Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Design für Office 365 Netzwerkleistung

In diesem Artikel werden architektonische Designrichtlinien für Unternehmensnetzwerke vorgestellt, die Microsoft Office 365-Dienste bereitstellen. Office 365 hat standardmäßige SaaS-Architekturanforderungen, aber auch mehrere einzigartige Optionen, um optimale Anwendungsleistung, Skalierbarkeit und Ausfallsicherheit zu bieten.

Komponenten außerhalb der zentralen LAN- und WAN-Umgebung können das Gesamterlebnis der Benutzer beeinträchtigen. Dazu gehören Desktop- und andere Endbenutzergeräte, Client-Software und Betriebsumgebungen. Die Leistung kann auch durch Konfigurationen und Richtlinien beeinflusst werden, die vom Kundenadministrator für Office 365 verwaltet werden.

Dieser Artikel befasst sich mit der Architektur des Unternehmensnetzwerks und den Entwurfsmethoden, die den Netzwerkadministratoren zur Verfügung stehen, um die Leistung und Skalierbarkeit der Microsoft Office 365-Dienste zu optimieren.

Cloud-Dienste in Office 365

Office 365 verfügt über eine breite Palette von Cloud-Diensten mit sehr unterschiedlichen Leistungsanforderungen. Anwendungen wie OneDrive und Outlook übertragen Daten im Hintergrund. Das Datenvolumen kann enorm sein, hat aber nur geringe Auswirkungen auf die unmittelbare Nutzererfahrung. Skype for Business bietet Sprach- und Videostreaming und hat hohe Anforderungen an die Netzwerkleistung. Paketverluste im Netzwerk oder Latenzprobleme wirken sich direkt auf die Sprachqualität aus und führen zu einer sehr schlechten Nutzererfahrung.

Die Mindestleistungsanforderungen von Microsoft für Skype for Business sind:

MetrischZiel
Latenzzeit (einseitig)<50ms
Latenzzeit (RTT oder Round-trip Time)<100ms
Burst-Paketverlust<10% during any 200ms interval
Paketverlust<1% during any 15s interval
Paket-Ankunftszeit Jitter<30ms during any 15s interval
Nachbestellung von Paketen<0.05% out-of-order packets

Einige Anwendungen benötigen Netzwerklatenzen von nur 25 Millisekunden. Office 365 hat mit über 50 Anwendungen und Diensten einen großen Anteil am WAN-Verkehr. Viele dieser Dienste sind geschäftskritisch, so dass Serviceausfälle und schlechte Leistung direkte Auswirkungen auf das Unternehmen haben.

Die wichtigsten Themen, die in diesem Artikel behandelt werden, sind:

  1. Optimierung der Netzwerkleistung für die Office 365-Zugangspunkte
  2. Datenausgangsverbindungen zum nächstgelegenen Netzzugangspunkt
  3. Umgehen der Edge-Sicherheit beim Kunden vor Ort

1. Optimierung der Netzwerkleistung für Office 365 Access Points

Sobald der Office 365-Datenverkehr an den Microsoft Global Network Access Point übergeben wird, werden die Daten mithilfe fortschrittlicher Hochgeschwindigkeits-Netzwerktechnologien intelligent weitergeleitet. Probleme mit der Netzwerkleistung treten häufig in dem Netzwerksegment zwischen dem Netzwerkrand des Kunden und dem Microsoft-Netzwerk auf.

