Client verhält sich im Home Office wie Gerät vor 10 Jahren

Hallo liebes Forum,

ich mal wieder und ich habe riesen ??? über den Kopf!


Das Verhalten zu beschreiben wird nicht ganz einfach, da ich da auch noch mit Rätseln vor sitze!

Also:

Der Kunde hat eine Sophso UTM (HA CLuster) mit aktueller Firmeware.
Hat 4 verschiedene DSL Leitung
Telekom 50 MBIT
Telekom SDSL (bitte nicht festnageln auch 50 Mbit??)
Vodafon 500 Mbit
EWE 250 MBIT

Die Telekom SDSL Leitung hat einen IPSEC TUNNEL zu einem anderen Standort.
Vodafon 500 MBIT wird für das Surfen benutzt
EWE für die HomeOFFICE Einwahl Tunnel (SSL VPN (Einstellung UDP))
Telekom 50 MBIT für Gast WLAN und Mitarbeiter surfen (in Mittagspause)

Es gibt nun bei mehrer MAs des Kunden das Problem, dass die Notebooks (bestandteil der Domäne) sich im HomeOffice sehr langsam verhalten, also cmd öffnet sich erst nach 10 min, der Explorer lädt auch langsam und anderes (CPU Last bei nichts tun auf 70% und höher).
Dieses Verhalten ist sowohl bei geöffneten SSL VPN als auch ohne SSL VPN.
Wechsel wenn cmd offen ist von U: auf C: quittiert das Endgerät mit der Meldung C: nicht gefunden!
Per GPO wird das Homelaufwerk U: publiziert!

Was habe ich getan:

Bei einem HO User, statt SSL VPN IPSEC VPN benutzt --> wurde auch nicht besser!
User hat ein Test - Client bekommen --> wurde auch nicht besser!
Original Client wurde neu installiert und in Domäne --> ähnlich wie davor
Einer der Clients war im Büro wurde da angemeldet im WLAN und dann wurde auf das GAST WLAN gewechselt, da war kein problematisches Verhalten.


Sorry für die schlechte Beschreibung, aber ich komme nicht weiter und kann mir bei dem Fehlerbild kein Reim machen!

Ich habe die Vermutung so ein bisschen, dass es mit dem HomeLaufwerk zu tun hat, bin mir aber nicht sicher.

Hat hier einer ein RAT?


MFG

Content-Key: 666776

Url: https://administrator.de/contentid/666776

Ausgedruckt am: 20.06.2021 um 03:06 Uhr

13 Kommentare
Mitglied: Looser27
Moin,

mal ins Blaue:
Welche AV Lösung läuft auf den Clients?
Wurden die evtl. nicht komplett eingerichtet?

Das Laufwerk per GPO mappen läuft bei uns problemlos über VPN SSL.

Sind alle erforderlichen Ports in der Firewall (UTM und Client) korrekt eingerichtet?

Der Timeout deutet erstmal auf o.g. Einstellungen hin.

Gruß Looser
Mitglied: tikayevent
Wie sehen denn die Auslastung und die Leitungswerte auf der Unternehmensseite der VPN-Leitung aus? Wie sieht die Netzwerknutzung eines Clients nach der VPN-Anmeldung aus?

Deine Beschreibung deuten nämlich entweder auf fehlerhaft konfigurierte Clients hin oder eine Überlastung der Leitung. Vermutlich wird nach der Anmeldung im Hintergrund ständig irgendwas nachgeladen, was im Büro durch geringe Latenzen und hohe Bandbreiten wohl kein Problem darstellt, aber über eine schlechtere Verbindung Probleme macht.

Können die HO-User alles im Firmennetz erreichen oder sind hier Firewallregeln im Weg?
Mitglied: Franz-Josef-II
Zitat von @Finchen961988:
Es gibt nun bei mehrer MAs des Kunden das Problem, dass die Notebooks (bestandteil der Domäne) sich im HomeOffice sehr langsam verhalten, .....

Bei mehreren oder bei allen? Falls "mehrere", wieviel %?
Welche Internetverbindung gibt's auf Homeuserseite? Upload?
CPU-Last 70%, was sagt die Netzwerkauslastung bzw der HD-Zugriff?

Schuß ins Blaue: Roaming Profiles? Bedenke ein RoamingProfil downzuloaden = Upload auf Eurer Seite 😊
Mitglied: em-pie
Moin,

Auch mal die MTU-Werte an der Sophos mal prüfen.

Gerade wenn VPN im Einsatz ist, muss das zwingend geprüft werden.

Ansonsten ist es halt immer „ungünstig“, wenn die Profile 1GB Gros sind und die jedesmal über die Leitungen geschoben werden müssen.

Deswegen arbeiten unsere Mädels und Jungs alle auf den vorhanden Citrix-Servern, wenn die im Homeoffice sind.

