Huomioon otettavia seikkoja Stream- ja Teams-tapahtumissa VPN-ympäristöissä
Huomautus
Tämä artikkeli on osa artikkeleita, jotka käsittelevät Microsoft 365:n optimointia etäkäyttäjille. Seuraavat päätepisteet koskevat maailmanlaajuisia kaupallisia ja julkishallinnon yhteisöpilviympäristöjä (GCC). tässä luetellut päätepisteet eivät koske Yhdysvaltain hallituksen GCC High- tai U.S. Government DoD -ympäristöjä.
- Yleiskatsaus MICROSOFT 365 -yhteyden optimoinnista etäkäyttäjille VPN-tunneloinnin avulla on artikkelissa Yleiskatsaus: VPN:n jakotunneli Microsoft 365:lle.
- Tarkempia ohjeita VPN-jakotunnelin käyttöönotosta on artikkelissa VPN-tunneloinnin toteuttaminen Microsoft 365:lle.
- Yksityiskohtainen luettelo VPN:n jakotunnelin skenaarioista on artikkelissa Microsoft 365:n yleiset VPN-jakotunnelin skenaariot.
- Saat lisätietoja Teams-medialiikenteen suojaamisesta VPN:n jaetun tunneloinnin ympäristöissä artikkelista Teams-medialiikenteen suojaaminen VPN-tunneloinnin kautta.
- Lisätietoja Microsoft 365:n maailmanlaajuisen vuokraajan suorituskyvyn optimoimisesta käyttäjille Kiinassa on artikkelissa Microsoft 365:n suorituskyvyn optimointi Kiinan käyttäjille.
Microsoft 365 -livetapahtumien osallistujien liikenne (tämä sisältää Teamsin tuottamien live-tapahtumien osallistujat ja ulkoisella koodaustoiminnolla Teamsin, Streamin tai Viva Engagen kautta tuotetut), Microsoft Teamsin kaupungintalon osallistujien liikenne ja pyydettäessä suoritettava Stream-osallistujaliikenne luokitellaan tällä hetkellä palvelun URL-/IP-luettelossaoletukseksi tai optimoinniksi. Nämä päätepisteet luokitellaan oletukseksi , koska niitä isännöidä cdn-levyillä, joita myös muut palvelut saattavat käyttää. Asiakkaat käyttävät yleensä mieluummin välityspalvelintyyppistä liikennettä ja käyttävät kaikkia suojauselementtejä, joita yleensä tehdään tällaisissa päätepisteissä.
Monet asiakkaat ovat pyytäneet URL-osoite-/IP-tietoja, joita tarvitaan osallistujien yhdistämiseen Stream- tai Teams-tapahtumiin suoraan paikallisesta Internet-yhteydestä sen sijaan, että he reitittäneet suuren määrän ja viiveen huomioon ottavan liikenteen VPN-infrastruktuurin kautta. Yleensä tämä ei ole mahdollista ilman erillisiä nimitiloja ja päätepisteiden tarkkoja IP-tietoja, joita ei anneta Microsoft 365:n päätepisteille , jotka on luokiteltu default-arvoiksi.
Seuraavien vaiheiden avulla voit ottaa käyttöön suorat yhteydet Stream- tai Teams-tapahtumien palveluille asiakkailta, jotka käyttävät pakotettua tunnelin VPN:ää. Tämä ratkaisu on tarkoitettu tarjoamaan asiakkaille mahdollisuus välttää tapahtumien reititystä VPN-yhteyden kautta, kun verkkoliikenne on suurta kotikäyttötilanteiden vuoksi. Jos mahdollista, suosittelemme käyttämään palvelua tarkastavan välityspalvelimen kautta.
Huomautus
Tämän ratkaisun avulla on ehkä palveluelementtejä, jotka eivät ratkaise annettuja IP-osoitteita ja kulkevat siten VPN:n läpi, mutta suuren määrän liikennettä, kuten virtautettavien tietojen, pitäisi olla. Live-tapahtumien tai Streamin alueen ulkopuolella voi olla muitakin elementtejä, jotka jäävät tämän kuormituksen ulkopuolelle, mutta niiden on oltava rajoitettuja, koska niiden on täytettävä sekä FQDN - että IP-vastaavuus ennen suoraa käyttöä.
Tärkeää
Suosittelemme, että punnitsit riskiä lähettää enemmän liikennettä, joka ohittaa VPN:n live-tapahtumien suorituskyvyn parantamiseksi.
