Zscaler hat ein Produkt auf den Markt gebracht, welches das Auffinden von Verbindungsproblemen vom Client bis zur Ressource unterstützt. Es werden sogenannte Probes in regelmässigen Abständen aus dem Zscaler Client Connector gemacht, welche dann in übersichtlichen Grafiken aufgezeigt werden. Mit einem Blick kann man erkennen, ob ein Problem einzelne, regionale oder gar globale User betrifft.

Zitat Zscaler: «The Zscaler Digital Experience (ZDX) service is built as a multi-tenant cloud-based monitoring platform to probe, benchmark, and measure the digital experiences for every single user within your organization.»

Was daran so cool ist zeige ich in diesem Blog auf.


Was kann es von Haus aus?

Damit können Sie Performanceprobleme lokalisieren und dem lokalen Netzwerk, dem Gerät des Benutzers, dem ISP (Internet Service Provider) oder der Zscaler-Cloud zuweisen. ZDX basiert auf dem ZCC (Zscaler Client Connector) auf Windows und MacOS.

ZDX unterstützt folgende Liste von vordefinierten Applikationen – mit einem Klick sind diese aktiviert für die Probes (Definition weiter unten) – also die regelmässigen Tests.

    • Box
    • ServiceNow
    • Salesforce
    • OneDrive Online
    • Outlook Online
    • SharePoint Online
    • Microsoft Teams
    • Zoom

Dieser Check wird mit synthetischen HTTP-, ICMP- oder UDP-Probes ausgeführt und werden fast in Echtzeit auf dem Client ausgeführt. Es besteht die Möglichkeit, eigene Saas- oder Web-Applikationen zu definieren

Jeder Applikation sind sogenannte Probes zugewiesen oder zuweisbar. Probes protokollieren Daten zu bestimmten Aspekten von Applikationen in Ihrem Unternehmen. Cloud Path Probes helfen, die einzelnen Hops zu monitoren. Vordefinierte Applikationen verfügen standardmäßig über vorkonfigurierte Probes, während benutzerdefinierte Anwendungen die manuelle Erstellung von Probes erfordern. Mindestens eine Web Probe ist erforderlich, um eine Anwendung zu aktivieren. Es wird empfohlen, auch eine Cloud Path Probe zu definieren, welche der Web Probe folgt.

Am Beispiel von MS Teams ist das vielleicht etwas verständlicher: Eine vordefinierte Applikation hat eine Web Probe und eine (oder mehrere) Cloud Path Probe, um die Applikations “Front Door” zu monitoren. Bei Teams ist es neben dem Monitoring der Teams-Client-Konnektivität und der Anrufsignalisierung (auf teams.microsoft.com) eine weitere Cloud Path Probe für den Teams Transport Relay Service, welcher die Mediakommunikation abhandelt (über world.tr.teams.microsoft.com). Die Bilder veranschaulichen den Setup.

Ein Ausschnitt aus dem Menüpunkt – Configuration – Applications. Die 3 beschriebenen Probes für Teams. Einmal Web und zweimal Cloud Path Probe.
Hier die Probes selber mit den Einstellungen. Intervall, Locationen und Art der Probe (Web, Cloud) sowie der zu testenden URL.

Wie schalte ich das ein?

Wenden Sie sich an uns und wir unterstützen Sie dabei.

Einschalten geht über das Bestellen der Lizenzen oder das Aufschalten des PoCs. Dann kann im Zscaler Client Connector (ZCC) Portal für alle User oder eine Gruppe von User die Verfügbarkeit im ZCC von ZDX eingeschaltet werden. Wenn der ZCC bereits ausgerollt ist, muss sonst nichts gemacht werden. Sobald er das Profil neu nachlädt, wird ein weiteres Icon mit ZDX sichtbar.

Das Icon für Digital Experience wird sichtbar.

Was sollte ich beachten?

