäämme lisäoppaita, kun niitä tulee saataville.
- Windows 10 VPN-asiakasohjelma: Microsoft 365 -liikenteen optimointi etätyöntekijöille alkuperäisellä Windows 10 VPN-asiakasohjelmalla
- Cisco Anyconnect: Optimoi Mikä tahansa jaetun tunnelin yhdistäminen Office365:lle
- Palo Alto GlobalProtect: Microsoft 365 -liikenteen optimointi VPN Split -tunnelin kautta Jätä pois käyttöreitti
- F5 Networks BIG-IP APM: Microsoft 365 -liikenteen optimointi etäkäytössä VPN:ien kautta käytettäessä BIG-IP APM:ää
- Citrix Gateway: Citrix Gatewayn VPN-jaetun tunnelin optimointi Office365:lle
- Pulse Secure: VPN-tunnelointi: Jaetun tunneloinnin määrittäminen 365-sovellusten ulkopuolelle
- Check Point VPN: Split Tunnelin määrittäminen Microsoft 365:lle ja muille SaaS-sovelluksille
Aiheeseen liittyviä artikkeleita
Yleiskatsaus: VPN-tunneloinnin jakaminen Microsoft 365:lle
Microsoft 365:n yleiset VPN-jakotunnelin skenaariot
Teamsin medialiikenteen suojaaminen VPN-jakotunnelointipalvelua varten
Huomioon otettavia seikkoja Streamissa ja VPN-ympäristöjen live-tapahtumissa
Microsoft 365:n suorituskyvyn optimointi Kiinan käyttäjille
Microsoft 365:n verkkoyhteysperiaatteet
Microsoft 365:n verkkoyhteyden arviointi
Microsoft 365 -verkko ja suorituskyvyn säätö
Vpn:n käyttö: Miten Microsoft pitää etätyövoimansa yhteydessä
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle