Gruppenrichtlinien über VPN

[JoKeR_JCD 10]

Hallo,

 

ich habe ein Problem in folgender Situation:

 

Ich habe 2 lokale Netzwerke (A: 192.192.20.0 & B: 192.168.21.0), die über ein VPN verbunden sind. Im Netzwerk A stehen 2 AD-Domaincontroller (Domäne XXX.local), der den Benutzern im Netzwerk A & B zur Verfügung steht. Dateifreigaben und Benutzeranmeldungen in der Domäne funktionieren in beiden Netzwerken ohne Probleme. Fehler gibt es allerdings bei Gruppenrichtlinien im Netzwerk B, der nur über das VPN Zugriff zum Domaincontroller hat. Die Gruppenrichtlinien werden nicht durchgeführt bzw. aktualisiert.

 

Folgende Fehlermeldung auf den Computern im Netzwerk B:

 

Quelle: Userenv

Ereigniskennung: 1054

 

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Jedoch habe ich Zugriff auf den Domänencontroller. Dateifreigaben auf den Domaincontrollern können ohne Probleme angesprochen werden. Fehler wurde schon im Domänennamen, der vorher lediglich aus einem Wort bestand, vermutet. Daher wurde die Domäne in XXXXX.local umbenannt, was jedoch keine Erfolge brachte. Die PC's im Netzwerk B registrieren sich anständig im DNS aus Netzwerk A.

 

Wo könnte das Problem liegen? Ich weiß echt nicht mehr weiter!

 

Schonmal Danke für die Hilfe!

[lefg 276]

Hallo,

 

die Rechner im Netz B sind Member der Domäne, sie melden sich an der Domäne an? Die Anmeldung geschieht schnell?

 

Wie ist das Ergebnis von RSOP an Rechnern in Netz B?

 

Wie ist es denn mit der übertragungsgeschwindigkeit zwischen den Netzen, ist es eine langsame Netzwerkverbindung? Sollte es so sein und dafür keine Einstellung vorhanden, funktioniert das nicht.

 

Ich habe die Einstellung dafür nicht parat. Kann dir die Hilfe, Google etc. empfehlen oder warten.

 

Viel Erfolg

 

Edgar

[=BT=Viper 11]

...

 

Wie ist es denn mit der übertragungsgeschwindigkeit zwischen den Netzen, ist es eine langsame Netzwerkverbindung? Sollte es so sein und dafür keine Einstellung vorhanden, funktioniert das nicht.

 

Ich habe die Einstellung dafür nicht parat. Kann dir die Hilfe, Google etc. empfehlen oder warten.

 

Viel Erfolg

 

Edgar

 

 

Wo es genau liegt weiß ich auch nimmer. Aber etwas kann ich helfen. In der Domänen/DomänenController GPO gibt es eine Einstellung für langsame Verbindungen wo du einen entsprechenden Wert setzen kannst. Auch wenn du eine 6MBit Leitung hast, ist das eine Langsame Verbindung 100Mbit sind schnell.

[Wurzerl 10]

Findest Du hier:

 

Gruppenrichtlinie

Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile ->

Langsame Netzwerkverbindungen nicht erkennen -> Aktivieren

Zeitlimit für langsame Verbindungen für Benutzerprofile -> KB/s auf Deine Netzwerkverbindung einstellen (Standardwert 500 KB/s)

[JoKeR_JCD 10]

Hier RSOP:

 

RSOP-Ergebnisse fr XXX\XXX auf XXXX : Protokollierungsmodus

-------------------------------------------------------------------

 

Betriebssystemtyp: Microsoft Windows XP Professional

Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe

Betriebssystemversion: 5.1.2600

Dom„nenname: XXXX

Dom„nentyp: Windows 2000

Standortname: Standardname-des-ersten-Standorts

Zwischengespeichertes Profil:

Lokales Profil: XXXXX

Langsame Verbindung? Ja

 

COMPUTEREINSTELLUNGEN

----------------------

CN=XXX,OU=Computer,OU=FSG,DC=XXX,DC=local

Zeit der letzten Gruppenrichtlinienanwendung: 21.04.2006 at 11:29:25

Gruppenrichtlinie wurde angewendet von: XXX.XXX.local

Gruppenrichtlinienschwellenwert fr langsame Verbindung: 500 kbps

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Default Configuration

Default Security

Default Domain Policy

 

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.