Pakotetun tunnelipoikkeuksen käyttöönotto Teams-tapahtumille ja Streamille tulee noudattaa seuraavia vaiheita:
1. Määritä ulkoinen DNS-tarkkuus
Asiakkaat tarvitsevat ulkoisen, rekursiivisen DNS-tarkkuuden ollakseen käytettävissä, jotta seuraavat isäntänimet voidaan ratkaista IP-osoitteiksi.
- *.azureedge.net
- *.media.azure.net
- *.bmc.cdn.office.net
- *.ml.cdn.office.net
*.azureedge.net käytetään Stream-tapahtumissa (Suoratoiston koodaustoiminnon määrittäminen Microsoft Streamissa - Microsoft Stream | Microsoft Docs).
*.media.azure.net ja *.bmc.cdn.office.net ovat Teamsin tuottamia livetapahtumia (pika-aloitustapahtumia ja RTMP-In tuettuja tapahtumia) teams-asiakasohjelmasta ajoitettuihin tapahtumiin.
*.media.azure.net-, *.bmc.cdn.office.net - ja *.ml.cdn.office.net-tapahtumilla käytetään Teamsin kaupungintalon tapahtumia.
Jotkin näistä päätepisteistä jaetaan muiden Stream- tai Teams-tapahtumien ulkopuolisten elementtien kanssa. Emme suosittele pelkästään näiden FQDN:ien käyttämistä VPN-kuormituksen määrittämiseen, vaikka VPN-ratkaisusi olisi teknisesti mahdollista (esimerkiksi jos se toimii FQDN:ssä IP-osoitteen sijaan).
VPN-määrityksessä ei tarvita FQDN-koodeja, ja niitä käytetään vain PAC-tiedostoissa yhdessä IPS:ien kanssa, jotta asianmukainen liikenne voidaan lähettää suoraan.
2. Toteuta PAC-tiedoston muutokset (tarvittaessa)
Organisaatioissa, jotka käyttävät PAC-tiedostoa liikenteen reitittämiseen välityspalvelimen kautta VPN-yhteyden aikana, tämä tehdään yleensä FQDN:n avulla. Streamin/live-tapahtumien tai kaupungintalon tapauksessa annetut isäntänimet sisältävät kuitenkin yleismerkkejä, kuten *.azureedge.net, joka sisältää myös muita elementtejä, joille ei ole mahdollista tarjota täydellisiä IP-luetteloita. Jos pyyntö lähetetään siis suoraan pelkästään DNS-yleismerkkivastaavuus-asetuksen perusteella, liikenne näihin päätepisteisiin estetään, koska sille ei ole suoraa reittiä vaiheessa 3 myöhemmin tässä artikkelissa.
Voimme ratkaista tämän antamalla seuraavat IPS:t ja käyttämällä niitä yhdessä esimerkki-PAC-tiedoston isäntänimien kanssa vaiheessa 1 kuvatulla tavalla. PAC-tiedosto tarkistaa, vastaako URL-osoite Streamissa/ live-tapahtumissa/kaupungintalossa käytettyjä, ja jos se vastaa, se tarkistaa myös, vastaako DNS-hausta palautettu IP-osoite palvelulle annettuja ip-osoitteita. Jos molemmat vastaavat toisiaan, liikenne reititetään suoraan. Jos jompikumpi elementistä (FQDN/IP) ei vastaa toisiaan, liikenne lähetetään välityspalvelimelle. Tämän seurauksena määritys varmistaa, että kaikki IP-osoitteet, jotka eivät kuulu IP-osoitteisiin ja määritettyihin nimitiloihin, kulkevat välityspalvelimen kautta normaalisti VPN:n kautta.
Kerätään nykyisiä CDN-päätepisteiden luetteloita
Teams-tapahtumat käyttävät useita CDN-palveluntarjoajia suoratoistoon asiakkaille parhaan kattavuuden, laadun ja sujuvuuden tarjoamiseksi. Tällä hetkellä käytetään sekä Microsoftin Azure CDN:tä että Verizonia. Ajan mittaan tätä voi muuttaa esimerkiksi alueellisen käytettävyyden vuoksi. Tämä artikkeli on lähde, jonka avulla voit pitää ajan tasalla IP-osoitealueista.