  • Starten Sie mit den vorgegeben Probes. Aktivieren Sie die, von denen Sie von Problemen wissen.
  • Steuern Sie ZDX über eine Gruppe von User und informieren Sie die User vorher.
  • Verteilen Sie die User auf die Lokationen, welche Probleme haben oder auf die ganze Welt.
  • Aktivieren Sie auch User, welche nie Probleme haben, als Vergleich.
  • Haben Sie etwas Geduld, bis genug Daten gesammelt wurden, damit im Dashboard auch etwas sichtbar wird.
  • Danach haben Sie eine schöne Übersicht auf einer Weltkarte und mit den Farben grün, gelb und rot, wo es zu möglichen Problemen kommt bzw. schon gekommen ist. Es werden automatisch «Exceutive Insights» erstellt. Diese zeigen eine Zusammenfassung auf Organisations-, Standort- und Anwenderebene.

Was kann ich weiter einrichten (Alerts)?

Wenn Sie eine gute Abdeckung und ein gutes Gefühl für einen Entscheid von gut oder schlecht haben, können auch Alerts aufgesetzt werden, welche im Fall von schlecht alarmieren. Damit muss man nicht immer auf das GUI schauen, obwohl das recht spannend ist. Justieren Sie die Schwellwerte bis es für Ihre Belange richtig ist.


Wie kann ich einzelne Userprobleme einfach abklären (Deep Trace)?

Im Support beklagt sich ein User (meist von zuhause aus), dass er immer wieder Probleme mit z.B. Teams hat. Aktivieren Sie für diesen User ZDX auf dem Client und starten Sie für Teams einen Deep Trace für 60 Minuten. Danach kann das Problem identifiziert werden. Durch den Vergleich der vielen Probes der anderen User haben Sie auch Hinweise, ob es ein Einzelfall ist. Wenn ich will, kann ich sehr spezifische Daten wie CPU-Load, Speicherauslastung, Netzwerk-IO, Diskzugriff, Wifi-Signalstärke usw. des Clients sammeln lassen.

Die folgenden Bilder wurden über einen Mac und einem 4G/5G-Hotspot erzeugt.

Web Probe Metrics für 5 Minuten Deep Trace auf einem Mac.

Cloud Path Metrics für 5 Minuten Deep Trace auf einem Mac. Dies ergibt 5 Messpunkte, welche einzeln anklickbar sind – unten der zweitletzte von 5. Im Bild weiter unten sieht man die Werte dazu in der Hop View.

Hop View – Hop zu Hop Netzwerk-Path-Visualisierung vom Client zum Zielsystem inkl. Markierung für Tunnel 2.0 im unteren Bild. Oben wurde Teams vom Tunnel 2.0 ausgenommen; unten nicht. Wenn man sich nun fragt, wieso Teams vom Tunnel 2.0 mit einem Klick ausgenommen werden kann, ist das eine mögliche Erklärung. Es könnte aber auch sein, weil der Test mit 4G gemacht wurde statt 5G! Bitte schreiben Sie Ihre Vermutungen in den Kommentar oder das Bild ganz am Schluss klärt auf 😀

Command Line View: Hop zu Hop Netzwerk-Path-Visualisierung vom Client zum Zielsystem. Passend zum ersten Bild der beiden vorherigen.

Ich erspare Ihnen die weiteren Bilder zu den Metriken des Clients selber. Da kann man aber auch Schlüsse ziehen, falls die mögliche Bandbreite auf dem Interface gering oder der CPU-Load ganz hoch ist usw. Dafür ist ein Proof of Concept (PoC) mit uns der richtige Moment.


Ausblick

Wir hoffen, dass weitere vordefinierte Applikationen folgen werden, dass auch ZPA (Zscaler Private Access) über Probes monitored werden kann; seit April 2021 sieht man den Cloud Path vom ZCC zum ZPA Public/Private Service Edge. Infos: ZDX und ZPA.

Generell werden die neuen Möglichkeiten von ZDX schnell weitergetrieben.


Zusammenfassung

Das ist wirklich ein cooles Produkt, welches sich mit minimalem Aufwand einrichten lässt und sehr schnell erste erstaunliche Resultate liefern kann. Ich habe mich auf ein Minimum an Informationen beschränkt, um zu zeigen, wie einfach die ersten Schritte sind.

Wir unterstützen gerne bei einem PoC, damit nicht «die Katze im Sack» gekauft werden muss. Weiterführende Informationen sind bei Zscaler direkt zu finden (Link).


Auflösung

Diesmal auch mit Tunnel 2.0 und 5G.