VPN + AD/Exchange

marsbewohner · Beitrag von **marsbewohner** » 30 Jul 2007, 10:55

Guten Morgen,
ich habe ein Problem mit VPN Verbindungen und einer AD Anmeldung.

Verschiedene Standorte sind über VPN mit einem Masterstandort verbunden.
Beim Master-Standort steht ein DomainController, an welchem sich die jeweiligen
Außenstellen-PCs anmelden und identifizieren (Benutzerkonten + Outlook).

Das Problem ist nun, das nach der Anmeldung für ein paar Minuten alles ok ist,
die Konten werden synchronisiert etc, aber danach wird das arbeiten sehr zäh.
Outlook moniert alle paar Minuten das es die Verbindung zum Server verloren hätte,
und ein reconnect dauert dann wieder ein paar Minuten, welche Outlook natürlich
total blockieren.

Das seltsame aber ist, die VPN Verbindung wird kontinuierlich aufrecht gehalten,
und es werden auch keine Verbindungsabbrüche gemeldet.

Habt ihr eventuell vielleicht eine Idee, ich bin im Moment ein bisschen ratlos.

Zu den Verbindungen selber, der Masterstandort hat fürs VPN einen SDSL Anschluss,
und die jeweiligenAußenstellen DSL6000/16000 mit jeweils einem 1000er Upload.

Danke und Gruß
marsbewohner

backslash · Beitrag von **backslash** » 30 Jul 2007, 12:33

Hi marsbewohner

hast du in der Firewall die "Sitzungswiederherstellung" aktiviert? Die Firewall schmeißt nach 5 Minuten ohne Traffic (Zeit unter IP-Router -> Maskierung -> TCP-Aging einstellbar) die Sessions weg. Ohne "Sitzungswiederherstellung" werden spätere Pakete für solche Sessions zurückgewiesen

Gruß
Backslash

marsbewohner · Beitrag von **marsbewohner** » 30 Jul 2007, 18:15

Hi Backslash,
danke für die Tipps, ich habe die Aging Time jetzt mal auf 1,5h erhöht, und gleichzeitig auch
die Sitzungswiederherstellung global geschaltet, mal sehen was ich morgen an Feedback bekomme.

Gruß
marsbewohner

marsbewohner · Beitrag von **marsbewohner** » 03 Aug 2007, 14:59

Hi,
also so ganz zufriedenstellend ist es noch nicht.
Grundsätzlich klappt es bestens, egal ob RDP auf Terminal oder SMB,
alles läuft, nur mit dem Exchange will es noch nicht ganz, wobei ich jetzt
gerade auch noch mit wem von MS da dran bin, mal sehen was die sagen.

Gruß,

marsbewohner · Beitrag von **marsbewohner** » 06 Sep 2007, 21:47

Hallo,

also ich verzweifle noch an dem Problem.

MS kann nichts finden, von Seiten der ADS stimmt alles.

IM LC:
ARP-Aging und TCP-Haltezeit stehen auf 15 Min.
TCP Aging 8k Sekunden
UDP Aging 20 Sekunden
ICMP Aging 10 Sekunden
IPSec Aging 2k Sekunden
Fragment Aging 5 Sekunden

Settings jeweils beim Master LC als auch dem Client LC;
Session Wiederherstellung beidseitig aktiviert.

Nochmal zum Setting selber:

8011 VPN
------------
IP Netz 192.168.0.0
NetMask 255.255.255.0

DC mit Exchange/DNS etc. auf der 192.168.0.50, Name "DomainController"
Domain "TESTER"

1611+
------------
IP Netz 192.168.2.0
NetMask 255.255.255.0

Dahinter Clients per DHCP.

Zusätzlich folgende Einstellungen:
Stationsnamen:
"DomainController.TESTER.local" --> 192.168.0.50
"DomainController" --> 192.168.0.50

Weiterleitungen:
"TESTER" -> 8011VPN

Zwischen beiden steht ein fester VPN Tunnel, der auch funktioniert

DNS habe ich verschiedenen Sachen ausprobiert.

Ich habe einmal alle Pcs auch von den externen Subnets fest per DHCP im DNS immer auf den 192.168.0.50 fixiert.
Macht zwar IMHO die Auflösung stabiler, hat aber den Nachteil, das auch alles HTTP Webzeug darüber abgefragt wird,
und die Leute sich dann über langsames I-net beschweren.

