Implementering af OPDELT VPN-tunnelføring til Microsoft 365
Bemærk!
Denne artikel er en del af et sæt artikler, der omhandler Microsoft 365-optimering for fjernbrugere.
- Du kan se en oversigt over, hvordan du bruger OPDELT VPN-tunnelføring til at optimere Microsoft 365-forbindelse til fjernbrugere, under Oversigt: VPN-opdelt tunnelføring til Microsoft 365.
- Du kan finde en detaljeret liste over scenarier med opdelt VPN-tunnelføring under Almindelige scenarier med opdelt VPN-tunnelføring til Microsoft 365.
- Du kan finde vejledning i beskyttelse af Teams-medietrafik i VPN-opdelte tunnelføringsmiljøer under Sikring af Teams-medietrafik til VPN-opdelt tunnelføring.
- Du kan få mere at vide om, hvordan du konfigurerer Stream- og livebegivenheder i VPN-miljøer, under Særlige overvejelser i forbindelse med Stream og livebegivenheder i VPN-miljøer.
- Du kan få oplysninger om optimering af lejerydeevnen i Microsoft 365 over hele verden for brugere i Kina under Optimering af ydeevnen i Microsoft 365 for brugere i Kina.
Microsofts anbefalede strategi for optimering af fjernarbejderens forbindelse fokuserer på hurtigt at afhjælpe problemer og give høj ydeevne med nogle få enkle trin. Disse trin justerer den ældre VPN-tilgang til nogle få definerede slutpunkter, der tilsidesætter flaskehalse for VPN-servere. En tilsvarende eller endda bedre sikkerhedsmodel kan anvendes på forskellige lag for at fjerne behovet for at sikre al trafik ved virksomhedens netværks udgang. I de fleste tilfælde kan dette opnås effektivt inden for få timer og kan derefter skaleres til andre arbejdsbelastninger, efterhånden som kravene til efterspørgsel og tid tillader det.
Implementer OPDELT VPN-tunnelføring
I denne artikel finder du de enkle trin, der kræves for at overføre din VPN-klientarkitektur fra en VPN-tvungen tunnel til en VPN-gennemtvunget tunnel med nogle få undtagelser, vpn-opdelt tunnelmodel #2 i Common VPN-opdelt tunnelføringsscenarier for Microsoft 365.
I nedenstående diagram illustreres det, hvordan den anbefalede vpn-opdelte tunnelløsning fungerer:
1. Identificer de slutpunkter, der skal optimeres
I artiklen URL-adresser og IP-adresseområder i Microsoft 365 identificerer Microsoft tydeligt de vigtige slutpunkter, du skal bruge for at optimere og kategorisere dem som Optimer. Der er i øjeblikket kun fire URL-adresser og 20 IP-undernet, der skal optimeres. Denne lille gruppe slutpunkter tegner sig for ca. 70 - 80 % af trafikmængden til Microsoft 365-tjenesten, herunder ventetidsfølsomme slutpunkter, f.eks. for Teams-medier. I bund og grund er dette den trafik, som vi skal tage særligt hensyn til, og er også den trafik, der vil lægge utrolig pres på traditionelle netværksstier og VPN-infrastruktur.
URL-adresser i denne kategori har følgende egenskaber:
- Ejes og administreres Microsoft-slutpunkter, der hostes på Microsofts infrastruktur
- Har IP-adresserne angivet
- Lav ændringsrate og forventes at forblive et lille antal (i øjeblikket 20 IP-undernet)
- Er båndbredde og/eller ventetid følsomme
- Kan have påkrævede sikkerhedselementer, der leveres i tjenesten i stedet for indbygget på netværket
- Tegner sig for ca. 70-80 % af trafikmængden til Microsoft 365-tjenesten
Du kan finde flere oplysninger om Microsoft 365-slutpunkter, og hvordan de er kategoriseret og administreret, under Administration af Microsoft 365-slutpunkter.
