インフラストラクチャに関する考慮事項
ネットワーク
プロキシを避ける
初期展開には直接のインターネットアクセスが必要です。プロキシなしが理想ですが、透過プロキシであれば問題なく動作するはずです(本当に透過的である場合)。最低要件としてプロキシの回避が不可能な場合は、以下のサービス/アドレスに直接アクセスできる必要があります:
対応する IP 範囲の一覧は、次のリンクをクリックしてください:
Azure IP 範囲とサービス タグ – パブリック クラウド
このファイルには、Microsoft Azure データセンターで使用されるコンピュートの IP アドレス範囲(SQL の範囲を含む)が含まれています。新しい XML ファイルは、毎週水曜日(太平洋時間)に、新しく計画された IP アドレス範囲とともにアップロードされます。新しい IP アドレス範囲は、翌週の月曜日(太平洋時間)から有効になります。 新しい XML ファイルをダウンロードし、月曜日までにサイトで必要な変更を行ってください。
この記事は、コンピューターが Office 365 を正常に使用できるように、送信許可リストに含める必要があるコンピュートの IP アドレス範囲を含むファイルへのリンクです。
IP アドレスのフィルタリングだけでは、DNS(Domain Name Services)、CDN(Content Delivery Networks)、Certificate Revocation Lists、その他のサードパーティまたは動的サービスなどのインターネットベースのサービスへの依存関係があるため、完全な解決策ではありません。これらの依存関係には、Azure Content Delivery Network などの他の Microsoft サービスへの依存関係も含まれており、その結果、ネットワーク トレースやファイアウォール ログには、サードパーティまたは Microsoft が所有しているが、このページには記載されていない IP アドレスへの接続が示されます。これらの未記載の IP アドレスは、サードパーティまたは Microsoft 所有の CDN および DNS サービスによるものであれ、動的に割り当てられており、いつでも変更される可能性があります。
BranchCache とデバイス分離
BranchCache は、次の目的のために設計された Windows テクノロジです WAN トラフィックを削減する および コンテンツ配信を高速化する 企業ネットワーク内で。これは、Windows クライアントがダウンロードしたデータを互いに共有できるようにすることで、各デバイスが同じコンテンツをクラウドから繰り返し取得するのを防ぎます。
RealmJoin では、BranchCache は 既定で有効 になっており、CDN 側およびクライアント側の両方で有効です。
では、なぜ Delivery Optimization を使わないのでしょうか。この仕組みはサードパーティのパッケージ ソースをサポートしていません。Microsoft が管理するエンドポイント(例: Windows Update、Store、M365 Apps、Intune)でのみ動作します。
そのため、RealmJoin では BranchCache を利用しています。なぜなら、それは Windows に組み込まれたピアリング メカニズム であり、サードパーティ コンテンツでも動作するからです:
CDN 側: 既定で有効です。必要に応じて、CDN 側で BranchCache を完全に無効にすることができます(テナント単位)。その場合、クライアント側の構成は関係なくなります。
次の クライアント側でも、機能は既定で有効です。
BranchCache.Mode = "Undefined"を設定することで( ユーザーおよびグループ設定を参照)、この既定の動作を変更できます。ただし、既存のクライアントについては、以前に有効化されていた場合でも、機能は積極的に無効化されません。無効化するには、対象のデバイスでDisable-BCを実行します。
BranchCache を有効にするには、クライアント同士が直接通信できる必要があります。そのため、異なる VLAN やサブネットで分離されていたり、デバイス分離によって通信がブロックされていたりしてはいけません。私たちは BranchCache を Distributed Cache Modeで使用しており、各クライアントはローカル キャッシュを保持し、ピアからキャッシュされたデータを取得します。 Hosted Cache Modeは、専用の Windows Server を必要とし、クライアントでは「Configure Hosted Cache Servers」ポリシーで構成されますが、 サポートされていません RealmJoin では。
クライアント デバイスがソフトウェア パッケージを初めてダウンロードするとき、ファイルは元のコンテンツよりかなり小さいチャンクに分割され、デバイスにキャッシュされます。その後、同じパッケージが同じネットワーク内の別のクライアント デバイスから要求されると、サーバーから完全なコンテンツではなくコンテンツ情報をダウンロードします。コンテンツ情報は、ネットワーク内の他のデバイス上で目的のコンテンツを見つけるために使用されます。 クライアントのピア検出 は「Distributed Cache Mode」では次のように動作します:
クライアントは、「コンテンツ ID XYZ を持っている人はいますか?」のようなマルチキャスト クエリを送信します。
要求されたセグメントを保持しているピアは、ユニキャストで直接応答します。
パッケージをサーバーからダウンロードする代わりに、分割されたチャンクの形式のコンテンツがクライアント デバイスに転送されます。要求されたソフトウェアが複数のデバイスで利用可能な場合は、それらの間で負荷が分散されます。
詳細は Microsoft Learn を参照してください: BranchCache
RealmJoin 接続エンドポイント
RealmJoin は、ファイアウォール設定で考慮する必要がある可能性のある以下のホスト(HTTPS を使用)に接続します:
cdn.realmjoin.comx1.c.lencr.orgclient-api.realmjoin.comclient-api-staging.realmjoin.comrealmjoin-backend.azurewebsites.netrealmjoin-backend-staging.azurewebsites.netnuget.realmjoin.comenterpriseregistration.windows.netgkrealmjoin.s3.amazonaws.comlogin.microsoftonline.comgraph.microsoft.comrealmjoinstaticcdn.azureedge.net(Notifier)
最終更新
役に立ちましたか?