14
Nach Serverauslagerung ist die Verbindung zum Server über VPN sehr langsam
Hallo,
wir haben vor ein paar Wochen unseren Windows SBS 2011 in ein Rechenzentrum ausgelagert. Auf dem Server ist unser Exchange installiert. Außerdem befindet sich hier das AD. Die Nutzerprofile und Netzlaufwerke haben wir intern auf einem Windows Server 2012R2 gelassen.
Seit der Migration ist die Verbindung zu dem Server sehr langsam. Mails mit mittelgroßen Anhängen (5-10MB) brauchen 10-20 Minuten bis sie versendet werden. für einen Testupload von einer 5 MB Datei habe ich knapp 2 Minuten gebraucht.
Bereits ausgeschlossen:
Als erstes denkt man natürlich an die Internetleitung, diese kann ich allerdings weitestgehend ausschließen. Sowohl die Mitarbeiter die von zu Hause Dateien von unserem internen Fileserver runterladen haben gute Geschwindigkeiten (ca. 2-5 Sekunden für die besagte Datei, ist ja ein Upload für unsere interne Leitung), als auch der Upload von unserem internen Netz auf unsere Backup Plattform im Rechenzentrum (auch 2-5 Sekunden) ist gut. Wir haben auch 10k MBit/s Upload und die erreichen wir auch fast.
Somit kann ich sowohl die Internetverbindung, als auch die Site-to-Site Verbindungen vorerst ausschließen. Folglich muss es wohl an einer Konfiguration am SBS 2011 im RZ liegen. Wir haben die Maschine mit einem VMWare Converter einfach virtualisieren lassen und in dieser Hinsicht nichts an den Einstellungen geändert. Komisch ist auch, dass die Verbindung zustande kommt, allerdings eben sehr langsam ist.
Hat jemand eine Idee wo man hier anfassen könnte? Bitte nach Möglichkeit mit ausführlicher Beschreibung, da das ziemliches Neuland für mich ist.
LG
wir haben vor ein paar Wochen unseren Windows SBS 2011 in ein Rechenzentrum ausgelagert. Auf dem Server ist unser Exchange installiert. Außerdem befindet sich hier das AD. Die Nutzerprofile und Netzlaufwerke haben wir intern auf einem Windows Server 2012R2 gelassen.
Seit der Migration ist die Verbindung zu dem Server sehr langsam. Mails mit mittelgroßen Anhängen (5-10MB) brauchen 10-20 Minuten bis sie versendet werden. für einen Testupload von einer 5 MB Datei habe ich knapp 2 Minuten gebraucht.
Bereits ausgeschlossen:
Als erstes denkt man natürlich an die Internetleitung, diese kann ich allerdings weitestgehend ausschließen. Sowohl die Mitarbeiter die von zu Hause Dateien von unserem internen Fileserver runterladen haben gute Geschwindigkeiten (ca. 2-5 Sekunden für die besagte Datei, ist ja ein Upload für unsere interne Leitung), als auch der Upload von unserem internen Netz auf unsere Backup Plattform im Rechenzentrum (auch 2-5 Sekunden) ist gut. Wir haben auch 10k MBit/s Upload und die erreichen wir auch fast.
Somit kann ich sowohl die Internetverbindung, als auch die Site-to-Site Verbindungen vorerst ausschließen. Folglich muss es wohl an einer Konfiguration am SBS 2011 im RZ liegen. Wir haben die Maschine mit einem VMWare Converter einfach virtualisieren lassen und in dieser Hinsicht nichts an den Einstellungen geändert. Komisch ist auch, dass die Verbindung zustande kommt, allerdings eben sehr langsam ist.
Hat jemand eine Idee wo man hier anfassen könnte? Bitte nach Möglichkeit mit ausführlicher Beschreibung, da das ziemliches Neuland für mich ist.
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254348
Url: https://administrator.de/contentid/254348
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
den DC als VM in ein Rechenzentrum stellen, wer hatte diese "super" Idee?
Wenn über VPN versucht wird eine Datei von einer Freigabe runterzuladen was kommt da für eine Geschwindigkeit und was beim hochaden?
Ist der SBS da im RZ wenigstens noch durch eine echte Firewall geschützt oder steht der Blank im Internet nur mit Windowsfirewall?
Wenn auf dem SBS per RDP ein Download aus dem Internet gemacht wird, bzw ein Upload / speedtest, was kommt da zu stande?
Wie ist die Latenz ins RZ über das VPN?
