Implementieren von geteiltem VPN-Tunneling für Microsoft 365

Hinweis

Dieser Artikel ist Teil einer Reihe von Artikeln, die sich mit der Microsoft 365-Optimierung für Remotebenutzer befassen.

Die von Microsoft empfohlene Strategie zur Optimierung der Konnektivität von Remotemitarbeitern konzentriert sich auf die schnelle Minderung von Problemen und die Bereitstellung einer hohen Leistung mit wenigen einfachen Schritten. Diese Schritte passen den Legacy-VPN-Ansatz für einige definierte Endpunkte an, die Engpässe bei VPN-Servern umgehen. Ein gleichwertiges oder sogar überlegenes Sicherheitsmodell kann auf verschiedenen Ebenen angewendet werden, um die Notwendigkeit zu beseitigen, den gesamten Datenverkehr am Ausgang des Unternehmensnetzwerks zu sichern. In den meisten Fällen kann dies innerhalb von Stunden effektiv erreicht werden und ist dann auf andere Workloads skalierbar, wenn bedarfs- und zeitgesteuert.

Implementierung von VPN-Split-Tunneling

In diesem Artikel finden Sie die einfachen Schritte, die erforderlich sind, um Ihre VPN-Clientarchitektur von einem VPN-Erzwungentunnel zu einem VPN-Tunnel mit einigen vertrauenswürdigen Ausnahmen zu migrieren, VPN-Split-Tunnelmodell Nr. 2 in allgemeinen VPN-Split-Tunneling-Szenarien für Microsoft 365.

Das folgende Diagramm veranschaulicht, wie die empfohlene VPN-Split-Tunnellösung funktioniert:

Details zur VPN-Lösung für geteilten Tunnel.

1. Ermitteln der zu optimierenden Endpunkte

Im Artikel zu UrLs und IP-Adressbereichen von Microsoft 365 identifiziert Microsoft eindeutig die wichtigsten Endpunkte, die Sie optimieren müssen, und kategorisiert sie als "Optimieren". Derzeit müssen nur vier URLS und 20 IP-Subnetze optimiert werden. Diese kleine Gruppe von Endpunkten macht etwa 70 % bis 80 % des Datenverkehrsvolumens an den Microsoft 365-Dienst aus, einschließlich der Latenzentsyndpunkte, z. B. für Teams-Medien. Im Wesentlichen ist dies der Datenverkehr, um den wir uns besonders kümmern müssen, und ist auch der Datenverkehr, der einen unglaublichen Druck auf herkömmliche Netzwerkpfade und VPN-Infrastruktur ausüben wird.

URLS in dieser Kategorie besitzen die folgenden Merkmale:

  • Sind Endgeräte im Besitz Microsoft und Verwalteten Endpunkten, auf der Microsoft-Infrastruktur gehostet?
  • Lassen Sie IPs bereitstellen
  • Geringe Änderungsrate, und es wird erwartet, dass die Zahl klein ist (zurzeit 20 IP-Subnetze)
  • Sind bandbreiten- und/oder latenzempfindlich
  • Sind in der Lage, die erforderlichen Sicherheitselemente im Dienst und nicht inline im Netzwerk bereitzustellen
  • Machen rund 70-80 % des Datenverkehrsvolumens zum Microsoft 365-Dienst aus

Weitere Informationen zu Microsoft 365-Endpunkten und deren Kategorisierung und Verwaltung finden Sie unter Verwalten von Microsoft 365-Endpunkten.

Optimieren der URLs

Die aktuellen Optimieren-URLs finden Sie in der folgenden Tabelle. In den meisten Fällen sollten Sie nur URL-Endpunkte in einer Browser-PAC-Datei verwenden müssen, wobei die Endpunkte so konfiguriert sind, dass sie nicht an den Proxy, sondern direkt gesendet werden.

