Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Requisiti del proxy
I dispositivi richiedono l'accesso diretto all'endpoint del servizio cloud ottimizzazione recapito: *.prod.do.dsp.mp.microsoft.com. Configurare il proxy per consentire il traffico verso questo endpoint. Anche se Ottimizzazione recapito può usare la funzionalità di individuazione automatica del proxy di WinHttp per gestire la comunicazione proxy, l'accesso diretto a questo endpoint garantisce prestazioni e connettività P2P ottimali.
È consigliabile ignorare il proxy quando il proxy esegue una delle operazioni seguenti:
- Ispezione TLS.
- Analizza o modifica il contenuto della risposta.
- Nasconde il vero indirizzo IP pubblico del client in modo che possa influire negativamente sulla connettività P2P.
- Non è possibile configurare in altro modo per evitare i comportamenti elencati in precedenza.
Ignorare questo endpoint consente di garantire che Ottimizzazione recapito possa identificare accuratamente i dispositivi peer e stabilire connessioni P2P efficienti.
Nota
Se consentire l'accesso diretto a Internet non è un'opzione, provare a usare Group DownloadMode '2' per definire il gruppo di peering. Altre informazioni sull'uso di Group DownloadMode.
Requisiti di ispezione TLS
Ottimizzazione recapito usa l'aggiunta di certificati durante la connessione agli endpoint del servizio cloud. Un proxy che esegue l'ispezione TLS (detta anche ispezione SSL o intercettazione HTTPS) sostituisce il certificato del server con uno firmato dall'autorità di certificazione del proxy. Ciò interrompe la convalida del certificato di Ottimizzazione recapito, causando l'esito negativo delle connessioni al servizio.
Importante
L'ispezione TLS deve essere disabilitata per l'ottimizzazione recapito e gli endpoint di Microsoft Connected Cache. Non esiste una soluzione alternativa: Ottimizzazione recapito non accetta un certificato sostitutivo per queste connessioni.
Endpoint da esentare dall'ispezione TLS
Assicurarsi che gli endpoint seguenti siano presenti nell'elenco di bypass di ispezione TLS del proxy o del firewall:
| Endpoint | Usato da | Perché è necessaria l'esenzione |
|---|---|---|
geo.prod.do.dsp.mp.microsoft.com |
Do geo service and MCC initialization (Servizio geografico DO e inizializzazione MCC) | Aggiunta del certificato: MCC segnala che la verifica del certificato geografico non è riuscita se intercettata |
array*.prod.do.dsp.mp.microsoft.com |
Servizio cloud DO (individuazione peer, configurazione) | Aggiunta del certificato: la connessione non riesce se il certificato viene sostituito |
Per un elenco completo degli endpoint usati da Ottimizzazione recapito e Microsoft Connected Cache, vedere Endpoint di contenuto e servizi di Microsoft Connected Cache.
Impatto dell'ispezione TLS sull'ottimizzazione recapito
Quando l'ispezione TLS è attiva negli endpoint di Ottimizzazione recapito, è possibile che si verifichino:
- I download peer-to-peer (P2P) hanno esito negativo. Ottimizzazione recapito non può connettersi al servizio cloud per individuare i peer, quindi tutti i download rientrano solo nella rete CDN.
- L'individuazione di Microsoft Connected Cache (MCC) non riesce. McC usa lo stesso servizio cloud per l'inizializzazione. Se la connessione al servizio geografico non riesce, MCC non può completare la configurazione.
- I download vengono restituiti solo a HTTP. Mentre il contenuto viene ancora scaricato, si perde il risparmio di larghezza di banda da P2P e MCC.
Verificare che l'ispezione TLS non intercetti il traffico DO
Per verificare che il proxy non intercetti le connessioni di Ottimizzazione recapito, eseguire lo strumento di risoluzione dei problemi di ottimizzazione recapito con l'opzione -HealthCheck . In questo modo viene verificata la connettività agli endpoint del servizio DO e vengono rilevati errori di convalida del certificato. Per informazioni dettagliate, vedere Risoluzione dei problemi di ottimizzazione recapito.
Se il controllo integrità segnala errori di convalida del certificato per l'endpoint del servizio DO, l'ispezione TLS è probabilmente attiva e deve essere ignorata.
