VPN Under Full Load? How to Reduce Network Traffic with Microsoft's Endpoint Configuration Manager

VPN Unter Volllast? 

Sparen Sie Netzwerkverkehr ein – mit dem Microsoft Endpoint Configuration Manager

VPN Under Full Load? How to Reduce Network Traffic With the Microsoft Endpoint Configuration Manager

Is Your VPN Under Full Load?

Aufgrund der aktuellen COVID-19-Pandemie arbeiten viele Menschen im Homeoffice. Teilweise nutzen sie moderne Online Dienste oder wählen sich klassisch per VPN in das Firmennetzwerk ein. Bei vielen Unternehmen ist die VPN-Infrastruktur nicht für so einen großen Andrang ausgelegt. Die Infrastruktur wird weiter belastet, wenn die Unternehmen Software oder Patches bereitstellen wollen, welche ebenfalls über die VPN-Strecken übertragen werden müssen. 

Der Microsoft Endpoint Configuration Manager (MECM, ehemals System Center Configuration Manager, SCCM) bietet verschiedene Methoden, wie man mit einer geschickten Konfiguration Bandbreite einsparen und die Nutzerproduktivität steigern kann. 

 

1. Boundary Groups

Der klassische Weg zur Begrenzung der Bandbreite ist die Konfiguration von Boundary Groups. Über Boundary Groups definiert man, welche Distribution Points für welche Systeme zuständig sind. Dies konfiguriert man z.B. für IP-Subnetze oder Active Directory Sites.

Create Boundary Groups in Microsoft's Endpoint Configuration Management
Screenshot 1: Boundary Groups erstellen (Quelle: SoftwareONE)

Erstellt man eine Boundary Group für den VPN-Bereich und verknüpft diese mit einem bestehenden Bereich, kann man für die Bereitstellungen von Applikationen, Software Updates und weiterem dediziert definieren, ob die Inhalte nur von einem lokalen Distribution Point oder auch von einem benachbarten Distribution Point gezogen werden dürfen. So lässt sich z.B. konfigurieren, dass Software Updates über die VPN-Strecke, größere Applikationen aber nur aus dem LAN geladen werden dürfen.

Hier zeigt sich auch die große Schwäche dieser Methodik: Die einzelnen Bereitstellungen müssen exakt den Bedürfnissen entsprechend konfiguriert werden.

Wenn ein bestimmter Benutzer eine größere Applikation erhalten soll, obwohl er per VPN eingewählt ist, dann muss für ihn eine zweite Bereitstellung erzeugt werden, welche den Download gestattet. Diese darf aber nur diesem Nutzer zugeordnet sein. Dadurch wird die Komplexität innerhalb der SCCM-Umgebung deutlich erhöht, besonders wenn ein Helpdesk diese Zuordnung vornehmen soll. 

Deploy Boundary Groups in Microsoft's Endpoint Configuration Manager
Screenshot 2: Deployment in Boundary Groups planen (Quelle: SoftwareONE)

2. Download Content From Microsoft Update

2. Download-Inhalte von Microsoft Update

Eine weitere Methode zur Einsparung von Netzwerkverkehr ist die Möglichkeit, VPN Clients die Software Updates von Microsoft Update herunterladen zu lassen, anstatt diese über die VPN-Verbindung zu beziehen. Hierfür richtet man ebenfalls eine eigene Boundary Group für den VPN-Bereich ein. Bei der Bereitstellung der Software Updates kann man nun anwählen, dass der Client die Updates von Microsoft herunterladen soll, wenn diese nicht auf seinem zugeordneten Distribution Point vorhanden sind.

Microsoft Endpoint Configuration Manager vs. Updates
Screenshot 3: Nutzen von Microsoft Update (Quelle: SoftwareONE)

Die Einstellung macht allerdings nur dann Sinn, wenn der VPN Client nicht den ganzen Internetverkehr durch den VPN-Tunnel leitet. Andere Inhalte, wie z.B. Applikationen können weiterhin über die VPN-Verbindung geladen werden. 


3. Internetbasierte Client-Verwaltung mit dem Microsoft Endpoint Configuration Manager

Die internetbasierte Clientverwaltung geht einen anderen Weg. Hierzu wird mindestens ein MECM Server innerhalb einer demilitarisierten Zone (DMZ, zwischen zwei Firewalls) bereitgestellt. MECM Clients können sich mit dem DMZ-System über das Internet verbinden. Sie erhalten ihre Richtlinien, Applikationen und Software-Updates, ohne dass eine VPN-Verbindung genutzt wird oder gar vorhanden sein muss. Damit das Internet Based Client Management funktioniert, müssen einige Anforderungen erfüllt werden:

  • In der DMZ muss mindestens ein MECM Siteserver bereitgestellt werden
  • Pro MECM Siteserver in der DMZ muss ein öffentlicher Name im DNS bereitgestellt werden
  • Pro MECM Siteserver in der DMZ muss ein Zertifikat auf den öffentlichen DNS-Namen bereitgestellt werden. 
  • MECM Clients, welche sich über das Internet verbinden sollen, müssen im PKI Modus betrieben werden. Das heißt, jeder Client benötigt ein Zertifikat. 