Was für ein VPN?
Wie sind die Einstellungen?
Wie ist das mit OWA?
Wie ist die Anbindung über Outlook ohen VPN?
Wie ist die Anbindung über IMAP?
Gruß
Chonta
den DC als VM in ein Rechenzentrum stellen, wer hatte diese "super" Idee?
Wenn über VPN versucht wird eine Datei von einer Freigabe runterzuladen was kommt da für eine Geschwindigkeit und was beim hochaden?
Ist der SBS da im RZ wenigstens noch durch eine echte Firewall geschützt oder steht der Blank im Internet nur mit Windowsfirewall?
Wenn auf dem SBS per RDP ein Download aus dem Internet gemacht wird, bzw ein Upload / speedtest, was kommt da zu stande?
Wie ist die Latenz ins RZ über das VPN?
Was für ein VPN?
Wie sind die Einstellungen?
Wie ist das mit OWA?
Wie ist die Anbindung über Outlook ohen VPN?
Wie ist die Anbindung über IMAP?
Gruß
Chonta
war schon eine Schnapsidee, den AD-Server auszulagern, oder?!? Jetzt Wunden lecken und zurück ins LAN mit dem Ding.
Gruß, Arch Stanton
Gruß, Arch Stanton
Hallo,
Ist vielleicht der Virtualisierungshost überfordert?? Dass da der I/O der Festplatten und/oder die CPU das ganze stark limitieren?
Grüße
Hyper
P.S: Warum wurde der Kram ausgelagert?? Wenn da schon ein Fileserver läuft, dann kann daneben genausogut eine Kiste mit SBS stehen, den Unterschied macht es dann nicht mehr. Stattdessen hängt das Ding jetzt ohne Firewall im Netz...
Ist vielleicht der Virtualisierungshost überfordert?? Dass da der I/O der Festplatten und/oder die CPU das ganze stark limitieren?
Grüße
Hyper
P.S: Warum wurde der Kram ausgelagert?? Wenn da schon ein Fileserver läuft, dann kann daneben genausogut eine Kiste mit SBS stehen, den Unterschied macht es dann nicht mehr. Stattdessen hängt das Ding jetzt ohne Firewall im Netz...
Im übrigen,
über die VPN Verbindung läuft noch mehr als Eure Mails.
Alle Windowsclients erneuern ihre Kerberostikets über den DC, die DNS-Auflösung, Grupenrichtlinien usw....
Da kommt schnell was zusammen.
Viele kleine Anfragen können eine Leitung auch dicht machen.
Gruß
Chonta
über die VPN Verbindung läuft noch mehr als Eure Mails.
Alle Windowsclients erneuern ihre Kerberostikets über den DC, die DNS-Auflösung, Grupenrichtlinien usw....
Da kommt schnell was zusammen.
Viele kleine Anfragen können eine Leitung auch dicht machen.
Gruß
Chonta
Hi Chonta,
Wie gesagt, Upload auf den Server im RZ ist sehr langsam, Download vom Server im RZ ist normal. Der SBS steht hinter einer Cisco ASA, ja.
Beim Speedtest auf dem Server im RZ über RDP kommt 40.000kbit/s DL und 18.600 kbit/s UL raus.
den Server pinge ich mit 21ms im Schnitt.
Wir haben ein IKE IPsec VPN.
OWA funktioniert mit guter Geschwindigkeit.
Anbindung an Outlook ohne VPN war wie vor dem Umzug, also auch gut.
Anbindung über IMAP machen wir nicht.
Kann ich denn irgendwo sehen, ob es an den von dir im zweiten Post genannten Anfragen liegt?
LG
Wie gesagt, Upload auf den Server im RZ ist sehr langsam, Download vom Server im RZ ist normal. Der SBS steht hinter einer Cisco ASA, ja.
Beim Speedtest auf dem Server im RZ über RDP kommt 40.000kbit/s DL und 18.600 kbit/s UL raus.
den Server pinge ich mit 21ms im Schnitt.
Wir haben ein IKE IPsec VPN.
OWA funktioniert mit guter Geschwindigkeit.
Anbindung an Outlook ohne VPN war wie vor dem Umzug, also auch gut.
Anbindung über IMAP machen wir nicht.
Kann ich denn irgendwo sehen, ob es an den von dir im zweiten Post genannten Anfragen liegt?
LG
Hallo Hyper-V,
wo kann ich zu deinen Vermutungen Anzeichen finden?
