Talvolta ci lamentiamo della lentezza di Microsoft Teams ma quando lavorariamo da casa, oppure parliamo da uno smartphone su rete mobile, sembra che tutto sia a posto. Questo succede perchè in casa nostra o in 4G non ci sono controlli o limitazioni nella navigazione in internet mentre in azienda sono presenti molti sistemi di sicurezza per proteggere i dispositivi e la rete interna. Analizzeremo le principali soluzioni per velocizzare Teams entrando nel merito del funzionamento di ognuna di esse.
Navigazione diretta verso alcune destinazioni
Il client Microsoft Teams cerca di raggiungere direttamente la rete Azure sia per la segnalazione che per i flussi audio/video e condivisione. Per questo motivo è importante, anche se non fondamentale, aprire ai client la navigazione diretta di queste subnet: 13.107.64.0/18, 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/39 per il protocollo UDP con le porte dalla 3478 alla 3481 (Media). In assenza di queste regole il client Teams incapsulerà il media all’interno del flusso https rendendo la gestione più complessa e laboriosa (cifratura e decifratura). Con questa configurazione in azienda noteremo un miglioramento dell’audio, del video e della condivisione in quanto useremo un protocollo senza connessione come l’UDP. Attenzione a controllare bene se avete già in produzione questa configurazione perchè la rete 52.122.0.0/15 è stata modificata in questo mese di dicembre 2022. Tutti gli ip e le subnet da aprire per l’ottimizzazione di Teams sono qui, la regola con ID 11 è stata appena descritta.
Esclusione del proxy e del packet inspection
Teams esegue le comunicazioni fondamentali con Azure sulla porta 443 in https utilizzando l’autenticazione applicativa OpenID Connect (estensione dell’Oauth2). Se questa comunicazione è intermediata da un proxy che preautentica non funziona praticamente niente. Dato che la comunicazione tra Teams ed Azure avviene in mutua autenticazione TLS che evita gli attacchi “Man in the Middle” è intuibile cosa potrebbe succedere se intermediamo le comunicazioni Teams con apparati, trasparenti o meno, che eseguono SSL packet inspection. Azure lo interpreterebbe come un attacco e bloccherebbe la connessione, nel migliore dei casi avremmo comunque un rallentamento delle comunicazioni. Maggiori dettagli in questo articolo.
Implementare il VPN split tunneling
Come chiarito in precedenza è fondametale favorire la comunicazione diretta di Teams verso la rete Microsoft. Per i client che si trovano in remoto e si connettono alla rete aziendale attraverso la VPN è importante evitare che il traffico Teams venga incapsulato nella VPN per poi navigare su internet dalla rete aziendale. Per fare ciò è importante configurare il client della VPN con lo split tunneling cioè escludere le subnet di Microsoft dal flusso cifrato per fare in modo che il pc possa usare la sua connessione esistente per le comunicazioni. Ogni fornitore di VPN ha una guida per la gestione dello split tunneling applicato a Microsoft 365 che potrete consultare. Qui si trovano maggiori dettagli sulle logiche descritte con i link delle guide Windows, Cisco, PaloAlto, F5, Citrix, Pulse e CheckPoint.
Risoluzione DNS coerente con la navigazione
La rete Microsoft, dove risiedono le componenti Azure che gestiscono i flussi di Teams, ha centinaia di punti di accesso sparsi sul pianeta. La velocità di trasito dei pacchetti all’interno della rete Microsoft è decisamente più efficiente rispetto alla normale navigazione in internet. Per favorire il migliore accesso alla rete Microsoft i DNS distribuiscono sempre l’indirizzo ip pubblico migliore al client che lo richiede grazie all’ip pubblico dal quale arriva la query DNS. Se ci troviamo a casa la risoluzione dei nomi avviene direttamente ed efficacemente dal nostro pc. Ma in una grande rete aziendale la risoluzione DNS potrebbe essere gestita centralmente sballando completamente le dinamiche di ottimizzazione. Per esempio, un’azienda italiana con sedi sparse nel mondo che implementa la risoluzione DNS centralizzata distribuirà ai client oltreoceano gli indirizzi ip pubblici dei punti di accesso italiani costringendo Teams a collegarsi sempre in rete Microsoft attraverso l’Italia quando sarebbe più efficiente entrare dai pop statunitensi. Per multinazionali con sedi distribuite è importante approfondire i Distributed Service Front Door della Microsoft Global Network configurando risoluzioni locali per i nomi *.microsoft.com.
Applicare il Quality of Service nelle comunicazioni audio/video
Quanto la rete aziendale è particolarmente congestionata i pacchetti ritardano e le comunicazioni che ne risentono di più sono quelle che necessitano di una risposta in tempo reale. Ci si accorge di un problema di traffico sempre in una videochiamata e mai nell’invio di una email. Per dare priorità ai pacchetti audio/video si può implementare la Qualità del Servizio nelle comunicazioni configurando i pc affinchè usino certe porte e “marchino” i pacchetti; di conseguenza gli apparati di rete li riconosceranno agendo opportunamente. Per configurare bene questo aspetto è necessario coordinare le forze di chi mette le mani sui dispositivi degli utenti, i router, i firewall senza dimenticate il settaggio anche nel Teams Admin Center. Ogni dettaglio in questa guida.
Escludere Teams dall’analisi antivirus
Il client Teams gira nel contesto dell’utente e si aggiorna automaticamente. Un antivirus particolarmente aggressivo potrebbe rallentare le comunicazioni con Azure oppure impedirne l’aggiornamento. Per evitarlo basta inserire i corretti path nelle esclusioni seguendo questa guida.
Conclusioni
Tutte le applicazioni della suite Microsoft 365 girano sul cloud sfruttando i servizi di Azure che sono distribuiti nella Microsoft Gobal Network e interamente erogati da internet. Se un’azienda pensa ancora che tutto quello che sta fuori è male mentre tutto quello che sta dentro è bene si sbaglia di grosso. Oltre a sottovalutare le minacce contemporanee rischia di rallentare molto le applicazioni di collaborazione erogate da Microsoft 365. Le comunicazioni audio/video di Teams sono le più sensibili ai rallentamenti perchè nei meeting o nelle telefonate ci accorgiamo subito della pessima qualità di rete. Ogni saggio amministratore di rete saprà seguire le indicazioni di questo articolo per migliorare nettamente le performance di Microsoft Teams e di tutte le altre applicazioni cloud.