 

Damit diese Methode auch die Netzwerkauslastung auf der VPN-Strecke verringert, darf der VPN Client nicht den gesamten Internetverkehr durch das VPN schleußen. Außerdem gibt es ebenfalls keine Verbesserung, wenn der VPN-Verkehr und der Internetverkehr der DMZ-Systeme über dieselbe Schnittstelle eingehen.

 

4. Cloud Management Gateway

Das Cloud Management Gateway ist die modernste Variante, um MECM Clients über das Internet zu verwalten. Es funktioniert ähnlich, wie das Internet Based Client Management, allerdings mit dem großen Unterschied, dass die Infrastruktur nicht manuell in der DMZ aufgebaut werden muss, sondern automatisch in Azure erzeugt wird. Clients laden Richtlinien und Inhalte vom Cloud Management Gateway bzw. dem integrierten Cloud Distribution Point herunter.


Damit MECM Clients mit dem Cloud Management Gateway kommunizieren können, müssen sie entweder über ein Zertifikat verfügen oder mittels „hybrid/pure-cloud join“ Teil des Azure Active Directory sein.


Das Cloud Management Gateway hat noch einen weiteren großen Vorteil. Wer Microsoft Intune im Einsatz hat oder zukünftig einsetzen möchte, kann mittels Cloud Management Gateway seine MECM Clients im Co-Management betreiben. Hierbei werden Clients sowohl von MECM als auch von Intune verwaltet. 


Einen Vergleich zwischen MECM und Intune finden Sie in unserem Blogartikel.


Auch hier gilt: Erzwingt der VPN Client, dass der komplette Netzwerkverkehr durch den VPN-Tunnel erfolgen muss, spart man keinerlei Bandbreite.


5. Cloud Distribution Point

Der Vollständigkeit halber möchte ich noch den Cloud Distribution Point erwähnen. Dieser ist automatisch Teil des Cloud Management Gateways. Er kann aber auch in Kombination mit dem Internet Based Client Management verwendet werden. MECM Clients kommunizieren mit dem Management Point und dem Software Update Point über die VPN-Verbindung und laden Applikationen, Software-Updates oder Ähnliches aber vom Cloud Distribution Point herunter.


6. Fazit zum Microsoft Endpoint Configuration Manager

Der Microsoft Endpoint Configuration Manager bietet vielfältige Möglichkeiten, um die Netzwerklast auf der VPN-Strecke zu reduzieren. Die meisten Methoden setzen voraus, dass der VPN Client „Split Tunneling“ erlaubt. Hierbei leitet der VPN Client nur den Verkehr über die VPN-Strecke, welcher an das Firmennetzwerk gerichtet ist. Der restliche Verkehr wird nicht durch den Tunnel geschickt. Kann bzw. darf der VPN Client nicht im „Split Tunneling“-Modus betrieben werden, kann man zumindest einschränken, welche Inhalte übertragen werden dürfen.

Ihr Weg zu digitalen Transformation

Der Netzwerkverkehr in VPN-Strecken ist ein Aspekt der digitalen Transformation. Schon in der Planungsphase zur Modernisierung der Arbeitsplätze sollte das bedacht werden. Haben Sie Fragen zu Productivity-Lösungen wie Office 365 und Teams, wenden Sie sich bitte an unsere Modern-Workplace-Experten oder informieren sich über unsere Services UCSimple und 365Simple. 

Mehr erfahren
  • User Productivity
  • Microsoft

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Markus Mory

Senior Consultant, Microsoft Modern Workplace

Microsoft Modern Workplace

Verwandte Artikel

microsoft-teams-vs-zoom
  • 19 Oktober 2020
  • User Productivity
  • Video Conferencing, Microsoft Teams

Microsoft Teams vs. Zoom

In Zeiten zunehmender Remote-Arbeit werden Tools für die Teamzusammenarbeit immer beliebter. Aber was ist besser, Microsoft Teams oder Zoom?

VIP sein bei Adobe: Was der Value Incentive Plan seinen Nutzern bringt

Vereinfachte Lizenzverwaltung inklusive: Adobe VIP ist das Lizenzprogramm von Adobe für Unternehmen jeder Unternehmensgröße.

CorelDRAW Graphics Suite 2020 – starke Grafik-Tools für viele Branchen

Eine Lösung auch für Enterprise-Unternehmen: was die CorelDRAW Suite 2020 alles kann