none
Synchronisierung über VPN abschalten RRS feed

  • Frage

  • Hallo Zusammen,

    ich wünsche euch zunächst ein gesundes und erfolgreiches neues Jahr und hoffe, Ihr hattet einen phantastischen Start in das Jahr 2013!

    Hat einer eine Idee wie man die Synchronisierung von MS und andere Programme über eine VPN Verbindung verhindern kann.

    Szenario:

    Ein SBS 2003 und diverse NB mit WIN 7 Pro 64Bit und schnellen SSD´s

    Der User ist ständig in ganz Europa (teilweise auch weiter) unterwegs und hat keinen festen Tag wo er im Büro ist. Er arbeitet viel während er fliegt und hat darum auch ca. 90GB Offline Daten. Die Mails werden schon bei langsamer Verbindung nur mit Kopfzeilen heruntergeladen und die Anhänge gezielt wenn nötig. Auch hier kommen ca. 1GB Daten im Monat zusammen.  

    Wenn der User unterwegs seine Mails abrufen will, dann baut er eine Verbindung via UMTS und (SBS) VPN auf. Seit Mai 2012 hat er das neue NB mit WIN 7 was bis dahin auch immer sauber funktionierte.

     

    Ab Sep 2012 werden massiv viele Daten via UMTS + VPN ausgetauscht. Zusätzlich hat T-Mobile auch an den Day Pässen was geändert. (Der Kunde wurde dazu nicht informiert, warum auch!) Dies ist uns nur aufgefallen, weil der User zu diesem Zeitpunkt in Russland war und die Abrechnung von der Telekom uns ernüchtert hat. 7000,-€ Datenroaming ….

    Ab diesem Zeitpunkt, wurde auch sein Limit für die UMTS Deutschland Flat (5GB) nach 14 Tagen komplett verbraucht.

    Ursache war Acronis True Image Home 2012 und die Windows Synchronisierung.

    Acronis hat dafür keine eigene Lösung. Der Vorschlag, die Programteile über die Firewall zu blockieren, funktioniert so nicht. Dort wird als Schnittstelle keine VPN angezeigt.   

    Mein Workaround ist das Abschalten der Dienste von Acronis via Script, bevor der User die UMTS Verbindung aufbaut.  Nach dem Neustart vom NB sind alle Dienste wieder da.

    Nun wollte ich die Synchronisierung für alle Drahtlosen Netzwerke in der Firewall blockieren.

    Ich habe die „%SystemRoot%\System32\mobsync.exe“ und die „%SystemRoot%\SysWOW64\mobsync.exe“ in „Ausgehende Regeln“  für alle Schnittstellen blockiert (Verbindungen blockieren).

    Trotzdem werden die Daten Synchronisiert.

    Ich muss hier zu erklären, dass mein Test mit meinem NB auf meinen SBS 2011 in der Firma durchgeführt wurde. Ich sitze im Home Office, das NB am Router ( via DSL) und auf dem NB ist die SBS VPN aktiviert. Der Server steht an einem anderen Standort.

    Was mache ich falsch?

    Gibt es vielleicht eine andere Lösung?

    Es sollte nur an 4 NB eingestellt werden. Alle anderen sitzen in Deutschland am DSL und da ist es OK.

    Gruß

    Mathias

    Donnerstag, 3. Januar 2013 15:28

Antworten

  • Hallo Tobias, Hallo Volker,

    durch verschiedene Test in verschieden Ländern und Internet Verbindung, ist die sicherste Art die Dienst anzuhalten.  

    Mit der Idee diese über die GPO zu lösen, brachte leider bei dieser Szenario mehr Probleme als Lösungen.

    Wenn ich z.B. den Wert „Übertragungsrate für langsame Verbindung konfigurieren“ anpasse, läuft das Synchronisieren über eine langsame DSL Leitung nicht mehr, aber über eine schnelle LTE Verbindung. Da beißt es sich, da über die DSL Falt soll es gehen  aber nicht über die teure LTE Verbindung.

    Ich habe verschiede Script geschrieben, der bei Aufbau einer VPN Verbindung  entsprechend die Dienste beendet oder nicht.

    Die User kommen damit sehr gut zurecht.

    Gruß

    Mathias

    Sonntag, 27. Januar 2013 11:02

Alle Antworten

  • Wofür brauchst Du Acronis auf den NB?

    1 GB Mail-Daten im Monat finde ich verdammt viel. Wäre es nicht evtl. besser diese Daten auf dem Server zu lassen und hier die Sharepointservices richtig zu nutzen?

    Setzt Acronis auf mobsync auf? Wenn Du Acronis blockieren willst, dann mußt Du das auch Inder FW angeben. mobsync gehört doch zum Windowsstandard. Was ich jetzt aber nicht weiß, ob die Reihenfolge der Regeln bei der Windowsfirewall eine Rolle spielt, aber ich denke schon. Heißt im Klartext wenn zuvor der Zugriff erlaubt, dann kannst Du hinten verbieten was Du willst - es ist schon durch.