Gruß
em-pie
Mitglied: nEmEsIs
Hi

Wie sehen deine sofern im Einsatz befindlichen DFS-N Einstellungen aus?

Auch wie hast du die Homelaufwerke konfiguriert ? Sind offline Files eingestellt ?
Wenn ja hast du hier mit Latenzen gearbeitet?
Denke das hier sollte aufschlussreich sein.
https://helgeklein.com/blog/2012/04/windows-7-offline-files-survival-gui ...

Weitere Frage
Wie lautet die Domain Eures ADS
Sprich Domain.tld oder ad.Domain.tld.

Wenn ersteres habt ihr eure Umgebung auf Split DNS richtig konfiguriert?

Wie ist der VPN Tunnel eingestellt? Wird hier das Internet mit drüber oder Split Tunneling?

Mit freundlichen Grüßen Nemesis
Mitglied: Looser27
Schuß ins Blaue: Roaming Profiles?

Tödlich über VPN....dafür fehlt den meisten die Disziplin im die klein zu halten.
Mitglied: tikayevent
Zitat von @Looser27:

Schuß ins Blaue: Roaming Profiles?

Tödlich über VPN....dafür fehlt den meisten die Disziplin im die klein zu halten.

Kann man per GPO beschränken. Ist das Gejammer aber noch größer.
Mitglied: erikro
Moin,

Zitat von @Finchen961988:
Sorry für die schlechte Beschreibung, aber ich komme nicht weiter und kann mir bei dem Fehlerbild kein Reim machen!

Na dann will ich Dir erstmal dabei mit ein paar Fragen helfen. ;-) face-wink

1. Die EWE-Leitung ADSL oder SDSL? Wenn ADSL, wie groß ist denn der Upload?
2. Wieviele MA benutzen VPN gleichzeitig? 5, 50 oder 500?
3. Was verursacht denn die 70% CPU-Last? Was sagt der Taskmanager und der Ressourcen-Monitor dazu?
4. Wann findet der Aufbau des Tunnels statt? Vor oder nach der Anmeldung? Wurde die GINA (oder wie auch immer das jetzt heißt) getauscht?
5. Gibt es bei den Usern Gemeinsamkeiten wie langsame Leitung oder Kunde bei O2? O2 macht bei uns ständig Ärger im HO.
6. Sind die üblichen GPOs (Bei Neustart auf Netzwerk warten, letzten User nicht automatisch anmelden etc.) konfiguriert?
7. Nach Roaming Profile/FSLogix haben die Kollegen ja schon gefragt.
<edit>8. Welche UTM?</edit>

Allgemein zwei Tipps zum Problem aus eigener Erfahrung: Wenn ich meinen NB in der Firma anmelde und dann in den Ruhezustand gehe, ist er zu Hause grottenlahm. Nach einem Neustart ist er wieder schnell. Deshalb: Ruhezustand meiden und Schnellstart ausschalten. Ich vermute bei meinem NB, dass er nach dem Aufwachen aus dem Ruhezustand "glaubt", er sei noch in der Domain und ständig nach Ressourcen sucht die gar nicht vorhanden sind. Nach einem Schnellstart dürfte das ähnlich sein.

Ansonsten schließe ich mich @em-pie an, dass es vernünftiger ist, den Kollegen im HO im lokalen Netz einen Hop-Server zur Verfügung zu stellen. Das kann ein richtiger Terminalserver sein (bei uns die Regel) oder der Desktop-Rechner am normalen Arbeitsplatz (ist bei uns bei einigen Kollegen mit speziellen Aufgaben so geregelt). Da können sie sich dann per RDP einwählen, was selbst mir den langsamsten Leitungen einigermaßen perfomant läuft.

Liebe Grüße

Erik
Mitglied: Ghent74
Habe ein ähnliches Verhalten beim VPN vom Chef von zuhause.
Dort ist ein regionaler DSL Anbieter am Werk der unter anderem scheinbar das UDP-Protokoll beim VPN ausbremst.
Als ich es testweise auf TCP umstellte ging es wieder flott auch wenn UDP noch flotter sein soll.

Daher testweise mal das TCP-Protokoll verwenden.

