Jump to content

Fehlersuche - Performance-Probleme


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein paar merkwürdige Perforance-Probleme und finde keinen Ansatz zur Fehlersuche.

 

Die Umgebung ist ein Windows 2003 Standard-Server, der als Domänen-Controller, DNS-Server und File-Server läuft (es gibt nur 1 Server).

An dem Server hängen ca. 30-40 Clients unter Windows XP Pro SP1.

 

Zusätzlich ist auf dem Server noch OpenVPN installiert, damit ich von dem Firmennetzwerk auf den Server, der an einem entfernten Standort steht, zugreifen kann.

 

Jetzt habe ich folgendes Verhalten:

 

1.

Der erste Zugriff auf Server-Ressourcen (gemeinsames Netzlaufwerk) dauert sehr lange. Wenn ich dann einmal drauf bin, kann ich mich eigentlich mit einem normalen Tempo durch die Unterverzeichnisse klicken.

 

2.

Ich habe 2 verschiedene Gruppenrichtlinien, die das Startverhalten des PCs verändern.

Bei der einen wird automatisch ein Benutzer angemeldet, damit ich in der Lage bin remote neue Software zu installieren und bei der anderen nicht.

Eigentlich habe ich es so eigestellt, daß der Client am Anfang auf jeden Fall die Richtlinien aktualisieren soll, aber es sieht so aus, als rennt er da auch irgendwann in ein Timeout.

Wenn ich mich dann selber anmelde und per "gpudpate /force" die Richtlinien aktualisiere kann es sein, daß ich das 2-3 mal machen muß, bevor er wirklich die aktuellen Einstellungen zieht.

 

Und jetzt kommt das kuriose an der Sache:

Wenn ich die OpenVPN-Netzwerkverbindung deaktiviere läuft alles ganz normal...

An der Firewall hier im Firmennetz am OpenVPN-Gateway, wo die Verbindung ankommt läßt sich aber nichts erkennen.

Da sind eh nur Ports für FTP und VNC geöffnet und alles andere wird geblockt.

 

Ich weiß einfach nicht, wie ich dem Fehler auf die Schliche kommen kann.

Mittlerweile ist der Fehler in allen 6 Aussenstellen aufgetreten...

 

Hat da irgendwer eine Idee?

 

Gruß

Thomas

Link zu diesem Kommentar

Hallo Thomas,

 

willkommen an Board.

 

Das verhalten klingt zunächst mal nach einem klassischen Problem mit der Namensauflösung.

 

Um das genauer zu bewerten, benötigen wir noch ein paar infos:

 

1. Wie ist das Netz insgesamt aufgebaut (IP-Kreise, ipconfig /all vom Server sowie jew. eines "Problem-PCs")?

2. läuft WINS?

3. Wer macht wie VPN?

4. Wie verändert sich die IP-Konfiguration mit und ohne OpenVPN-Verbindung (ipconfig /all am OpenVPN-Server)?

 

Diese Fragen sind zunächst zu beantworten, da es sonst kaum möglich ist, hierzu was zu sagen.

 

grüße

 

dippas

Link zu diesem Kommentar

Hallo dippas,

 

vielen Dank für die Antwort.

An die genannten Angaben hätte ich eigentlich auch selber denken können, aber irgendwie war ich zu sehr mit der Fehlerbeschreibung beschäftigt...

 

Hier also jetzt mal die Antworten auf die Fragen:

 

Zu Frage 1:

#########################################

 

Alle Maschinen hängen im Netz: 10.201.4.0/23

 

ipconfig /all vom Server

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : w2ksrv03

Primres DNS-Suffix . . . . . . . : xxxx.yyyyyy

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : xxxx.yyyyyy

 

Ethernet-Adapter LAN-Verbindung 4:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : TAP-Win32 Adapter V8

Physikalische Adresse . . . . . . : 00-FF-7D-CF-64-55

DHCP aktiviert . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 172.18.26.10

Subnetzmaske . . . . . . . . . . : 255.255.255.252

Standardgateway . . . . . . . . . :

DHCP-Server . . . . . . . . . . . : 172.18.26.9

NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

Lease erhalten . . . . . . . . . : Donnerstag, 26. Oktober 2006 05:04:02

Lease luft ab . . . . . . . . . : Freitag, 26. Oktober 2007 05:04:02

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix: xxxx.yyyyyy

Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

Physikalische Adresse . . . . . . : 00-30-05-75-87-8D

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 10.201.4.1

Subnetzmaske . . . . . . . . . . : 255.255.254.0

Standardgateway . . . . . . . . . : 10.201.4.10

DNS-Server . . . . . . . . . . . : 10.201.4.1

 