Microsoftin Azure-sisältöverkkoa varten voit ladata luettelon kohdasta Lataa Azuren IP-alueet ja palvelutunnisteet – julkinen pilvipalvelu virallisesta Microsoft Download Centeristä – sinun on etsittävä erityisesti palvelutunnistetta AzureFrontdoor.Frontend JSON:sta; addressPrefixes näyttää aliverkot IPv4/IPv6. Ajan mittaan IPS:t voivat muuttua, mutta palvelutunnisteluettelo päivitetään aina ennen kuin ne otetaan käyttöön.
Verizon (Edgecast) Azure CDN:lle on täydellinen luettelo, joka käyttää Edge Nodes - List ( valitse Kokeile ) – sinun on etsittävä erityisesti Premium_Verizon osiota. Huomaa, että tämä ohjelmointirajapinta näyttää kaikki Edgecast-IP:t (alkuperä ja Anycast). Tällä hetkellä ohjelmointirajapinnalla ei ole mekanismia erottamaan alkuperää ja Anycastia.
Jos haluat ottaa tämän käyttöön PAC-tiedostossa, voit käyttää seuraavaa esimerkkiä, joka lähettää Microsoft 365:n optimoinnin liikenteen suoraan (mikä on suositeltavaa parhaaksi käytännöksi) FQDN:n kautta, sekä kriittisten Stream- ja live-tapahtumien liikennettä suoraan täydellisen toimiaikatunnuksen ja palautetun IP-osoitteen yhdistelmän kautta. Paikkamerkin nimeä Contoso on muokattava tietyn vuokraajan nimeen, josta Contoso on peräisin contoso.onmicrosoft.com
Esimerkki PAC-tiedostosta
Tässä on esimerkki PAC-tiedostojen luomisesta:
Tallenna alla oleva komentosarja paikalliselle kiintolevylle nimellä Get-TLEPacFile.ps1.
Siirry Verizon URL -osoitteeseen ja lataa tuloksena oleva JSON (kopioi liitä se tiedostoon, kuten cdnedgenodes.json)
Sijoita tiedosto samaan kansioon komentosarjan kanssa.
Suorita seuraava komento PowerShell-ikkunassa. Muuta vuokraajan nimi jollekin muulle, jos haluat SPO:n URL-osoitteet. Tämä on tyyppi 2, joten optimoi ja salli (tyyppi 1 on vain optimointi).
.\Get-TLEPacFile.ps1 -Instance Worldwide -Type 2 -TenantName <contoso> -CdnEdgeNodesFilePath .\cdnedgenodes.json -FilePath TLE.pacTLE.pac-tiedosto sisältää kaikki nimitilat ja IP-osoitteet (IPv4/IPv6).
Get-TLEPacFile.ps1
# Copyright (c) Microsoft Corporation. All rights reserved.
# Licensed under the MIT License.
<#PSScriptInfo
.VERSION 1.0.5
.AUTHOR Microsoft Corporation
.GUID 7f692977-e76c-4582-97d5-9989850a2529
.COMPANYNAME Microsoft
.COPYRIGHT
Copyright (c) Microsoft Corporation. All rights reserved.
Licensed under the MIT License.
.TAGS PAC Microsoft Microsoft365 365
.LICENSEURI
.PROJECTURI http://aka.ms/ipurlws
.ICONURI
.EXTERNALMODULEDEPENDENCIES
.REQUIREDSCRIPTS
.EXTERNALSCRIPTDEPENDENCIES
.RELEASENOTES
#>
<#
.SYNOPSIS
Create a PAC file for Microsoft 365 prioritized connectivity
.DESCRIPTION
This script will access updated information to create a PAC file to prioritize Microsoft 365 Urls for
better access to the service. This script will allow you to create different types of files depending
on how traffic needs to be prioritized.
.PARAMETER Instance
The service instance inside Microsoft 365.
.PARAMETER ClientRequestId
The client request id to connect to the web service to query up to date Urls.
.PARAMETER DirectProxySettings
The direct proxy settings for priority traffic.
.PARAMETER DefaultProxySettings
The default proxy settings for non priority traffic.
.PARAMETER Type
The type of prioritization to give. Valid values are 1 and 2, which are 2 different modes of operation.
Type 1 will send Optimize traffic to the direct route. Type 2 will send Optimize and Allow traffic to
the direct route.
.PARAMETER Lowercase
Flag this to include lowercase transformation into the PAC file for the host name matching.
