v-rtc

Hallo.

Meinst Du das hier?

"Gruppenrichtlinie

Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile ->

Langsame Netzwerkverbindungen nicht erkennen -> Aktivieren

Zeitlimit für langsame Verbindungen für Benutzerprofile -> KB/s auf Deine Netzwerkverbindung einstellen (Standardwert 500 KB/s)"

Grüße

Rolf

Hallo.

Nicht nur Du :-)

WINS haben wir im Einsatz.

Was mir jetzt aufgefallen ist, das der tracert zum DC übers Internet recht lange brauch. Aber das scheint überall zu sein.

Da es nur ein PC ist, ist das mit dem DC nicht wirklich eine machbare Lösung.

Momentan dauert es bei beiden ca. 10 Min. Für die Anwender gerade noch ok, doch ich finde es nicht gerade annehmbar.

Vielleicht finde ich ja noch was.

EDIT: Mir ist noch eines aufgefallen, in der Firewall sind ab und an Deny Pakete.

Zum erstaunen nicht auf den Server, sondern auf den Client (Port 139).

Wisst Ihr was der da suchen will?

Normalerweise ist das doch anders rum, oder irre ich mich?

Danke.

Grüße

Rolf

Hallo.

Nein, benutzen wir nicht.

Grüße

Rolf

Also bei der 2 Aussenstelle habe ich nun die MTU ja eingestellt.

Die Anmeldung ist schneller, aber allerdings mit ca. 10 Minuten immer noch sehr lange.

Habt Ihr noch Tipps?

Grüße

Rolf

Hallo,

ja das kann große Auswirkungen in der Geschwindigkeit haben.

Ich würde die max MTU mit ping -f -l XXXX ermitteln. Die würde ich dann einstellen.

Wie ist denn die Anbindung über WAN?

Guten Morgen.

Das mit dem Ping werde ich machen. Danke.

Die Anbindung erfolgt über das örtliche DSL Netz. Aussenstelle 1 hat DSL 16000 Aussenstelle 2 hat soweit ich weiß nur DSL 1000.

Wie gesagt das Telefon, das ebenfalls über den Router angeschlossen ist, funktioniert einwandfrei.

@Rakli

Den DNS werde ich mir mal anzeigen lassen. Danke.

Allerdings gehen Anwendungen die dann aufgerifen werden schon. Sprich der Namen den DC's und Terminalserver z.B. funktionieren.

Grüße

Rolf

Edit:

Bei der Aussenstelle 2 hat die MTU Size heruasfinden wohl was gebracht. Kann ich aber erst am Montag prüfen,

da die nun arbeiten müssen.

Melde mich aber wieder.

Danke.

Hi.

Die MTU Size haben wir folgendermaßen schon angepasst.

Ausstenstelle 1:

MTU: 1210 -> 1280 -> 1310 -> 1380 -> 1410

Verbindung war zum Teil schlechter.

MTU wieder entfernt, Verbindung stabil.

Anmeldezeit ca. 10 Minuten.

Aussetnstelle 2:

MTU: 1210 bisher nur. Brachte aber kein Erfolg. Wir haben sogar die Netzwerkgeschwindigkeit gedreht, auch ohne Erfolg.

Anmeldezeit größer als 10 Minuten. Haben wir nicht abgewartet.

Habt Ihr da Erfahrunsgwerte?

Grüße

Rolf

Wir haben feste IP-Adressen für die Aussenstellen.

Daher fällt der DHCP Server flach.

Wir haben nun mal mit der Kerboros Tokens gespielt dies brachte auch kein Erfolg.

Grüße

Rolf

Guten Morgen zusammen.

Der Beitrag ist etwas älter, aber ich wollte keinen neuen aufmachen.

Wir haben auch schon einiges versucht, aber vielleicht habt Ihr noch ein paar Ideen.

Folgendes:

Windows 2003 Domäne. Anmeldung im Haus wunderbar. Dazu haben wir Aussenstellen die über eine VPN Verbindung angeschlossen sind (Cisco VPN).

Diese Aussenstellen funkionieren bei allen wunderbar, bis auf 2!

Dort haben wir nun folgendes Problem.

Router baut eine DSL Verbindung auf, danach wird die VPN Verbindung aufgebaut. Hinter dem Router stecken direkt 1 PC und 1 IP Telefon.

Das Telefon funktioniert einwandfrei. Gute Qualität. Beim PC aber passiert folgendes.

PC startet, Computereinstellungen werden geladen, Benutzer meldet sich an,

Computereinstellungen werden kurz geladen, danach die Benutzeranmeldung.

Doch diese bleibt stehen. 10 Minuten, 20 Minuten, 30 Minuten... irgendwann ist er dann angemeldet. Wenn man das Netzwerkkabel zieht geht es innerhalb 1 Minute.

Was wir intern gesehen haben, ist das der DC zum Teil die Verbindung zu dem Client ablehnt. Firewall Regeln wurden extra angepasst vorrübergehend. Die sollten also nicht schuld daran sein. Ein 3. DC steht in einem anderen Subnetz, worauf der Client kein Zugriff hat, da aber die anderen 2 im verfügbaren Subnetz stehen, sollte dies ja kein Problem sein, oder?

