Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Requisiti del proxy
I dispositivi richiedono l'accesso diretto all'endpoint del servizio cloud ottimizzazione recapito: *.do.dsp.mp.microsoft.com. Configurare il proxy per consentire il traffico verso questo endpoint. Anche se Ottimizzazione recapito può usare la funzionalità di individuazione automatica del proxy di WinHttp per gestire la comunicazione proxy, l'accesso diretto a questo endpoint garantisce prestazioni e connettività P2P ottimali.
È consigliabile ignorare il proxy quando il proxy esegue una delle operazioni seguenti:
- Ispezione TLS.
- Analizza o modifica il contenuto della risposta.
- Nasconde il vero indirizzo IP pubblico del client in modo che possa influire negativamente sulla connettività P2P.
- Non è possibile configurare in altro modo per evitare i comportamenti elencati in precedenza.
Ignorare questo endpoint consente di garantire che Ottimizzazione recapito possa identificare accuratamente i dispositivi peer e stabilire connessioni P2P efficienti.
Nota
Se consentire l'accesso diretto a Internet non è un'opzione, provare a usare Group DownloadMode '2' per definire il gruppo di peering. Altre informazioni sull'uso di Group DownloadMode.
Ispezione TLS e aggiunta di certificati
Ottimizzazione recapito usa l'aggiunta di certificati durante la connessione agli endpoint del servizio cloud. Il client verifica che il server presenti un certificato Microsoft specifico. Un proxy che esegue l'ispezione TLS (detta anche ispezione SSL o intercettazione HTTPS) sostituisce il certificato del server con uno firmato dall'autorità di certificazione del proxy. Ciò interrompe la convalida del certificato di Ottimizzazione recapito, causando l'esito negativo delle connessioni al servizio.
Importante
L'ispezione TLS deve essere disabilitata per l'ottimizzazione recapito e gli endpoint di Microsoft Connected Cache. Non c'è una soluzione alternativa. Ottimizzazione recapito non accetta un certificato sostitutivo per queste connessioni.
Endpoint da esentare dall'ispezione TLS
È necessario ignorare l'ispezione TLS per gli endpoint seguenti:
| Endpoint | Usato da | Perché è necessaria l'esenzione |
|---|---|---|
geo.prod.do.dsp.mp.microsoft.com |
Do geo service and MCC initialization (Servizio geografico DO e inizializzazione MCC) | Aggiunta del certificato: MCC segnala che la verifica del certificato geografico non è riuscita se intercettata |
array*.prod.do.dsp.mp.microsoft.com |
Servizio cloud DO (individuazione peer, configurazione) | Aggiunta del certificato: la connessione non riesce se il certificato viene sostituito |
Nota
Altri endpoint di payload non usano l'aggiunta di certificati. È possibile mantenere abilitata l'ispezione TLS per questi endpoint.
Per un elenco completo degli endpoint usati da Ottimizzazione recapito e Microsoft Connected Cache, vedere Endpoint di contenuto e servizi di Microsoft Connected Cache.
Impatto quando l'ispezione TLS è attiva
Quando l'ispezione TLS è attiva negli endpoint di Ottimizzazione recapito, è possibile che si verifichino:
- I download peer-to-peer (P2P) hanno esito negativo. Ottimizzazione recapito non può connettersi al servizio cloud per individuare i peer, quindi tutti i download rientrano solo nella rete CDN.
- L'individuazione di Microsoft Connected Cache (MCC) non riesce. McC usa lo stesso servizio cloud per l'inizializzazione. Se la connessione al servizio geografico non riesce, MCC segnala che la verifica del certificato geografico non è riuscita e non è possibile completare la configurazione.
- I download vengono restituiti solo a HTTP. Mentre il contenuto viene ancora scaricato, si perde il risparmio di larghezza di banda da P2P e MCC.
Verifica e risoluzione dei problemi
Per verificare che il proxy non intercetti le connessioni di Ottimizzazione recapito, eseguire lo strumento di risoluzione dei problemi di ottimizzazione recapito con l'opzione -HealthCheck . In questo modo viene verificata la connettività agli endpoint del servizio DO e vengono rilevati errori di convalida del certificato. Per informazioni dettagliate, vedere Risoluzione dei problemi di ottimizzazione recapito.
