none
Почему при подключенном VPN соединении запросы к AD ужасно долгие и как с этимбороться? RRS feed

  • Вопрос

  • Я не продвинутый админ, продвинутый пользователь, программист :)))

    Про детали работы vpn мало знаю, но понятно там куча "темных дел" с маршрутами и чем-то еще.

    Проблема:

    Одно vpn соединение затормаживает запрос списка групп из AD с обычных в нашей сети 2-х секунд, до 4-х. Это еще терпимо.

    Другое vpn соединение (в другую сеть) затормаживает не менее чем на 30 секунд, а то и на минуту.

    По сути мне не нужно чтобы запрос шел в том числе и в vpn сети, но он видимо "рассылается" по всем подключенным сетям.

    Что-то и где-то можно "подкрутить" чтобы запросы к AD шли только в определенную сеть?

    28 июня 2018 г. 15:56

Ответы

  • вы путаете святое с правидным. впн сам по себе ничего не ломает, просто конкретно ваши впн так настроены что работают не оптимально. Это не проблема протоколов, клиентов или серверов, а лишь конкретных реализаций и людей которые эти реализации строят.

    вы по своей стороне (как клиент) можете влиять на то как трафик от вас выйдет - делается это маршрутами. для того что бы построить правильный маршрут нужно понимать топологию сети. Сделать это могут ваши сетевеки.

    Для диагностики проблем можете использовать для примера wireshark что бы увидеть какие запросы от вас уходят и в каких направлениях, tracert для того что бы увидеть приблизительный маршрут и route print для понимания почему запрос пошел именно так, а не иначе.

    Поняв куда трафик идет, и куда должен вы на клиенте можете создать кастомный route (route add) который будет направлять трафик, туда, куда нужно.

    у вас так же есть в наличии и firewall на котором вы можете резать трафик, только в вашей ситуации вы получите не решение, а более быстрые ошибки.


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 14 июля 2018 г. 15:33
    • Помечено в качестве ответа Vector BCOModerator 30 июля 2018 г. 20:08
    2 июля 2018 г. 13:45
    Модератор
  • Спасибо.

    То, что vpn "открывает новые пути", в которых могут быть лабиринты, мне понятно.

    И еще понятно, что велосипеды и машины (win api методы) используют что-то внутрисистемное, недоступное для явного понимания на уровне абстракции этих методов. Эти велосипеды и машины, несчастные, в поисках своих целей все время сворачивают в эти лабиринты и гуляют там подолгу, пока не поймут, что там нет того, чего они ищут.

    Давайте так сформулирую - могу ли я, клиент некоего vpn, и как пользователь, сам, без представителей той vpn сети, взять некоторый набор инструментов, и закрыть какие-то маршруты явным образом для таких вещей как:

    - запросы dns

    - запросы к Active Directory

    Ведь это я тут вот развел типа демагогию.

    Но я постоянно наблюдаю страшные проблему у обычных пользователей, которые подключившись к какой-то vpn сети вдруг не могут открыть "excel табличку с накладными" с ранее доступного подключенного сетевого диска. Или не могут получить доступ к 5 минут назад доступному web-сервису доменной сети. 

    Если это невозможно сделать, т.е. невозможно применить какие-то действия к подключенной vpn сети, чтобы закрыть определенные протокотлы/порты/чего-то-еще, то буду рад это услышать.

    И буду очень нелюбить возможности VPN в windows.

    Я лично использую один пример vpn сервера и клиента не от мелкософта, который по умолчанию не ломает всю инфраструктуру локальной доменной сети. Да, там можно что-то открывать, настраивать, но по умолчанию все пользователи счастливы и ни у кого нет проблем.

    Почему во встроенных механизмах подключения vpn клиента к vpn серверу столько проблем? Это сама теория VPN предусматривает, чтобы VPN сервер определял широту возможностей VPN клиента? 


    Добрый День.

    Любить или нет впны это сугубо ваше личное дело, тем более они не только на ос Windows работают.

    Вам необходимо обратится в ИТ Отдел работодателя... Для того что либо Менять, подкручивать, настраивать - для этого как минимум нужно знать Что и Как настраивать - нужно понять в чем именно проблема (Для этого как минимум нужно понимать как все это работает и уметь произвести Диагностику), какие после этого могут быть последствия,  и Иметь на это необходимые привилегии...


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    • Помечено в качестве ответа Vector BCOModerator 30 июля 2018 г. 20:08
    2 июля 2018 г. 13:42
    Модератор

Все ответы

  • Добрый День.

    Начните с описание того что у вас не получается и что в Итоге вы хотите получить, опишите схему вашей инфраструктуры


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    28 июня 2018 г. 16:48
    Модератор
  • Спасибо за ответ.

