Schützen des Teams-Mediendatenverkehrs für geteilte VPN-Tunnel
Hinweis
Dieser Artikel ist Teil einer Reihe von Artikeln zur Microsoft 365-Optimierung für Remotebenutzer.
- Eine Übersicht über die Verwendung des geteilten VPN-Tunnelings zur Optimierung der Microsoft 365-Konnektivität für Remotebenutzer finden Sie unter Übersicht: VPN Split Tunneling für Microsoft 365.
- Eine ausführliche Anleitung zum Implementieren von geteilten VPN-Tunneln finden Sie unter Implementieren des geteilten VPN-Tunnelings für Microsoft 365.
- Eine ausführliche Liste der Szenarien für geteilte VPN-Tunnel finden Sie unter Häufige Szenarien für geteilte VPN-Tunnel für Microsoft 365.
- Informationen zum Konfigurieren von Stream- und Liveereignissen in VPN-Umgebungen finden Sie unter Besondere Überlegungen zu Stream- und Liveereignissen in VPN-Umgebungen.
- Informationen zum Optimieren der leistung von Microsoft 365 weltweit für Benutzer in China finden Sie unter Microsoft 365-Leistungsoptimierung für China-Benutzer.
Einige Microsoft Teams-Administratoren benötigen möglicherweise detaillierte Informationen dazu, wie Anrufabläufe in Teams mithilfe eines Geteilten Tunnelmodells funktionieren und wie Verbindungen gesichert werden.
Konfiguration
Wenn sowohl für Anrufe als auch für Besprechungen die erforderlichen Optimize IP-Subnetze für Teams-Medien ordnungsgemäß in der Routingtabelle vorhanden sind, wird die lokale Schnittstelle für Microsoft-Ziele in den oben aufgeführten Microsoft-IP-Blöcken zurückgegeben, wenn Teams die GetBestRoute-Funktion aufruft, um zu bestimmen, welche lokale Schnittstelle der Route entspricht, die für ein bestimmtes Ziel verwendet werden soll.
Einige VPN-Client-Software ermöglicht die Routing-Manipulation auf der Basis von URLs. Dem Medienverkehr des Teams ist jedoch keine URL zugeordnet, so dass die Steuerung des Routings für diesen Verkehr über IP-Subnetze erfolgen muss.
In bestimmten Szenarien, die häufig nichts mit der Client-Konfiguration des Teams zu tun haben, durchläuft der Medienverkehr den VPN-Tunnel auch dann noch, wenn die richtigen Routen vorhanden sind. Wenn dieses Szenario auftritt, sollte die Verwendung einer Firewallregel ausreichen, um die Verwendung des VPN für die Teams-IP-Subnetze oder -Ports zu blockieren.
Wichtig
Um sicherzustellen, dass der Teams-Mediendatenverkehr in allen VPN-Szenarien über die gewünschte Methode weitergeleitet wird, stellen Sie sicher, dass Benutzer die Microsoft Teams-Clientversion 1.3.00.13565 oder höher ausführen. Diese Version enthält Verbesserungen bei der Erkennung verfügbarer Netzwerkpfade durch den Client.
Signalisierungsdatenverkehr erfolgt über HTTPS und ist nicht so latenzempfindlich wie der Mediendatenverkehr und ist in den URL/IP-Daten als Zulassen gekennzeichnet und kann daher auf Wunsch sicher über den VPN-Client weitergeleitet werden.
Hinweis
Microsoft Edge 96 und höher unterstützt auch geteiltes VPN-Tunneling für Peer-to-Peer-Datenverkehr. Dies bedeutet, dass Kunden den Vorteil des geteilten VPN-Tunnelings für Teams-Webclients auf Edge für instance nutzen können. Kunden, die es für Websites einrichten möchten, die auf Edge ausgeführt werden, können dies erreichen, indem sie den zusätzlichen Schritt ausführen, um die Edge WebRtcRespectOsRoutingTableEnabled-Richtlinie zu deaktivieren.
Sicherheit
Ein häufiges Argument für die Vermeidung von geteilten Tunneln ist, dass dies weniger sicher ist, d. h. jeder Datenverkehr, der nicht den VPN-Tunnel durchläuft, profitiert nicht von dem Verschlüsselungsschema, das auf den VPN-Tunnel angewendet wird, und ist daher weniger sicher.
Das wichtigste Gegenargument dazu ist, dass der Medienverkehr bereits über das Secure Real-Time Transport Protocol (SRTP) verschlüsselt wird, ein Profil des Real-Time Transport Protocol (RTP), das dem RTP-Datenverkehr Vertraulichkeit, Authentifizierung und Schutz vor Replay-Angriffen bietet. SRTP selbst stützt sich auf einen zufällig generierten Sitzungsschlüssel, der über den TLS-gesicherten Signalisierungskanal ausgetauscht wird. Dies wird in diesem Sicherheitsleitfaden sehr ausführlich behandelt, aber der wichtigste Abschnitt von Interesse ist die Medienverschlüsselung.
