Frage : Gebietsauthentisierung extrem langsam

Ich sollte durch das Sagen anlaufen uns habe ein sehr großes Netz, in dem eine Seite der Firma vermutlich Änderungen an der ANZEIGE ohne mein Wissen vorgenommen hat, das diese issues.

We haben eine Zweigniederlassung verursacht, die an unser Netz durch einen Aufstellungsort angeschlossen wird, um VPN, auf 192.168.9.0 /24, zu unserem Hauptdatacenter bei 192.168.200.0 /24 zu stationieren, das unser Primär-DC und Primäraustauschbediener bewirtet. Vor einigen Monaten werden der Aufstellungsort, der begonnen werden, um Ausgaben mit anmeldender und öffnender Aussicht zu erfahren, in der es 1-5 Minuten für einen Benutzer zum LOGON dauern würde, oder die Aussicht, zum an exchange.

Our wirklich anzuschließen Gebietsbenutzer mit Konten des lokalen Verwalters auf ihren Computern gegründet, und jeder möglicher Benutzer, der Bescheinigungen cachiert hat, kann in weniger als 2 Minuten anmelden. Als ich am Aufstellungsort war, versuchte ich, zu einem PC using meine Gebiet admin-Bescheinigungen anzumelden, und es dauerte ungefähr 6-7 Minuten, um mich wirklich sich einzuloggen zum ersten Mal.

With Aussicht, das erste mal Aussicht auf einem PC geöffnet ist, den sie fast immer anschließen nicht kann und zu knallen einen könnte Anschluss, oben, sagend nicht hergestellt werden, wo Sie beschließen können, indirekt wieder zu versuchen oder zu arbeiten. Es ist eine ungefähr 50/50 Wahrscheinlichkeit, dass Aussicht das zweite mal anschließt, wenn wir Wiederholung versuchen, der dritte Versuch fast immer works.

This ist nicht spezifisch zu den Computern am Aufstellungsort, als mein Laptop, der tadellos an jeder anderen Position ist, hat die gleichen Probleme wenn ich sind auf ihrem network.

This Teil unseres Netzes wird zusammengebaut und Durchlauf durch eine externe Firma, die sagt, alles bearbeitet 100% und sie können ein problem.

I nicht finden versucht zu haben:

Changing das DHCP-Teilnetz von 192.168.9.0 zum 10.80.9.0
changing das DHCP zum Zeigen alle Klienten auf einen anderen Satz DCs auf ein anderes datacenter u. die ANZEIGEN-Aufstellungsorte und -dienstleistungen, um auf jene dc's
uninstalling zu zeigen unser Antivirus, symantec Endpunkt, da es ein Netzzugriffskontrolle feature
Using wireshark haben, zum aufzupassen, was geschieht, wenn Aussicht geöffnet ist, nichts, das heraus auf mich aber gestanden wird, ich sind nicht ein Netzwerkanschlusskerl. (kann ein wireshark bekannt geben, wenn jemand wünscht),

gründete auf einem Microsoftkbartikel, den ich dass ich überprüfte und bestätigte, dass der web clientNetzbetreiber an der Unterseite der Liste ist, ich habe nicht versucht sie, vollständig zu sperren fand. Dort ist kein Service, der auf Hafen 80 auf dem dc's.

Anyone läuft, haben irgendwelche Vorschläge zu den Sachen, die ich versuchen kann? Ich habe ziemlich genau den freien Zugang, zum alles zu ändern, damit der Aufstellungsort dieses problem.

edit versucht und regelt: Auch sobald ein Benutzer erfolgreich an den Austauschbediener angeschlossen hat, kann der Benutzer sich öffnen/nahe Aussicht, soviel wie, das sie nicht werden und das Problem geschieht wieder nicht bis nach ein reboot.

Antwort : Gebietsauthentisierung extrem langsam

Wenn es jedes mögliches PPP-Protokoll anwendet, hinzufügt es obenliegend den Paketen end. Die MTU-Einstellungen für Standardfenster ist 1500 Bytes. Wenn der Aufstellungsort-zuaufstellungsort Anschluss jenen Paketen hinzufügt, können sie zu groß sein, Ihr VPN Rohr durchzulaufen. Dieses benannt Größe Exceded Maximumsegment.

Es ist wie das Versuchen, einen Golfball durch einen Gartenschlauch zu schieben.

Wenn MSS exceded, müssen Sie ICMP haben, zum der Paketgröße neu auszuhandeln und aufgespaltet diesen Paketen oben in kleinere Klumpen. Dieses genannt PMTUD (Paket maximale Transmision Maßeinheits-Entdeckung). Wenn ICMP für segement Größe untauglich ist, beenden Sie oben mit einem Paket, das NICHT seinen Bestimmungsort erreicht. So bittet TCP um jene Pakete immer wieder und wieder. Das Problem, das ist, ist Sie überschwemmen den VPN Anschluss mit dem sich wiederholenden Senden der Pakete, sowie müssend die Pakete die Größe neu bestimmen.

Auch an einen VPN Anschluss als dem Paket für 1) die Verlegung des Pakets 2) obenliegend hinzufügen denken, welches das Paket verschlüsselt.

Ein Artikel, den Sie betrachten sollten, ist dieser von Cisco:
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml

Der Anser kann in zwei Formen kommen:
ICMP die Pakete neu aushandeln lassen
und/oder Ihre Tunnelbauadapter größere Paketgrößen verlegen lassen

Bitte MERKEN: Sie können herauf Netzleistung ernsthaft mit einem Schlauch bespritzen, indem Sie mit diesen verwirren. In einem großen Geschäft dieses mit 120 Aufstellungsorten, es mögen ist lohnend, einen beratennetzingenieur auf diesem Projekt einzustellen.

Weitere Lösungen

Wort-Presse, die Frage bewirtet

asp.net: Mein Problem ist, benutze ich einen ajax Ergänzung Kalender, um BeginDate u. EndDate Werte einzutragen

Silverlight 4 UI Ereignisse

wie kann ich irgendeine Bildentschließung online ändern und sie zum lokalen PC dann innen sparen??

ZFS Sicherungshilfe Ubuntu 10.0.4 LTS

Form-Frage für Kristallreports

Betreffend INOTES in Lotos 8.5

Mühen, die ZWISCHEN Logik erhalten zu arbeiten

Spannungs-Sensor ermittelte einen Ausfall auf Bediener DELL-PowerEdge 2650

broadcom NIC teaming