Hoher Traffic durch Microsoft Office Updates (2)

Bei einem Kunden wurde die externe Leitung (600Mbit Glas) durch das Microsoft Office CDN komplett ausgelastet.  Symptome/Ursache/Abhilfe/Workaround:

Symptom:

  • 600 Mbit Internet Anbindung
  • Firebox System Manager: Tab: Bandwith => Externes Interface auf 590 MBit (im Graph zu sehen)
  • Firebox System Manager: Tab: Bandwith => Externes Interface auf 590 MBit (in der Legende zum Graph zu sehen)
  • Interne Interfaces ruhig (in der Legend und im Graph waren die internen Interfaces auf 10-30 Mbit, aber keines auch nur Annäherungsweise in der Größenordnung 600Mbit)
  • der ganze Traffic kam auf Port 80 von 23.32.238.0/24 (Akamai), in der HTTP-Proxy-Policy wurde officecdn.microsoft.com gelistet
  • Installierte Software auf der Firebox war 12.5.4

Ursache:

  • MS Office Click to Run scheint Updates laden zu wollen
  • diese Updates kommen beim Proxy an und werden dort (warum auch immer) verworfen.

Workaround (Variante 1):

  • Testweise das Akamai Netzwerk unter Setup => Default Threat Protection => Blocked Sites eingetragen. => Bandbreitenverbrauch normal. => Bestätigt, dass es hieran liegt
  • Eigene Proxy-Policy gebaut: Any Trusted => Net_EXT_AKAMAI (23.32.238.0/23) => Limit auf 250 MBit
    • sofern diese Proxy-Policy die gleiche Proxy Action hat wie  die standard-Proxy-Policy => keine Änderung des Verhaltens.
    • sobald bei dieser Proxy-Policy die HTTP-Proxy.Standard Action definiert wurde, war der Traffic plötzlich auch auf dem Internen Netzwerk sichtbar und vom Limit her im Rahmen

Workaround (Variante 2):

  • In der HTTP-Proxy-Action die beiden FQDNs als Ausnahme hinzufügen:
    • officecdn.microsoft.com
    • *.office.net

Vermutung:

  • Irgendwie kommt die Proxy-Action nicht mit den Downloads zurecht und verwirft die Downloads.
  • Da diese nicht beim Client ankommen, fordert der diese erneut an.
  • Damit wird die externe Bandbreite komplett gefüllt, weil der Traffic nur zwischen Firebox und CDN auftritt, und nicht sauber durch den Proxy durchgeleitet wird.
  • Daher greifen hier auch die Traffic Limits nicht
  • durch das Abschalten einiger Proxy-Features wurde der Traffic durchgelassen.

Eine genauere Untersuchung wurde aus Zeitgründen vom Kunden bisher nicht gewünscht.

Siehe hierzu auch meinen Blog-Beitrag von Juli 2018:

8 Kommentare zu “Hoher Traffic durch Microsoft Office Updates (2)”

  1. Torsten Engel

    Hallo Herr Maier,

    ich habe bei einem Kunden genau das selbe Problem.

    Es handelt sich um eine T35 mit aktueller Software 12.5.8
    Konnten Sie das Problem schon weiter bearbeiten oder ggf. schon Kontakt mit dem Watchguard Support diesbzgl. aufnehmen?

    Viele Grüße
    Torsten Engel

    1. Werner Maier Post Author

      Hallo Herr Engel,

      nein, der Kunde hat das Problem nicht weiter verfolgt. Ich empfehle, dass Sie direkt einen CASE bei WatchGuard öffnen; ansonsten hilft vielleicht der von uns vorgestellte Workaround.


      viele Grüße
      Werner Maier

  2. Tobias Demirovic

    Wir beobachten, dass dieses Problem erneut in Verbindung mit dem HTTP-Proxy und der Domain office.net auftritt. Das konnten wir über die WatchGuard Cloud und das Executive Dashboard ermitteln. Die Domain *.office.net muss wohl als Ausnahme beim HTTP-Proxy definiert werden.

    Könnt ihr das bestätigen?

    1. Werner Maier Post Author

      Das ist uns bisher nicht bekannt.
      ich würde empfehlen, dass Sie
      a) das entsprechend eintragen und testen => das wäre wohl schonmal ein workaround
      b) parallel dazu auf WatchGuard,com einen Case aufmachen. Es ist wichtig, dass WatchGuard die Fehler auch von den Endkunden gemeldet bekommt.

      1. Tobias Demirovic

        Die HTTP-Proxy Ausnahme für *.office.net haben wir gesetzt – das “löst” das Problem laut aktuellen Tests. Bei WatchGuard gibt es dazu den Case 01739753, den wir eröffnet haben. WatchGuard führt das ganze jedoch derzeit als Feature Request (FBX-23735) mit dem Ziel, dass die Microsoft Update URLs künftig automatisch in der Proxy Ausnahme landen. Ich finde das jedoch wenig zielführend. Ich dachte mir, ich teile diese Information hier.

        1. Werner Maier Post Author

          Hallo Herr Demirovic,
          die automatischen Ausnahmen dürften das Problem aber lösen. Dann gibt es halt einmal kurz last auf der Leitung (was natürlich mit Traffic-Management/Bandwidth-Control wesentlich eleganter ist, da bin ich ganz bei Ihnen). Es verhindert aber zumindest das immer wieder neu herunterladen und damit das dauernde Auslasten der Leitung
          Vielen Dank für Ihre Infos.

Leave a Reply

Your email address will not be published. Required fields are marked *