Cuestión : Autentificación del dominio extremadamente lenta

Debo comenzar por decir nosotros tengo una red muy grande, donde un lado de la compañía ha realizado probablemente cambios al ANUNCIO sin mi conocimiento que está causando estos issues.

We tiene una sucursal conectada con nuestra red a través de un sitio para localizar VPN, en 192.168.9.0 /24, a nuestro datacenter principal en 192.168.200.0 /24 que reciba nuestra C.C. primaria y servidor primario del intercambio. Hace unos meses el sitio comenzado para experimentar ediciones con la perspectiva de apertura de sesión y de apertura, donde llevaría 1-5 minutos para un usuario la conexión, o la perspectiva a conectar realmente con los usuarios del dominio de exchange.

Our se fija con cuentas del administrador local en sus computadoras, y cualquier usuario que haya depositado las credenciales puede abrirse una sesión en menos de 2 minutos. Cuando estaba en el sitio, intenté abrir una sesión a una PC usar mis credenciales del admin del dominio, y tardó cerca de 6-7 minutos para abrirme una sesión realmente por primera vez. perspectiva del

With, la primera vez que la perspectiva se abre en una PC que casi nunca conectará y hacer estallar para arriba diciendo una conexión no podría ser establecido, donde usted puede elegir revisar o trabajar fuera de línea. Es alrededor de una ocasión de 50/50 que se configura la perspectiva conectará la segunda vez si intentamos la recomprobación, el tercer intento works.

This no es casi siempre específica a las computadoras en el sitio, como mi ordenador portátil que funcione perfectamente muy bien en cada otra localización, tiene los mismos problemas cuando yo está en su pieza de network.

This de nuestra red y el funcionamiento por una compañía exterior, que dice todo está trabajando 100% y no pueden encontrar un problem.

I para haber intentado: el

Changing el subnet del DHCP de 192.168.9.0 al
changing de 10.80.9.0 el DHCP para señalar a todos los clientes a un diverso sistema de las C.C. en un diverso datacenter, y los sitios y los servicios del ANUNCIO para señalar a esos el dc's
uninstalling nuestro antivirus, punto final del symantec, como él tiene un wireshark del feature
Using del control de acceso de la red para mirar qué sucede cuando se abre la perspectiva, nada destacada a mí solamente yo no son un individuo del establecimiento de una red. (puede fijar un wireshark si alguien quiere) el


basó en un artículo del kb de Microsoft que encontré que comprobé y confirmó que el abastecedor de red del web client está en la parte inferior de la lista, yo no he intentado inhabilitarla totalmente. ¿Allí no hay servicio que funciona en el puerto 80 en el dc's.

Anyone tiene sugerencias a las cosas que puedo intentar? I bonito mucho tiene acceso libre para cambiar cualquier cosa para que el sitio intente y fije este problem.


edit: También, una vez que un usuario ha conectado con éxito con el servidor del intercambio, el usuario puede abrirse/perspectiva cercana tanto como no y el problema no sucederá otra vez hasta después de un reboot. class= del

Respuesta : Autentificación del dominio extremadamente lenta

Al aplicar cualquier protocolo del PPP agrega por encima a los paquetes. Los ajustes del MTU para las ventanas estándar son 1500 octetos. Si la conexión del sitio-a-sitio agrega a esos paquetes, pueden ser demasiado grandes pasar a través de su pipa de VPN. Esto se llama tamaño Exceded de Maximum Segment.

Es como intentar empujar una pelota de golf a través de una manguera de jardín.

Con MSS exceded, usted debe tener ICMP para renegociar el tamaño de paquete y partido estos paquetes para arriba en pedazos más pequeños. Esto se llama PMTUD (descubrimiento máximo de la unidad de Transmision del paquete). Si el ICMP para el tamaño del segement es lisiado, usted terminará para arriba con un paquete que no alcance su destinación. Así pues, el TCP pedirá esos paquetes repetidas veces y otra vez. El problema que es es usted está inundando la conexión de VPN con el envío repetidor de paquetes, tan bien como teniendo que volver a clasificar según el tamaño los paquetes.

También, pensar en una conexión de VPN como adición por encima al paquete para 1) encaminar el paquete 2) que cifra el paquete.

Un artículo que usted debe mirar es éste de Cisco:
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml

El anser puede venir en dos formas:
Permitir que el ICMP renegocie los paquetes
y/o permitir que sus adaptadores el hacer un túnel encaminen tamaños de paquete más grandes

OBSERVAR por favor: Usted puede regar seriamente encima de funcionamiento de red ensuciando con éstos. En un negocio grande tener gusto de esto con 120 sitios, él es de mérito contratar a un ingeniero asesor de la red en este proyecto.