#############

 

ipconfig /all vom Client

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : 10_201_4_51

Primres DNS-Suffix . . . . . . . : xxxx.yyyyyy

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : xxxx.yyyyyy

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel® PRO/100 VM Network Connection

Physikalische Adresse . . . . . . : 00-20-ED-9A-DE-DB

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 10.201.4.51

Subnetzmaske . . . . . . . . . . : 255.255.254.0

Standardgateway . . . . . . . . . : 10.201.4.10

DNS-Server . . . . . . . . . . . : 10.201.4.1

 

zu Frage 2:

#########################################

 

Ein WINS-Server ist nicht installiert.

 

zu Frage 3:

#########################################

 

Der Server baut eine VPN-Verbindung über OpenVPN zu einem Rechner hier im Netz auf.

Es ist aber so eingerichtet, daß nur der Server die Verbindung nutzen kann und nicht auch noch alle Clients.

 

zu Frage 4:

#########################################

 

Da ich mir die Angaben im Moment per Fernwartung vom Server hole, kann ich das leider nicht testen,

denn dann würde ich mir selbst die Verbindung kappen.

 

Wenn ich die Netzwerkverbindung für das VPN auf dem Server deaktiviere, dann geht es schnell,

also sollten bei "ipconfig /all" eigentlich nur die Eintragungen für die VPN-Verbindung fehlen.

 

 

Ich habe jetzt mal bei der Zusammenstellung der Angaben "ipconfig /all" bei verschiedenen Standorten verglichen.

Dabei ist mir aufgefallen, daß die Einträge

- IP-Routing aktiviert

- WINS-Proxy aktiviert

sich bei einigen unterscheiden.

 

Bei dem Auszug oben ist beides aktiviert.

Ich habe aber auch einen, bei dem beides deaktiviert ist und auch einen,

bei dem nur der WINS-Proxy aktivert ist.

 

Ich hoffe die Angaben helfen ein bischen weiter...

 

Gruß

Thomas

Link zu diesem Kommentar

ok, fangen wir "klein" an:

 

die ipconfig /all-Daten stammen von Server und Client, die sich in an einem Standort befinden, richtig? Oder steht der Client bei Dir und der Server woanders? Wie sind die Netze (Standorte) untereinander verbunden?

 

Bitte installiere auf dem Server den WINS-Dienst (Software/Windows-Komponenten) und trage beim Client sowie beim Server in den IP-Einstellungen auch den WINS-Server anschließend ein.

 

zu Frage 3:

#########################################

 

Der Server baut eine VPN-Verbindung über OpenVPN zu einem Rechner hier im Netz auf.

Es ist aber so eingerichtet, daß nur der Server die Verbindung nutzen kann und nicht auch noch alle Clients.

 

Baut der Server die Verbindung zu irgendeinem Client auf oder zu einem bestimmten? Ich versuche den Zweck von OpenVPN zu ergründen.

 

grüße

 

dippas

Link zu diesem Kommentar

Hallo,

 

hier noch ein paar Hintergrund-informationen.

Bei den Netzwerken handelt es sich um Schulen. Die Netzwerke sind eigentlich komplett eigenständig und gehen über einen normalen DSL-Anschluß ins Internet.

Da ich aber auch von meinem Büro aus Zugriff auf den Server benötige, damit ich bei kleinen Änderungen nicht immer in die entsprechende Schule fahren muß haben wir uns überlegt eine VPN-Verbindung zu nutzen.

 

Dabei baut der Server in der Schule über OpenVPN eine Verbindung zu einem OpenVPN-Gateway bei uns im Firmennetz auf.

Auf dieser VPN-Verbindung ist von unserer Seite aus nur FTP und VNC erlaubt, damit ich in der Lage bin, den Server von hier aus zu kontrollieren.

Wenn man so will, ist also eigentlich der Server ein OpenVPN-Client.

Das ist der Sinn des OpenVPN.

 

Die "ipconfig /all"-Ausgaben stammen von dem Server und einem Schul-Client.

 

Wofür ist denn überhaupt WINS?

Ich habe es bis jetzt noch nie vermisst und bin immer davon ausgegangen, daß man WINS nicht braucht, wenn man nen DNS-Server hat.

 

Gruß

Thomas

Link zu diesem Kommentar
hier noch ein paar Hintergrund-informationen.

