Optimize, Allow, Default – so lauten die drei Verkehrsklassen, nach denen die vielfältigen Microsoft 365 Services kategorisiert werden. Im dritten Blogbeitrag der Teams Netzwerkoptimierungs-Reihe gehen wir der Frage nach, wie gut die Erreichbarkeit dieser Services ist und was die Servicequalität beeinflussen kann bzw. welche Optimierungsmaßnahmen gesetzt werden können. Im den ersten beiden Beiträgen haben wir uns die Themen Medienqualität und Verbindungsprinzipien beleuchtet.
Priorisierung des Datenverkehrs: Von Optimize über Allow bis hin zu Default
Das Portfolio der Microsoft Services ist vielfältig (auf die Media Services sind wir bereits im zweiten Blogbeitrag dieser Reihe eingegangen). Die meisten dieser Services sind über einen oder mehrere FQDN (Fully Qualified Domain Name) erreichbar – auch wenn einzelne Service-Endpunkte in verschiedenen Zielnetzen liegen, müssen sie immer aus dem Firmennetzwerk erreichbar sein. Zur Priorisierung des Datenverkehrs wird daher zwischen drei Verkehrsklassen unterschieden: Optimize, Allow und Default.
Microsoft Teams Verkehrsklassen: Default, Allow, Optimize
1. Optimize
Die Verkehrsklasse Optimize ist mit weniger als 10 FQDN zwar die kleinste, aber dennoch wichtigste Verkehrsklasse, da hier die kritischen Services von Microsoft 365 liegen und das höchste Datenvolumen umgesetzt wird. Dazu zählen etwa die Services für die Echtzeitkommunikation. Services der Kategorie Optimize müssen daher immer erreichbar und die Datenübertragung stets verschlüsselt sein. Störungen dieser Verkehrsklassen haben den größten Einfluss auf das Nutzererlebnis. Deswegen ist eine Optimierung dieser Verbindungen zwingend notwendig und Änderungen von FQDNs und Zielnetzen sehr selten.
Es empfehlen sich folgende Optimierungsmaßnahmen:
Umgehung/Deaktivierung von SSL-Inspection
Proxy Bypass
Verwendung eines lokalen Internetbreakouts
Split Tunnel VPN
2. Allow
In der Verkehrsklasse Allow befinden sich ca. 100 FQDN mit zugehörigen Zielnetzen. Als Port kommt hier überwiegend 443 (HTTPS) zum Einsatz, wobei das Datenvolumen in der Regel mittel bzw. niedrig ist. Wie bei Optimize ist die Erreichbarkeit der Dienste wesentlich. Der Datenverkehr ist aufgrund der bekannten Zielnetze und FQDN vertrauenswürdig, die Datenübertragung findet stets verschlüsselt statt.
Es empfehlen sich folgenden Optimierungsmaßnahmen:
Umgehung/Deaktivierung von SSL-Inspection
Proxy Bypass
3. Default
In der Verkehrsklasse Default befinden sich unkritische Dienste, die dennoch erreichbar sein sollten. Verbindungen der Klasse Default können wie regulärer Internet-Traffic behandelt werden.
Webservice für Microsoft Teams
Die Liste der FQDN, Zielnetze und Ports ist umfangreich und befindet sich in einem steten Wandel, da Netze konsolidiert oder neue Services hinzukommen. Manchmal wird die URL- und Endpunktliste sogar monatlich angepasst. Das stellt vor allem das Team der Firewall-Administration vor einen hohen Wartungsaufwand.
Um Webservices zu vereinfachen, können Informationen zu Updates als RSS Feed abgerufen und moderne Firewall-Systeme via Webschnittstelle automatisiert konfiguriert werden. Microsoft stellt dafür eine Web-Schnittstelle bereit, in welcher Regelwerke in verschiedenen Dateiformaten per REST-API Format abgerufen werden können.