    Хочу отметить:

    1) извините, я указал в вопросе, что "я не админ", не могу рассказать про инфраструктуру, но из моего вопроса примерно понятно общее, что я могу произнести как "доменная сеть из компьютеров с ОС Windows"

    2) очень высоко вероятно, что в контексте вопроса инфраструктура тут не причем, это вытекает из самого вопроса: при наличии только соединения vpn1, имеем тормоза, при наличии только соединения vpn2, почти не имеем тормозов, при отсутствии каких либо vpn соединений тормоза будем считать отсутствуют. такое наблюдалось и на win7, win8 и сейчас на win 10 любой разрядности, и при серверах 5 лет назад и сейчас на последних.  у любого windows клиента при некоторых vpn соединениях сильно тормозят обращения к AD, вообще становятся недоступны сетевые папки т.д., а при некоторых все хорошо. Точно все хорошо. Значит есть такая тема, связанная с vpn... Мне кажется из вопроса это понятно.

    3) "что у вас не получается" - мне показалось что меня поймут - "запрос списка групп из AD", но раз не совсем понятно, то можно посмотреть msdn о способах получения списка групп из AD на самых разных платформах/языках программирования.


    • Изменено mshakurov 29 июня 2018 г. 13:09
    29 июня 2018 г. 13:07
  • Добрый День.

    Для выполнение диагностики нужно чтобы человек на вашей стороне мог предоставить необходимые сведения и мог выполнить необходимую настройку ПО либо оборудования при необходимости...

    Тут как минимум нужно описание вашей инфраструктуры и схемы сети, если речь идет об каналах VPN то их пропускная способность.., подсети, сайты и количество dc и их разнос по филиалам.

    Вывод команд:

    ipconfig /All с проблемных пк и dc,

    dcdiag,

    Route Print

    Repadmin /Showrepl 

    На форуме нет экстрасенсов 


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.


    29 июня 2018 г. 16:13
    Модератор
  • Представьте что у вас есть дорога из точки А в точку Б (прямая без каких либо извилин и ухабов) - вы сожете доехать на велосипеде из конца в конец на велосипеде за 10 минут, а на машине за 1 минуту.

    А теперь представте что при включении впн ваша дорога заменяется на лабринт. Чем сложнее лабиринт тем дольше добираться из точки А в точку Б но при этом как вы не крутите быстрее чем 10 минут на велосипеде или 1 минуту на машине вы не доберетесь, так как самый быстрый маршрут - прямой маршрут.

    Дорога - метод коммуникации

    Велосипед\Машина - методы которые вы используете \\ вы на них ссылались на msdn - некоторые из них сами по себе быстрее других

    Лабиринт - VPN

    Точка А и Б - клиент и сервер

    В вашей проблеме можно менять 2 параметра - конфигурацию лабиринта \\ для этого нужно понимать как он выглядит \\ и методы которыми вы пользуетесь для достижения цели \\ курение мануалов на msdn должно помочь \\

    То что на скорость не влияет в данном случае это точки А и Б

    С ваших слов вы понятия не имеете как выглядит VPN1 и VPN2, чем они отличаются и как их конфигурировать - обратитесь в поддержку владельцев тунелей и попросите оптимизировать маршруты для вас, или переписывайте софт таким образом что бы он был оптимизирован под неоптимальные каналы.


    The opinion expressed by me is not an official position of Microsoft


    29 июня 2018 г. 16:29
    Модератор
  • Спасибо.

    То, что vpn "открывает новые пути", в которых могут быть лабиринты, мне понятно.

    И еще понятно, что велосипеды и машины (win api методы) используют что-то внутрисистемное, недоступное для явного понимания на уровне абстракции этих методов. Эти велосипеды и машины, несчастные, в поисках своих целей все время сворачивают в эти лабиринты и гуляют там подолгу, пока не поймут, что там нет того, чего они ищут.

    Давайте так сформулирую - могу ли я, клиент некоего vpn, и как пользователь, сам, без представителей той vpn сети, взять некоторый набор инструментов, и закрыть какие-то маршруты явным образом для таких вещей как:

    - запросы dns

    - запросы к Active Directory

    Ведь это я тут вот развел типа демагогию.

    Но я постоянно наблюдаю страшные проблему у обычных пользователей, которые подключившись к какой-то vpn сети вдруг не могут открыть "excel табличку с накладными" с ранее доступного подключенного сетевого диска. Или не могут получить доступ к 5 минут назад доступному web-сервису доменной сети. 

    Если это невозможно сделать, т.е. невозможно применить какие-то действия к подключенной vpn сети, чтобы закрыть определенные протокотлы/порты/чего-то-еще, то буду рад это услышать.

    И буду очень нелюбить возможности VPN в windows.

    Я лично использую один пример vpn сервера и клиента не от мелкософта, который по умолчанию не ломает всю инфраструктуру локальной доменной сети. Да, там можно что-то открывать, настраивать, но по умолчанию все пользователи счастливы и ни у кого нет проблем.

