Microsoft Teams Best Practice

Microsoft Teams gewinnt (neben anderer Kommunikationssoftware) im Alltag immer mehr an Bedeutung. Da MS-Teams Mitarbeiter rund um den Globus vernetzt, gibt es bei der Schnittstelle in Richtung Internet einiges zu beachten. Im folgenden Beispiel möchte ich ein einfach zu implementierendes, aber gut funktionierendes Lösungskonzept vorstellen.

Problem: Schlechte Sprach- und Bildqualität.
Idee: Identifizieren und Priorisieren von MS-Teams Traffic oder umleiten auf zweite Internetleitung (wenn verfügbar)

Microsoft stellt uns die benötigten Ports und Endpoints unter folgendem Link bereit: https://docs.microsoft.com/de-de/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

Meine Kollegen nutzen das bereitgestellte JSON-File und erzeugen daraus ein Text-File, welches unkompliziert in das Regelwerk der WatchGuard importiert werden kann. Das File wird beim Abruf automatisch mit den aktuellen Daten generiert.

Konfiguration der WatchGuard

  1. Download von „Skype for Business Online and Microsoft Teams” TXT-Files (WW und DE)
    https://www.boc.de/watchguard-info-portal/allgemeines/microsoft-endpoints/
  2. Erstellen eines MS-Teams Alias:
    Setup -> Aliases -> Add -> Net_EXT_Teams-GER -> Import

    Setup -> Aliases -> Add -> Net_EXT_Teams-WW -> Import
  3. Erstellen eines HTTP und eines HTTPS Paket Filters:
  4. Erstellen einer Custom-Policy für die zusätzlich benötigten UDP-Ports:
    Edit -> Add Policy -> Manage Custom -> Add -> New
  5. Es sollten jetzt folgende 3 Policies existieren. Damit der Auto-Order-Mode greift, dürfen diese Policies auch nicht zusammengefasst werden!
  6. Optimierungsmöglichkeiten:
    a) Traffic via SD-WAN über eine wenig beanspruchte Internetleitung lenken (z. B. Backup-Leitung) – Bevorzugte Variante

    b) Bandbreitengarantie hinterlegen
    1. Setup -> Global Settings -> Networking -> Traffic Management and QoS features

    2. Network -> Configuration -> Interfaces -> ISP Interface -> Advanced -> Outgoing Interface Bandwidth -> Uploadgeschwindigkeit des Anschluss abzüglich “Toleranz” (ca. 5%-10%)

    3. Setup -> Actions -> Traffic Management Actions -> Add

    4. TM-Action bei den drei konfigurierten Policies hinterlegen:

    5. Die Auslastung der Policies kann live im Firebox System Manager visualisiert werden:

Fazit:

Wenn möglich würde ich eine einzelne Internet-Leitung für MS-Teams bevorzugen. Falls eine Backup-Leitung existiert, würde sich diese anbieten. Wenn nur ein ISP an der WatchGuard angeschlossen ist, kann man sich gut mit Traffic-Management behelfen. Bei einer stabilen Internetleitung kann mit Garantien gearbeitet werden. Sollte eine in der Qualität schwankende Leitung in Verwendung sein (Kabel, LTE,…), kann der sonstige HTTP/HTTPS Traffic auch mit einer Obergrenze (max. Bandwidth) gedrosselt werden.

Leave a Reply

Your email address will not be published. Required fields are marked *