----------------------------------------------------------------------------------------

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

FSG

Filterung: Nicht angewendet (Leer)

 

Der Computer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Administratoren

Jeder

Debugger Users

Debuggerbenutzer

Benutzer

Dom„nencomputer

NETZWERK

Authentifizierte Benutzer

 

 

BENUTZEREINSTELLUNGEN

----------------------

CN=XXX,OU=User,OU=FSG,DC=XXX,DC=local

Zeit der letzten Gruppenrichtlinienanwendung: 21.04.2006 at 11:29:25

Gruppenrichtlinie wurde angewendet von: XXX.XXX.local

Gruppenrichtlinienschwellenwert fr langsame Verbindung: 500 kbps

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Default Configuration

FSG

Default Security

Default Domain Policy

 

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefiltert wurden.

----------------------------------------------------------------------------------------

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Dom„nen-Benutzer

Jeder

Benutzer

LOKAL

INTERAKTIV

Authentifizierte Benutzer

 

Netzwerk A hat eine 2,3MBit/s Sync- und Netzwerk B eine 1 1,5MBit/s ASync-Verbindung. Merkwürdigerweise gibt er an, dass er die Gruppenrichtlinien angewendet hat, jedoch ist die Einstellung, die ich zum Testen neu eingestellt habe, im Netzwerk B nicht übernommen worden. Im Netzwerk A mit demselben Benutzername ist die Einstellung jedoch übernommen worden.

 

Kann mir das einer erklären?!?

[Wurzerl 10]

Hier bei Deinem RSOP steht, daß die langsame Verbindung bei 500 kb/s wäre, also 500 Kilobit.

 

In der Erklärung der Gruppenrichtlinie, siehe obiges Posting, steht, daß die Standarderkennung für die langsame Verbindung bei 500 KB eingestellt ist, dies wären also 500 KiloByte oder 4000 Kilobit oder 3,9 Mbit/s.

 

Unter der Annahme, daß es 500 kbit/s wären, müsste der Server die Verbindung nicht als langsam erkennen, es sei denn, daß gleichzeitig noch andere Daten über die Leitung mars***ieren. Bei der Einstellung der Verbindungsgeschwindigkeit geht´s lustigerweise über Kilobit. Zusätzlich gibt´s noch den Wert der Reaktionszeit, dieser ist per default auf 120 ms eingestellt.

 

Setze am besten diese beiden Werte auf 0. Dann müssten die Richtlinien gezogen werden, auch wenns ewig dauert. Falls das nicht klappt setze die Reaktionszeit auf den Höchstwert (20.000).

[grizzly999 11]

Zusätzlich gibt´s noch den Wert der Reaktionszeit, dieser ist per default auf 120 ms eingestellt.

Verrätst du den Unwissenden wie mir, wo genau

 

Ich vermute, dass es an der Erkennung der lansamen verbindung liegt, und zwar weniger an der Bandbereite, sondern dass da irgend eine Router oder eine FW im VPN dazwischen ist, die übergroße ICMP-Pakete blockt (damit wird das nämlich getestet). Ein Sniffer würde Aufschluss geben.

 

Daher ist die einzige Lösung das vorher schon beschriebene Abschalten der Erkennung (Wert auf 0 setzen).

 

 

grizzly999

[IThome 10]

Hier steht mal, wie das funktioniert, was Grizzly geschrieben hat ...

http://support.microsoft.com/kb/227260/en-us

und wie man einen Block grosser ICMP-Pakete umgehen könnte ...

http://support.microsoft.com/kb/816045/en-us

[Wurzerl 10]

@grizzly

 

Verrätst du den Unwissenden wie mir, wo genau

 

Der zweite Punkt unter "Zeitlimit für langsame Verbindungen für Benutzerprofile"

[grizzly999 11]

@Wurzerl: Ja, jetzt gehöre ich auch zu den Wissenden :cool: habe noch gar nie auf diese Einstellung geachtet.

 

@IThome: Den Hotfix hätte ich 4 Monate vor dem Erscheinungstermin gebraucht :wink2:

 

 

grizzly999

[Wurzerl 10]

@grizzly :thumb1:

Ja, jetzt gehöre ich auch zu den Wissenden