Bei den Netzwerken handelt es sich um Schulen. Die Netzwerke sind eigentlich komplett eigenständig und gehen über einen normalen DSL-Anschluß ins Internet.

 

Also reden wir hier von 6 unterschiedlichen Netzen, die sich untereinander nicht kennen und nichts miteinander zu tun haben? Die einzige Gemeinsamkeit ist der gleiche Fehler in allen Netzen? Und jedes Netz hat seinen eigenen Server? und in jedem Netz ist der gleiche IP-Kreis konfiguriert?

 

Da ich aber auch von meinem Büro aus Zugriff auf den Server benötige, damit ich bei kleinen Änderungen nicht immer in die entsprechende Schule fahren muß haben wir uns überlegt eine VPN-Verbindung zu nutzen.

 

Das macht Sinn ;)

 

Dabei baut der Server in der Schule über OpenVPN eine Verbindung zu einem OpenVPN-Gateway bei uns im Firmennetz auf.

 

Sitzt jemand vor dem Server und klickt initiert die VPN-Verbindung?

 

Oder verwechselst Du da was? ist es nicht eher so, dass Du die VPN-Verbindung zum Server aufbaust?

 

Wofür ist denn überhaupt WINS?

Ich habe es bis jetzt noch nie vermisst und bin immer davon ausgegangen, daß man WINS nicht braucht, wenn man nen DNS-Server hat.

 

Einer der größten Fehler seitens M$ war es, zu behaupten, dass WINS mit Einführung des DNS nicht mehr notwendig sei.

 

Anwendungsbeispiele, bei den WINS zwingend benötigt wird, gibt es genug. Insbesondere M$-eigene Produkte wie z.B. Exchange oder auch die simple Netzwerkumgebung benötigen eine saubere NetBios-Namensauflösung. Aber auch viele Anwendungen die Pfade zu Servern a la \\servername\xyz oder nur den einfachen Servernamen (also ohne Domainzusatz) verwenden, brauchen WINS.

 

Deine Schilderung:

Jetzt habe ich folgendes Verhalten:

 

1.

Der erste Zugriff auf Server-Ressourcen (gemeinsames Netzlaufwerk) dauert sehr lange. Wenn ich dann einmal drauf bin, kann ich mich eigentlich mit einem normalen Tempo durch die Unterverzeichnisse klicken.

 

zielt auch auf WINS/NetBios ab

 

Ich würde die Sache zwar anders konfigurieren, aber das zunächst mal zweitrangig. Erst gilt es, das problem zu lösen.

 

WINS zwischenzeitlich drauf?

 

grüße

 

dippas

Link zu diesem Kommentar

Stimmt.

 

6 unterschiedliche Netze, aber auch 6 unterschiedliche IP-Kreise, aber im Prinzip alle ähnlich.

 

Jedes Netz hat einen eigenen Server und alle Netze sind unabhängig.

 

Auf dem Server ist OpenVPN als Dienst installiert, so daß beim Start des Servers die Verbindung zu uns aufgebaut wird und eigentlich auch dauerhaft steht.

 

Allerdings muß ich an dem Punkt die ganze Geschichte erstmal auf Eis legen...

 

Für die Installation von Wins brauche ich ne Windows-CD und die liegt neben mir und nicht am Server, mal ganz davon abgesehen, daß ich an den Clients von meinem Büro aus gar nichts eintragen kann.

(Kann ich Wins-Einstellungen per Gruppenrichtlinie setzen?)

 

Ich bin hoffentlich Anfang nächster Woche wieder in einer Schule und werde das dann testen...

 

Muß ich nach der Installation von WINS irgendetwas beachten oder konfigurieren?

 

Auf jeden Fall schonmal vielen Dank für die Unterstützung

 

Gruß

Thomas

Link zu diesem Kommentar

Hi,

 

Für die Installation von Wins brauche ich ne Windows-CD und die liegt neben mir und nicht am Server

 

Wir haben auch einige Server in verschiedenen Zweigstellen.

Auf denen kopieren wir immer das /i386 Verzeichnis auf unsere Server, damit wir das Problem nicht haben. Dann muss man natürlich noch einen RegKey auf das Verzeichnis umbiegen.

hklm/software/microsoft/windowsnt/currentversion: Hier SourcePath auf den gewünschten Pfad setzen.

 

(Kann ich Wins-Einstellungen per Gruppenrichtlinie setzen?)

 

Ist mir nicht bekannt. Aber über DHCP ginge es (optionen 044 und 046).

 

Christoph

Link zu diesem Kommentar
Stimmt.