Netzwerkdatenpfad von Unternehmen zu Office 365

Der Kunde ist für dieses Netzwerksegment verantwortlich. Zu den Planungskriterien für Office 365-Netzwerke gehören:

  • Hoher Durchsatz - Office 365-Anwendungen übertragen oft große Datenmengen zwischen Clients und der Cloud. Beispiele hierfür sind Outlook und SharePoint. Ein hoher Durchsatz ist erforderlich, um eine gute Benutzererfahrung zu bieten.
  • Geringe Latenz - Andere Office 365-Anwendungen haben niedrige Latenzanforderungen für interaktive Kommunikation. Beispiele hierfür sind Skype for Business und Teams.
  • Konsistente Leistung - Konsistenz ist die Voraussetzung für ununterbrochene Dienste. Leistungslücken in interaktiven Anwendungen führen zu extrem schlechten Nutzererfahrungen.
  • Mobile Unterstützung - Viele Benutzer sind verstreut und mobil, und der Netzwerkarchitekt muss entsprechende Designentscheidungen treffen. Diese Entwürfe können die Auswahl von Internet-Providern mit direkten Peering-Beziehungen zu Microsoft gegenüber anderen ISPs beinhalten.

Es gibt verschiedene Netzwerklösungen für die Anbindung des Kundennetzwerks an die Cloud-Dienste von Office 365:

  • Direkter Internetzugang
  • Kunden-WAN-Erweiterung
  • ExpressRoute-Peering mit Microsoft Azure
  • SD-WAN und Hybrid-WAN

Direkter Internetzugang zu Office 365

Die gängigste Methode zur Verbindung mit Office 365-Diensten ist die direkte Weiterleitung des Datenverkehrs über das Internet. Oft hängt die Leistung dieses Netzwerks vom Internetdienstanbieter ab. Dieses Netzwerksegment sollte sowohl auf Leistung als auch auf andere Probleme überwacht werden. Siehe den Abschnitt "Fehlerbehebung und Überwachung von WANS".

Selbst wenn die Verbindung zwischen dem Kundennetzwerk und Office 365 über diese Methode erfolgt, werden mobile Benutzer und potenzielle Zweigstellen diese direkte Internetverbindung nutzen.

Zu den Optionen für die Netzgestaltung gehören:

  • Wählen Sie Tier-1 ISP-Netzwerkanbieter. Tier-1-Anbieter haben größere Netzwerk-Peering-Beziehungen und verfügen über direkte oder nahezu direkte Routen zum Microsoft Global Network.
  • Wählen Sie Netzanbieter mit Peering-Partnerschaften mit Microsoft.

Kunden-WAN-Erweiterung

Die WAN-Infrastrukturen der Kunden können auf ISP- oder Co-Location-Einrichtungen ausgedehnt werden, die direkte Peering-Beziehungen zu Microsoft unterhalten. Diese Einrichtungen können direkte Carrier-Verbindungen zu Microsoft bereitstellen.

Eine Beispielkonfiguration wäre, dass der Kunde eine Multiprotocol Label Switching (MPLS)-Leitung zu einem ISP bereitstellt, die eine direkte Weiterleitung zu Office 365 ermöglicht.

Dies würde vom Kunden verlangen, dass er:

  • Einrichtung von Edge-Netzen und Sicherheitssystemen in den Räumlichkeiten des ISP
  • Möglicherweise zwei solcher Netze für hohe Verfügbarkeit einrichten

Der Kunde wäre in der Lage, Netzwerkleistung und Ausfallsicherheit für geschäftskritische Office 365-Dienste zu garantieren.

ExpressRoute Peering mit Microsoft Azure

MicrosoftExpressRoute® ähnelt der oben beschriebenen Methode der WAN-Erweiterung, wird aber von Microsoft als Dienst bereitgestellt. Der Netzwerkdienstleister würde diese direkte Verbindung zu Microsoft bereitstellen und das Netzwerk an Ihre Räumlichkeiten weiterleiten, ähnlich wie bei anderen Netzwerkverbindungen.