Wir haben schon 2 Router getestet, 2 PC, Telekom Leitung geprüft. Alles nicht viel gebracht. Vielleicht habt Ihr noch ein Gedankenschubser.

Vielen Dank.

Grüße

Rolf

Hallo.

Vielen Dank für die schnellen Antworten.

Da nur das kleinste drauf war, ist die Antwort mir nun klar.

Das ist schade, da ich gerne die Switches über SSH gesteuert hätte.

Auch wenn man an die höheren IOS Versionen kommt, wäre es ein Vertragsbruch, richtig?

Vielen Dank.

Grüße

Rolf

Hallo.

Ich habe eine Frage zu den IOS Versionen.

Und zwar um SSH auf Switchen machen zu können, benötigt man soweit ich weiss, ein IOS mit "k9".

Nun die Frage, momentan ist ein "lanbase-mz" auf dem Switch.

Darf man ohne weiteres, dass mit "K9" aufspielen? Oder wie sieht das vertragstechnisch aus?

Vielleicht weiß ja einer Rat.

Danke.

Grüße

Rolf

Dann waere es kein Modem ;)

 

Ich werd heut meinen Kollegen drauf ansetzen das mit demselben Router und IOS nachzubauen, mal schaun wie doof er guckt wenn er zur Tuer reinschneit :)

lol stimmt auch wieder.

Weil wir hatten das ganze mal mit einem VDSL Modem/Router.

Grüße

Rolf

ICND2 reicht, aber ich würde sagen das beide Prüfungen einzeln die dann genau so viel kosten als wenn du gleich CCNA gemacht hättest

Hallo.

Kurze Frage, wie meinst Du gleich CCNA?

Besteht der CCNA nicht aus den zwei Prüfungen, wovon die erste die CCENT ist?

Danke.

Grüße

Rolf

Hallo.

Mal eine doofe Frage, kannst Du dem Modem eine IP-Adresse geben?

Grüße

Rolf

Als Information.

Also es wurde vorgeschlagen die ASA ohne Context aufzusetzen mit VPN.

Die zwei 2800er würden dann PBR machen und um die zwei ISP zu nutzen.

Mal schauen was wir machen oder auch nicht.

Danke.

Grüße

R.Wolff

Hallo zusammen.

Ich nutze mal diesen Thread weiter.

Wir haben ein Windows 2003 Server mit SP2.

Dort gibt es geplante Tasks, ca. 38 Stück, die teilweise minütlich (1 Min, 5 Min., usw.) wiederholt werden.

In letzter Zeit tritt das Problem auf, das Tasks anlaufen, aber nie beendet werden.

Momentan starte ich den Taskplaner Dienst neu, damit ich dies beheben kann.

Über das Logfile habe ich heute nichts genaueres herausbekommen. Werde es aber noch einmal prüfen, wenn der Fehler wieder auftritt.

Info:

Die Tasks kopieren Dateien auf Netzlaufwerken, oder verbuchen Dateninhalte in die lokal liegen Datenbank.

Das ganze läuft aber seit 2004 ohne Probleme.

Vielen Dank.

Grüße

R.Wolff

Hallo zusammen.

Vielen Dank für die schnelle Info.

Werde mir die englische Ausgabe holen, denke für die Prüfung wird das optimal sein

zum Verständnis.

Grüße

Rolf

Hallo.

Ich würde gerne anfangen den CCNA zu machen.

Nun habe ich gelesen das man den CCENT im Voraus machen kann zum CCNA.

Ich habe bei Amazon dieses Buch gefunden:

CCENT/CCNA ICND1-Prüfungshandbuch: Amazon.de: Wendell Odom: Bücher

Nun meine Frage, ist dieses Buch tauglich sich einzuarbeiten?

Ist es evtl. besser ein englisches Buch zuzulegen?

Oder habt Ihr ein Buchtipp?

Vielen Dank.

Grüße

Rolf

Hallo.

Das heißt am besten die virtuellen Firewalls wieder entfernen.

Zwei Hardware Firewalls konfigurieren (VPN etc.) mit dem jeweiligen ISP.

Können dann beide ASA's VPN Tunnel aufbauen? Sprich man verteilt die VPN Tunnel.

Wie funktioniert OSPF in diesem Zusammenhang genau?

Wenn eine Hardware ausfällt, wäre der ISP 2 nur noch erreichbar.

Würde es dann hier Sinn machen, eine weitere ASA als Failover zu kaufen?

Vielen Dank.

Grüße

R.Wolff

Die ASA routet 170 Mbit VPN-Traffic (laut Hersteller), der 2800 grob geschaetzt 30 (je nach Modell). Glaub mir, die ASA langweilt sich :)

 

Kennst du dich mit OSPF aus? Wenn du beide fuer OSPF klar machst sagt die eine ASA der anderen welche Netze sie kennt, also welcher Client grad per VPN verbunden ist. So weiss jede ASA wo grad der VPN-Traffic zum Client hin soll. Wenn eine ASA ausfaellt waehlt sich logischerweise der Client bei der 2ten ASA ein (wird am Client konfiguriert). Das sollte auch kein Problem sein.