    Почему во встроенных механизмах подключения vpn клиента к vpn серверу столько проблем? Это сама теория VPN предусматривает, чтобы VPN сервер определял широту возможностей VPN клиента? 


    • Изменено mshakurov 2 июля 2018 г. 13:29
    2 июля 2018 г. 13:27
  • Спасибо.

    То, что vpn "открывает новые пути", в которых могут быть лабиринты, мне понятно.

    И еще понятно, что велосипеды и машины (win api методы) используют что-то внутрисистемное, недоступное для явного понимания на уровне абстракции этих методов. Эти велосипеды и машины, несчастные, в поисках своих целей все время сворачивают в эти лабиринты и гуляют там подолгу, пока не поймут, что там нет того, чего они ищут.

    Давайте так сформулирую - могу ли я, клиент некоего vpn, и как пользователь, сам, без представителей той vpn сети, взять некоторый набор инструментов, и закрыть какие-то маршруты явным образом для таких вещей как:

    - запросы dns

    - запросы к Active Directory

    Ведь это я тут вот развел типа демагогию.

    Но я постоянно наблюдаю страшные проблему у обычных пользователей, которые подключившись к какой-то vpn сети вдруг не могут открыть "excel табличку с накладными" с ранее доступного подключенного сетевого диска. Или не могут получить доступ к 5 минут назад доступному web-сервису доменной сети. 

    Если это невозможно сделать, т.е. невозможно применить какие-то действия к подключенной vpn сети, чтобы закрыть определенные протокотлы/порты/чего-то-еще, то буду рад это услышать.

    И буду очень нелюбить возможности VPN в windows.

    Я лично использую один пример vpn сервера и клиента не от мелкософта, который по умолчанию не ломает всю инфраструктуру локальной доменной сети. Да, там можно что-то открывать, настраивать, но по умолчанию все пользователи счастливы и ни у кого нет проблем.

    Почему во встроенных механизмах подключения vpn клиента к vpn серверу столько проблем? Это сама теория VPN предусматривает, чтобы VPN сервер определял широту возможностей VPN клиента? 


    Добрый День.

    Любить или нет впны это сугубо ваше личное дело, тем более они не только на ос Windows работают.

    Вам необходимо обратится в ИТ Отдел работодателя... Для того что либо Менять, подкручивать, настраивать - для этого как минимум нужно знать Что и Как настраивать - нужно понять в чем именно проблема (Для этого как минимум нужно понимать как все это работает и уметь произвести Диагностику), какие после этого могут быть последствия,  и Иметь на это необходимые привилегии...


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    • Помечено в качестве ответа Vector BCOModerator 30 июля 2018 г. 20:08
    2 июля 2018 г. 13:42
    Модератор
  • вы путаете святое с правидным. впн сам по себе ничего не ломает, просто конкретно ваши впн так настроены что работают не оптимально. Это не проблема протоколов, клиентов или серверов, а лишь конкретных реализаций и людей которые эти реализации строят.

    вы по своей стороне (как клиент) можете влиять на то как трафик от вас выйдет - делается это маршрутами. для того что бы построить правильный маршрут нужно понимать топологию сети. Сделать это могут ваши сетевеки.

    Для диагностики проблем можете использовать для примера wireshark что бы увидеть какие запросы от вас уходят и в каких направлениях, tracert для того что бы увидеть приблизительный маршрут и route print для понимания почему запрос пошел именно так, а не иначе.

    Поняв куда трафик идет, и куда должен вы на клиенте можете создать кастомный route (route add) который будет направлять трафик, туда, куда нужно.

    у вас так же есть в наличии и firewall на котором вы можете резать трафик, только в вашей ситуации вы получите не решение, а более быстрые ошибки.


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 14 июля 2018 г. 15:33
    • Помечено в качестве ответа Vector BCOModerator 30 июля 2018 г. 20:08
    2 июля 2018 г. 13:45
    Модератор
  • Ведь это я тут вот развел типа демагогию.

    Ответьте пожалуйста на следующий вопросы и приведите вывод команд c клиента (при подключённом VPN):

    Кто является VPN сервером?
    Версия Операционной системы?
    тип VPN (L2TP, IKEv2, SSTP, OpenVPN)?

    route print
    tracert ip.address.domain.controller
    Get-VpnConnection


    2 июля 2018 г. 13:51
    Модератор
  • Добрый День.

    Тут проблема по сути по изначальным данным понятна и кроется в Маршрутизации, по факту Автору было заданно несколько вопросов с запросом вывода команд ни на один вопрос Автор по сути не ответил, если не считать воду в ответах Автора. Рассуждать кто прав, кто виноват (касательно VPN) можно и в курилки. По сему если от Автора не последует Ответа с запрошенными данными, тему переношу в курилку и считаю ее обсуждением.

    Надеюсь на понимание


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    2 июля 2018 г. 16:06
    Модератор