Configurazione del proxy cloud (Zscaler, simile)
Se si usa Zscaler o un proxy cloud simile:
-
Ignorare i nomi host del servizio DO (
*.do.dsp.mp.microsoft.com) dall'ispezione TLS e consentire il traffico direttamente a Internet. - Gli URL della rete CDN del contenuto (
*.dl.delivery.mp.microsoft.com) possono facoltativamente passare attraverso il proxy, ma non devono modificarne il contenuto. - Verificare che il proxy non modifichi l'indirizzo IP di origine del client per le chiamate al servizio DO: Ottimizzazione recapito usa l'INDIRIZZO IP del client per la posizione geografica e la corrispondenza peer.
Nota
Le chiamate al servizio ottimizzazione recapito (a *.do.dsp.mp.microsoft.com) non possono passare attraverso un proxy che modifica l'indirizzo IP del client, perché il servizio usa l'INDIRIZZO IP per la posizione geografica e la corrispondenza peer. I download del payload del contenuto (file di aggiornamento effettivi) possono passare attraverso un proxy.
Utilizzo di WinHttp da parte di Ottimizzazione recapito
Quando Ottimizzazione recapito scarica il contenuto da origini HTTP, usa la funzionalità di individuazione automatica del proxy di WinHttp per gestire configurazioni proxy complesse. Ottimizzazione recapito abilita questa operazione impostando il flag WINHTTP_ACCESS_TYPE_AUTOMATIC_PROXY in tutte le chiamate HTTP.
Ottimizzazione recapito fornisce a WinHttp un token per l'utente attualmente connesso. WinHttp usa quindi questo token per autenticare automaticamente l'utente rispetto al proxy configurato.
Configurazione del proxy
Per abilitare Ottimizzazione recapito per l'uso del proxy, configurarlo tramite le impostazioni del proxy Windows (WinINET, in passato impostazioni proxy di Internet Explorer).
Impostare Windows Proxy come a livello di dispositivo per assicurarsi che il dispositivo possa accedere al server proxy anche quando nessun utente ha eseguito l'accesso. In questo caso, si accede al proxy con il contesto "NetworkService" se è necessaria l'autenticazione proxy.
Nota
Non è consigliabile usare netsh winhttp set proxy ProxyServerName:PortNumber. Questo comando non offre alcun rilevamento automatico del proxy, nessun supporto per GLI URL PAC espliciti e nessuna autenticazione al proxy. Viene ignorata anche da WinHTTP per le richieste che usano l'individuazione automatica con un token utente interattivo.
Comportamento del proxy in base al contesto utente:
- Quando un utente ha eseguito l'accesso, il sistema usa il proxy Windows.
- Quando nessun utente ha eseguito l'accesso e vengono impostate entrambe le configurazioni di Windows Proxy e netsh, la configurazione netsh ha la precedenza. Ciò può causare errori di download, ad esempio errori di HTTP_E_STATUS_PROXY_AUTH_REQ o HTTP_E_STATUS_DENIED.
Se la configurazione del proxy usa un proxy statico NomeServer:Porta, è possibile importare l'impostazione proxy da Internet Explorer usando:
netsh winhttp import proxy source=ie
Tuttavia, le stesse limitazioni indicate in precedenza si applicano a questa configurazione importata.
Impostazione di un proxy Windows a livello di dispositivo
È possibile configurare un proxy a livello di dispositivo usando Mobile Gestione dispositivi (MDM) o Criteri di gruppo, a seconda dell'ambiente. Entrambi i metodi applicano le impostazioni proxy a tutti gli utenti del dispositivo, assicurando che Ottimizzazione recapito possa accedere al server proxy in tutti i contesti, anche quando nessun utente ha eseguito l'accesso.
Uso di MDM (Mobile Gestione dispositivi)
Per impostare le impostazioni proxy per tutti gli utenti tramite MDM (ad esempio Intune), usare il provider di servizi di configurazione proxy di rete. Questo metodo applica le impostazioni proxy a livello di dispositivo che funzionano per tutti i contesti utente, inclusi gli utenti interattivi e i servizi in background come NetworkService.
Uso di Criteri di gruppo
Se si gestiscono i dispositivi tramite Active Directory, è possibile applicare le impostazioni proxy a tutti gli utenti nel dispositivo abilitando i criteri > Componenti > amministrativi di Configurazione > computer Internet Explorer > Imposta proxy per computer anziché per utente.