.PARAMETER TenantName
The tenant name to replace wildcard Urls in the webservice.
.PARAMETER ServiceAreas
The service areas to filter endpoints by in the webservice.
.PARAMETER FilePath
The file to print the content to.
.EXAMPLE
Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -DefaultProxySettings "PROXY 4.4.4.4:70" -FilePath type1.pac
.EXAMPLE
Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -Instance China -Type 2 -DefaultProxySettings "PROXY 4.4.4.4:70" -FilePath type2.pac
.EXAMPLE
Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -Instance WorldWide -Lowercase -TenantName tenantName -ServiceAreas Sharepoint
#>
#Requires -Version 2
[CmdletBinding(SupportsShouldProcess=$True)]
Param (
[Parameter(Mandatory = $false)]
[ValidateSet('Worldwide', 'Germany', 'China', 'USGovDoD', 'USGovGCCHigh')]
[String] $Instance = "Worldwide",
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[guid] $ClientRequestId = [Guid]::NewGuid().Guid,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[String] $DirectProxySettings = 'DIRECT',
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[String] $DefaultProxySettings = 'PROXY 10.10.10.10:8080',
[Parameter(Mandatory = $false)]
[ValidateRange(1, 2)]
[int] $Type = 1,
[Parameter(Mandatory = $false)]
[switch] $Lowercase = $false,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[string] $TenantName,
[Parameter(Mandatory = $false)]
[ValidateSet('Exchange', 'SharePoint', 'Common', 'Skype')]
[string[]] $ServiceAreas,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[string] $FilePath,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[string] $CdnEdgeNodesFilePath
)
##################################################################################################################
### Global constants
##################################################################################################################
$baseServiceUrl = "https://endpoints.office.com/endpoints/$Instance/?ClientRequestId={$ClientRequestId}"
$directProxyVarName = "direct"
$defaultProxyVarName = "proxyServer"
$bl = "`r`n"
##################################################################################################################
### Functions to create PAC files
##################################################################################################################
function Get-PacClauses
{
param(
[Parameter(Mandatory = $false)]
[string[]] $Urls,
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[String] $ReturnVarName
)
if (!$Urls)
{
return ""
}
$clauses = (($Urls | ForEach-Object { "shExpMatch(host, `"$_`")" }) -Join "$bl || ")
@"
if($clauses)
{
return $ReturnVarName;
}
"@
}
function Get-PacString
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[array[]] $MapVarUrls
)
@"
// This PAC file will provide proxy config to Microsoft 365 services
// using data from the public web service for all endpoints
function FindProxyForURL(url, host)
{
var $directProxyVarName = "$DirectProxySettings";
var $defaultProxyVarName = "$DefaultProxySettings";
$( if ($Lowercase) { " host = host.toLowerCase();" })
$( ($MapVarUrls | ForEach-Object { Get-PACClauses -ReturnVarName $_.Item1 -Urls $_.Item2 }) -Join "$bl$bl" )
$( if (!$ServiceAreas -or $ServiceAreas.Contains('Skype')) { Get-TLEPacConfiguration })
return $defaultProxyVarName;
}
"@ -replace "($bl){3,}","$bl$bl" # Collapse more than one blank line in the PAC file so it looks better.