    Volker


    Und Abends ein Glas Wein von AMAVINO

    Freitag, 4. Januar 2013 10:59
  • Hallo Volker,

    1 GB Mail-Daten im Monat finde ich verdammt viel. Wäre es nicht evtl. besser diese Daten auf dem Server zu lassen und hier die Sharepointservices richtig zu nutzen?

    Ja, das ist allen klar und auch immer wieder ein viel Diskutiertes Problem. Nur sind die Ing Büro´s, an die Vorgehensweise ihrer Kunden gebunden und die möchten auch alle Zeichnungsstände per Mail bekommen. Somit bekommt er Sie als Projektleiter von den Kunden per Mail…

    Mit SharePoint habe ich mich bis jetzt noch nicht auseinander gesetzt.

    Wichtig ist, dass er alles Offline bearbeiten kann, da es im Flieger kein Internet gibt!!!  

    Geht das auch mit den SharePointservices?

    Die Internet Problematik im Ausland und somit die  Kosten ist das nächste Problem!

    Werden dann mehr oder weniger Daten über das Internet ausgetauscht.

    Ein Cloud Lösung ist aus diesen Punkten nicht die richtige Lösung.

    Wofür brauchst Du Acronis auf den NB?

    Da dieser User ständig unterwegs ist und lokal auch noch diverse Berechnungstools mit DB hat, wird das Hauptverzeichnis per Image auf dem Server abgelegt. Die Offline Daten liegen auf einer separaten Partition.  

    Hin und wieder kommt es vor, dass sein NB geklaut wird, die SSD defekt ist usw.  Er kann darauf einfach nicht verzichten.  Ein Anruf von Ihm und er bekommt innerhalb 24h ein neues NB mit den letzten Acronis Sicherung + den neunen Offline Daten usw.  

    Setzt Acronis auf mobsync auf?

    Nein, die haben eigene Dienste.

    Wenn Du Acronis blockieren willst, dann mußt Du das auch Inder FW angeben. mobsync gehört doch zum Windowsstandard. Was ich jetzt aber nicht weiß, ob die Reihenfolge der Regeln bei der Windowsfirewall eine Rolle spielt, aber ich denke schon. Heißt im Klartext wenn zuvor der Zugriff erlaubt, dann kannst Du hinten verbieten was Du willst - es ist schon durch.

    Genau, das ist mein Problem. Ich habe die mobsync in der Firewall eingetragen. Trotzdem werden die Daten ausgetauscht! Ist das denn das richtige Programm oder  wird die Synchronisierung durch ein anderes Programm gesteuert?

    Eine Reihenfolge wie man das bei Routerfirewall kennt, gibt es anscheint nicht bei Windows oder ich sehe es nicht.

    Gruß

    Mathias

    Freitag, 4. Januar 2013 13:33
  • Hi Mathias,

    wenn Du Acronis blockieren willst, dann mußt Du auch Acronis in der FW eintragen. Oder was soll sonst blockiert werden?

    Kannst Du nicht an dem Datenvolumen selbst was ändern? Du schreibst von einer DB. Kann man nicht da eine Synchronisation direkt vornehmen statt die ganze DB auszutauschen?

    SharePoint z. B.: http://www.galileo-videotrainings.de/austausch-mit-anderen-anwendungen/sharepoint-inhalte-offline-bearbeiten/sharepoint-server-2010-sharepoint-foundation-2010/3039/probe-lektion/

    Volker


    Und Abends ein Glas Wein von AMAVINO

    Freitag, 4. Januar 2013 14:03
  • Hi Volker,

    da habe ich mich nicht richtig ausgedrückt.

    Ich will einmal Acronis blocken und einmal die MS Synchronisierung.

    Meine Test fingen mit der MS Synchronisierung an und somit die mobsync.exe.

    Mit den Acronis Programmen wie „afcdpsrv.exe“ , „schedul2.exe“ , „syncagentsrv.exe“ , „AcronisTibUrlHandler.exe“ , „LiveUpdateInstaller.exe“ , „prl_stat.exe“ , „TrueImage.exe“ , „TrueImageLauncher.exe“ , „TrueImageMonitor.exe“ , „TrueImageTools.exe“ usw.

    wollte ich erst anfangen, wenn es mit der mobsync geklappt hat. Ihr ist durch die Menge an Programmteilen mehr Aufwand verbunden.

    Am Datenvolumen kann ich nichts verändern. Wenn er unterwegs ist, kann es sein, dass er auf alte Projekte zurückgreifen muss.