Die Auslagerung hat stattgefunden, da wir sicherstellen mussten, dass unser Exchange ausreichend geschützt untergebracht ist. Es wurde sich gegen die Auslagerung eines zweiten Servers mit Exchange entschieden, da wir für alle Nutzer erneut Exchange Lizenzen hätten kaufen müssen, da diese zwar in den SBS Lizenzen mit drin sind, aber nur wenn der Exchange auch auf dem SBS betrieben wird. Das Ding hängt selbstverständlich nicht ohne Firewall im Netz, woher kommt die Annahme? Der Server befindet sich hinter einer Cisco ASA.
LG
wo kann ich zu deinen Vermutungen Anzeichen finden?
Die Auslagerung hat stattgefunden, da wir sicherstellen mussten, dass unser Exchange ausreichend geschützt untergebracht ist. Es wurde sich gegen die Auslagerung eines zweiten Servers mit Exchange entschieden, da wir für alle Nutzer erneut Exchange Lizenzen hätten kaufen müssen, da diese zwar in den SBS Lizenzen mit drin sind, aber nur wenn der Exchange auch auf dem SBS betrieben wird. Das Ding hängt selbstverständlich nicht ohne Firewall im Netz, woher kommt die Annahme? Der Server befindet sich hinter einer Cisco ASA.
LG
Hallo,
wie kann ein Server geschützter als in den eigenen 4 Wänden im abgeschlossenen Serveraum sein, wo nur die Admins reinkommen?
Der SBS ist nicht nur Mailserver der ist dein AD. Der Server steht jetzt im RZ, außerhalb des eigenen physikalischen Zugriffs im physikalishen Zugriffsbereich anderer..........
Für einen Server der LAN kritische Dienste bereitstellt und mit dem sich alle Clients permanent unterhalten wollen, ist das RZ kein guter Standort.
Wie ist der Dateiupload direkt über VPN auf den SBS?
Sind nur Outlookclients betroffen?
Gruß
Chonta
wie kann ein Server geschützter als in den eigenen 4 Wänden im abgeschlossenen Serveraum sein, wo nur die Admins reinkommen?
Der SBS ist nicht nur Mailserver der ist dein AD. Der Server steht jetzt im RZ, außerhalb des eigenen physikalischen Zugriffs im physikalishen Zugriffsbereich anderer..........
Für einen Server der LAN kritische Dienste bereitstellt und mit dem sich alle Clients permanent unterhalten wollen, ist das RZ kein guter Standort.
Wie ist der Dateiupload direkt über VPN auf den SBS?
Sind nur Outlookclients betroffen?
Gruß
Chonta
Zitat von @Chonta:
Hallo,
wie kann ein Server geschützter als in den eigenen 4 Wänden im abgeschlossenen Serveraum sein, wo nur die Admins
reinkommen?
Wir haben keinen Serverraum und der lässt sich in unseren Räumen auch nicht realisieren. Wir müssen bestimmte Sicherheitskriterien erfüllen (BSI Grundschutzkatalog) und diese können wir bei uns einfach nicht erreichen, deshalb die Auslagerung.Hallo,
wie kann ein Server geschützter als in den eigenen 4 Wänden im abgeschlossenen Serveraum sein, wo nur die Admins
reinkommen?
Der SBS ist nicht nur Mailserver der ist dein AD. Der Server steht jetzt im RZ, außerhalb des eigenen physikalischen
Zugriffs im physikalishen Zugriffsbereich anderer..........
Da das Rechenzentrum die Kriterien erfüllt, welche wir brauchen, ist das für uns die richtige Lösung. Für den der letztendlich die Gegebenheiten prüft, ist die Zertifizierung des Rechenzentrum ausreichend, wohingegen wir in unseren Räumen, wie gesagt, die Sicherheitskriterien nicht erfüllen können.Zugriffs im physikalishen Zugriffsbereich anderer..........
Für einen Server der LAN kritische Dienste bereitstellt und mit dem sich alle Clients permanent unterhalten wollen, ist das
RZ kein guter Standort.
Das ist richtig, allerdings wurde das so entschieden, das ist nichts worüber ich diskutieren kann. Eine Auslagerung des Exchange alleine wäre besser gewesen, allerdings hätten wir dann, wie in meiner anderen Antwort bereits geschildert, komplett neue Lizenzen kaufen müssen.RZ kein guter Standort.
Wie ist der Dateiupload direkt über VPN auf den SBS?
Sind nur Outlookclients betroffen?