Configurazione del proxy cloud (Zscaler, simile)
Se si usa Zscaler o un proxy cloud simile:
- Ignorare i nomi host del servizio DO (
*.do.dsp.mp.microsoft.com) dall'ispezione TLS e consentire il traffico direttamente a Internet. - Gli URL di contenuto e metadati possono facoltativamente passare attraverso il proxy, ma non devono modificarne il contenuto.
- Verificare che il proxy non modifichi l'indirizzo IP di origine del client per le chiamate al servizio DO. Ottimizzazione recapito usa l'INDIRIZZO IP del client per la posizione geografica e la corrispondenza peer.
Nota
Le chiamate al servizio ottimizzazione recapito (a *.do.dsp.mp.microsoft.com) non possono passare attraverso un proxy che modifica l'indirizzo IP del client, perché il servizio usa l'INDIRIZZO IP per la posizione geografica e la corrispondenza peer. I download del payload del contenuto (file di aggiornamento effettivi) possono passare attraverso un proxy.
Configurazione del proxy
Quando Ottimizzazione recapito scarica il contenuto da origini HTTP, usa la funzionalità di individuazione automatica del proxy di WinHttp impostando il flag WINHTTP_ACCESS_TYPE_AUTOMATIC_PROXY in tutte le chiamate HTTP. Fornisce a WinHttp un token per l'utente attualmente connesso, usato da WinHttp per l'autenticazione automatica sul proxy.
Per abilitare Ottimizzazione recapito per l'uso del proxy, configurarlo tramite le impostazioni del proxy Windows (WinINET, in passato impostazioni proxy di Internet Explorer).
Impostare Windows Proxy come a livello di dispositivo per assicurarsi che il dispositivo possa accedere al server proxy anche quando nessun utente ha eseguito l'accesso. In questo caso, si accede al proxy con il contesto "NetworkService" se è necessaria l'autenticazione proxy.
Nota
Non è consigliabile usare netsh winhttp set proxy ProxyServerName:PortNumber. Questo comando non offre alcun rilevamento automatico del proxy, nessun supporto per GLI URL PAC espliciti e nessuna autenticazione al proxy. Viene ignorata anche da WinHTTP per le richieste che usano l'individuazione automatica con un token utente interattivo.
Comportamento del proxy in base al contesto utente:
- Quando un utente ha eseguito l'accesso, il sistema usa il proxy Windows.
- Quando nessun utente ha eseguito l'accesso e vengono impostate entrambe le configurazioni di Windows Proxy e netsh, la configurazione netsh ha la precedenza. Ciò può causare errori di download, ad esempio errori di HTTP_E_STATUS_PROXY_AUTH_REQ o HTTP_E_STATUS_DENIED.
Se la configurazione del proxy usa un proxy statico NomeServer:Porta, è possibile importare l'impostazione proxy da Internet Explorer usando:
netsh winhttp import proxy source=ie
Tuttavia, le stesse limitazioni indicate in precedenza si applicano a questa configurazione importata.
Impostazione di un proxy a livello di dispositivo tramite MDM
Per impostare le impostazioni proxy per tutti gli utenti tramite MDM (ad esempio Intune), usare il provider di servizi di configurazione proxy di rete. Questo metodo applica le impostazioni proxy a livello di dispositivo che funzionano per tutti i contesti utente, inclusi gli utenti interattivi e i servizi in background come NetworkService.
Impostazione di un proxy a livello di dispositivo tramite Criteri di gruppo
Se si gestiscono i dispositivi tramite Active Directory, è possibile applicare le impostazioni proxy a tutti gli utenti nel dispositivo abilitando i criteri > Componenti > amministrativi di Configurazione > computer Internet Explorer > Imposta proxy per computer anziché per utente.
Quando si abilita questo criterio, le impostazioni proxy si applicano in modo uniforme a tutti gli utenti nel dispositivo. Ciò significa che tutti gli utenti devono usare lo stesso set di configurazione proxy a livello di dispositivo e gli utenti non possono eseguirne l'override con le proprie impostazioni proxy. Se si disabilita questo criterio o lo si lascia "Non configurato", gli utenti possono stabilire le proprie singole impostazioni proxy.
Supporto delle richieste dell'intervallo di byte
Ottimizzazione recapito scarica il contenuto in parti, in genere 1 MB ciascuna, usando le intestazioni dell'intervallo HTTP. Il proxy deve supportare le richieste di intervallo di byte (risposte di contenuto parziale HTTP 206) affinché i download funzionino correttamente.
Se il proxy blocca o rimuove le richieste di intervallo di byte:
- I download ottengono invece file completi. Senza il supporto dell'intervallo di byte, il client scarica il file completo, che è significativamente più grande.
