Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Требования к прокси-серверу
Устройствам требуется прямой доступ к конечной точке облачной службы оптимизации доставки: *.prod.do.dsp.mp.microsoft.com. Настройте прокси-сервер, чтобы разрешить трафик к этой конечной точке. Хотя оптимизация доставки может использовать функцию автоматического обнаружения прокси-сервера WinHttp для обработки прокси-связи, прямой доступ к этой конечной точке обеспечивает оптимальное подключение P2P и производительность.
Обход прокси-сервера рекомендуется использовать, если прокси-сервер выполняет одно из следующих действий:
- Проверка TLS.
- Сканирует или изменяет содержимое ответа.
- Скрывает истинный общедоступный IP-адрес клиента таким образом, что может негативно повлиять на подключение P2P.
- Иначе нельзя настроить, чтобы избежать описанных выше действий.
Обход этой конечной точки помогает гарантировать, что оптимизация доставки может точно определять одноранговые устройства и устанавливать эффективные P2P-подключения.
Примечание.
Если разрешение прямого доступа к Интернету не является вариантом, попробуйте использовать group DownloadMode "2", чтобы определить группу пиринга. Дополнительные сведения об использовании group DownloadMode.
Требования к проверке TLS
Оптимизация доставки использует закрепление сертификатов при подключении к конечным точкам облачной службы. Прокси-сервер, выполняющий проверку TLS (также называемую проверкой SSL или перехватом HTTPS), заменяет сертификат сервера на сертификат, подписанный собственным центром сертификации прокси-сервера. Это нарушает проверку сертификата оптимизации доставки, что приводит к сбою подключений к службе.
Важно.
Проверка TLS должна быть отключена для оптимизации доставки и конечных точек подключенного кэша Майкрософт. Обходного решения нет— оптимизация доставки не принимает заменяющий сертификат для этих подключений.
Конечные точки, исключенные из проверки TLS
Убедитесь, что следующие конечные точки находятся в списке обходов проверки TLS прокси-сервера или брандмауэра:
| Конечная точка | Используется | Почему требуется исключение |
|---|---|---|
geo.prod.do.dsp.mp.microsoft.com |
Инициализация геослужбы и MCC | Закрепление сертификатов — MCC сообщает о сбое проверки географического сертификата, если он перехвачен |
array*.prod.do.dsp.mp.microsoft.com |
Облачная служба DO (обнаружение одноранговых узлов, конфигурация) | Закрепление сертификата — подключение завершается сбоем при замене сертификата |
Полный список конечных точек, используемых оптимизацией доставки и подключенным кэшем Майкрософт, см. в статье Конечные точки содержимого и служб подключенного кэша Майкрософт.
Влияние проверки TLS на оптимизацию доставки
Когда проверка TLS активна в конечных точках оптимизации доставки, вы можете столкнуться с:
- Сбой одноранговых загрузок (P2P). Оптимизация доставки не может подключиться к облачной службе для обнаружения одноранговых узлов, поэтому все скачиваемые файлы возвращаются только к CDN.
- Сбой обнаружения подключенного кэша (Майкрософт) (MCC). MCC использует ту же облачную службу для инициализации. Если подключение геослужбы завершается сбоем, MCC не сможет завершить настройку.
- Скачиваемые файлы возвращаются только по протоколу HTTP. Пока содержимое все еще загружается, вы теряете экономию пропускной способности от P2P и MCC.
Убедитесь, что проверка TLS не перехватывает трафик DO
Чтобы убедиться, что прокси-сервер не перехватывает подключения оптимизации доставки, запустите средство устранения неполадок оптимизации доставки с параметром -HealthCheck . Это проверяет подключение к конечным точкам службы DO и сообщает о сбоях проверки сертификатов. Дополнительные сведения см. в статье Средство устранения неполадок оптимизации доставки.
Если проверка работоспособности сообщает о сбоях проверки сертификатов для конечной точки службы DO, проверка TLS, скорее всего, активна и ее необходимо обойти.
