Freigeben über


Implementieren von geteilten VPN-Tunneln für Microsoft 365

Hinweis

Dieser Artikel ist Teil einer Reihe von Artikeln, die sich mit der Microsoft 365-Optimierung für Remotebenutzer befassen oder wenn Sie Netzwerkoptimierungen implementieren, die IP-präfixbasiertes Routing umfassen, um Überlastungspunkte in Ihrer Netzwerkinfrastruktur zu umgehen.

Microsoft schlägt eine Strategie vor, um die Konnektivität schnell und effizient zu verbessern. Dies umfasst einige einfache Schritte zum Aktualisieren Ihrer Netzwerkrouten, sodass bestimmte wichtige Endpunkte überlastete VPN-Server umgehen können. Durch anwenden eines ähnlichen oder besseren Sicherheitsmodells auf verschiedenen Ebenen ist es nicht erforderlich, den gesamten Datenverkehr am Ausgangspunkt des Unternehmensnetzwerks zu schützen, und Sie können Microsoft 365-Datenverkehr mithilfe kürzerer und effizienterer Netzwerkpfade weiterleiten. Dies kann in der Regel innerhalb von Stunden erfolgen und bei Bedarf auf mehrere Microsoft 365-Workloads skaliert werden.

Implementierung von VPN-Split-Tunneling

In diesem Artikel finden Sie die einfachen Schritte, die erforderlich sind, um Ihre VPN-Clientarchitektur von einem VPN-Erzwungenen Tunnel zu einem VPN-Erzwungenen Tunnel mit einigen vertrauenswürdigen Ausnahmen zu migrieren. VPN Split Tunnel Model 2 in Common VPN Split Tunneling scenarios for Microsoft 365 ( Common VPN Split Tunneling Scenarios for Microsoft 365).

Das folgende Diagramm veranschaulicht die Funktionsweise der empfohlenen LÖSUNG für geteilte VPN-Tunnel:

Details zur VPN-Lösung für geteilte Tunnel.

1. Ermitteln der zu optimierenden Endpunkte

Im Artikel Microsoft 365-URLs und IP-Adressbereiche identifiziert Microsoft die wichtigsten Endpunkte, die Sie optimieren müssen, und kategorisiert sie als Optimieren. Diese kleine Gruppe von Endpunkten macht etwa 70 % bis 80 % des Datenverkehrs an den Microsoft 365-Dienst aus, einschließlich der latenzempfindlichen Endpunkte, z. B. für Teams-Medien. Im Wesentlichen ist dies der Datenverkehr, auf den wir uns besonders kümmern müssen, und ist auch der Datenverkehr, der einen unglaublichen Druck auf herkömmliche Netzwerkpfade und VPN-Infrastruktur ausüben wird.

URLS in dieser Kategorie besitzen die folgenden Merkmale:

  • Sind Endgeräte im Besitz Microsoft und Verwalteten Endpunkten, auf der Microsoft-Infrastruktur gehostet?
  • Veröffentlichte IP-Adressen, die für bestimmte Dienste dediziert sind
  • Geringe Änderungsrate
  • Sind bandbreiten- und/oder latenzempfindlich
  • Sind in der Lage, die erforderlichen Sicherheitselemente im Dienst und nicht inline im Netzwerk bereitzustellen
  • Machen Sie etwa 70 bis 80 % des Datenverkehrsvolumens für den Microsoft 365-Dienst aus.

Weitere Informationen zu Microsoft 365-Endpunkten und deren Kategorisierung und Verwaltung finden Sie unter Verwalten von Microsoft 365-Endpunkten.

In den meisten Fällen sollten Sie nur URL-Endpunkte in einer Browser-PAC-Datei verwenden müssen, wobei die Endpunkte so konfiguriert sind, dass sie nicht an den Proxy, sondern direkt gesendet werden. Wenn Sie nur die URLs für die Kategorie Optimize benötigen, verwenden Sie die erste Abfrage oder die zweite Abfrage für IP-Präfixe.

Optimieren der URLs

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls

Optimieren der IP-Adressbereiche

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips

2. Implementieren eines geteilten Tunnels für Microsoft 365-Endpunkte

Nun, da wir diese kritischen Endpunkte identifiziert haben, müssen wir sie vom VPN-Tunnel ablenken und ihnen erlauben, die lokale Internetverbindung des Benutzers zu nutzen, um sich direkt mit dem Dienst zu verbinden. Die Art und Weise, wie dies erreicht wird, hängt vom verwendeten VPN-Produkt und der verwendeten Computerplattform ab, aber die meisten VPN-Lösungen ermöglichen eine Konfiguration der Richtlinie, um diese Logik anzuwenden. Informationen zur plattformspezifischen Anleitung für geteilte Tunnel finden Sie in den HOWTO-Leitfäden für gängige VPN-Plattformen.