 

6 unterschiedliche Netze, aber auch 6 unterschiedliche IP-Kreise, aber im Prinzip alle ähnlich.

 

Jedes Netz hat einen eigenen Server und alle Netze sind unabhängig.

 

das ist schon mal gut zu wissen. Erleichtert ein wenig die Suche, da man sich nur um ein Netz kümmern muss und diese Lösung dann auf die anderen Netze übertragen kann.

 

Auf dem Server ist OpenVPN als Dienst installiert, so daß beim Start des Servers die Verbindung zu uns aufgebaut wird und eigentlich auch dauerhaft steht.

 

weiter unten mehr dazu ...

 

Für die Installation von Wins brauche ich ne Windows-CD und die liegt neben mir und nicht am Server, mal ganz davon abgesehen, daß ich an den Clients von meinem Büro aus gar nichts eintragen kann.

(Kann ich Wins-Einstellungen per Gruppenrichtlinie setzen?)

 

ne, aber via DHCP (läuft aber bei Dir nicht ;))

 

Muß ich nach der Installation von WINS irgendetwas beachten oder konfigurieren?

 

nein, einfach installieren und das war´s.

 

Naja, wie bereits geschrieben, die IP-Einstellungen der Clients und des Servers anpassen.

 

so, jetzt noch was zum Thema OpenVPN etc.

 

Es scheint mir so, dass die Clients versuchen den Netbios-Names aufzulösen, das aber nicht schaffen. WINS wäre der erste Schritt für die Lösung, da ich momentan glaube, das die Clients (aus welchen Gründen auch immer) die OpenVPN-Verbindung zur Namensauflösung mitnutzen. Das leite ich aus der Aussage ab, dass bei abgeschaltetem openVPN die Sache funzt. Ist auch klar, denn dann erreicht ein Broadcast auf den Servernamen auch den Server.

 

Ich wette, ein Netzlaufwerk, welches nicht via net use \\servername\freigabename sondern via net use \\ip.des.servers\freigabename sofort und schnell funktioniert.

 

Das die Server automatisch beim Start einen VPN-Tunnel aufbauen der nur gelegentlich zu Wartungszwecken genutzt wird, halte ich für wenig sinnvoll. Dazu musst Du immer wieder bei euch die Routingtabellen anpassen, neues VPN konfigurieren usw., wenn wieder einer dazu kommt.

 

Ich würde es so konfigurieren, dass der Server eingehende VPN-Verbindungen annimmt. Ob via OpenVPN oder mit M$-Boardmitteln (z.B. PPTP) sei zunächst dahingestellt.

 

Hätte auch den Vorteil, dass Du bestimmst, welcher VPN-Tunnel geöffnet wird und welcher nicht. Dann kommt so ein Server (oder Virus/Wurm oder User etc.) auch nicht auf die Idee, vom Server aus durch den (heute noch) bestehenden Tunnel Daten zu euch zu schieben oder sich von dort zu holen.

 

Dann würde ich auf den Server vielleicht via RDP zugreifen, was den Vorteil hätte, dass Du z.B. Laufwerke deines PCs auch auf dem Server verfügbar machen kannst (Stichwort Datenaustausch und Zwischenablage). Auch könntest Du Dokumente des Servers bei Dir ausdrucken.

 

Auf den XP-Clients kann man die Remotedesktopfreigabe auch einschalten, damit Du wiederum via RDP auf eine Maschine kommst. Wenn Du dich dann auf dem Server via VPN einwählst, wirst Du Teil des vor-ort-netzes und kannst von Deinem PC eine RDP-Verbindung auf den XP-Rechner direkt machen. Alternativ machst Du es von Server aus auf den PC (sozusagen "Bild in Bild").

 

grüße

 

dippas

Link zu diesem Kommentar

Hi!

 

Es scheint mir so, dass die Clients versuchen den Netbios-Names aufzulösen, das aber nicht schaffen. WINS wäre der erste Schritt für die Lösung, da ich momentan glaube, das die Clients (aus welchen Gründen auch immer) die OpenVPN-Verbindung zur Namensauflösung mitnutzen. Das leite ich aus der Aussage ab, dass bei abgeschaltetem openVPN die Sache funzt. Ist auch klar, denn dann erreicht ein Broadcast auf den Servernamen auch den Server.

 

Das war auch mein erster Gedanke.

Wir benutzen zusätzlich noch ein Produkt zur automatisierten Installation der Clients.

D.h. bei einer Neuinstallation werden die Clients über PXE gebootet und holen sich dann vom Server die XP-Installationsdateien.

