Questione : Autenticazione di dominio estremamente lenta

Dovrei cominciare dire dai noi ho una rete molto grande, in cui un lato dell'azienda probabilmente ha fatto i cambiamenti all'ANNUNCIO senza mia conoscenza che sta causando questi issues.

We ha una succursale collegata alla nostra rete attraverso un luogo per collocare VPN, su 192.168.9.0 /24, al nostro datacenter principale a 192.168.200.0 /24 che ospita la nostri CC primaria ed assistente primario di scambio. Alcuni mesi fa il luogo iniziato per avvertire le edizioni con la prospettiva di collegamento e d'apertura, dove richiederebbe 1-5 minuti per un utente all'inizio attività, o la prospettiva realmente da collegarsi agli utenti di dominio di exchange.

Our è installata con i clienti del coordinatore locale sui loro calcolatori e tutto l'utente che ha nascosto le credenziali può entrare in meno di 2 minuti. Quando ero al luogo, ho provato ad entrare ad un PC using le mie credenziali di admin di dominio ed ha richiesto circa 6-7 minuti realmente per collegarlo per la prima volta. prospettiva del

With, la prima volta la prospettiva è aperta su un PC che non riuscirà quasi sempre a collegarsi e schioccare in su dicendo un collegamento non potrebbe essere stabilito, dove potete scegliere di processare nuovamente o lavorare fuori linea. È circa una probabilità di 50/50 che la prospettiva si collegherà la seconda volta se proviamo l'altra prova, la terza prova quasi sempre works.

This non è specifica ai calcolatori al luogo, come mio computer portatile che funziona perfettamente benissimo ad ogni altra posizione, ha gli stessi problemi quando io sono sulla loro parte di network.

This della nostra rete è configurata ed il funzionamento da un'azienda esterna, che dice tutto sta funzionando 100% e non possono trovare un problem.

I per provare: il

Changing la sottorete di DHCP da 192.168.9.0 al
changing di 10.80.9.0 il DHCP per indicare tutti i clienti un insieme differente delle CC ad un datacenter differente, & i luoghi ed i servizi dell'ANNUNCIO per indicare i quei il dc's
uninstalling il nostro antivirus, punto finale dello symantec, poichè esso ha un wireshark del feature
Using di controllo di accesso della rete per guardare che cosa accade quando la prospettiva è aperta, niente di levato in piedi fuori a me ma io non sono un tipo della rete. (può inviare un wireshark se qualcuno vuole) il


ha basato su un articolo di kb del microsoft ho trovato che ho controllato ed ho confermato che il fornitore di rete di web client è alla parte inferiore della lista, io non ho provato a renderlo invalida completamente. Là non c'è nessun servizio che funziona sull'orificio 80 sul dc's.

Anyone ha di suggerimenti alle cose che posso provare? Praticamente ho libero accesso per cambiare qualche cosa affinchè il luogo provi e riparare questo problem.


edit: Inoltre, una volta che un utente si è collegato con successo all'assistente di scambio, l'utente può aprirsi/prospettiva vicina tanto come non ed il problema non accadrà ancora fino a dopo un reboot. class= del

Risposta : Autenticazione di dominio estremamente lenta

Nell'applicare tutto il protocollo di PPA aggiunge lassù ai pacchetti. Le regolazioni del MTU per le finestre standard è di 1500 byte. Se il collegamento del luogo--luogo aggiunge a quei pacchetti, possono essere troppo grandi per passare tramite il vostro tubo di VPN. Ciò è denominata formato Exceded del Maximum Segment.

È come la prova di spingere una sfera di golf tramite un tubo flessibile di giardino.

Con MSS exceded, dovete avere ICMP per negoziare di nuovo il formato di pacchetto e tagliato questi pacchetti in su in più piccoli bei pezzi. Ciò è denominata PMTUD (scoperta massima dell'unità di Transmision del pacchetto). Se il ICMP per il formato di segement è disabile, vi concluderete in su con un pacchetto che non raggiungerà la relativa destinazione. Così, il TCP chiederà diverse volte ed ancora quei pacchetti. Il problema che è è voi sta sommergendo il collegamento di VPN con l'invio ripetuto dei pacchetti, come pure dovendo ridimensionare i pacchetti.

Inoltre, pensare ad un collegamento di VPN come aggiunta lassù al pacchetto per 1) la guida del pacchetto 2) che cifra il pacchetto.

Un articolo che dovreste esaminare è questo da Cisco:
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml

Il anser può venire in due forme:
Permettere che il ICMP negozii di nuovo i pacchetti
e/o permettere che i vostri adattatori di traforo dirigano i più grandi formati di pacchetto

NOTARE prego: Potete hose seriamente sulla prestazione di rete scompigliando con questi. In un grande commercio gradire questo con 120 luoghi, esso è interessante da impiegare un assistente tecnico consultantesi della rete su questo progetto.