Netzwerk Assessment für Systemhäuser

Ihre Kunden beklagen sich über langsame Antwortzeiten, schlechte Teams Qualität und andere nicht klar zu fassende Probleme während sowohl ihr Netzwerk Management als auch die Serverüberwachung keine Anhaltspunkte liefert? Dann liegt es daran, was die falsch messen und Konfiguration nicht gegenprüfen. Lesen Sie auf dieser Seite, wie Sie als Dienstleister oder Firma

Diese Seite könnte als Werbung verstanden werden, da ich z.B. auf Rimscout als Werkzeug für solche ein Assessment verweise.

Es zählt, was beim Anwender ankommt

Für die meisten "Netzwerker" ist der Endanwender mit seinem Geräte ein unbekanntes Wesen. Die Sichtbarkeit endet beim Switch-Port während die Überwachung der Server kaum das Rechenzentrum verlässt oder in der Hand des Cloud-Anbieters liegt. Das Team für die Endgeräte kümmert sich aber primär um Softwareverteilung, Inventarisierung und Endgerätesicherheit durch Virenscanner und Firewalls aber überwacht weder die Performance des Clients noch das Home-Netzwerks. Es gibt hier drei schlagkräftige Teams aber bekommen dennoch keine Antworten.

Vergleiche helfen zu verstehen. Das gilt nicht nur in der IT sondern z.B. auch bei Amazon. Was nützt es ihnen zu ermitteln, wie verstopft ihre Werksausfahrt ist, wenn die Waren aufgrund eines Staus unterwegs verzögert werden. Ihr Netzwerk Management misst per SNMP nur die Anzahl und das Gewicht der Pakete aber nicht die Zustellzeit. Latenzzeit ist wichtiger als Bandbreite. Welchen Weg die Pakete gehen, wissen Sie auch nicht. Zudem wird meist nur im Abstand von Minuten gemessen wo wir doch alle wissen, dass bei Audio/Video aber auch Datenverkehr schon wenige Sekunden eine Störung bedeuten. Zuletzt fassen wir viele einzelne Messwerte für Trends als Mittelwerte zusammen und wissen eigentlich genau, dass am Ende nur noch "weichgespülte" Durchschnittsdaten. angezeigt werden. Niemandem ist damit geholfen, wenn ihr Essenslieferdient im "mittel" nach 10 Minuten an der Tür klingelt und sie zu der Hälfte im Vorort gehören, die 15 Minuten warten während im Nahbereich die 5 Minuten erreicht werden. Als Pizzabäcker würde ich auch lieber wissen, ob z.B.: 95% der Lieferungen heiß genug sind.

Sie sehen die Schwächen der aktuellen Umgebung und das Potential es besser zu machen. Aber wie können Sie das angehen?

Beispiel: Microsoft Network Requirements

Die meisten Probleme haben heute Firmen mit Cloud-Lösungen aber sind übertragen auch für selbst betriebene Produkte nutzbar. Bei Microsoft 365 stellt der Anbieter die Infrastruktur im Hintergrund bereit aber hat keinen Einfluss auf ihren Internet Service Provider, ihr lokales Netzwerk oder Clients. Aber Microsoft gibt Eckpunkte vor, von denen ich ein paar zitieren möchte

• Lokaler Internetzugang (Local Breakout)
  Eine Niederlassung sollte nicht erst über die firmeneigenen WAN-Leitungen zum zentralen Proxy und dann zur Cloud gehen, sondern vor Ort ihr LAN verlassen. Damit verbietet sich auch ein Tunnel-VPN. Ziel ist eine schnelle direkte Verbindung zum Service über die geforderten Protokolle.
• Kein CloudProxy
  Aus dem gleichen Grund sollten Sie auch Cloud-Dienste nicht erst über gehostete Filterlösungen wie Umbrella, Zscaler, o.a. leiten. Sie addieren Komplexität, Latzenzeit, und weitere Teilstrecken, die Probleme verursachen können aber bieten keinen Mehrwert.
• Keine Deep Inspection
  Ein ausgefeilter Schutz ist für Gegenstellen berechtigt, deren Daten sie nicht kennen. Haben Sie etwa Aber in der Vergangenheit eine "SSL-Inspection" zwischen PC und ihrem lokalen Server genutzt?. Die Cloud-Instanz ist auch nur "ihr Service".