Quando si abilita questo criterio, le impostazioni proxy si applicano in modo uniforme a tutti gli utenti nel dispositivo. Ciò significa che tutti gli utenti devono usare lo stesso set di configurazione proxy a livello di dispositivo e gli utenti non possono eseguirne l'override con le proprie impostazioni proxy. Se si disabilita questo criterio o lo si lascia "Non configurato", gli utenti possono stabilire le proprie singole impostazioni proxy.
Microsoft Connected Cache dietro un proxy
Se si usa Cache connessa Microsoft, è possibile configurare il server Cache connessa in modo che usi un proxy per le connessioni Internet in uscita.
Le impostazioni proxy del server cache connessa sono separate dalla configurazione del proxy di Ottimizzazione recapito. Anche se i client di Ottimizzazione recapito necessitano di impostazioni proxy per raggiungere il servizio cloud (come descritto in precedenza), il server di Cache connessa stesso potrebbe anche avere bisogno di impostazioni proxy per raggiungere i server del contenuto Microsoft.
Cache connessa supporta l'uso di un proxy non autenticato per le connessioni in uscita. Per i passaggi di configurazione dettagliati, vedere Impostazioni del proxy della cache connessa Microsoft.
Comportamento di temporizzazione della connessione proxy
Quando Ottimizzazione recapito opera dietro un proxy, l'avvio dei download iniziali potrebbe richiedere più tempo. Ciò accade perché Ottimizzazione recapito deve eseguire l'individuazione proxy e l'autenticazione utente tramite i componenti di rete di Windows prima dell'avvio del trasferimento del contenuto.
Informazioni sul comportamento di connessione di Ottimizzazione recapito con proxy:
- Più connessioni: Ottimizzazione recapito stabilisce diverse connessioni tra il client e diversi servizi cloud di Ottimizzazione recapito.
- Riutilizzo della connessione: Ottimizzazione recapito usa il pool di connessioni WinHTTP per riutilizzare le connessioni. Quando una connessione è inattiva per circa 60 secondi, viene chiusa. Le richieste successive devono stabilire nuove connessioni, che possono aggiungere tempo ai download.
Questo tempo di installazione aggiuntivo è normale e previsto e non indica un problema con la configurazione del proxy.
Riepilogo del comportamento delle impostazioni
Le tabelle seguenti illustrano come Ottimizzazione recapito gestisce configurazioni proxy diverse a seconda del contesto utente. Le tabelle distinguono tra due scenari: quando un utente ha eseguito attivamente l'accesso e quando i download si verificano senza un utente interattivo (usando il contesto NetworkService, in genere per i download in background o pianificati).
Quando un utente interattivo ha eseguito l'accesso:
| Metodo di configurazione | Ottimizzazione recapito usa il proxy |
|---|---|
| Proxy di Internet Explorer (utente corrente) | Sì |
| Proxy di Internet Explorer (a livello di dispositivo) | Sì |
| proxy netsh | No |
| Proxy di Internet Explorer (utente corrente) e proxy netsh | Sì, viene usato il proxy di Internet Explorer |
| Proxy di Internet Explorer (a livello di dispositivo) e proxy netsh | Sì, viene usato il proxy di Internet Explorer |
Quando nessun utente ha eseguito l'accesso (contesto NetworkService):
| Metodo di configurazione | Ottimizzazione recapito usa il proxy |
|---|---|
| Proxy di Internet Explorer (utente corrente) | No |
| Proxy di Internet Explorer (a livello di dispositivo) | Sì |
| proxy netsh | Sì |
| Proxy di Internet Explorer (utente corrente) e proxy netsh | Sì, viene usato il proxy netsh |
| Proxy di Internet Explorer (a livello di dispositivo) e proxy netsh | Sì, viene usato il proxy netsh |
Suggerimento
Per la configurazione proxy più affidabile, usare le impostazioni proxy di Internet Explorer a livello di dispositivo. Questo metodo funziona in entrambi i contesti utente e garantisce che Ottimizzazione recapito possa accedere al proxy indipendentemente dal fatto che un utente abbia eseguito o meno l'accesso.