}
##################################################################################################################
### Functions to get and filter endpoints
##################################################################################################################
function Get-TLEPacConfiguration {
param ()
$PreBlock = @"
// Don't Proxy Teams Live Events traffic
if(shExpMatch(host, "*.azureedge.net")
|| shExpMatch(host, "*.bmc.cdn.office.net")
|| shExpMatch(host, "*.ml.cdn.office.net")
|| shExpMatch(host, "*.media.azure.net"))
{
var resolved_ip = dnsResolveEx(host);
"@
$TLESb = New-Object 'System.Text.StringBuilder'
$TLESb.Append($PreBlock) | Out-Null
if (![string]::IsNullOrEmpty($CdnEdgeNodesFilePath) -and (Test-Path -Path $CdnEdgeNodesFilePath)) {
$CdnData = Get-Content -Path $CdnEdgeNodesFilePath -Raw -ErrorAction SilentlyContinue | ConvertFrom-Json | Select-Object -ExpandProperty value |
Where-Object { $_.name -eq 'Premium_Verizon'} | Select-Object -First 1 -ExpandProperty properties |
Select-Object -ExpandProperty ipAddressGroups
$CdnData | Select-Object -ExpandProperty ipv4Addresses | ForEach-Object {
if ($TLESb.Length -eq $PreBlock.Length) {
$TLESb.Append(" if(") | Out-Null
}
else {
$TLESb.AppendLine() | Out-Null
$TLESb.Append(" || ") | Out-Null
}
$TLESb.Append("isInNetEx(resolved_ip, `"$($_.BaseIpAddress)/$($_.prefixLength)`")") | Out-Null
}
$CdnData | Select-Object -ExpandProperty ipv6Addresses | ForEach-Object {
if ($TLESb.Length -eq $PreBlock.Length) {
$TLESb.Append(" if(") | Out-Null
}
else {
$TLESb.AppendLine() | Out-Null
$TLESb.Append(" || ") | Out-Null
}
$TLESb.Append("isInNetEx(resolved_ip, `"$($_.BaseIpAddress)/$($_.prefixLength)`")") | Out-Null
}
}
$AzureIPsUrl = Invoke-WebRequest -Uri "https://www.microsoft.com/en-us/download/confirmation.aspx?id=56519" -UseBasicParsing -ErrorAction SilentlyContinue |
Select-Object -ExpandProperty Links | Select-Object -ExpandProperty href |
Where-Object { $_.EndsWith('.json') -and $_ -match 'ServiceTags' } | Select-Object -First 1
if ($AzureIPsUrl) {
Invoke-RestMethod -Uri $AzureIPsUrl -ErrorAction SilentlyContinue | Select-Object -ExpandProperty values |
Where-Object { $_.name -eq 'AzureFrontDoor.Frontend' } | Select-Object -First 1 -ExpandProperty properties |
Select-Object -ExpandProperty addressPrefixes | ForEach-Object {
if ($TLESb.Length -eq $PreBlock.Length) {
$TLESb.Append(" if(") | Out-Null
}
else {
$TLESb.AppendLine() | Out-Null
$TLESb.Append(" || ") | Out-Null
}
$TLESb.Append("isInNetEx(resolved_ip, `"$_`")") | Out-Null
}
}
if ($TLESb.Length -gt $PreBlock.Length) {
$TLESb.AppendLine(")") | Out-Null
$TLESb.AppendLine(" {") | Out-Null
$TLESb.AppendLine(" return $directProxyVarName;") | Out-Null
$TLESb.AppendLine(" }") | Out-Null
}
else {
$TLESb.AppendLine(" // no addresses found for service via script") | Out-Null
}
$TLESb.AppendLine(" }") | Out-Null
return $TLESb.ToString()
}
function Get-Regex
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string] $Fqdn
)
return "^" + $Fqdn.Replace(".", "\.").Replace("*", ".*").Replace("?", ".?") + "$"
}
function Match-RegexList
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string] $ToMatch,
[Parameter(Mandatory = $false)]
[string[]] $MatchList
)
if (!$MatchList)
{
return $false
}
foreach ($regex in $MatchList)
{
if ($regex -ne $ToMatch -and $ToMatch -match (Get-Regex $regex))
{
return $true
}
}
return $false
}
function Get-Endpoints
{
$url = $baseServiceUrl
if ($TenantName)
{
$url += "&TenantName=$TenantName"
}
if ($ServiceAreas)
{
$url += "&ServiceAreas=" + ($ServiceAreas -Join ",")
}
return Invoke-RestMethod -Uri $url
}
function Get-Urls
{
param(
[Parameter(Mandatory = $false)]
[psobject[]] $Endpoints
)
if ($Endpoints)
{
return $Endpoints | Where-Object { $_.urls } | ForEach-Object { $_.urls } | Sort-Object -Unique
}
return @()
}
function Get-UrlVarTuple
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string] $VarName,
[Parameter(Mandatory = $false)]
[string[]] $Urls
)
return New-Object 'Tuple[string,string[]]'($VarName, $Urls)
}
function Get-MapVarUrls
{
Write-Verbose "Retrieving all endpoints for instance $Instance from web service."
