VPN Unter Volllast?
Sparen Sie Netzwerkverkehr ein – mit dem Microsoft Endpoint Configuration Manager
Aufgrund der aktuellen COVID-19-Pandemie arbeiten viele Menschen im Homeoffice. Teilweise nutzen sie moderne Online Dienste oder wählen sich klassisch per VPN in das Firmennetzwerk ein. Bei vielen Unternehmen ist die VPN-Infrastruktur nicht für so einen großen Andrang ausgelegt. Die Infrastruktur wird weiter belastet, wenn die Unternehmen Software oder Patches bereitstellen wollen, welche ebenfalls über die VPN-Strecken übertragen werden müssen.
Der Microsoft Endpoint Configuration Manager (MECM, ehemals System Center Configuration Manager, SCCM) bietet verschiedene Methoden, wie man mit einer geschickten Konfiguration Bandbreite einsparen und die Nutzerproduktivität steigern kann.
Der klassische Weg zur Begrenzung der Bandbreite ist die Konfiguration von Boundary Groups. Über Boundary Groups definiert man, welche Distribution Points für welche Systeme zuständig sind. Dies konfiguriert man z.B. für IP-Subnetze oder Active Directory Sites.
Erstellt man eine Boundary Group für den VPN-Bereich und verknüpft diese mit einem bestehenden Bereich, kann man für die Bereitstellungen von Applikationen, Software Updates und weiterem dediziert definieren, ob die Inhalte nur von einem lokalen Distribution Point oder auch von einem benachbarten Distribution Point gezogen werden dürfen. So lässt sich z.B. konfigurieren, dass Software Updates über die VPN-Strecke, größere Applikationen aber nur aus dem LAN geladen werden dürfen.
Hier zeigt sich auch die große Schwäche dieser Methodik: Die einzelnen Bereitstellungen müssen exakt den Bedürfnissen entsprechend konfiguriert werden.
Wenn ein bestimmter Benutzer eine größere Applikation erhalten soll, obwohl er per VPN eingewählt ist, dann muss für ihn eine zweite Bereitstellung erzeugt werden, welche den Download gestattet. Diese darf aber nur diesem Nutzer zugeordnet sein. Dadurch wird die Komplexität innerhalb der SCCM-Umgebung deutlich erhöht, besonders wenn ein Helpdesk diese Zuordnung vornehmen soll.
Eine weitere Methode zur Einsparung von Netzwerkverkehr ist die Möglichkeit, VPN Clients die Software Updates von Microsoft Update herunterladen zu lassen, anstatt diese über die VPN-Verbindung zu beziehen. Hierfür richtet man ebenfalls eine eigene Boundary Group für den VPN-Bereich ein. Bei der Bereitstellung der Software Updates kann man nun anwählen, dass der Client die Updates von Microsoft herunterladen soll, wenn diese nicht auf seinem zugeordneten Distribution Point vorhanden sind.
Die Einstellung macht allerdings nur dann Sinn, wenn der VPN Client nicht den ganzen Internetverkehr durch den VPN-Tunnel leitet. Andere Inhalte, wie z.B. Applikationen können weiterhin über die VPN-Verbindung geladen werden.
Die internetbasierte Clientverwaltung geht einen anderen Weg. Hierzu wird mindestens ein MECM Server innerhalb einer demilitarisierten Zone (DMZ, zwischen zwei Firewalls) bereitgestellt. MECM Clients können sich mit dem DMZ-System über das Internet verbinden. Sie erhalten ihre Richtlinien, Applikationen und Software-Updates, ohne dass eine VPN-Verbindung genutzt wird oder gar vorhanden sein muss. Damit das Internet Based Client Management funktioniert, müssen einige Anforderungen erfüllt werden:
Damit diese Methode auch die Netzwerkauslastung auf der VPN-Strecke verringert, darf der VPN Client nicht den gesamten Internetverkehr durch das VPN schleußen. Außerdem gibt es ebenfalls keine Verbesserung, wenn der VPN-Verkehr und der Internetverkehr der DMZ-Systeme über dieselbe Schnittstelle eingehen.
Das Cloud Management Gateway ist die modernste Variante, um MECM Clients über das Internet zu verwalten. Es funktioniert ähnlich, wie das Internet Based Client Management, allerdings mit dem großen Unterschied, dass die Infrastruktur nicht manuell in der DMZ aufgebaut werden muss, sondern automatisch in Azure erzeugt wird. Clients laden Richtlinien und Inhalte vom Cloud Management Gateway bzw. dem integrierten Cloud Distribution Point herunter.
Damit MECM Clients mit dem Cloud Management Gateway kommunizieren können, müssen sie entweder über ein Zertifikat verfügen oder mittels „hybrid/pure-cloud join“ Teil des Azure Active Directory sein.
Das Cloud Management Gateway hat noch einen weiteren großen Vorteil. Wer Microsoft Intune im Einsatz hat oder zukünftig einsetzen möchte, kann mittels Cloud Management Gateway seine MECM Clients im Co-Management betreiben. Hierbei werden Clients sowohl von MECM als auch von Intune verwaltet.
Einen Vergleich zwischen MECM und Intune finden Sie in unserem Blogartikel.
Auch hier gilt: Erzwingt der VPN Client, dass der komplette Netzwerkverkehr durch den VPN-Tunnel erfolgen muss, spart man keinerlei Bandbreite.
Der Vollständigkeit halber möchte ich noch den Cloud Distribution Point erwähnen. Dieser ist automatisch Teil des Cloud Management Gateways. Er kann aber auch in Kombination mit dem Internet Based Client Management verwendet werden. MECM Clients kommunizieren mit dem Management Point und dem Software Update Point über die VPN-Verbindung und laden Applikationen, Software-Updates oder Ähnliches aber vom Cloud Distribution Point herunter.
Der Microsoft Endpoint Configuration Manager bietet vielfältige Möglichkeiten, um die Netzwerklast auf der VPN-Strecke zu reduzieren. Die meisten Methoden setzen voraus, dass der VPN Client „Split Tunneling“ erlaubt. Hierbei leitet der VPN Client nur den Verkehr über die VPN-Strecke, welcher an das Firmennetzwerk gerichtet ist. Der restliche Verkehr wird nicht durch den Tunnel geschickt. Kann bzw. darf der VPN Client nicht im „Split Tunneling“-Modus betrieben werden, kann man zumindest einschränken, welche Inhalte übertragen werden dürfen.
Der Netzwerkverkehr in VPN-Strecken ist ein Aspekt der digitalen Transformation. Schon in der Planungsphase zur Modernisierung der Arbeitsplätze sollte das bedacht werden. Haben Sie Fragen zu Productivity-Lösungen wie Office 365 und Teams, wenden Sie sich bitte an unsere Modern-Workplace-Experten oder informieren sich über unsere Services UCSimple und 365Simple.
Mehr erfahrenHinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!
Kommentar hinterlassen