Dann wiederum habe ich in jedem Außenposten einen lokalen DNS auf dem Lancom laufen lassen,
mit den jeweiligen Fowarding Regeln von oben -> auch keine Besserung, eher noch langsamer alles.

Wie gesagt, der Tunnel selber steht immer 24h ohne Verlust bis zum Provider-Reset, es ist alleine das Problem,
das die ganzen externen Subnets alle Probleme damit haben, nach einer gewissen, sporadischen Zeit immer eine
DNS Auflösung zum DomainController zu machen bzw. diese einfach fehlschlagen. "Normale" Testpings dann auch.

Grüße,

ogroni · Beitrag von **ogroni** » 06 Sep 2007, 22:54

Hallo marsbewohner,

seh Dir doch mal per Trace die Firewall an der Außenstelle an.
Per Telnet auf den Router und dann >trace + firewall<.
Ich vermute mal, das dort einige "unangemeldete" Datenpakete vom Exchanger des Master-Standortes zurück gewiesen werden.

Viele Grüße

Olaf

bigtbigt · Beitrag von **bigtbigt** » 07 Sep 2007, 08:38

Verstehe ich das jetzt richtig. du lässt outlook übers internet durch den tunnel mit dem exchange kommunizieren, oder läuft alles über dem Terminal.

wenn ja du solltest das Netz doch lieber so eeinstellen, das alles über dem Terminal läuft. Du kannst ja das Outlook dort auch installieren. Überleg mal wieviel datensonst durchs netz geschaufelt werden. exchange - outlook macht ja teilweise schon probleme (i.s. geschwindigkeit) in 100 MBit Netzwerken, wenn die Postfächer sehr gross sind. und das dann mal anzahl der leute.

wenn ich das dann richtig verstanden habe, kannst du einstellungen suchen wie du willst, das wird dann nicht merkbar besser.

mich wundert das noch genug performence für den rest überbleibt.

marsbewohner · Beitrag von **marsbewohner** » 07 Sep 2007, 12:48

Hallo,

der Tunnel ist eigentlich nur dazu da, das die User dort mit einer lokalen
Anmeldung ihre Domain Konten laden zu können, um dann die Kalender im Outlook zu nutzen,
Mailtraffic selber ist vllt 2 Stück am Tag pro User.

Für mehr werden die Tunnel nicht verwendet, höchstens mal eventuell ein bisschen Remote-Admin.

Der Firewall trace war komplett leer, allerdings war heute jetzt auch nicht so viel los,
ich werde morgen zu Testzwecken mal einen ganzen Standort hochschalten lassen,
und dann in Ruhe logs generieren.

Danke & Gruß,

marsbewohner · Beitrag von **marsbewohner** » 08 Sep 2007, 14:43

Also, das einzige was ich über die FW auslesen konnte ist eine
netbios Anfrage, welche auch erfolgreich weitergeleitet wird:

Am Master Standort 8011:

Code: Alles auswählen

[Firewall] 2007/09/08 14:29:35,740
Packet matched rule WINS
DstIP: 192.168.0.50, SrcIP: 192.168.2.16, Len: 286, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 138, SrcPort: 138

test next filter (no matching condition)

[Firewall] 2007/09/08 14:29:35,740
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 192.168.0.50, SrcIP: 192.168.2.16, Len: 286, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 138, SrcPort: 138

packet accepted

und an der Außenstelle das gleiche:

Code: Alles auswählen

[Firewall] 2007/09/08 14:29:35,740
Packet matched rule WINS
DstIP: 192.168.0.50, SrcIP: 192.168.2.16, Len: 286, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 138, SrcPort: 138

test next filter (no matching condition)

[Firewall] 2007/09/08 14:29:35,740
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 192.168.0.50, SrcIP: 192.168.2.16, Len: 286, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 138, SrcPort: 138

packet accepted

Dieses verhalten wird genau alle 2 Minuten durchgeführt.

Ansonsten werde ich die nächste Woche über mal alles komplett aufzeichnen was von
den Außenstationen kommt, und dann diese Liste nochmal analysieren...

Gruß und ein schönes Wochenende,
marsbewohner