Optimer URL-adresser
Du kan finde de aktuelle Optimer URL-adresser i tabellen nedenfor. Under de fleste omstændigheder skal du kun bruge URL-slutpunkter i en browser-PAC-fil , hvor slutpunkterne er konfigureret til at blive sendt direkte i stedet for til proxyen.
| Optimer URL-adresser | Port/protokol | Formål |
|---|---|---|
| https://outlook.office365.com | TCP 443 | Dette er en af de primære URL-adresser, som Outlook bruger til at oprette forbindelse til dens Exchange Online-server og har en høj mængde båndbreddeforbrug og forbindelsesantal. Lav netværksventetid er påkrævet for onlinefunktioner, herunder: hurtigsøgning, andre postkassekalendere, gratis/optaget opslag, administrer regler og beskeder, Exchange-onlinearkiv, mails, der forlader udbakken. |
| https://outlook.office.com | TCP 443 | Denne URL-adresse bruges til Outlook Online Web Access til at oprette forbindelse til Exchange Online server og er følsom over for netværksventetid. Der kræves især forbindelse til upload og download af store filer med SharePoint Online. |
https://\<tenant\>.sharepoint.com |
TCP 443 | Dette er den primære URL-adresse til SharePoint Online og har brug for høj båndbredde. |
https://\<tenant\>-my.sharepoint.com |
TCP 443 | Dette er den primære URL-adresse til OneDrive for Business og har et højt båndbreddeforbrug og muligvis et højt forbindelsesantal fra OneDrive for Business Synkroniseringsværktøj. |
| Teams-medie-IP'er (ingen URL-adresse) | UDP 3478, 3479, 3480 og 3481 | Relæregistreringsallokering og trafik i realtid. Dette er de slutpunkter, der bruges til Skype for Business og Microsoft Teams Media-trafik (opkald, møder osv.). De fleste slutpunkter leveres, når Microsoft Teams-klienten opretter et opkald (og er indeholdt i de påkrævede IP-adresser, der er angivet for tjenesten). Brug af UDP-protokollen er påkrævet for at opnå optimal mediekvalitet. |
I ovenstående eksempler skal lejeren erstattes med dit Microsoft 365-lejernavn. Contoso.onmicrosoft.com vil f.eks. bruge contoso.sharepoint.com og contoso-my.sharepoint.com.
Optimer IP-adresseområder
På tidspunktet for skrivning er de IP-adresseområder, som disse slutpunkter svarer til, som følger. Det anbefales på det kraftigste , at du bruger et script som f.eks.Microsoft 365 IP- og URL-webtjenesten eller URL-siden til at kontrollere, om der er opdateringer, når du anvender konfigurationen, og placerer en politik for at gøre det regelmæssigt. Hvis du bruger løbende evaluering af adgang, skal du se Ip-adressevariation for løbende adgangsevaluering. Det kan være nødvendigt at distribuere optimerede IP-adresser via en IP- eller VPN-forbindelse, der er tillid til, for at forhindre, at blokke, der er relateret til insufficient_claims eller kontrol af øjeblikkelig IP-håndhævelse mislykkedes i visse scenarier.
104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15
2. Optimer adgangen til disse slutpunkter via VPN
Nu, hvor vi har identificeret disse kritiske slutpunkter, er vi nødt til at aflede dem væk fra VPN-tunnellen og give dem mulighed for at bruge brugerens lokale internetforbindelse til at oprette direkte forbindelse til tjenesten. Den måde, hvorpå dette opnås, varierer afhængigt af det anvendte VPN-produkt og den anvendte computerplatform, men de fleste VPN-løsninger gør det muligt for en simpel konfiguration af politikken at anvende denne logik. Du kan finde oplysninger om VPN-platformspecifikke vejledninger til opdelt tunnel under HOWTO-vejledninger til almindelige VPN-platforme.
Hvis du vil teste løsningen manuelt, kan du udføre følgende PowerShell-eksempel for at emulere løsningen på rutetabelniveau. I dette eksempel føjes der en rute for hvert Af Teams Media IP-undernet til rutetabellen. Du kan teste Teams-medieydeevnen før og efter og se forskellen i ruter for de angivne slutpunkter.