$Endpoints = Get-Endpoints
if ($Type -eq 1)
{
$directUrls = Get-Urls ($Endpoints | Where-Object { $_.category -eq "Optimize" })
$nonDirectPriorityUrls = Get-Urls ($Endpoints | Where-Object { $_.category -ne "Optimize" }) | Where-Object { Match-RegexList $_ $directUrls }
return @(
Get-UrlVarTuple -VarName $defaultProxyVarName -Urls $nonDirectPriorityUrls
Get-UrlVarTuple -VarName $directProxyVarName -Urls $directUrls
)
}
elseif ($Type -eq 2)
{
$directUrls = Get-Urls ($Endpoints | Where-Object { $_.category -in @("Optimize", "Allow")})
$nonDirectPriorityUrls = Get-Urls ($Endpoints | Where-Object { $_.category -notin @("Optimize", "Allow") }) | Where-Object { Match-RegexList $_ $directUrls }
return @(
Get-UrlVarTuple -VarName $defaultProxyVarName -Urls $nonDirectPriorityUrls
Get-UrlVarTuple -VarName $directProxyVarName -Urls $directUrls
)
}
}
##################################################################################################################
### Main script
##################################################################################################################
$content = Get-PacString (Get-MapVarUrls)
if ($FilePath)
{
$content | Out-File -FilePath $FilePath -Encoding ascii
}
else
{
$content
}
Komentosarja jäsentää Automaattisesti Azure-luettelon latauksen URL-osoitteen ja AzureFrontDoor.Frontend-avaimien perusteella, joten sitä ei tarvitse hakea manuaalisesti.
Emme myöskään suosittele VPN-latauksen suorittamista käyttämällä vain FQDN:iä; käyttämällä sekä FQDN-koodeja että IP-osoitteita funktiossa auttaa määrittämään tämän kuormituksen käytön rajoitettuun päätepistejoukkoon, kuten live-tapahtumiin/streamiin. Tapa, jolla funktio on jäsennetty, johtaa DNS-haun määritykseen FQDN:lle, joka vastaa suoraan asiakkaan luetteloimia, eli jäljellä olevien nimitilojen DNS-selvitys pysyy muuttumattomana.
Jos haluat rajoittaa teams-tapahtumiin ja Streamiin liittyvien päätepisteiden purkuriskiä, voit poistaa *.azureedge.net-toimialueen määrityksestä, jossa suurin osa tästä riskistä on, koska kyseessä on kaikille Azure CDN -asiakkaille käytettävä jaettu toimialue. Huono puoli on se, että streamin ulkoista koodaustoimintoa käyttäviä tapahtumia ei optimoida, mutta Teamsissa tuotetaan tai järjestetään tapahtumia.
3. Määritä reititys VPN:ssä suoran lähtevän liikenteen mahdollistamiseksi
Viimeinen vaihe on lisätä suora reitti Teams-tapahtuman IPS:lle, joka on kuvattu kohdassa CdN-päätepisteiden nykyisten luetteloiden kerääminen VPN-määritykseen, jotta liikennettä ei lähetetä pakotetun tunnelin kautta VPN:ään. Yksityiskohtaisia tietoja siitä, miten tämä tehdään Microsoft 365:n optimoinnin päätepisteille, on Osiossa VPN-jakotunnelin käyttöönottoMicrosoft 365:ssä. Prosessi on täsmälleen sama Streamin tai Teamsin tapahtumien IPS:ssä, jotka on lueteltu tässä asiakirjassa.
Huomaa, että VPN-määritykseen tulee käyttää vain CDN-päätepisteiden nykyisten luetteloiden keräämisen (ei FQDN:n) PIKA-ilmoituksia.
Usein kysytyt kysymykset
Lähettääkö tämä kaiken liikenteen palveluun suoraan?
Ei, tämä lähettää viiveherkän suoratoistoliikenteen Teams-tapahtumalle tai Stream-videolle suoraan, mikä tahansa muu liikenne jatkaa VPN-tunnelin käyttöä, jos ne eivät ratkaise julkaistuja IPS:iä.
Täytyykö minun käyttää IPv6-osoitteita?
Ei, yhteys voi olla IPv4 vain tarvittaessa.
Miksi näitä IP-osoitteita ei julkaista Microsoft 365:n URL-osoitteessa/IP-palvelussa?
Microsoft hallitsee tiukasti palvelun tietojen muotoa ja tyyppiä varmistaakseen, että asiakkaat voivat käyttää tietoja luotettavasti suojatun ja optimaalisen reitityksen käyttöönottoon päätepisteluokan perusteella.