- La condivisione P2P smette di funzionare. I peer condividono i singoli pezzi tra loro. Senza il supporto dell'intervallo di byte, il client scarica il file completo e non può usare dati parziali dai peer.
- I download della cache connessa hanno esito negativo o si ingrandiscono. La cache connessa fornisce contenuto usando intervalli di byte HTTP standard. Se il proxy rimuove le intestazioni dell'intervallo, il client riceve il file completo o rileva errori.
Importante
Assicurarsi che il proxy consenta le richieste dell'intervallo di byte per il traffico di Ottimizzazione recapito. Verificare che le Rangeintestazioni , Content-Rangee Accept-Ranges HTTP passino senza modifiche.
Microsoft Connected Cache dietro un proxy
Se si usa Cache connessa Microsoft, è possibile configurare il server Cache connessa in modo che usi un proxy per le connessioni Internet in uscita.
Le impostazioni proxy del server cache connessa sono separate dalla configurazione del proxy di Ottimizzazione recapito. Anche se i client di Ottimizzazione recapito necessitano di impostazioni proxy per raggiungere il servizio cloud (come descritto in precedenza), il server di Cache connessa stesso potrebbe anche avere bisogno di impostazioni proxy per raggiungere i server del contenuto Microsoft.
Cache connessa supporta l'uso di un proxy non autenticato per le connessioni in uscita. Per i passaggi di configurazione dettagliati, vedere Impostazioni del proxy della cache connessa Microsoft.
Comportamento di temporizzazione della connessione proxy
Quando Ottimizzazione recapito opera dietro un proxy, l'avvio dei download iniziali potrebbe richiedere più tempo. Ciò accade perché Ottimizzazione recapito deve eseguire l'individuazione proxy e l'autenticazione utente tramite i componenti di rete di Windows prima dell'avvio del trasferimento del contenuto.
Informazioni sul comportamento di connessione di Ottimizzazione recapito con proxy:
- Più connessioni: Ottimizzazione recapito stabilisce diverse connessioni tra il client e diversi servizi cloud di Ottimizzazione recapito.
- Riutilizzo della connessione: Ottimizzazione recapito usa il pool di connessioni WinHTTP per riutilizzare le connessioni. Quando una connessione è inattiva per circa 60 secondi, viene chiusa. Le richieste successive devono stabilire nuove connessioni, che possono aggiungere tempo ai download.
Questo tempo di installazione aggiuntivo è normale e previsto e non indica un problema con la configurazione del proxy.
Riepilogo del comportamento delle impostazioni
Le tabelle seguenti illustrano come Ottimizzazione recapito gestisce configurazioni proxy diverse a seconda del contesto utente. Le tabelle distinguono tra due scenari: quando un utente ha eseguito attivamente l'accesso e quando i download si verificano senza un utente interattivo (usando il contesto NetworkService, in genere per i download in background o pianificati).
Quando un utente interattivo ha eseguito l'accesso:
| Metodo di configurazione | Ottimizzazione recapito usa il proxy |
|---|---|
| Proxy di Internet Explorer (utente corrente) | Sì |
| Proxy di Internet Explorer (a livello di dispositivo) | Sì |
| proxy netsh | No |
| Proxy di Internet Explorer (utente corrente) e proxy netsh | Sì, viene usato il proxy di Internet Explorer |
| Proxy di Internet Explorer (a livello di dispositivo) e proxy netsh | Sì, viene usato il proxy di Internet Explorer |
Quando nessun utente ha eseguito l'accesso (contesto NetworkService):
| Metodo di configurazione | Ottimizzazione recapito usa il proxy |
|---|---|
| Proxy di Internet Explorer (utente corrente) | No |
| Proxy di Internet Explorer (a livello di dispositivo) | Sì |
| proxy netsh | Sì |
| Proxy di Internet Explorer (utente corrente) e proxy netsh | Sì, viene usato il proxy netsh |
| Proxy di Internet Explorer (a livello di dispositivo) e proxy netsh | Sì, viene usato il proxy netsh |
Suggerimento
Per la configurazione proxy più affidabile, usare le impostazioni proxy di Internet Explorer a livello di dispositivo. Questo metodo funziona in entrambi i contesti utente e garantisce che Ottimizzazione recapito possa accedere al proxy indipendentemente dal fatto che un utente abbia eseguito o meno l'accesso.