Der Medienverkehr wird mit SRTP verschlüsselt, das einen Sitzungsschlüssel verwendet, der von einem sicheren Zufallszahlengenerator generiert und über den TLS-Signalisierungskanal ausgetauscht wird. Darüber hinaus werden Medien, die in beide Richtungen zwischen dem Mediationsserver und seinem internen Next Hop fließen, ebenfalls mit SRTP verschlüsselt.
Skype for Business Online generiert Benutzername/Passwörter für den sicheren Zugriff auf Medienrelais über Traversal unter Verwendung von Relays um NAT (TURN). Medienrelays tauschen den Benutzernamen/Kennwort über einen TLS-gesicherten SIP-Kanal aus. Es ist zu beachten, dass der Datenverkehr, obwohl ein VPN-Tunnel verwendet werden kann, um den Client mit dem Unternehmensnetzwerk zu verbinden, weiterhin in seiner SRTP-Form fließen muss, wenn er das Unternehmensnetzwerk verlässt, um den Dienst zu erreichen.
Informationen dazu, wie Teams allgemeine Sicherheitsbedenken wie Sprach- oder StuN-Verstärkungsangriffe (Session Traversal Utilities for NAT) entschärft, finden Sie unter 5.1 Sicherheitsüberlegungen für Implementierer.
Sie können auch über moderne Sicherheitskontrollen in entfernten Arbeitsszenarien lesen unter Alternative Möglichkeiten für Sicherheitsexperten und IT, moderne Sicherheitskontrollen in den heutigen eindeutigen Remote arbeitsszenarios zu erreichen (Microsoft Security-Teamblog).
Testen
Sobald die Richtlinie eingerichtet ist, sollten Sie bestätigen, dass es wie erwartet funktioniert. Es gibt mehrere Möglichkeiten, um zu testen, ob der Pfad korrekt für die Nutzung der lokalen Internetverbindung eingestellt ist:
Führen Sie den Microsoft 365-Konnektivitätstest aus, der Konnektivitätstests für Sie einschließlich Ablaufverfolgungsrouten wie oben ausgeführt wird. Außerdem fügen wir VPN-Tests in diese Tools ein, die auch zusätzliche Erkenntnisse liefern sollten.
Eine einfache Ablaufverfolgung für einen Endpunkt innerhalb des Bereichs des geteilten Tunnels sollte den pfad anzeigen, z. B.:
tracert worldaz.tr.teams.microsoft.comDann sollte ein Pfad über den lokalen ISP zu diesem Endpunkt angezeigt werden, der in eine IP-Adresse in den Teams-Bereichen aufgelöst werden sollte, die wir für geteiltes Tunneling konfiguriert haben.
Nehmen Sie eine Netzwerkerfassung mit einem Tool wie Wireshark vor. Filtern Sie während eines Anrufs auf UDP und Sie sollten sehen, wie der Datenverkehr zu einer IP im Bereich Optimieren von Teams fließt. Wenn der VPN-Tunnel für diesen Datenverkehr verwendet wird, ist der Mediendatenverkehr in der Ablaufverfolgung nicht sichtbar.
Zusätzliche Supportprotokolle
Wenn Sie weitere Daten zur Fehlerbehebung benötigen oder Hilfe vom Microsoft-Support anfordern, sollten die folgenden Informationen es Ihnen ermöglichen, schneller eine Lösung zu finden. Das tss Windows CMD-basierte universelle TroubleShooting Script-Toolset des Microsoft-Supports kann Ihnen helfen, die relevanten Protokolle auf einfache Weise zu sammeln. Das Tool und die Anweisungen zur Verwendung finden Sie unter https://aka.ms/TssTools.
Verwandte Artikel
Übersicht: Geteiltes VPN-Tunneling für Microsoft 365
Implementieren von geteilten VPN-Tunneln für Microsoft 365
Häufige Szenarien für geteilte VPN-Tunnel für Microsoft 365
Besondere Überlegungen zu Stream- und Liveereignissen in VPN-Umgebungen
Microsoft 365-Leistungsoptimierung für China-Benutzer
Prinzipien von Microsoft 365-Netzwerkverbindungen
Bewerten der Microsoft 365-Netzwerkkonnektivität
Microsoft 365-Netzwerk- und Leistungsoptimierung
Betrieb über VPN: Wie Microsoft seine Remotemitarbeitern in Verbindung hält
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für