Конфигурация облачного прокси-сервера (Zscaler, аналогично)
Если вы используете Zscaler или аналогичный облачный прокси-сервер:
-
Обойдите имена узлов службы DO (
*.do.dsp.mp.microsoft.com) из проверки TLS и разрешите этот трафик непосредственно в Интернет. - URL-адреса CDN содержимого (
*.dl.delivery.mp.microsoft.com) могут при необходимости проходить через прокси-сервер, но не должны изменять их содержимое. - Убедитесь, что прокси-сервер не изменяет исходный IP-адрес клиента для вызовов службы DO. Оптимизация доставки использует IP-адрес клиента для сопоставления географического расположения и однорангового узла.
Примечание.
Вызовы службы оптимизации доставки (в *.do.dsp.mp.microsoft.com) не могут проходить через прокси-сервер, который изменяет IP-адрес клиента, так как служба использует IP-адрес для сопоставления географического расположения и однорангового узла. Загрузка полезных данных содержимого (фактические файлы обновления) может проходить через прокси-сервер.
Как оптимизация доставки использует WinHttp
Когда оптимизация доставки загружает содержимое из источников HTTP, она использует функцию автоматического обнаружения прокси-сервера WinHttp для обработки сложных конфигураций прокси-серверов. Оптимизация доставки позволяет это сделать, задав флаг WINHTTP_ACCESS_TYPE_AUTOMATIC_PROXY во всех HTTP-вызовах.
Оптимизация доставки предоставляет WinHttp с маркером для вошедшего в систему пользователя. Затем WinHttp использует этот маркер для автоматической проверки подлинности пользователя с настроенным прокси-сервером.
Настройка прокси-сервера
Чтобы включить оптимизацию доставки для использования прокси-сервера, настройте его с помощью параметров прокси-сервера Windows (WinINET, ранее Интернет Обозреватель параметры прокси-сервера).
Задайте прокси-сервер Windows как на уровне устройства, чтобы устройство пользовалось доступом к прокси-серверу, даже если пользователь не выполнил вход. В этом случае доступ к прокси-серверу осуществляется с помощью контекста NetworkService, если требуется проверка подлинности прокси-сервера.
Примечание.
Мы не рекомендуем использовать netsh winhttp set proxy ProxyServerName:PortNumber. Эта команда не обеспечивает автоматического обнаружения прокси-сервера, поддержки явных URL-адресов PAC и проверки подлинности прокси-сервера. Он также игнорируется WinHTTP для запросов, использующих автоматическое обнаружение с интерактивным маркером пользователя.
Поведение прокси-сервера по контексту пользователя:
- Когда пользователь вошел в систему, система использует прокси-сервер Windows.
- Если ни пользователь не вошел в систему и заданы конфигурации прокси-сервера Windows и netsh, приоритет имеет конфигурация netsh. Это может привести к сбоям скачивания, например HTTP_E_STATUS_PROXY_AUTH_REQ или ошибкам HTTP_E_STATUS_DENIED.
Если в конфигурации прокси-сервера используется статический proxyName:Port, параметр прокси-сервера можно импортировать из Интернета Обозреватель с помощью:
netsh winhttp import proxy source=ie
Однако те же ограничения, о которых говорилось ранее, применяются к этой импортированной конфигурации.
Настройка прокси-сервера Windows на уровне устройства
Прокси-сервер на уровне устройства можно настроить с помощью мобильного Управление устройствами (MDM) или групповая политика в зависимости от среды. Оба метода применяют параметры прокси-сервера ко всем пользователям на устройстве, гарантируя, что оптимизация доставки может получить доступ к прокси-серверу во всех контекстах, в том числе в том случае, если пользователь не выполнил вход.
Использование MDM (мобильные Управление устройствами)
Чтобы задать параметры прокси-сервера для всех пользователей через MDM (например, Intune), используйте поставщик служб CSP сетевого прокси-сервера. Этот метод применяет параметры прокси-сервера на уровне устройства, которые работают для всех контекстов пользователей, включая интерактивных пользователей и фоновые службы, такие как NetworkService.
Использование групповая политика
Если вы управляете устройствами с помощью Active Directory, вы можете применить параметры прокси-сервера ко всем пользователям на устройстве, включив политику "Конфигурация компьютера>" Административные шаблоны > Windows Components > Internet Обозреватель > Сделать параметры прокси-сервера для каждого компьютера (а не для пользователя).