Wenn Sie die Lösung manuell testen möchten, können Sie das folgende PowerShell-Beispiel ausführen, um die Lösung auf der Ebene der Routingtabelle zu emulieren. In diesem Beispiel wird eine Route für jedes Subnetz des Teams Media IP in die Routingtabelle eingefügt. Sie können die Leistung von Teams-Medien vor und nach dem Verwenden des Teams-Netzwerkbewertungstools testen und die Unterschiede bei den Routen für die angegebenen Endpunkte beobachten.

Beispiel: Hinzufügen von Teams Medien-IP-Subnetzen in der Routingtabelle

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Im obigen Skript ist $intIndex der Index der mit dem Internet verbundenen Schnittstelle (suchen Sie durch Ausführen von get-netadapter in PowerShell; suchen Sie nach dem Wert von ifIndex), und $gateway ist das Standardgateway dieser Schnittstelle (suchen Sie durch Ausführen von ipconfig in einer Eingabeaufforderung oder (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop in PowerShell).

Nachdem Sie die Routen hinzugefügt haben, können Sie bestätigen, dass die Routentabelle korrekt ist, indem Sie den Route Print in einer Eingabeaufforderung oder in PowerShell ausführen.

Um Routen für alle aktuellen IP-Adressbereiche in der Kategorie Optimieren hinzuzufügen, können Sie die folgende Skriptvariation verwenden, um den Microsoft 365-IP- und URL-Webdienst nach dem aktuellen Satz optimieren von IP-Subnetzen abzufragen und sie der Routingtabelle hinzuzufügen.

Beispiel: Hinzufügen aller Optimieren-Subnetze in die Routingtabelle

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Wenn Sie versehentlich Routen mit falschen Parametern hinzugefügt haben oder einfach nur Ihre Änderungen rückgängig machen wollen, können Sie die soeben hinzugefügten Routen mit dem folgenden Befehl entfernen:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Der VPN-Client sollte so konfiguriert werden, dass der Datenverkehr zu den Optimieren-IPs auf diese Weise geleitet wird. Dadurch kann der Datenverkehr lokale Microsoft-Ressourcen wie Microsoft 365 Service Front Doors wie Azure Front Door nutzen, die Microsoft 365-Dienste und Konnektivitätsendpunkte so nah wie möglich an Ihre Benutzer liefert. Dies ermöglicht es uns, Benutzern überall auf der Welt ein hohes Leistungsniveau zu bieten, und nutzen das weltweit erstklassige Netzwerk von Microsoft, das wahrscheinlich innerhalb weniger Millisekunden nach dem direkten Ausgehenden Datenverkehr Ihrer Benutzer liegt.

HOWTO-Leitfäden für gängige VPN-Plattformen

Dieser Abschnitt enthält Links zu detaillierten Leitfäden zur Implementierung von geteiltem Tunneling für Microsoft 365-Datenverkehr von den gängigsten Partnern in diesem Bereich. Wir fügen weitere Leitfäden hinzu, sobald sie verfügbar sind.

Übersicht: Geteiltes VPN-Tunneling für Microsoft 365

Häufige Szenarien für geteilte VPN-Tunnel für Microsoft 365

Schützen des Teams-Mediendatenverkehrs für geteilte VPN-Tunnel

Besondere Überlegungen zu Stream- und Liveereignissen in VPN-Umgebungen

Microsoft 365-Leistungsoptimierung für China-Benutzer

Prinzipien von Microsoft 365-Netzwerkverbindungen

Bewerten der Microsoft 365-Netzwerkkonnektivität

Microsoft 365-Netzwerk- und Leistungsoptimierung

Alternative Möglichkeiten für Sicherheitsexperten und IT-Mitarbeiter, moderne Sicherheitskontrollen in den heutigen einzigartigen Remotearbeitsszenarien zu erreichen (Blog des Microsoft Security Teams)

Verbessern der VPN-Leistung bei Microsoft: Verwenden von Windows 10-VPN-Profilen zur Aktivierung automatischer Verbindungen

Betrieb über VPN: Wie Microsoft seine Remotemitarbeitern in Verbindung hält

Globales Microsoft-Netzwerk