SD-WAN und Hybrid-WAN

Fortschrittliche Netzwerktechnologien sind mit Application Delivery Controllern und SD-WAN-Lösungen verfügbar. Diese Lösungen bieten fortschrittliche und flexible WAN-Architekturen. Einige der Netzwerkfunktionen umfassen:

  • Hybride WAN-Konfigurationen aus mehreren Netzen, darunter Internet-Breitband, MPLS, mobile Netze wie 4G und 5G. Das Netzwerk-Routing basiert auf Richtlinien einschließlich Anwendungsbewusstsein.
  • WAN-Optimierung von internetbasierten Netztopologien. Es werden verschiedene Techniken eingesetzt, um zuverlässige und konsistente Netze über das Internet zu schaffen.
  • Quality of Service-Funktionen für den WAN-Verkehr. Anwendungen und andere Datenverkehrstypen können priorisiert werden, sodass Office 365-Anwendungen eine garantierte Bandbreite und eine gute Benutzererfahrung erhalten.
  • Verkehrslenkung von Office 365-Datenverkehr über andere Netzwerkpfade als anderer Verkehr
  • Lastausgleich des Datenverkehrs über mehrere Netzwerkpfade

2. Ausgangsdatenverbindungen zum nächstgelegenen Netzzugangspunkt

Das Microsoft Global Network verfügt über eine große Anzahl von Netzwerkzugangspunkten, die geografisch über die ganze Welt verteilt sind. Um die beste Leistung für Office 365-Dienste zu erzielen, sollten sich Kunden mit dem nächstgelegenen Microsoft Network Point of Presence (POP) verbinden. Sobald sie sich im Microsoft-Netzwerk befinden, wird der Datenverkehr auf intelligente Weise durch das globale Hochgeschwindigkeitsnetzwerk von Microsoft geroutet.

Office 365-Dienste verwenden GeoDNS-Lookup und andere Technologien, um festzustellen, woher DNS-Anfragen kommen, und leiten den Client-Datenverkehr an die geografisch nächstgelegene Service Front Door um.

Office 365-Clients verwenden lokale DNS-Server, die Anfragen an Microsoft DNS-Server weiterleiten. Die Microsoft Office 365 DNS-Server identifizieren den geografischen Standort des Clients und leiten den Client-Verkehr zum nächstgelegenen Eingangstor der Office 365-Dienste.

Die DNS-Server des Kunden müssen sich im selben Teilnetz wie die Clients befinden. Wenn die DNS-Server des Kunden weit von den Clients entfernt sind, wird der Datenverkehr über einen suboptimalen Pfad geleitet.

Die DNS-Server des Kunden sollten entweder:

  1. Am besten - ein lokaler DNS-Server mit Root-Hinweisen. Dieser Server befindet sich im Netz des Kunden und liefert das genaue Kundennetz.
  2. Gut - Weiterleitung an ISP-DNS-Server, die sich in einem ISP-Netzsegment in der Nähe des Kundennetzes befinden.
Hinweis: Viele DNS-Anbieter mit entfernten DNS-Servern führen dazu, dass die Office 365-Dienste den Datenverkehr schlecht leiten, was die Leistung erheblich beeinträchtigen kann. Ähnliche Algorithmen werden bei Global Server Load Balancing (GSLB )-Technologien verwendet.

3. Umgehen der kundenseitigen Edge-Sicherheit

Wenn der Datenverkehr und die Anzahl der Geräte zunehmen, können typische Sicherheitsinfrastrukturen und NAT-Implementierungen zu Engpässen werden. Sicherheitsgeräte können bei der Überprüfung des verschlüsselten Datenverkehrs Leistungseinbußen erleiden. Durch die Umleitung des Office 365-Verkehrs an den Rändern der kundeneigenen Geräte können bis zu 80 % der Last auf den Egress- und Edge-Sicherheitssystemen reduziert werden.

Die Vorteile, den Office 365-Datenverkehr direkt an den Office 365-Zugangspunkt zu leiten, sind:

  • Entlastung des Datenverkehrs von den bestehenden Edge-Egress- und Sicherheitssystemen
  • Verlängert die Lebensdauer der vorhandenen und teuren Kantensysteme
  • Erhöht die Leistung von Office 365 und sorgt für ein besseres Nutzererlebnis
Microsoft Office 365 Umgehung der Edge-Sicherheit

Jeder einzelne Benutzer erstellt Dutzende von langlebigen Verbindungen zur gehosteten Office 365-Umgebung. Große Dokumente werden häufig in die und aus der Cloud übertragen. NAT-Server werden in ähnlicher Weise belastet.