Der Upload ist sehr langsam (2 min für 5 MB), Download ist gut. Der Upload auf einen anderen Server im RZ (eine Synology RackStation) funktioniert tadellos.Sind nur Outlookclients betroffen?
Als Zusatzinfo ist vielleicht noch ganz nützlich, dass wir von den Mitarbeitern gesehen keine große Firma sind. mehr als 20 Leute in unserem Standort und 10 Leute von außen sind nie mit dem Server verbunden.
LG
Hallo,
wenn das wegen Zertifizierung so sien muss kann keiner was dafür (auch wenns technischer Mist ist, können wir Admins nur den Kopf schütteln).
Da auch der Upload auf den SBS über das VPN langsam ist.....
Geht bei Euch die gesammte Kommunikation aus dem Büro über das eine VPN über die auch der SBS erreichbar ist?
Wenn der Server über nicht VPN von Außen normale Geschindigkewit liefert und Du auch über RDP Upload und Download gute Resultate hast...
Was mich verwundert ist 40.000kbit/s DL und 18.600 kbit/s UL auf dem Server wenn du mit RDP drauf mist.
Wie ist denn der Server angebunden im RZ hat der da nur DSL oder einen richtigen 100mbit/gbit Port und den Speed dazu?
Vor allem warum ist im RZ der Download höher als der Upload? Sollte gleich sein bzw der Upload höher??
Was sagen die Warteschlangen vom Server?
Was sagt der Thunderbirdclient der über smtp und IMAP Mails sendet und Empfängt ist über den auch alles langsam?
(Vom Brüro und draußen)
Wenn der Server wie gesagt von Außen allles normal mitmacht und UL/DL so stimmen (auch wenn die komishc sind) dann kann nur noch was am VPN selber nicht so stimmen.
Oder die Netzwerkkarte einstellungen des Servers in Verbindung mit VPN.
Gruß
Chonta
wenn das wegen Zertifizierung so sien muss kann keiner was dafür (auch wenns technischer Mist ist, können wir Admins nur den Kopf schütteln).
Da auch der Upload auf den SBS über das VPN langsam ist.....
Geht bei Euch die gesammte Kommunikation aus dem Büro über das eine VPN über die auch der SBS erreichbar ist?
Wenn der Server über nicht VPN von Außen normale Geschindigkewit liefert und Du auch über RDP Upload und Download gute Resultate hast...
Was mich verwundert ist 40.000kbit/s DL und 18.600 kbit/s UL auf dem Server wenn du mit RDP drauf mist.
Wie ist denn der Server angebunden im RZ hat der da nur DSL oder einen richtigen 100mbit/gbit Port und den Speed dazu?
Vor allem warum ist im RZ der Download höher als der Upload? Sollte gleich sein bzw der Upload höher??
Was sagen die Warteschlangen vom Server?
Was sagt der Thunderbirdclient der über smtp und IMAP Mails sendet und Empfängt ist über den auch alles langsam?
(Vom Brüro und draußen)
Wenn der Server wie gesagt von Außen allles normal mitmacht und UL/DL so stimmen (auch wenn die komishc sind) dann kann nur noch was am VPN selber nicht so stimmen.
Oder die Netzwerkkarte einstellungen des Servers in Verbindung mit VPN.
Gruß
Chonta
Hallo Hamsert,
da du geschrieben hast, dass das Ding auf einer VM läuft, bin ich davon ausgegangen, dass das eine Standard VM á la Strato usw. ist. Diese haben m.W.n keine Firewall. Wenn du eine davor hast, ist gut
Zur Auslastung: Ruf mal im RZ an und frag, was/wieviel neben deiner VM da noch drauf läuft. Der I/O ist bei den Standard VMs ja Shared (oder ist das anders bei euch geregelt?), wenn den einer komplett aufsaugt, dann hat der Rest nichts mehr. Kannst du z.B. nachts schneller hochladen oder ist die Uploadgeschwindigkeit gleich langsam?
Viele Grüße,
Hyper.
da du geschrieben hast, dass das Ding auf einer VM läuft, bin ich davon ausgegangen, dass das eine Standard VM á la Strato usw. ist. Diese haben m.W.n keine Firewall. Wenn du eine davor hast, ist gut
Zur Auslastung: Ruf mal im RZ an und frag, was/wieviel neben deiner VM da noch drauf läuft. Der I/O ist bei den Standard VMs ja Shared (oder ist das anders bei euch geregelt?), wenn den einer komplett aufsaugt, dann hat der Rest nichts mehr. Kannst du z.B. nachts schneller hochladen oder ist die Uploadgeschwindigkeit gleich langsam?