    Als DB meinte ich die von den verschiedenen kleinen Berechnungstools, die mit den diversen Projekten wachsen und aktualisiert werden. Sie sind selbst ganz klein.  Dazu gibt es immer wieder Updates von den Programmen und DB, die teilweise auch unterwegs nachgeladen werden. Wenn diese Programme verloren gehen, brauchen wir ca. 1-2 Wochen bis der Hersteller diese erneut mit Key liefern. Die Lizenzschlüssel versteckt auf dem NB.  Die Lizenz und Codes muss erst schriftlich geklärt werden.  Wer die Key´s von Siemens für die SPS Programme Simatic kennen, weiß von ich rede. Dies ist genauso schwer und am WE und Feiertage arbeiten diese Firmen nicht.

    Das NB muss aber in 1-2 Tagen wieder am Start sein.

    Wie Du siehst sind noch diverse andere Probleme damit verbunden, die ich nicht alle aufzählen kann. Das würde zu lange dauern.

    Darum die Image Sicherung via Acronis, weil ich mir die Key´s wieder rausholen kann nun ohne Problem erneut aktivieren. Die Sicherung  muss automatisch laufen. Sobald das NB ins Büro kommt und das Sicherungszeitfenster sich öffnet, sicher  Acronis los. Der User vergisst es nur, darum nichts händisches!

    Bis jetzt haben wir weder  beim Diebstall (2x) und zwei Komplettausfälle in den letzte 10 Jahre keinen Datenverlust erlitten.   Die 24h Frist konnten wir immer einhalten!

    Dass ist auch nicht die Thema.

    Das Thema ist, warum Funktioniert es mit mobsync nicht!

    Die SharePoint Videos werde ich mir genauer ansehen und entscheiden, ob es für den Kunden interessant ist.

    Gruß

    Mathias

    Freitag, 4. Januar 2013 21:08
  • Hi Mathias,

    ich geb noch nicht auf. Hast Du mal probiert die entsprechenden Ports zu blockieren und nicht das Programm? Wenn ich nicht ganz falsch bin, dann sollte das gehen. Mit netstat -n kannst Du die die derzeit benutzten Ports anzeigen lassen.

    Volker


    Und Abends ein Glas Wein von AMAVINO

    Samstag, 5. Januar 2013 08:47
  • Hi Volker,

    ich finde das super, dass Du nicht so schnell aufgibst. 
    Leider konnte ich auch mit netstat den Port nicht entdecken. So wie es aussieht wir der Port 445 und 135 genutzt. Während der Synchronisierung werden nur diese beiden Ports angezeigt, die Zugriff über VPN auf den SBS Server haben. Der dritte Port 13000 ist für Kaspersky Verwaltungskonsole zuständig.

    Weiß jemand anderes, welche Port dafür genutzt werden? Google gibt nicht her!

    Ich habe nun mein Workaround zusammengestellt. Ich werde einen Script erstellen, den der User vor dem Starten der VPN ausführen muss.

    Dort werden die 3 Dienste von Acronis und vom Offline (CscService) beendet. Ich konnte prüfen, ob die Dienste auch von dem Programm nicht wiedergestartet werden. Scheint so zu stimmen.

    Ist zwar nicht die Lösung die haben wollte, aber mir läuft jetzt die Zeit weg.

    Danke.

    Gruß

    Volker

    Sonntag, 6. Januar 2013 17:28
  • Bitte schau Dir die Möglichkeiten folgender GPO an:

    -> Computer Configuration
    -> Policies
    -> Administrativ Templates
    -> Network
    -> Offline Files

    Hier im Speziellen:

    • Configure Background Sync
    • Configure slow-link mode
    • Configure Slow link speed

    S.a.:

    Configuring New Offline Files Features for Windows 7 Computers Step-by-Step Guide
    http://technet.microsoft.com/pt-pt/library/ff633429.aspx

    Implementing an End-User Data Centralization Solution
    http://www.microsoft.com/en-us/download/details.aspx?id=21516

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 9. Januar 2013 11:45
    Moderator
  • Hallo Tobias, Hallo Volker,

    durch verschiedene Test in verschieden Ländern und Internet Verbindung, ist die sicherste Art die Dienst anzuhalten.  

    Mit der Idee diese über die GPO zu lösen, brachte leider bei dieser Szenario mehr Probleme als Lösungen.

    Wenn ich z.B. den Wert „Übertragungsrate für langsame Verbindung konfigurieren“ anpasse, läuft das Synchronisieren über eine langsame DSL Leitung nicht mehr, aber über eine schnelle LTE Verbindung. Da beißt es sich, da über die DSL Falt soll es gehen  aber nicht über die teure LTE Verbindung.

    Ich habe verschiede Script geschrieben, der bei Aufbau einer VPN Verbindung  entsprechend die Dienste beendet oder nicht.

    Die User kommen damit sehr gut zurecht.

    Gruß

    Mathias

    Sonntag, 27. Januar 2013 11:02