Hinweis: Microsoft empfiehlt eine Begrenzung auf 2000 Office 365-Clients auf NAT-Servern für jede öffentliche IP-Adresse.

Der Office 365-Client-Netzwerkverkehr zu den Cloud-Diensten durchläuft das Edge-Netzwerk und die Sicherheitssysteme. Dieser Stapel von Edge-Systemen ist komplex, teuer und muss äußerst zuverlässig sein. Zu den Office 365-Diensten gehören Sicherheitsdienste, die redundant sein können und direkt und sicher an das Microsoft-Netzwerk weitergeleitet werden können, wobei viele der Edge-Systeme des Unternehmens umgangen werden.

Hinweis: Microsoft empfiehlt eine direkte Netzwerkverbindung zu Office 365-Diensten, um eine schnellere Leistung mit geringer Latenz zu erzielen.
Microsoft Office 365 Verkehrslenkung

 

Im obigen Diagramm wird der Office 365-Datenverkehr erkannt und direkt an den Office 365-Netzwerkzugangspunkt weitergeleitet. Der übrige Internetverkehr wird zur Prüfung an die Edge-Sicherheitssysteme weitergeleitet. Office 365 bietet eine ähnliche Sicherheitsverarbeitung und wird von Microsoft zur Verfügung gestellt.

Diese Netzarchitektur wird hier beschrieben: Unternehmensnetzwerk-Architektur

Die Lenkung des Office 365-Verkehrs um Edge-CPE-Systeme ist erforderlich:

  1. Identifizierung von Office 365-Datenverkehr
  2. Hinzufügen eines Netzwerklastausgleichssystems (ADC) zur intelligenten Weiterleitung des Datenverkehrs

Identifizierung von Office 365-Datenverkehr

Der Office 365-Netzwerkverkehr ist verschlüsselt, kann aber anhand der Ziel-URL oder IP-Adresse in den HTTPS- und IP-Headern identifiziert werden. Microsoft veröffentlicht die aktuellen Office 365-Netzwerkendpunkt-URLs, IPv4- und IPv6-Adressen und TCP/UDP-Ports. Dadurch wird jeder Netzwerkzugangspunkt für jeden Office 365-Dienst identifiziert.

Diese Endpunktdaten werden heruntergeladen und verwendet, um den Traffic Steering Load Balancer so zu konfigurieren, dass er Daten, die für Office 365-Endpunkte bestimmt sind, direkt weiterleitet. Der gesamte andere Datenverkehr wird wie zuvor an die Edge-Sicherheitssysteme weitergeleitet.

Die Office 365-Daten ändern sich mit der Zeit und müssen heruntergeladen und neu in den Load Balancer geladen werden, um die Endpunktdaten zu aktualisieren. Hier sind die aktuellen Office 365-URLs und IP-Adressbereiche.

Nachstehend finden Sie eine kleine Auswahl dieser Daten.

Skype für Unternehmen Online und Microsoft Teams

IDKategorieERAdressenHäfen
11Optimieren erforderlichJa13.107.64.0/18, 52.112.0.0/14UDP: 3478, 3479, 3480, 3481
12Erlauben ErforderlichJa*.lync.com, *.teams.microsoft.com, teams.microsoft.com, 13.70.151.216/32, 13.71.127.197/32, 13.72.245.115/32, 13.73.1.120/32, 13.75.126.169/32, 13.89.240.113/32, 13.107.3.0/24, 13.107.64.0/18, 51.140.155.234/32, 51.140.203.190/32, 51.141.51.76/32,TCP: 443, 80

Fehlersuche und Überwachung des Office 365-Datenverkehrs

Das Netzwerk zwischen dem Netzwerkrand des Kunden und dem Microsoft-Netzwerkrand wird in der Regel von einem Internetdienstanbieter (ISP) bereitgestellt. Dieser Teil des Office 365-Zugangsnetzwerks befindet sich außerhalb der Kontrolle sowohl des Kunden als auch von Microsoft und sollte sorgfältig eingerichtet und überwacht werden.