Aber es gibt noch viel mehr Punkte, auf die Microsoft nicht eingeht und auf die wir beim Netzwerk Assessment immer wieder stoßen.

"Minifranks"

Meine Kollegen nennen meine Checkliste "Minifranks", da es lauter kleine Fehlkonfigurationen sind, die wir im Laufe von Assessments bei Kunden gefunden haben und letztlich eine Teil- oder sogar die Hauptursache der Probleme waren. Hier ein paar Beispiele:

• Netzwerkverbindung
  Wir pflegen in Rimscout die Standorte mit den Gateways und Verbindungen. So fallen Clients schnell auf, die z.B.: WLAN nutzen, obwohl sie per LAN arbeiten sollten.
• WLAN-SSID
  Sie glauben gar nicht, wie viele Angestellte in der Firma sind aber dennoch z.B.: das Gäste-LAN mit VPN nutzen, weil Sie dies früher einmal genutzt haben und nun sich immer noch verbinden
• UDP zu Teams
  Microsoft hat eine klare Aussage zur Erreichbarkeit von Teams Media Relays per UDP: "Blocking UDP is not supported" aber wie prüfen Sie dies von allen Clients?. Die Teams CQD-Reports können helfen aber sagen vage etwas über das "ob" aber nicht das "wie gut" aus. Wussten Sie, dass einige Cloud-Proxy-Lösung aber auch z.B. das FRITZ!Box Gäste-LAN UDP blocken
• Stabilität Gateway
  "nur ein Ping" sagte schon Sean Connery in Roter Oktober aber erst häufige regelmäßige Pings z.B. zum Default Gateway liefern Daten zur Qualität des ersten Hop .Sie glauben gar nicht wie, viele Problem z.B. an einem überlasteten Gateway oder einem schlechten Kabel festzumachen sind. Eigentlich sollten alle PCs im gleichen Netz mit dem gleichen Switch und Router auch ähnliche Werte haben. Wir finden aber immer ein paar Clients, die negativ auffallen. Ursachen waren Kabel, Patchdosen, falsche Port-Einstellungen (FDX/HDX) aber auch alte Router, die nach einem Neustart wieder schnell reagiert haben oder einfach überlastet waren. Speziell beim Routing zwischen VLANs.
• Stärke des WLAN
  Dass ein WLAN langsamer und vor allem mehr Latenzzeit als ein LAN hat, ist bekannt aber auch die WLAN-Signalstärke ist ein Faktor, den kaum eine Firma ermittelt und in die Fehlersuche mit einbezieht.
• Stabilität DNS
  Microsoft 365 arbeitet aktiv mit sehr kurzen TTLs, teilweise 0-10 Sekunden, und dies kann DNS-Server belasten. Aber wir haben auch schon DNS-Dienste gefunden, die einfach nicht immer schnell oder manchmal für einige Sekunden gar nicht gearbeitet haben.
• DNS-Antworten
  Aber auch die Antwort der Server ist zu hinterfragen. Verweist sie auf die geografisch nahen Ziele. Wenn Sie zwei DNS-Server fragen, müssen alle immer die richtige Antwort liefern. "DNS Round Robin" auf dem Client zu unterschiedlichen Namenszonen ist eine Fehlkonfiguration.
• SSL-Zertifikat
  Werden Verbindungen über TLS verschlüsselt, ist ein Blick ins Zertifikat hilfreich um zu erkennen, ob die richtige Gegenstelle erreicht werden und nicht ein "transparenter Proxy" oder sogar eine Malware die Verbindung aufbricht und mitliest.
• WPAD - Proxy ja oder nein?
  Eine globale Anfrage des Proxy-Servers ist nicht genug. Sie müssen für jede URL prüfen, ob und wenn ja, ober welchen Proxy der Zugriff erfolgt. WPAD aber auch Clienttools von Zscaler, Virenscanner, Umbrella, Gruppenrichtlinien und WPAD etc. drehen an der Konfiguration ihres Clients.