Viele Grüße,
Hyper.
Hi,
Aber auch in diesem Fall sollte man das Ding ordentlich Sizen. Das hier ist im Prinzip ein Knieschuss mit Querschläger - die Daten lagern also jetzt quasi hier (im Büro - weiterhin ungeschützt) und dort - Physikal free? Well Done kann man da nur sagen, wer hat das denn geplant? In eurem Fall würde ich fast soweit gehen, dass man das komplette Design nochmal auf die Probe stellt. Bei Bedarf kann ich mich dem auch gerne annehmen.
20 Leute sind trotzdem schon ein Menge, wenn man bedenkt, dass bei 3-4 Leuten ab und zu schon eine GBE Anbindung (125MB Brutto) bei entsprechender Nutzung knapp werden kann.
Grüße,
Christian
Aber auch in diesem Fall sollte man das Ding ordentlich Sizen. Das hier ist im Prinzip ein Knieschuss mit Querschläger - die Daten lagern also jetzt quasi hier (im Büro - weiterhin ungeschützt) und dort - Physikal free? Well Done kann man da nur sagen, wer hat das denn geplant? In eurem Fall würde ich fast soweit gehen, dass man das komplette Design nochmal auf die Probe stellt. Bei Bedarf kann ich mich dem auch gerne annehmen.
20 Leute sind trotzdem schon ein Menge, wenn man bedenkt, dass bei 3-4 Leuten ab und zu schon eine GBE Anbindung (125MB Brutto) bei entsprechender Nutzung knapp werden kann.
Grüße,
Christian
Ich kann inzwischen den Fehler relativ nah eingrenzen, da bei der Migration des Servers schon aufgefallen ist, dass die Netzkommunikation sehr langsam war (das erfahre ich erst jetzt..) Anscheinend ist irgendwas an der Netzwerkkarte faul. Nun ist der Server ja virtualisiert, d.h. einen Hardwarefehler kann man schon mal ausschließen.
Es handelt sich um eine Intel PRO/1000 MT-Netzwerkkarte. Gibt es da irgendwelche Einstellungen die ich überprüfen kann, bzw. sonst irgendeine Idee in die Richtung?
Irgendwas in den Einstellungen der Netzwerkkarte unter Erweitert?
LG
Es handelt sich um eine Intel PRO/1000 MT-Netzwerkkarte. Gibt es da irgendwelche Einstellungen die ich überprüfen kann, bzw. sonst irgendeine Idee in die Richtung?
Irgendwas in den Einstellungen der Netzwerkkarte unter Erweitert?
LG
Hallo,
wenn bei der Migration schon aufgefallen wird as es nicht richtig läuft, warum wurde nicht abgebrochen bis eine Lösung gefunden wurde?
Sind die VM-Treiber/Tools des Virtualisierers schon ordnungsgemäß installiert?
Kann man bei der Netzwerkkartenauswahl für die VM auch andere Modelle wählen? - Wenn ja mal durchprobieren.
Dafür muss die VM aber kurz ausgeschaltet werden, die Einstellungen geändert werden, neu gstartet, getestet und so weiter.
Gruß
Chonta
wenn bei der Migration schon aufgefallen wird as es nicht richtig läuft, warum wurde nicht abgebrochen bis eine Lösung gefunden wurde?
Sind die VM-Treiber/Tools des Virtualisierers schon ordnungsgemäß installiert?
Kann man bei der Netzwerkkartenauswahl für die VM auch andere Modelle wählen? - Wenn ja mal durchprobieren.
Dafür muss die VM aber kurz ausgeschaltet werden, die Einstellungen geändert werden, neu gstartet, getestet und so weiter.
Gruß
Chonta
Hallo Chonta,
die Sache hat sich inzwischen erledigt. Es lag an unserem zentralen Switch der im Serverschrank läuft. Anscheinend wurde dieser über die Jahre, aus welchen Gründen auch immer, sehr langsam. Ein Werksreset hat es getan und nun funktioniert alles wie es soll.
LG
Hamsert
die Sache hat sich inzwischen erledigt. Es lag an unserem zentralen Switch der im Serverschrank läuft. Anscheinend wurde dieser über die Jahre, aus welchen Gründen auch immer, sehr langsam. Ein Werksreset hat es getan und nun funktioniert alles wie es soll.
LG
Hamsert