Express Route ist ein Dienst, der direkte Standleitungsverbindungen zum Microsoft-Netzwerk bietet. Express Route bietet eine überlegene Lösung mit verfügbaren Service Level Agreements. Diese Lösung ist mit höheren Betriebskosten verbunden.

Diese Netzverbindung kann mit verschiedenen Netzwerktools getestet und überwacht werden:

  • PING/psping-Dienstprogramm zum Testen der Umlaufzeit von Netzwerkpaketen
  • Traceroute Dienstprogramm zur Verfolgung des Netzwerk-Routings
  • Netzüberwachungsinstrumente, die historische Daten aufbewahren
  • Office 365-Überwachungsdienstprogramme von Microsoft

Dieses Netzsegment sollte auf Leistungskennzahlen überwacht werden:

1. Rundenzeitverzögerung und Latenzzeit.

a. Mit Dienstprogrammen wie PING/psping lassen sich zwar allgemeine Leistungsprobleme feststellen, aber sie liefern nicht viel mehr Informationen für die Diagnose

2. Netzwerk-Routing-Probleme wie "Haarnadeln" und Routing-Schleifen

a. Sobald die Probleme mit PING identifiziert sind, können Probleme innerhalb der ISP-Netzwerke mit einem Netzwerk-Trace-Route-Dienstprogramm identifiziert werden.
b. Führen Sie einen tracert-Befehl an einen Microsoft-Dienst aus. Dieses Dienstprogramm zeigt jeden Hop im Netzwerk mit den Details der gesamten Netzwerkroute an. Jeder Hop wird mit der Hin- und Rücklaufzeit aufgelistet. Analysieren Sie die Routendaten und suchen Sie nach:

i. Lange Verzögerungszeiten zwischen Netzsprüngen
ii. Routingpfade zu weit entfernten geografischen Zielen.
iii. Ungerade Routenpfade

3. Gespeicherte historische Leistungsdaten.

a. Es gibt Netzwerk-Überwachungstools, die die Netzwerkleistung kontinuierlich überwachen.
b. Sammeln Sie diese Daten, um eine historische Basisleistung zu berechnen
c. Diese Tools senden normalerweise Ereignisse für Leistungsprobleme

4. Microsoft Office 365 enthält Überwachungswerkzeuge.

a. Diese Tools testen den gesamten Pfad vom Office 365-Client zum Office 365-Cloud-Service. Ein Beispiel ist das Tool Skype Network Monitor and Assessment. Dieses Tool simuliert den Skype-Datenverkehr für mehr als 15 Sekunden und überwacht die Netzwerkleistung, Paketverluste und Jitter

Referenzen

Wie A10 Networks helfen kann

A10 Networks hat sich mit Microsoft zusammengeschlossen, um eine Office 365-Lösung für Unternehmensnetzwerke zu entwickeln. A10 NetworksDie Produkte von Thunder bieten eine vollständige Unternehmenslösung oder können bestehende Edge-Systeme erweitern, um Office 365-Anwendungen auszulagern, zu skalieren und zu sichern.

Wichtigste Vorteile

  • Intelligente Identifizierung und Steuerung des Office 365-Datenverkehrs
  • Für Office 365 erforderliche Funktionen wie HTTP-Header-Injection
  • Ausgleich der Verkehrslast über mehrere Edge-Server
  • Erweiterte NAT-Funktionen
  • SSL-Offload und Paketprüfung des verschlüsselten Datenverkehrs

Erfahren Sie mehr über die Application Delivery Controller und Load Balancing-Produkte von A10 .