Bereitstellung von ausreichender Bandbreite
Das Betreiben eines modernen UC-Systems mit bandbreitenintensiven HD-Videokonferenzen stellt ein Netzwerk vor besondere Herausforderungen. Microsoft gibt Bandbreitenrichtwerte für Anrufe vor (siehe Tabelle) – genaue Bandbreitenberechnungen auf Basis von Netzwerktopologie und Anwender Personas liefert der Netzwerkplaner des Teams Admin Centers.
Wird nicht genügend Bandbreite bereitgestellt, kann Microsoft Teams die Videoauflösung reduzieren, um Qualitätsverlusten entgegenzuwirken. Im schlimmsten Fall kann es dadurch jedoch zu Verbindungsabbrüchen sowie erheblichen Störungen der Medienqualität kommen. Vor allem WAN-Strecken und lokale Internetbreakouts mit unterdimensionierten Bandbreiten können hier Flaschenhälse darstellen.
Bandbreiten für Microsoft Teams
So gewährleisten Sie eine hohe Servicequalität
Servicequalität oder „Quality of Service“ beschreibt die Klassifizierung und Priorisierung von Datenpaketen im Netzwerk. Wenn Übertragungen von E-Mails, Businessanwendungen oder Dateien länger dauern, bemerkt das der Benutzer in der Regel gar nicht. Anders ist das bei der Echtzeitkommunikation: Störungen des Datenstroms führen zu Einbrüchen in der Audio- und Videoqualität und fallen sofort negativ auf. Deshalb ist es wichtig, Echtzeitdaten möglichst störungsfrei zu übertragen – v.a. dann, wenn Netzwerkstrecken durch Nebenlasten, wie z.B. Backups, stark ausgelastet sind.
Die Priorisierung von Daten durch das Markieren von Paketen mit DSCP-Tags und Konfigurationen kann Stauungen und daraus resultierende Störungen (Latenzen, Paketverluste, Jitter) stark reduzieren. Die Abkürzung DSCP steht für „Differentiated Services Code Point“.
Es empfehlen sich folgende Optimierungsmaßnahmen:
Entsprechende Bandbreiten für Voice und ggf. Video zu reservieren.
Datenströme priorisieren mit QoS Queues
Die folgende Abbildung zeigt drei QoS Queues, die im Netzwerk eingerichtet werden sollten. Höchste Priorität hat dabei der Audio Traffic, da er in Bezug auf Störeinflüsse am kritischsten ist. Videoübertragungen nehmen viel Bandbreite in Anspruch und stehen daher an zweiter Stelle, da sich Engpässe stark auf die Bildqualität und das Benutzerempfinden auswirken.
Die dritte Queue kann für Application Sharing reserviert werden. Da netzwerkbasierende Störungen hier allerdings weniger stark wahrnehmbar sind, verzichten viele Organisationen auf eine solche Einrichtung.
QoS Queues
Die QoS Tags werden im Teams Admin Center aktiviert. DSCP Werte sind dabei bereits vorgegeben während die Portranges durch den Administrator frei wählbar sind. Das Tagging per Gruppenrichtlinie (GPO) für den Teams Client muss aktiviert werden. Moderne Netzwerksysteme können Kommunikationsanwendungen, wie Teams, anhand von Mustererkennung identifizieren und automatisiert priorisieren.
Im lokalen Netz sollten die gesetzten QoS durch einen Vorabtest verifiziert werden. Wir empfehlen, jede WAN-Strecke über mehrere Wochen lang 24/7 zu testen. Die synthetischen Medienströme können durch im Netz verteilte Messsysteme überprüft werden.
Sneak Peak: Wie konfiguriert man die Telefonie via Teams?
Bei der Telefonie via Teams kommt das Microsoft Phone System zur Anwendung, wobei die Kommunikationspfade dem regulären Microsoft 365 Traffic entsprechen. Welche Routingoptionen bestehen und wie die Konfiguration für Telefonie erfolgen sollte, erzählen wir im vierten Teil der Reihe „Netzwerkoptimierung für Teams“ in zwei Wochen.