Wow, ok. Gut zu wissen. Danke.

Nein nie gehört, bisher. Das Problem ist halt, das hinter der ASA1 unser komplettes Netz hängen würde und wir mometan dran sind es redundant auszulegen. Aber ich bin grad auf der Suche um mehr herauszufinden, was die ASA anbelangt zwecks VPN.

Danke!

Grüße

R.Wolff

Welche Funktion erfuellt der 2800er in diesem Szenario? VPN? Einwahl beim ISP?

Die 2800er machen nur VPN. Die ASA NATet den 2800ers dann nach draussen.

VPN auf der ASA wäre sicher auch interessant. Die Frage ist ob dies wirklich perfomanter und besser ist, als sepreat über die 2800er, da der ganze Traffic über die erste ASA geht.

Was mir nocht nicht ganz klar ist, wie das OSPF in unserem Fall arbeitet, bzw. bei einem Ausfall der ASA 1 hilfreich ist.

Grüße

R.Wolff

P.S.: Wir haben noch 2 PIXen 515E glaub ich hier. Vielleicht bringt das ja noch neue Möglichkeiten?

Ok ich schau mal rein.

Momentan trennen wir eben Firewall und VPN gerade durch die ASA und den 2800er.

Die Frage ist, ob eine Lösung wie folgt, wirklich so toll ist, oder eben andere Möglichkeiten gibt:

In Worten:

Pro Provider eine virtuelle(Context) ASA sowie ein 2800er Router.

Ich hoffe man kann es verstehen.

Noch als Info:

Glücklich sind wir mit den 2800er nicht wirklich, da im Vergleich zum Concentrator einiges fehlt oder nicht machbar ist.

Vielleicht ergibt sich ja doch noch eine bessere Lösung.

Danke.

Grüße

R.Wolff

Das PBR wurde vorgeschlagen als Lösung, wenn wir 2 ISP haben.

Was wir aber nun doch nicht so umsetzen.

Momentan haben wir zwei ASA's 5510.

Gibt es denn eine schönere und bessere Lösung für VPN als den 2800er?

Grüße

R.Wolff

Ja wir haben 2 Contexte, die jeweils Failover haben. Ok, das ist dann recht schlecht. Kannst Du mir evtl. kurz sagen, wieso die das dann nicht können?

Welche Lösung würdest Du vorschlagen?

Der 2800er wurde damals genommen, weil man mit diesen PBR (Policy Based Routing) und QoS (Quality of Service) machen könnte.

Mittlerweile sieht aber alles anders aus, als damals vorgeschlagen und somit haben wir jetzt Fragen über Fragen.

EDIT:

Beim 8xx Router kann man in der crypto ipsec client ezvpn ein default peer festlegen.

Somit wäre das auch geklärt. Frage ist dann eher wie man es umsetzt intern (Routing etc.)

Grüße

R.Wolff

Hallo.

Danke für die schnelle Antworten.

@blackbox

Das ist eine gute Frage. Es wurde damals so Angeboten und leider auch umgesetzt. Dies hat sicher auch Gründe, das wir selbst nicht so viel KnoffHoff

haben.

Ok, danke. Das mit dem Router wird sicher ne interessante Geschichte noch.

Muss wohl mal die Command Reference genauer nachlesen.

@Wordo

Zu der ASA. Die zwei ASA's laufen virtuell. Sprich 2 x Hardware = 4 x virtuell (Active/Standby).

Wie gesagt die 2800er wurden uns so vorgeschlagen und leider auch umgesetzt. Vielleicht gibt es hier ja andere Lösungen, gerade über die ASA.

Da bin ich aber leider überfragt.

Wir haben bei beiden ISP Subnetzte mit IP-Adressen, sprich jeder 2800er Router würde eine IP vom ISP bekommen.

Danke.

Grüße

R.Wolff

–

Also wenn VPN und Redundanz im Vordergrund stehen ist der Weg von ASA zu Router verkehrt.

Die Redundanz wäre hier 2 Active Internet Anbindungen mit jeweils aktiven Komponenten (VPN zum Beispiel).

So würden wir auch lasten verteilen können.

Grüße

R.Wolff

Ok, sorry.

Also wir haben zwei ASA's.

1 ASA -> ISP 1

2 ASA -> ISP 2

Dazu haben wir momentan 2x 2800 VPN Router die HSRP fahren.

Wir wollen diese aber nun trennen, sprich

1 2800 -> ISP 1

2 2800 -> ISP 2

Somit hätten wir zwei Wege zu uns ins System.

Nun ist aber die Frage, wie man das auf den Clients (Software und Hardware (8xx Router)) umsetzen kann.

Der VPN Weg geht von Clients zu uns.

Hoffe Ihr versteht was ich meine.

Vielen Dank.

Grüße

R.Wolff