При включении этой политики параметры прокси-сервера применяются равномерно ко всем пользователям на устройстве. Это означает, что все пользователи должны использовать один и тот же набор конфигурации прокси-сервера на уровне устройства, и пользователи не могут переопределить его с помощью собственных параметров прокси-сервера. Если отключить эту политику или оставить ее не настроенной, пользователи смогут установить собственные параметры прокси-сервера.
Подключенный кэш Майкрософт за прокси-сервером
Если вы используете подключенный кэш (Майкрософт), вы можете настроить сервер подключенного кэша для использования прокси-сервера для исходящих подключений к Интернету.
Параметры прокси-сервера подключенного кэша отделены от конфигурации прокси-сервера оптимизации доставки. Хотя клиентам оптимизации доставки требуются параметры прокси-сервера для доступа к облачной службе (как описано выше), самому серверу подключенного кэша также могут потребоваться параметры прокси-сервера для доступа к серверам содержимого Майкрософт.
Подключенный кэш поддерживает использование прокси-сервера без проверки подлинности для исходящих подключений. Подробные инструкции по настройке см. в разделе Параметры прокси-сервера подключенного кэша Майкрософт.
Поведение времени подключения прокси-сервера
Когда оптимизация доставки работает за прокси-сервером, начальное скачивание может занять больше времени. Это происходит потому, что перед началом передачи содержимого оптимизация доставки должна выполнять обнаружение прокси-сервера и проверку подлинности пользователей через сетевые компоненты Windows.
Ознакомьтесь со следующими сведениями о поведении подключения оптимизации доставки с прокси-серверами.
- Несколько подключений. Оптимизация доставки устанавливает несколько подключений между клиентом и разными облачными службами оптимизации доставки.
- Повторное использование подключений. Оптимизация доставки использует пул подключений WinHTTP для повторного использования подключений. Когда соединение простаивает примерно 60 секунд, оно закрывается. Последующие запросы должны устанавливать новые подключения, что может повысить время загрузки.
Это дополнительное время установки является нормальным и ожидаемым поведением и не указывает на проблему с конфигурацией прокси-сервера.
Сводка по поведению параметров
В следующих таблицах показано, как оптимизация доставки обрабатывает различные конфигурации прокси-сервера в зависимости от контекста пользователя. В таблицах различаются два сценария: когда пользователь активно вошел в систему и когда скачивание происходит без интерактивного пользователя (с использованием контекста NetworkService, как правило, для фоновых или запланированных скачиваний).
При входе интерактивного пользователя:
| Метод конфигурации | Оптимизация доставки использует прокси-сервер |
|---|---|
| Прокси-сервер Обозреватель Интернета (текущий пользователь) | Да |
| Прокси-сервер Обозреватель Интернета (на уровне устройства) | Да |
| прокси-сервер netsh | Нет |
| Прокси-сервер интернет-Обозреватель (текущий пользователь) и прокси-сервер netsh | Да, используется прокси-сервер Обозреватель Интернета |
| Прокси-сервер интернет-Обозреватель (на уровне устройства) и прокси-сервер netsh | Да, используется прокси-сервер Обозреватель Интернета |
Если пользователь не вошел в систему (контекст NetworkService):
| Метод конфигурации | Оптимизация доставки использует прокси-сервер |
|---|---|
| Прокси-сервер Обозреватель Интернета (текущий пользователь) | Нет |
| Прокси-сервер Обозреватель Интернета (на уровне устройства) | Да |
| прокси-сервер netsh | Да |
| Прокси-сервер интернет-Обозреватель (текущий пользователь) и прокси-сервер netsh | Да, используется прокси-сервер netsh |
| Прокси-сервер интернет-Обозреватель (на уровне устройства) и прокси-сервер netsh | Да, используется прокси-сервер netsh |
Совет
Для наиболее надежной конфигурации прокси-сервера используйте интернет-сервер на уровне устройства Обозреватель параметры прокси-сервера. Этот метод работает в обоих контекстах пользователей и гарантирует, что оптимизация доставки может получить доступ к прокси-серверу независимо от того, вошел пользователь или нет.