» »

Izklop detekcije počasne povezave v domeni...

Izklop detekcije počasne povezave v domeni...

erik ::

Pozdrav vsem...

imam problem, ki se z njim ubadam že nekaj časa.
V domeni imam nekaj delovnih postaj (XP Pro sp2), ki so
na SBS2003 povezane prek WAN vpn. Problem je da se GPO ne uveljavi,
ker zazna počasno povezavo, kljub temu, da je link hiter (4Mb).
Rešitev je, kolikor sem testiral da na delovnih postajah izklopim "SlowLinkDetection",
ki ima po defaultu prag zaznave 500kbps.

Sem pa v enem začaranem krogu, ker tega prek GPO ne morem izklopiti, ker se
GPO ne procesira. Izklopim lahko "na roke" v registru, vendar v HKEY_CURRENT_USER in HKEY_LOCAL_MACHINE. To pa zato ker se GPO uveljavi za uporabnikova nastavitve in računalnikove nastavitve. Problem je bolj pri uporabnikih, ker ima vsak svoj profil.

Ključ sem hotel dodati prek prijavne skripte, vendar ne dovoli vpisa, ker so uporabniki navadni userji. Imam pa precej uporabnikov.

Ima kdo še kakšno idejo...

Lp,
Erik
  • spremenil: erik ()

BlueRunner ::

Izklopiš prek GPO za ustrezno politiko, potem pa na prizadetih delovnih postajah poženeš "gpupdate /force" in jih nato ponovno zaženeš.

Sicer pa je to nastavitev, ki jo ne rabiš pacati v registru, temveč jo lahko nastaviš tudi v lokalni politiki na računalniku, če že moraš.

runas /user:Administrator "mmc %windir%\system32\gpedit.msc"

erik ::

Ravno v temu je problem, ker se GPO iz strežnika ne uveljavi, tako da z GPO ne morem nič.
Če pa spremenim lokalni pravilnik, veljajo nastavitve za uporabniški del samo za trenutnega prijavljenega uporabnika ali "runas" uporabnika.

BlueRunner ::

Poglej dokumentacijo o GPO in počasnih povezavah, potem boš pa razumel zakaj vidiš težavo tam, kjer je (preverjeno tudi v praksi) ni.

GPO namreč ni monoliten blok nastavitev, temveč je razdeljen da več kosov. Nastavitve za register iz "Administrative Templates" se tako vedno prenesejo in vedno izvedejo, ne glede na hitrost povezave. Del teh nastavitev pa je tudi nastavitev zaznavanja počasnih povezav za GPO.

Bo zgleda potrebno počasi pogledati tudi v kakšno MS-jevo knjigo o administraciji AD-ja... Vsega se pač na GUI tudi ne da zapisati.

erik ::

Sem tudi o tem že bral, vem da se nekaj lahko izvede ne glede zaradi počasne povezave.
GPO ne deluje po principu vse ali nič.

Kreiral sem GPO v katerem sem nastavil detekcijo na 0, se pravi izkopil.
Ta GPO sem dal v vrh domene na prvo mesto, kjer so GPO-ji.
Upal sem da se bo ta procesiral vendar se ni.

Ta problem rešuje že več mesecev nekaj kolegov, vendar nam ne uspe.
Sicer ne vem tudi zakaj se sproži zaznava počasne povezave, ker so linki res hitri.

BlueRunner ::

Če si prepričan, da je povezava dovolj hitra, preveri, da niso blokirani ICMP paketi med odjemalci in DC-ji v site, ki mu odjemalci pripadajo. Upoštevaj tudi, da to pomeni, da ni pomembna samo propustnost v eno smer, temveč v obe smeri.

Če se ustrezen del GPO ne prenese na odjemalce, bo težava verjetno nekje v povezljivosti, ne pa v hitrosti samih povezav. Če so povezave dovolj hitre, kljub temu pa imaš težave z zaznavo počasnih povezav, pa je to morda samo simptom težav s splošno povezljivostjo.

Ali ste že preverili dejansko povezljivost odjemalcev in DC-jev pri vseh potrebnih protokolih?

Zgodovina sprememb…

jozevolf ::

Tole sem pred nekaj casa odgovoril nekomu na Slowug forumu (http://slowug.si/forums/t/1671.aspx):

Generalno je problem v fragmentaciji IP paketov. Problematiko lahko resujes na vec nacinov. Najbolj enostavno je, ce ti oprema to omogoca, da na VPN usmerjevalnikih omogocis prehod fragmentiranih IP paketov, ki so enkapsulirani v ESP paketih.

Druga opcija je, da na delovnih postajah na strani, kjer nimas domenskega krmilnika, zmanjsas MTU do te mere, da bodo zadeve lepo delovale. S 1300 bo verjetno vse lepo delovalo, lahko pa zadevo zoptimiziras do nule, ce imas cas (in prav je tako).

Tretja opcija, in najbolj zoprna, je, da na problematicnih delovnih postajah v registru nastavis parametre PingBufferSize, GroupPolicyMinTransferRate in pa MaxPacketSize. Predvsem se bos zajebaval z GroupPolicyMinTransferRate, ker mora biti to vpisano v HKCU. Kje vse je to, lepo poguglaj.

Ce imas opremo Cisco, ti verjetno kak Cisco strokovnjak lahko da kak boljsi nasvet.