Wir prüfen noch viel mehr "Unregelmäßigkeiten", die wir bei Clients gefunden haben und in Rimscout einfließen lassen. Früher habe ich einige Punkte als PowerShell veröffentlicht (Siehe Ende zu Ende Monitoring) aber speziell die kontinuierlich laufenden Prüfungen wurden von Anwendern immer wieder geschlossen. Daher haben wir die meisten Tests in eine kleine Windows Software verpackt, die sich von einem Portal die gewünschten Prüfungen holt und die Ergebnisse zurückmeldet. Eine manuelle Prüfung dieser und weiterer Punkte ist ansonsten zu zeitaufwändig.

Was sie brauchen!

Ich sagen meinen Kunden immer, dass etwas auf jedem Client folgende drei Aspekte regelmäßig überprüfen sollte und dies weder eine Softwareverteilung, eine Inventarisierung noch ihr Netzwerkmanagement leisten kann:

• Konfiguration
  Aus meiner Sicht müssen Sie aktiv prüfen, ob die Konfiguration des Clients korrekt ist. Nutzt er in den richtigen Netzwerken die richtigen Proxy-Server, die passenden DNS-Server, was passende Gateway, die richtige LAN/WLAN/WWAN/NVPN-Verbindung etc.
• Erreichbarkeit
  Kann er alle Dienste über die gewünschten Wege und Protokolle erreichen. Wie können Sie heute sicher sagen, dass alle Clients wirklich per UDP mit Teams Webex, Zoom u.a. kommunizieren können?. Auch ein einfacher regelmäßiger Ping, die Auswertung einer DNS-Antwort oder ein Traceroute per ICMP oder UDP sind wichtige Datenquellen.
• Geschwindigkeit
  Für kritische Dienste wie z.B. Audio/Video geht es um Geschwindigkeit und Häufigkeit. Wenn ein Audio/Video-Kanal  ca. 2 Megabit Daten mit 100+ Paketen/Sek erzeugt, dann fällt eine Dauerüberwachung mit wenigen Paketen/Sek nicht auf aber liefert wichtig Stabilitätskennzahlen. Nur nur theoretisch können Sie so auch Lasttests durchführen

Das geht nur durch eine Software auf relevanten Probe-Clients oder sogar allen Endgeräten ihres Netzwerks.

Neugierig?

Sie haben nun in aller Kürze erfahren, wie sie ihre eigene oder die Netzwerktopologie ihrer Kunden überwachen und ausmessen können. Sei es vor, während oder nach der Nutzung eines Service, um das Risiko von Problemen zu reduzieren. Wie geht es weiter?

1. Sprechen Sie mich oder meine Kollegen an
   Kontaktdaten gibt es aus www.rimscout.com
2. Starten Sie einen Test mit Rimscout.
   Zugang beantragen, ein paar Clients starten und einige Tage später nachschauen.
3. Wissen aufbauen, Kunden einbinden
   Als Systemhaus können Sie mit ihrem Wissen und den neuen Werkzeugen schnell Lösungen bringen

Es ist wirklich nicht schwer mit den richtigen Werkzeugen die Probleme ihrer Kunden aus der Welt zu schaffen.

Weitere Links

• www.rimscout.com
• Ende zu Ende Monitoring
• SSL-Inspection
• Network Assessment
• Cloud Netzwerk Assessment
• Office 365 Network Assessment -Kurzfassung