Optimieren der URLs Port/Protokoll Zweck
https://outlook.office365.com TCP 443 Dies ist eine der primären URLs, die Outlook für die Verbindung mit seinem Exchange Online-Server verwendet, und hat ein hohes Volumen an Bandbreitennutzung und Verbindungsanzahl. Für Online-Funktionen wie Sofortsuche, andere Postfachkalender, freies/besetztes Nachschlagen, Verwaltung von Regeln und Warnungen, Exchange-Online-Archiv, E-Mails, die den Postausgang verlassen, ist eine geringe Netzwerklatenzzeit erforderlich.
https://outlook.office.com TCP 443 Diese URL wird für Outlook Online Web Access verwendet, um eine Verbindung mit dem Exchange Online-Server herzustellen, und ist empfindlich für die Netzwerklatenz. Konnektivität ist insbesondere für das Hoch- und Herunterladen großer Dateien mit SharePoint Online erforderlich.
<tenant>https://.sharepoint.com TCP 443 Dies ist die primäre URL für SharePoint Online und hat eine hohe Bandbreitennutzung.
<tenant>https://-my.sharepoint.com TCP 443 Dies ist die primäre URL für OneDrive for Business und hat eine hohe Bandbreitennutzung und möglicherweise eine hohe Anzahl an Verbindungen vom OneDrive for Business Sync-Tool.
Teams Media IPs (keine URL) UDP 3478, 3479, 3480 und 3481 Relay Discovery-Zuordnung und Echtzeitdatenverkehr. Dies sind die Endpunkte, die für Skype for Business- und Microsoft Teams Media-Datenverkehr (Anrufe, Besprechungen usw.) verwendet werden. Die meisten Endpunkte werden bereitgestellt, wenn der Microsoft Teams-Client einen Anruf einleitet (und sind in den für den Dienst aufgelisteten erforderlichen IPs enthalten). Für eine optimale Medienqualität ist die Verwendung des UDP-Protokolls erforderlich.

In den obigen Beispielen sollte der Mandant durch Ihren Microsoft 365-Mandantennamen ersetzt werden. Beispielsweise würden contoso.onmicrosoft.com contoso.sharepoint.com und contoso-my.sharepoint.com verwenden.

Optimieren der IP-Adressbereiche

Zum Zeitpunkt des Schreibens der IP-Adressbereiche, denen diese Endpunkte entsprechen, sind wie folgt. Es wird dringend empfohlen, ein Skript wie dieses Beispiel, den Microsoft 365-IP- und -URL-Webdienst oder die URL/IP-Seite zu verwenden, um beim Anwenden der Konfiguration nach Updates zu suchen und regelmäßig eine Richtlinie dafür zu erstellen.

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14

2. Optimieren des Zugriffs auf diese Endpunkte über das VPN

Nun, da wir diese kritischen Endpunkte identifiziert haben, müssen wir sie vom VPN-Tunnel ablenken und ihnen erlauben, die lokale Internetverbindung des Benutzers zu nutzen, um sich direkt mit dem Dienst zu verbinden. Die Art und Weise, wie dies erreicht wird, hängt vom verwendeten VPN-Produkt und der Maschinenplattform ab, aber die meisten VPN-Lösungen ermöglichen eine einfache Konfiguration der Richtlinien zur Anwendung dieser Logik. Informationen zur plattformspezifischen Anleitung für geteilte Tunnel finden Sie in den HOWTO-Leitfäden für gängige VPN-Plattformen.

Wenn Sie die Lösung manuell testen möchten, können Sie das folgende PowerShell-Beispiel ausführen, um die Lösung auf der Ebene der Routingtabelle zu emulieren. In diesem Beispiel wird eine Route für jedes Subnetz des Teams Media IP in die Routingtabelle eingefügt. Sie können die Medienleistung des Teams vorher und nachher testen und die Unterschiede in den Routen für die angegebenen Endpunkte beobachten.

Beispiel: Hinzufügen von Teams Medien-IP-Subnetzen in der Routingtabelle

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Im obigen Skript ist $intIndex der Index der Schnittstelle, die mit dem Internet verbunden ist (Suche durch Ausführen von get-netadapter in PowerShell; suchen Sie nach dem Wert von ifIndex) und $gateway ist das Standardgateway dieser Schnittstelle (Suche durch Ausführen von ipconfig in einer Befehlszeile oder (Get-NetIPConfiguration | Foreach IPv4DefaultGateway).NextHop in PowerShell).

Nachdem Sie die Routen hinzugefügt haben, können Sie bestätigen, dass die Routentabelle korrekt ist, indem Sie den Route Print in einer Eingabeaufforderung oder in PowerShell ausführen. Die Ausgabe sollte die von Ihnen hinzugefügten Routen enthalten und den Schnittstellenindex (22 in diesem Beispiel) und das Gateway für diese Schnittstelle (192.168.1.1 in diesem Beispiel) anzeigen:

Weiterleiten der Druckausgabe.

Um Routen für alle aktuellen IP-Adressbereiche in der Kategorie "Optimieren" hinzuzufügen, können Sie die folgende Skriptvariation verwenden, um den Microsoft 365-IP- und URL-Webdienst nach dem aktuellen Satz von Optimize IP-Subnetzen abzufragen und sie der Routentabelle hinzuzufügen.

Beispiel: Hinzufügen aller Optimieren-Subnetze in die Routingtabelle

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Wenn Sie versehentlich Routen mit falschen Parametern hinzugefügt haben oder einfach nur Ihre Änderungen rückgängig machen wollen, können Sie die soeben hinzugefügten Routen mit dem folgenden Befehl entfernen:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Der VPN-Client sollte so konfiguriert werden, dass der Datenverkehr zu den Optimieren-IPs auf diese Weise geleitet wird. Auf diese Weise kann der Datenverkehr lokale Microsoft-Ressourcen wie Microsoft 365 Service Front Doors wie die Azure Front Door nutzen, die Microsoft 365-Dienste und Konnektivitätsendpunkte so nah wie möglich an Ihren Benutzern bereitstellen. Dies ermöglicht es uns, Benutzern überall auf der Welt ein hohes Leistungsniveau zu bieten und das erstklassige globale Netzwerk von Microsoft voll auszunutzen, das wahrscheinlich innerhalb weniger Millisekunden des direkten Ausganges Ihrer Benutzer liegt.

HOWTO-Leitfäden für gängige VPN-Plattformen

Dieser Abschnitt enthält Links zu detaillierten Anleitungen für die Implementierung von geteiltem Tunneling für Microsoft 365-Datenverkehr von den gängigsten Partnern in diesem Bereich. Wir werden zusätzliche Leitfäden hinzufügen, sobald sie verfügbar sind.

Übersicht: Geteiltes VPN-Tunneling für Microsoft 365

Häufige Szenarien für geteiltes VPN-Tunneling für Microsoft 365

Schützen des Teams-Mediendatenverkehrs für geteilte VPN-Tunnel

Besondere Überlegungen für Stream- und Liveereignisse in VPN-Umgebungen

Microsoft 365-Leistungsoptimierung für Benutzer in China

Prinzipien von Microsoft 365-Netzwerkverbindungen

Bewerten der Microsoft 365-Netzwerkkonnektivität

Microsoft 365-Netzwerk- und Leistungsoptimierung

Alternative Möglichkeiten für Sicherheitsexperten und IT-Mitarbeiter, moderne Sicherheitskontrollen in den heutigen einzigartigen Remotearbeitsszenarien zu erreichen (Blog des Microsoft Security Teams)

Verbessern der VPN-Leistung bei Microsoft: Verwenden von Windows 10-VPN-Profilen zur Aktivierung automatischer Verbindungen

Betrieb über VPN: Wie Microsoft seine Remotemitarbeitern in Verbindung hält

Globales Microsoft-Netzwerk