Question : Authentification de domaine extrêmement lente

Je devrais commencer par dire nous ai un réseau très grand, où un côté de la compagnie a probablement apporté des modifications à l'ANNONCE sans ma connaissance qui cause ces issues.

We ont une succursale reliée à notre réseau par un emplacement pour situer VPN, sur 192.168.9.0 /24, à notre datacenter principal chez 192.168.200.0 /24 qui accueille notre C.C primaire et serveur primaire d'échange. Il y a quelques mois l'emplacement commencé pour éprouver des issues avec des perspectives ouvrantes une session et s'ouvrantes, où cela prendrait 1-5 minutes pour un utilisateur à l'ouverture, ou des perspectives à relier réellement aux utilisateurs de domaine d'exchange.

Our sont installés avec des comptes d'administrateur local sur leurs ordinateurs, et n'importe quel utilisateur qui a caché des qualifications peut ouvrir une session en plus moins de 2 minutes. Quand j'étais à l'emplacement, j'ai essayé d'ouvrir une session à un PC using mes qualifications d'admin de domaine, et cela a pris environ 6-7 minutes pour me noter réellement dedans pour la première fois. des perspectives du

With, la première fois que des perspectives sont ouvertes sur un PC qu'elles manqueront presque toujours de se relier et sauter vers le haut disant un raccordement ne pourrait pas être établi, où vous pouvez choisir de réessayer ou travailler en différé. C'est environ une chance de 50/50 que les perspectives se relieront la deuxième fois si nous essayons la tentative, le troisième essai presque toujours works.

This ne sont pas spécifiques aux ordinateurs à l'emplacement, en tant que mon ordinateur portable qui fonctionne parfaitement très bien à chaque autre endroit, ont les mêmes problèmes quand je suis sur leur pièce de network.

This de notre réseau sont configurées et la course par une compagnie extérieure, qui dit tout fonctionne 100% et ils ne peuvent pas trouver un problem.

I pour avoir essayé : le

Changing le filet inférieur de DHCP de 192.168.9.0 au
changing de 10.80.9.0 le DHCP pour indiquer tous les clients un ensemble différent de C.C à un datacenter différent, et les emplacements et les services d'ANNONCE pour indiquer des ces le dc's
uninstalling notre antivirus, point final de symantec, car lui a un wireshark du feature
Using de contrôle d'accès de réseau pour observer ce qui se produit quand des perspectives sont ouvertes, rien tenu dehors à moi mais moi ne suis pas un type de gestion de réseau. (peut signaler un wireshark si quelqu'un veut) le


a basé sur un article de kb de Microsoft que j'ai trouvé que j'ai vérifié et a confirmé que le fournisseur de réseau de web client est au fond de la liste, je n'ai pas essayé de la désactiver complètement. Est-ce que là aucun service fonctionnant sur le port 80 sur le dc's.

Anyone ont des suggestions n'est-il aux choses que je peux essayer ? I joli beaucoup ont le libre accès pour changer n'importe quoi pour que l'emplacement essaye et fixe ce problem.


edit : En outre, une fois qu'un utilisateur s'est avec succès relié au serveur d'échange, l'utilisateur peut s'ouvrir/perspectives étroites autant qu'ils pas et le problème ne se produira pas encore avant après un reboot. class= de

Réponse : Authentification de domaine extrêmement lente

En appliquant n'importe quel protocole de PPA il ajoutent au-dessus aux paquets. Les arrangements de MTU pour les fenêtres standard est de 1500 bytes. Si le raccordement d'emplacement-à-emplacement s'ajoute à ces paquets, ils peuvent être trop grands pour passer par votre pipe de VPN. Ceci s'appelle taille Exceded de Maximum Segment.

Il est comme l'essai de pousser une boule de golf par un tuyau de jardin.

Le MSS exceded, vous devez avoir l'ICMP pour renégocier la longueur de paquet et coupé ces paquets vers le haut en plus petits morceaux. Ceci s'appelle le PMTUD (découverte maximum d'unité de Transmision de paquet). Si l'ICMP pour la taille de segement est handicapé, vous finirez vers le haut avec un paquet qui n'atteindra pas sa destination. Ainsi, le TCP demandera ces paquets à plusieurs reprises et encore. Le problème étant est vous inondent le raccordement de VPN avec l'envoi réitéré des paquets, comme devant remettre à la côte les paquets.

En outre, penser à un raccordement de VPN en tant que s'ajouter au-dessus au paquet pour 1) conduire le paquet 2) chiffrant le paquet.

Un article que vous devriez regarder est celui-ci de Cisco :
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml

L'anser peut venir sous deux formes :
Permettre à l'ICMP de renégocier les paquets
et/ou permettre à vos adapteurs de perçage d'un tunnel de conduire de plus grandes longueurs de paquet

NOTER svp : Vous pouvez sérieusement arroser au jet vers le haut de la performance du réseau par le désordre avec ces derniers. Dans de grandes affaires aimer ceci avec 120 emplacements, il est intéressant d'engager un ingénieur de consultation de réseau sur ce projet.

Autres solutions  
  •  MS Excel 2007 et pdf - l'exportation vers le pdf prend de longues heures !
    •
  •  Dans le Perl, comment j'ajoute une valeur à la liste, puis le contrôle pour voir si la valeur existent avant d'ajouter une nouvelle valeur
    •
  •  Comment fais j'initialiser de la HP BL460c G6 de san et de la HP XP 240000
    •
  •  Comment fais j'employer une clef de permis de volume sur un ordinateur de HP avec du CD de restauration
    •
  •  Emplacement primaire de deux SCCM dans l'annuaire actif
    •
  •  L'initiateur et la HP D2D de l'iSCSI R2 du serveur 2008 de Windows GERCENT l'issue
    •
  •  Stocker le dossier dans le mysql using connector.net et le champ de goutte
    •
  •  Carte vidéo d'USB - bit 32 sur le matériel travaillant au niveau du bit 64 ?
    •
  •  asp.net que j'essaye de convertir une forme de HTML en forme d'aspx ou ? ce qui jamais. Aide du besoin sur la façon dont à à elle.
    •
  •  Winzip 12 issues de secours du travail ?
    •
     
    programming4us programming4us