Eksempel: Føj Teams Media IP-undernet til rutetabellen
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
I ovenstående script er $intIndex indekset for den grænseflade, der er forbundet til internettet (find ved at køre get-netadapter i PowerShell. Se efter værdien af ifIndex), og $gateway er standardgatewayen for den pågældende grænseflade (find ved at køre ipconfig i en kommandoprompt eller (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop i PowerShell).
Når du har tilføjet ruterne, kan du bekræfte, at rutetabellen er korrekt, ved at køre ruteudskrift i en kommandoprompt eller PowerShell. Outputtet skal indeholde de ruter, du har tilføjet, og som viser grænsefladeindekset (22 i dette eksempel) og gatewayen for den pågældende grænseflade (192.168.1.1 i dette eksempel):
Hvis du vil tilføje ruter for alle aktuelle IP-adresseområder i kategorien Optimer, kan du bruge følgende scriptvariation til at forespørge Microsoft 365 IP- og URL-webtjenesten om det aktuelle sæt optimer IP-undernet og føje dem til rutetabellen.
Eksempel: Føj alle optimer undernet til rutetabellen
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Hvis du utilsigtet har tilføjet ruter med forkerte parametre eller blot ønsker at gendanne dine ændringer, kan du fjerne de ruter, du lige har tilføjet, med følgende kommando:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
VPN-klienten skal konfigureres, så trafikken til Optimer IP-adresser dirigeres på denne måde. Dette gør det muligt for trafikken at bruge lokale Microsoft-ressourcer, f.eks. Microsoft 365 Service Front Doors , f.eks. Azure Front Door , der leverer Microsoft 365-tjenester og forbindelsesslutpunkter så tæt på dine brugere som muligt. Dette giver os mulighed for at levere høje ydeevneniveauer til brugere, uanset hvor i verden de er, og drager fuld fordel af Microsofts globale netværk i verdensklasse, hvilket sandsynligvis ligger inden for nogle få millisekunder af dine brugeres direkte udgående data.
HOWTO-vejledninger til almindelige VPN-platforme
Dette afsnit indeholder links til detaljerede vejledninger til implementering af opdelt tunnelføring til Microsoft 365-trafik fra de mest almindelige partnere på dette område. Vi tilføjer yderligere vejledninger, efterhånden som de bliver tilgængelige.
- Windows 10 VPN-klient: Optimering af Microsoft 365-trafik for fjernarbejdere med den oprindelige WINDOWS 10 VPN-klient
- Cisco Anyconnect: Optimer Anyconnect Split Tunnel til Office365
- Palo Alto GlobalProtect: Optimering af Microsoft 365-trafik via VPN Split Tunnel Exclude Access Route
- F5 Networks BIG-IP APM: Optimering af Microsoft 365-trafik på Fjernadgang via VPN'er, når BIG-IP APM bruges
- Citrix Gateway: Optimering af Citrix Gateway VPN-opdelt tunnel til Office365
- Pulse Secure: VPN-tunnelføring: Sådan konfigurerer du opdelt tunnelføring for at udelukke Microsoft 365-programmer
- Check Point VPN: Sådan konfigurerer du Split Tunnel til Microsoft 365 og andre SaaS-programmer
Relaterede artikler
Oversigt: VPN-opdelt tunnelføring til Microsoft 365
Almindelige scenarier med opdelt VPN-tunnelføring til Microsoft 365
Sikring af Teams-medietrafik til VPN-opdelt tunnelføring
Særlige overvejelser i forbindelse med Stream og livebegivenheder i VPN-miljøer
Optimering af ydeevnen i Microsoft 365 for kinabrugere
Principper for Microsoft 365 Network Connectivity
Vurderer Microsoft 365 netværksforbindelse
Microsoft 365-netværk og justering af ydeevne
Kører på VPN: Sådan holder Microsoft sin eksterne arbejdsstyrke tilsluttet
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om