Vsekakor najprej poskusi spremeniti parameter PingBufferSize na 500 decimalno. Po defaultu je 2048 in tako velikega ICMP paketa marsikater usmerjevalnik po defaultu ne spusti skozi. Mogoce bo to dovolj.

Lp,

Joze Volf
iLab d.o.o.

erik ::

Mislim da nobena od teh opcij ne pride v poštev:

- VPN usmerjevalniki: sem probal zmanjšat MTU na 1300,pa nič
- tisti vnosi v regitsr sem že probal, sam ne prideš nikamor, ker imam 60 delovnih postaj z 100 uporabniki ker se lahko prijavijo kjerkoli (vnos v HKCU!!)

BluRunner kaj si točno mislil z:

Ali ste že preverili dejansko povezljivost odjemalcev in DC-jev pri vseh potrebnih protokolih?

Zgodovina sprememb…

  • spremenil: erik ()

jozevolf ::

MTU na usmerjevalniku si zmanjsal kje? Na zunanjem vmesniku? To meni ni nikolu pomagalo. Na Cisco VPN usmerjevalnikih baje fantje zmanjsajo MTU na notranjem vmesniku. To meni na Wolverinu (stara linux VPN router distribucija) ni delovalo oz. je bilo se vec problemov. Na Monowallu lahko enostavno omogocim prehod fragmentiranih paketov in stvari delajo, na pfSensu nikakor ni slo. Povsod, kjer ni slo na nivoju usmerjevalnika, sem na delovnih postajah preprosto zmanjsal MTU do te mere, da gre. Generalnega pravila, ce imas razlicno opremo in razlicne tipe povezav, ni.

Za poskus vzemi eno delovno postajo na strani vpn tunela, kjer nimas domenskega krmilnika in njej poskusi zmanjsat MTU. To naredis v registru na lokaciji HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{21FF79DD-CAC2-40CF-86D7-FE0724C24EC0}. {21FF79DD-CAC2-40CF-86D7-FE0724C24EC0} je identifikator vmesnika in je prakticno na vsaki delovni postaji razlicen, pa se vec jih je. Pravega ni tezko identificirati, ker ima vpisan IPAddress in DefaultGateway. Tu dodas DWORD value z decimalno vrednostjo 1300 oz. ravno toliko, da gredo zadeve skozi.

Pomagas si lahko tudi s programckom DRTCP, mogoce pa na netu najdes se kasen drug nacin. Z netsh ukazom, mislim da, na XPjih ne mores nastavit MTU.

BlueRunner ::

Erik, daj nam pokaži kakšne zapise iz Event Log, da bomo videli kaj točno ti javlja.

erik ::

jozevolf: moji usmerjevalniki niso ravno ne vem kako zmogljivi - Linksys BEFVP41, tako da nima toliko nastavitev.

BlueRunner: v logih na delovnih postajah pride do napake ko hoče uveljavit GPO pravilnike

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 17.12.2008
Time: 18:41:03
User: NT AUTHORITY\SYSTEM
Computer: dp03
Description:
Windows cannot obtain the domain controller name for your computer network. (Prišlo je do nepričakovane omrežne napake. ). Group Policy processing aborted.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.a...


Pred časom mi je delalo vse, potem pa so se pojavile težave, ravno takrat ko smo zamenjali komunikacijski strežnik iz BSD na Ubuntu. Na BSD-ju so se VPN-ji podirali. Zdaj pa ta GPO neke probleme dela. Sicer kolega, ki je postavljal Ubuntu trdi, da ni nič takega narobe kar bi vplivalo na to.

Zgodovina sprememb…

  • spremenil: erik ()

BlueRunner ::

Komunikacijski strežnik verjetno misliš na požarni zid oziroma VPN. Kater VPN produk uporabljate? Ker kaže, da je težava (če imate res 4Mbit/s v obe smeri WAN-a) v ICMP paketkih, ki se (ne) fragmentirajo (kot je napisal jozevolf). Če praviš, da je delalo, dokler niste zamenjali tega kom. strežnika, pa še bolj kaže na neko nezaželjeno filtriranje prometa.

Za foro poskusi iz ene postaje "ping dc.tvoja.domena" potem pa še "ping -l 2000 dc.tvoja.domena". Če bo prvi delal, drugi pa ne, imaš zagotovo težave z dometavanjem fragmentiranih IP paketov. Če pa bosta delovala oba, pa bo potrebno poskusiti še kakšen drug test.

Sporoči kakšen bo rezultat.

erik ::

Za VPN se uporablja OpenSwan.
Za pinganje še povem kako bo...

Zgodovina sprememb…

  • spremenil: erik ()

erik ::

Hja...
po zadnjem testiranju je bilo ugotovljeno da paketi pridejo po VPN do DC, DC odgovori vendar odgovor ne gre nazaj ven po VPN.

Sledi upgrade OpenSwan, pa bomo videli...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Windows small buissnes server 2003

Oddelek: Operacijski sistemi
181017 (779) darkobas
»

Windows XP - porabniski profili

Oddelek: Operacijski sistemi
5887 (798) Auslander
»

Windows 2003 - kako konfigurirati GPO za OU

Oddelek: Operacijski sistemi
12983 (853) pirx
»

SUS; kako nastavit, da na clinet PCju Windows Update kaze na lokalni SUS server?

Oddelek: Operacijski sistemi
131168 (962) Microsoft
»

Group Policy; kako nastavit GPO za OU?

Oddelek: Operacijski sistemi
381664 (1336) Microsoft

Več podobnih tem