2k - VPN Citrix / RDP Verbindung nicht lauffähig

[Heiner 10]

Hallo, mein kleines aber mal wieder untypisches Problem:

 

Ein VPN Tunnel zwischen 2 Standorten lässt keine Verbindung via RDP oder ICA zu.

 

Zugriff auf SMB Freigaben und Drucker funktioniert einwandfrei! Dementsprechend natürlich auch ping u. nslookup usw.

Das heißt - der Tunnel "steht".

 

"telnet ica-servername 1494" gibt mir auch das erwartete "ICA ICA" zurück.

RDP Verbindungen verhalten sich auch sehr interessant:

 

Das eigentliche Sitzungsfenster öffnet sich zwar, aber es bleibt ein schwarzes Fenster - es erscheint keine Anmeldemaske.

 

Die einzelnen Statusmeldungen des ICA Clients zeigen ebenfalls an, dass eine Verbindung aufgebaut wird (es wird als letztes "Anmeldeinformationen werden geprüft..." angezeigt) und dann erscheint nach einer Minute ca. ein "Protokollfehler".

 

Wie gesagt - eigentlich kann es nicht an geblockten Ports oder so liegen, da zum einen alles "offen" ist und zum anderen eben auch der Zugriff so "mehr oder weniger" funktioniert.

 

Wer weiß Rat?

 

Vielen Dank !

[klausk 10]

Tippe auf ein Problem mit der Temrinalserver-Lizenzierung - der Client wird keine gültige TS-Lizenz haben/bekommen ...

[Wolke2k4 11]

Stimme Klaus zu. Was sagt das Eventlog auf dem TS und dem Lizenzierungsserver bezüglich der Terminal Server Lizenzierung?

[kingof 10]

Hallo,

 

ich habe genau das gleiche Problem. Und zwar ist der Server ein 2003 SBS. Auf diesem ist Routing&RAS installiert und konfiguriert. Ich kann mich dann auch wunderbar einwählen und anpingen. Auch DNS funktioniert. Wenn ich dann aber eine RDP-Verbindung aufbaue, habe ich den gleichen Effekt wie Heiner.

Das insteressante ist aber, wenn ich auf den Server direkt eine RDP-Verbindung mache auf seine externe IP ohne VPN, dann funktioniert es einwandfrei. Es muss also etwas mit dem VPN zu tun haben.

[Heiner 10]

Und hier kommt die Lösung ;)

 

Manchmal bringt lange grübeln einen doch weiter.

 

Die ICA und auch die RDP Protokolle scheinen sehr anfällig für Packet Fragmentations zu sein.

 

Ich habe die MTU in meinem VPN Gateway reduziert auf 1380 :suspect: und schon geht es. Wenn ich die Maschine hinter dem Tunnel mit "ping -l 1500 "IPADRESSE"" anpinge, zeigte er mir an das alle Pakete fragmentiert seien. Danach ging es ohne Probleme...

 

Problem solved !

[kingof 10]

Hallo Heiner,

 

wo setze ich den Wert denn? In meinem Fall wählt sich ein SBS 2003 Server direkt ins Internet ein.

[kingof 10]

Noch was: Ich habe gerade auch mal den Ping-Befehl abgesetzt. Also mit 1500 läuft der Ping ganz normal durch. Selbst 2000 funktioniert noch. Das ohne MTU geändert zu haben. Kann es vielleicht doch noch an etwas anderem liegen?

[kingof 10]

Ich muss mich korrigieren. Du hattest vergessen zu erwähnen, dass der ping nach dem -l 1500 noch mit einem -f gestartet werden muss. Ich habe den MTU-Wert entsprechend in der Registry geändert, kanne s aber erst nach einem Neustart testen. Und den kann ich leider erst am Montag machen, aber das wird wohl die Lösung gewesen sein.

[Aktaion 10]

100% MTU .) lass mich raten ICMP ist an den Tunnelendpunkten geblockt oder? Dann können die Gesprächspartner keine MTU aushandeln, da dieser Prozess (PMTU) via ICMP Nachrichten geschiet.

Da gibts nen interessanten Arttikel vom Cable Guy zu Blackhole Routern und deren Erkennung und Vermeidung von Fragmentierung.

 

http://www.microsoft.com/technet/community/columns/cableguy/cg0704.mspx

 

Is bestimmt für alle, die mit IPSec und Fragmentation Probleme haben, sehr hilfreich.