satan 10 Geschrieben 11. Mai 2010 Melden Teilen Geschrieben 11. Mai 2010 Senario: Hauptniederlassung : * Fileserver * Zycel USG300 - VPN Konzentrator - Gateway Hauptniederlassung * 6 MBit SDSL Niederlassung : * ZyWall 2 Plus - 2 Mbit ADSL mit Erweiterung des Uploads 384 Kbits - VPN Gegenstelle zur Hauptniederlassung Diagnose der Leitung, über VPN: - Pings Bytes 32 == 71 - 3000 ms - RDP verhält sich wie Modemleitung - Domänenauth. funktioniert gar nicht - ca 13 minuten Anmeldezeit - ohne GPO´s für Computer und Benutzer - UNS mapping nur schleppend INFO: VPN liegt nicht in meiner HAND, anderer Admin. Bitte um Hilfe! Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 11. Mai 2010 Melden Teilen Geschrieben 11. Mai 2010 Was genau erwartest du nun für eine Unterstützung, wenn du mit dem VPN nichts am Hut hast? Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 11. Mai 2010 Autor Melden Teilen Geschrieben 11. Mai 2010 Was genau erwartest du nun für eine Unterstützung, wenn du mit dem VPN nichts am Hut hast? Ich bin der arme Hans Der die die Domäne Administriert und in Höchster Position Anwendungen (Client- Server). Ich würde gerne wissen ob sowas normal ist oder ob es da Ansätze gibt diese zu lösen. Desweiteren ist mein Kollege überzeugt alles toll! Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 11. Mai 2010 Melden Teilen Geschrieben 11. Mai 2010 "Normal" ist immer sehr relativ - wenn die kleine Leitung bereits durch andere Dienste überlastet ist, was bei der lächerlichen Bandbreite schnell passiert ist, dann sehen die Performance-Eckdaten halt so aus. Wenn ihr mehr Performance benötigt müsst ihr halt auch mehr Bandbreite kaufen. Wenn die Leitung aber eigentlich im Leerlauf ist und du diese Performancewerte hast, dann wird wahrscheinlich ein Problem mit der Leitung oder der Firewall liegen. Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 11. Mai 2010 Autor Melden Teilen Geschrieben 11. Mai 2010 "Normal" ist immer sehr relativ - wenn die kleine Leitung bereits durch andere Dienste überlastet ist, was bei der lächerlichen Bandbreite schnell passiert ist, dann sehen die Performance-Eckdaten halt so aus. Wenn ihr mehr Performance benötigt müsst ihr halt auch mehr Bandbreite kaufen. Wenn die Leitung aber eigentlich im Leerlauf ist und du diese Performancewerte hast, dann wird wahrscheinlich ein Problem mit der Leitung oder der Firewall liegen. Habe Einrichtung gestern aus AG zurückgebaut, sie nutzen nun nur noch 1 x Unc Verbindung zur Hauptniederlassung. Trotzdem Rammelt die Pings so HOCH! Ausserdem ist die globale Aussage zu Domänendiensten, das Latenzen also das Spiele zwischen 71 ms zu 3000 ms ein Riesiger Störfaktor ist! Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 11. Mai 2010 Melden Teilen Geschrieben 11. Mai 2010 Hallo, da das Lesen dieses Threads mir gerade ein Déjà-vu bereitet hat, hab ich mir mal erlaubt, die FoSu zu quälen. Und siehe da: http://www.mcseboard.de/active-directory-forum-79/probleme-replikation-gpos-vpn-156634.html http://www.mcseboard.de/windows-server-forum-78/verdrehungen-domaene-148031.html http://www.mcseboard.de/windows-server-forum-78/userenv-1053-a-156581.html Viel scheint in verstrichenen Zeit ja nicht erreicht worden zu sein. :rolleyes: Insbesondere vor dem Hintergrund dieser Threads würde ich nicht - wie von Satan offenkundig gewünscht - unbedingt sofort mit dem Finger auf den Firewalladmin zeigen. Selbstverständlich könnte es (zumindest auch) an instabilen oder ausgelasteten Internetzugängen, an fehlerhaften passiven und aktiven Komponenten oder an einer nicht optimal aufeinander abgestimmten Konfiguration der VPN-Endpunkte liegen. Wahrscheinlicher erscheint mir jedoch, dass Design- und Implementierungsfehler im Windows/AD- und Applikationsumfeld für die genannten Probleme verantwortlich sind. An unserer USG300 terminieren die VPN-Tunnel für derzeit knapp 40 Standorte mit Endgerätezahlen zwischen 2 und 40 Clients. Die meisten Firewalls unserer Außenstellen sind wie die ZW2Plus im vorliegenden Thread (noch) ZyNOS-basiert. Und dennoch läuft hier alles perfekt. Ich käme allerdings auch nie auf die Idee, über die VPN-Tunnel den Außenstellen einen Fileserverzugriff per CIFS bereitzustellen. Dafür ist das Protokoll zu ineffizient und reagiert zu nikelig auf hohe Latenzen. Bei den typischen Internetbandbreiten verdirbt dies dem User nun wirklich jeglichen Spaß an der Arbeit. Soetwas hält man besser lokal oder greift per TS darauf zu. Im Wesentlichen gehen bei uns über die VPN-Tunnel nur Protokolle für Infrastrukturdienste (DNS, LDAP etc.) und Replikationsverkehr. An Kleinstandorten ohne eigenen DC halt Anmeldeverkehr (ohne servergespeichertes Profil) und ICA (Seamless Applications). Auf diese Weise habe ich auch im vollem Betrieb nur wenig Traffic auf den Tunneln und auch konstante Pingzeiten von um die 30ms zu allen Außenstellen. Wenn ich aber abends gelegentlich "dicke" Installationsdateien für unsere Softwareverteilung rüberschiebe, dann habe ich selbstverständlich auch hohe und schwankende Ping-Zeiten sowie Timeouts. Wenn sich Clients von Kleinstandorten über ein Site-to-Site-VPN an einen entfernten DC anmelden sollen, muss man halt beachten, dass diese 1. den richtigen DNS-Server verwenden und 2. die Erkennung langsamer Verbindungen abgeschaltet ist. Aber diese Hinweise sind ja in den obigen Threads bereits gegeben und hoffentlich beachtet worden... Wie LukasB würde ich dennoch zunächst damit beginnen, durch Messungen zu Leerlaufzeiten (z.B. mit Netio) sowie durch entsprechendes Firewallmonitoring die Verbindungsqualität und -kapazität über die Tunnel hinweg zu ermitteln. Erst wenn man diese mögliche Ursache ausgeschlossen hat, würde ich mich der Fehlersuche auf höheren Layern zuwenden. Möglicherweise wäre es auch erhellend, auf der USG ein Trafficcapture zu ziehen und mit Wireshark auszuwerten. Da sieht man dann mal im Detail, wer mit wem was spricht... Gruß Steffen Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 11. Mai 2010 Melden Teilen Geschrieben 11. Mai 2010 SMB2 über VPN ist überhaupt kein Problem, wenn man anständige Internetzugänge hat. 5-10 Megabit Upstream reichen für zwei-drei User für akzeptable Geschwindigkeiten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.