Oletuspäätepisteluokassa ei ole IP-tietoja useista syistä (oletuspäätepisteet saattavat olla Microsoftin hallinnan ulkopuolella, ne saattavat muuttua liian usein tai ne saattavat olla lohkoissa, jotka on jaettu muiden elementtien kanssa). Tästä syystä oletuspäätepisteet on suunniteltu lähetettäväksi FQDN:n kautta tarkastavalle välityspalvelimelle, kuten normaalille verkkoliikenteelle.
Tässä tapauksessa yllä olevat päätepisteet ovat CDN-tunnuksia, joita muut kuin Microsoftin hallitsemat elementit, paitsi Live-tapahtumat tai Stream, saattavat käyttää, joten liikenteen lähettäminen suoraan tarkoittaa myös kaikkea muuta, mikä ratkaisee nämä internet-osoitteet, lähetetään suoraan asiakkaalta. Nykyisen maailmanlaajuisen kriisin ainutlaatuisen luonteen ja asiakkaidemme lyhyen aikavälin tarpeiden täyttämiseksi Microsoft on toimittanut yllä olevat tiedot, joita asiakkaat voivat käyttää haluamallaan tavalla.
Microsoft pyrkii määrittämään Teams-tapahtumien päätepisteet uudelleen niin, että ne voidaan sisällyttää päätepisteluokkiin Salli/Optimoi tulevaisuudessa.
Onko minun sallittava vain näiden IP:iden käyttö?
Ei, kaikkien Pakollisten merkittyjen päätepisteiden käyttö URL/IP-palvelussa on välttämätöntä, jotta palvelu toimisi. Lisäksi streamille merkityt valinnaiset päätepisteet (tunnus 41–45) ovat pakollisia.
Mitä skenaarioita tämä neuvo kattaa?
- Teams-sovelluksessa tuotetut live-tapahtumat
- Streamin isännöityjen sisältöjen tarkasteleminen
- Ulkoisen laitteen (koodaustoiminnon) tuottamat tapahtumat
- Teamsin kaupungintalo
Kattaako tämä neuvo esittäjäliikenteen?
Se ei; edellä mainittu neuvo koskee vain palvelua käyttävää. Kun esittäjä esittää tietoja Teamsissa, esittäjän liikenne virtaa Url/IP-palvelurivillä 11 lueteltuihin Optimoi merkityt UDP-päätepisteet ja yksityiskohtaiset VPN-kuormituksen purkuohjeet on kuvattu Toteuta VPN-jakotunneli -osiossa Microsoft 365:n VPN-jakotunnelin käyttöönotto-osiossa.
Vaarantaako tämä kokoonpanoliikenne muun kuin kaupungintalon, live-tapahtumien & Streamin suoran lähetyksen?
Kyllä, joillekin palvelun elementeille käytettyjen jaettujen toimialuenimien vuoksi tätä ei voi välttää. Tämä liikenne lähetetään yleensä yrityksen välityspalvelimen kautta, joka voi soveltaa tarkastusta. VPN:n jaetun tunnelin skenaariossa sekä FQDN:n että IPS:n käyttäminen pienentää tämän riskin minimiin, mutta se on silti olemassa. Asiakkaat voivat poistaa *.azureedge.net-toimialueen kuormitusmäärityksestä ja pienentää tämän riskin minimiin, mutta tämä poistaa Streamin tukemat live-tapahtumat (Teamsin ajoitetut, Stream-koodaustapahtumat, Teamsissa tuotetut Viva Engage -tapahtumat, Viva Engage -ajoitetut Stream-koodaustapahtumat ja Streamin ajoitetut tapahtumat tai tarvittaessa katsominen Streamista). Tämä ei vaikuta Teamsissa ajoitettuihin ja tuotettuihin tapahtumiin (mukaan lukien kaupungintalo).
Aiheeseen liittyviä artikkeleita
Yleiskatsaus: VPN-tunneloinnin jakaminen Microsoft 365:lle
VPN:n jakotunnelin toteuttaminen Microsoft 365:lle
Microsoft 365:n yleiset VPN-jakotunnelin skenaariot
Teamsin medialiikenteen suojaaminen VPN-jakotunnelointipalvelua varten
Microsoft 365:n suorituskyvyn optimointi Kiinan käyttäjille
Microsoft 365:n verkkoyhteysperiaatteet
Microsoft 365:n verkkoyhteyden arviointi
Microsoft 365 -verkko ja suorituskyvyn säätö
Vpn:n käyttö: Miten Microsoft pitää etätyövoimansa yhteydessä