Die Einstellung macht allerdings nur dann Sinn, wenn der VPN Client nicht den ganzen Internetverkehr durch den VPN-Tunnel leitet. Andere Inhalte, wie z.B. Applikationen können weiterhin über die VPN-Verbindung geladen werden.
3. Internetbasierte Client-Verwaltung mit dem Microsoft Endpoint Configuration Manager
Die internetbasierte Clientverwaltung geht einen anderen Weg. Hierzu wird mindestens ein MECM Server innerhalb einer demilitarisierten Zone (DMZ, zwischen zwei Firewalls) bereitgestellt. MECM Clients können sich mit dem DMZ-System über das Internet verbinden. Sie erhalten ihre Richtlinien, Applikationen und Software-Updates, ohne dass eine VPN-Verbindung genutzt wird oder gar vorhanden sein muss. Damit das Internet Based Client Management funktioniert, müssen einige Anforderungen erfüllt werden:
- In der DMZ muss mindestens ein MECM Siteserver bereitgestellt werden
- Pro MECM Siteserver in der DMZ muss ein öffentlicher Name im DNS bereitgestellt werden
- Pro MECM Siteserver in der DMZ muss ein Zertifikat auf den öffentlichen DNS-Namen bereitgestellt werden.
- MECM Clients, welche sich über das Internet verbinden sollen, müssen im PKI Modus betrieben werden. Das heißt, jeder Client benötigt ein Zertifikat.
Damit diese Methode auch die Netzwerkauslastung auf der VPN-Strecke verringert, darf der VPN Client nicht den gesamten Internetverkehr durch das VPN schleußen. Außerdem gibt es ebenfalls keine Verbesserung, wenn der VPN-Verkehr und der Internetverkehr der DMZ-Systeme über dieselbe Schnittstelle eingehen.
4. Cloud Management Gateway
Das Cloud Management Gateway ist die modernste Variante, um MECM Clients über das Internet zu verwalten. Es funktioniert ähnlich, wie das Internet Based Client Management, allerdings mit dem großen Unterschied, dass die Infrastruktur nicht manuell in der DMZ aufgebaut werden muss, sondern automatisch in Azure erzeugt wird. Clients laden Richtlinien und Inhalte vom Cloud Management Gateway bzw. dem integrierten Cloud Distribution Point herunter.
Damit MECM Clients mit dem Cloud Management Gateway kommunizieren können, müssen sie entweder über ein Zertifikat verfügen oder mittels „hybrid/pure-cloud join“ Teil des Azure Active Directory sein.
Das Cloud Management Gateway hat noch einen weiteren großen Vorteil. Wer Microsoft Intune im Einsatz hat oder zukünftig einsetzen möchte, kann mittels Cloud Management Gateway seine MECM Clients im Co-Management betreiben. Hierbei werden Clients sowohl von MECM als auch von Intune verwaltet.
Einen Vergleich zwischen MECM und Intune finden Sie in unserem Blogartikel.
Auch hier gilt: Erzwingt der VPN Client, dass der komplette Netzwerkverkehr durch den VPN-Tunnel erfolgen muss, spart man keinerlei Bandbreite.
5. Cloud Distribution Point
Der Vollständigkeit halber möchte ich noch den Cloud Distribution Point erwähnen. Dieser ist automatisch Teil des Cloud Management Gateways. Er kann aber auch in Kombination mit dem Internet Based Client Management verwendet werden. MECM Clients kommunizieren mit dem Management Point und dem Software Update Point über die VPN-Verbindung und laden Applikationen, Software-Updates oder Ähnliches aber vom Cloud Distribution Point herunter.
6. Fazit zum Microsoft Endpoint Configuration Manager
Der Microsoft Endpoint Configuration Manager bietet vielfältige Möglichkeiten, um die Netzwerklast auf der VPN-Strecke zu reduzieren. Die meisten Methoden setzen voraus, dass der VPN Client „Split Tunneling“ erlaubt. Hierbei leitet der VPN Client nur den Verkehr über die VPN-Strecke, welcher an das Firmennetzwerk gerichtet ist. Der restliche Verkehr wird nicht durch den Tunnel geschickt. Kann bzw. darf der VPN Client nicht im „Split Tunneling“-Modus betrieben werden, kann man zumindest einschränken, welche Inhalte übertragen werden dürfen.