Dabei wird dann per Dos eine Netzwerkverbindung zum Server aufgebaut.

Nach der Einrichtung der VPN-Verbindung funktionierte das nicht mehr.

(Der Servername konnte nicht aufgelöst werden)

Daraufhin haben wir in der TCP/IP-Konfiguration der VPN-Verbindung "NetBIOS über TCP/IP" deaktiviert und danach lief es wieder.

 

Deswegen war ich eigentlich der Meinung, daß könnte es jetzt nicht mehr sein, aber ich bin auch der Meinung, daß irgendetwas durch den Tunnel geschickt wird, was da nichts zu suchen hat.

Ich wette, ein Netzlaufwerk, welches nicht via net use \\servername\freigabename sondern via net use \\ip.des.servers\freigabename sofort und schnell funktioniert.

 

Das werde ich dann auch nächste Woche testen...

 

Das die Server automatisch beim Start einen VPN-Tunnel aufbauen der nur gelegentlich zu Wartungszwecken genutzt wird, halte ich für wenig sinnvoll. Dazu musst Du immer wieder bei euch die Routingtabellen anpassen, neues VPN konfigurieren usw., wenn wieder einer dazu kommt.

 

Da wir mittlerweile hier alle Schulen "unter unserer Kontrolle" haben, ist es relativ unwahrscheinlich, daß da schnell eine dazu kommt.

Die dauerhafte Verbindung hat den Vorteil, daß wir relativ schnell mitbekommen, wenn es Probleme mit den Servern gibt.

 

Hätte auch den Vorteil, dass Du bestimmst, welcher VPN-Tunnel geöffnet wird und welcher nicht. Dann kommt so ein Server (oder Virus/Wurm oder User etc.) auch nicht auf die Idee, vom Server aus durch den (heute noch) bestehenden Tunnel Daten zu euch zu schieben oder sich von dort zu holen.

 

Auf den Server haben nur wir Zugriff und kein Lehrer und es werden nur Programme installiert, die vorher auf einem isolierten Testsystem getestet wurden...

 

Dann würde ich auf den Server vielleicht via RDP zugreifen, was den Vorteil hätte, dass Du z.B. Laufwerke deines PCs auch auf dem Server verfügbar machen kannst (Stichwort Datenaustausch und Zwischenablage). Auch könntest Du Dokumente des Servers bei Dir ausdrucken.

 

Mit dem richtigen VNC ist Datenaustausch auch möglich und außerdem haben wir ja immer noch FTP.

 

Auf den XP-Clients kann man die Remotedesktopfreigabe auch einschalten, damit Du wiederum via RDP auf eine Maschine kommst. Wenn Du dich dann auf dem Server via VPN einwählst, wirst Du Teil des vor-ort-netzes und kannst von Deinem PC eine RDP-Verbindung auf den XP-Rechner direkt machen. Alternativ machst Du es von Server aus auf den PC (sozusagen "Bild in Bild").

 

Mittlerweile habe ich es auch so eingestellt, daß ich vom Server aus mittels Remotedesktopfreigabe auf die Clients zugreifen kann.

 

Versteh mich nicht falsch.

Ich finde die Umsetzung über RDP wie du sie geschildert hast nicht schlecht, aber um das bei uns umzusetzen, müßten 2 Firewalls, 6 Server, 6 Router, das OpenVPN-Gateway und etliche Clients umkonfiguriert werden.

Und da uns die Lösung meiner Ansicht nach nicht wirkliche Vorteile bringt ist mir das glaube ich zu viel Arbeit.

 

Gruß

 

Thomas

Link zu diesem Kommentar
Da wir mittlerweile hier alle Schulen "unter unserer Kontrolle" haben, ist es relativ unwahrscheinlich, daß da schnell eine dazu kommt.
:D:D
Und da uns die Lösung meiner Ansicht nach nicht wirkliche Vorteile bringt ist mir das glaube ich zu viel Arbeit.

 

Solange es funktioniert ;)

 

OK, dann melde Dich mal, wenn Du vor Ort WINS installiert hat und poste das Ergebnis.

 

Versuch mal, dass Du bei der "Testschule" den RDP-Zugriff für die Fehlersuche freischaltest (eingehender Port 3389) oder vielleicht PPTP einrichtest (eingehender Port 1723, Protokoll GRE).

 

Damit könntest Du auf das System, auch wenn openVPN deaktiviert ist. Damit hätten wir einen Fehlerprobanden weniger bzw. könnten gezielter ansetzen.

 

grüße

 

dippas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...