Gruß
Mitglied: aqui
Daher testweise mal das TCP-Protokoll verwenden.
Ist Quatsch, denn die meisten VPN Protokolle nutzen bzw. können gar kein TCP nutzen und haben gar nicht die Möglichkeit das umzustellen wie z.B. das meistverbreitete IPsec oder L2TP wie auch WireGuard oder auch Microsofts proprietäres SSTP.
Einzig OpenVPN als SSL basiertes VPN könnte man umstellen. Aber auch das wäre recht unintelligent, denn es erhöht massiv den Encapsulation Overhead und verkleinert die MTU, sprich geht also massiv zulasten der Performance weshalb OpenVPN selber in seiner Knowledge Base dringenst von einer TCP Encapsulation abrät und das zu Recht. Der TO erweist sich mit so einem unreflektierten Ratschlag einen Bärendienst.
Sinnvoller ist es wenn der Provider wirklich ein Rate Limit auf wellknown UDP Ports macht, wie z.B. 1194 bei OpenVPN, dort andere UDP Ports zu nutzen. Ideal sind hier, wie jeder Netzwerker weiss, die Ephemeral Ports https://en.wikipedia.org/wiki/Ephemeral_port zwischen 49152 und 65535. Dort is nix mit Rate Limiting.
Der obere Rat ist Unsinn und eher kontraproduktiv bzw. zeugt von wenig VPN KnowHow. Mal ganz abgesehen davon das er sich beim Gros aller VPN Protokolle eben gar nicht umsetzen lässt !
Der TO sollte also eher nach den oben ihm schon genannten Troubleshooting Dingen suchen.
Mitglied: Ghent74
Aua, diesmal habe ich es aber abbekommen...
Aber du hast natürlich weitestgehend recht. Bei mir war es ein OpenVPN.
Ich sagte ja "testweise" damit man evtl. herausfindet, dass es an einer Drosselung des Providers liegt und nicht, dass er es dauerhaft machen soll.
Mir war aber wirklich nicht bewusst, dass nur OpenVPN das umstellen kann.
Danke für die Aufklärung.

Btw:
So schlecht läuft es über TCP gar nicht...^^
(schnell weg rennt...)
Mitglied: aqui
Nee, musst deshalb nicht gleich wegrennen.... ;-) face-wink
Etwas Lektüre in einer ruhigen Minute zu VPN Protokollen kann aber sicher nicht schaden... Der TO hat ja zudem auch leider nur sehr oberflächlich beschrieben was er da genau nutzt.
Das du den Unterschied zu UDP nicht groß merkst liegt an der geringen Bandbreite und Auslastung bei dir. In einer VPN Umgebung mit mehreren zig Usern und mehr Bandbreite merkst du sehr schnell wie wenig skalierbar sowas ist.
Mitglied: Finchen961988
Hallo,

ich habe glaube ich die Lösung und werde mir mal die Zeit nehmen am WE alles zu beschreiben.
Etwas nervig die letztem Tage
Heiß diskutierte Beiträge
Windows 10
Austritt Mitarbeiter - Windows- u. M365 Konto
gelöst NixVerstehenVor 1 TagFrageWindows 1011 Kommentare

Moin zusammen, ich habe hier im Kleinunternehmen tatsächlich zum ersten Mal die Situation, das eine Mitarbeiterin aus dem kaufmännischen Bereich ausscheiden wird. Die Kollegin ist ...

Netzwerke
Kassen freezen ohne ersichtlichen Grund
Ronic1Vor 18 StundenFrageNetzwerke12 Kommentare

Hallo Zusammen, ich schreibe heute zum ersten Mal in diesem Forum. Also weißt mich bitte auf etwaige Fehler meinerseits hin. Wie ich in anderen Beiträgen ...

Windows Server
Always-on-VPN mit einer Netzwerkkarte
bluelightVor 1 TagFrageWindows Server11 Kommentare

Hallo zusammen, ich bin tatsächlich einmal auf eure Hilfe angewiesen! Ich habe für unser Unternehmen ein Domänennetzwerk auf einem Rootserver von Netcup erstellt und weitestgehend ...

Microsoft
Wird die durch den DHCP zugewiesene IP-Adresse in der Ereignisanzeige gespeichert?
stephan.csVor 1 TagFrageMicrosoft6 Kommentare

Guten Morgen zusammen, leider bin ich mit meiner Recherche bis jetzt nicht weiter gekommen. Darum die Frage Wir haben folgende Situation: - Windows 10 Clients ...

Installation
Setup mit automatischen Klicks
akadawaVor 1 TagFrageInstallation9 Kommentare

Moin, ich habe eine Installation welche ich gerne über das Softwarecenter vom SCCM installieren lassen möchte. Leider lassen die Parameter der Setup.exe es nicht zu, ...

Windows Netzwerk
PRTG Probe erkennt Lancom Router nicht mehr
gelöst blackarchVor 1 TagFrageWindows Netzwerk6 Kommentare

Hallo zusammen, die o.g. Probe ist auf dem Server eines Standortes installiert und lief bis dato problemlos. Gestern fiel nun der Ping für den Router ...

Windows 10
PDF Datei wird falsch angezeigt
ben1300Vor 1 TagFrageWindows 107 Kommentare

Hallo zusammen, habe hier eine PDF Datei, welche auf einem Macbook (Big Sur) und einem Windows 10 Prof. x64 Client problemlos dargestellt wird. Nun kommt ...

TK-Netze & Geräte
Starface mit NGN verliert Gateway
FabezzVor 17 StundenFrageTK-Netze & Geräte9 Kommentare

Guten Morgen zusammen, ich hoffe dass ich das richtige Thema getroffen habe. In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht ...