andigarcia
Goto Top

Standortvernetzung Performanceprobleme

Standortvernetzung via VPN - Probleme mit Server-Freigaben

Hallo liebe Leser,

seit mehr als einem Jahr haben wir unsere Geschäftsstelle in Köln an unser Stammhaus in Münster angebunden. Dabei wird folgende Konstellation genutzt:

in Münster:
- 4 MBit/s Standleitung zum Internet
- Cisco VPN Concentrator

in Köln:
- 2,3 MBit/s SHDSL Internetanschluss
- Cisco VPN Concentrator

Sämtliche Server (Mail, File,...) stehen in Münster, in Köln selbst befinden sich nur zwei Drucker (ohne Verbindung zum münsteraner Printserver), ein Switch, die Telefonanlage und der genannte VPN-Concentrator. Die Anbindung an sich liefert die erwarteten Transferraten. In Köln verwenden Outlook-Nutzer den Offline-Cache, das funktioniert sehr gut, der Zugriff auf Intranet-Seiten (HTTPS) und das Internet via münsteraner Proxy ist ebenfalls ausreichend performant. Das Öffnen von Dateien des Fileservers ist entsprechend der verfügbaren Bandbreite recht langsam. Das eigentliche Problem ist aber das Navigieren in Fileserver-Freigaben. Teilweise brauch ein Ordner mit 10 Unterordnern mehr als 20 Sekunden zum Auflisten. Selten stürzt der ganze Explorer dabei ab.
Derselbe Zugriff via Kommandozeile gelingt hingegen in Sekunden. Ein Test mit dem Total Commander ergab ähnlich lange Wartezeiten, wie beim Windows Explorer. Aktivierte Offline Folder sind leider keine Lösung - das Synchronisieren bei meinen Anwendern dauert teilweise bis zu einer Stunde. Woran liegt das?

In Kürze ist eine Erhöhung der Bandbreite in Köln geplant. Ich vermute, dass die Problematik mit der Ordnerauflistung nicht verschwinden wird, sondern sich höchstens ein wenig abschwächen wird. Als einzige Alternative hat sich die Benutzung von Webdav ergeben, doch fehlen hier einige (benötigte) Funktionen der normalen Windows-Freigaben.

Was kann man tun?
Ab welcher Bandbreite würde das Problem in den Hintergrund rücken?

In Köln sitzen zwischen 2 und 7 Benutzer. Sie alle haben unterschiedliche Arbeitsbereiche. Jemand der dort nur surft, recherchiert und lokal Dateien bearbeitet kommt gut klar. Jemand der geteilte Ressourcen aus Münster nutzt als Vertriebler arbeitet (mal eben schnell ein Angebot öffnen, ein Mitarbeiterprofil öffnen, Word, Excel, Powerpoint...) kann nicht flüssig arbeiten.

Wie realisiert ihr solche Anforderungen?

Viele Grüße und vielen Dank fürs Lesen (und vielleicht antworten)

Content-ID: 109577

Url: https://administrator.de/contentid/109577

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

Dani
Dani 20.02.2009 um 14:15:31 Uhr
Goto Top
Hallöchen,
ob die Bandbreite wirklich das Problem, kann ich mir nicht so recht vorstellen. Am Besten du schaust mal nach, wie stark der Tunnel belastet wird. Dann siehst du ganz schnell ob es an der Anbindung liegt. Ansonsten wäre vllt. QoS noch eine Funktion die Abhilfe schaffen könnte. Diese wird von fast jeden Cisco IOS unterstützt.


Grüße,
Dani
jadefalke
jadefalke 20.02.2009 um 16:32:24 Uhr
Goto Top
Hallo,

das Phänomen konnte ich auch beobachten über VPN Leitungen an unsere anderen Standorte.
Meist waren es das Auflisten von Ordnern udn Dateien auf Freigaben oder das Öffnen eines Word Dokumentes.

Nach langem hin und her, haben wir festgestellt dass der Virenscanner den wir nutzen schuld daran war. Besser gesagt die Echtzeitüberwachung.
Nachdem diese per Richlinie abgestellt wurde, war das Öffnen der Dateien deutlich schneller geworden.
Ist nur so eine Idee
Dani
Dani 20.02.2009 um 16:58:55 Uhr
Goto Top
@jaefalke
Ganz richtig...Virenscanner prüfen in der Standardeinstellung auch Netzwerkpfade. Einfach die UNC-Pfade ausschließen - nicht komplett beenden!!


Grüße,
Dani
jadefalke
jadefalke 20.02.2009 um 17:10:08 Uhr
Goto Top
Ja das Ausschliessen von Pfaden ist auch bekannt, das wäre nur sehr viele PC´s auf die viele unterschiedlichen Richlinien die auf sehr viele unterschiedlichen Pfade zugreifen.
Wer eher wenige PC´s und wenige Pfade hat, ist natürlich das "Ausschliessen" zu empfehlen.

Das ganze kommt natürlich auch immer auf die Virensoftware an die im Einsatz ist.
Rafiki
Rafiki 20.02.2009 um 21:47:35 Uhr
Goto Top
Die Bandbreite würde ich, wie schon erwähnt, überwachen. Ich bevorzuge dafür MRTG, mit PRTG geht es einfacher.

Zusätzlich tritt hier aber auch das Problem der Latenzzeiten, also die Übertragungsdauer oder PING Zeit auf. Bei einem http oder ftp Download stört das weniger weil nur eine einfache TCP Verbindung genutzt wird und die Daten via TCP übertragen werden. Dabei kommt ein s.g. Sliding Window zum Einsatz. Der Server schickt z.B. 60 Pakete los, der Client beantwortet den Empfang der ersten 45 damit der Server dann die nächsten Pakete los schickt ohne zu warten bis auch das 60st. Angekommen ist. Dieses Fenster wird flexibel angepasst um der Bandbreite und den aktuellen Paketlaufzeiten gerecht zu werden. Siehe auch: http://de.wikipedia.org/wiki/Transmission_Control_Protocol
Dort insbesondere den Abschnitt: "Beispiel einer TCP-/IP-Datenübertragung", und dann weiter "Flusssteuerung"

Leider, leider, leider... Microsoft macht vieles ein wenig anders. Um eine Word 2003 Datei zu öffnen werden zuerst die 6KB am Anfang und dann die ca. 15KB am Ende der Datei gelesen. Am Ende steht wer die Datei zuletzt geöffnet und gedruckt hat, ggf. Verschlüsselung, weitere Objekte. Denn in einer Office 2003 Datei ist intern so eine Art FAT Dateisystem mit weiteren Objekten, Bilder, Makros usw. Die nächsten Zugriffen hängen dann von dem Inhaltsverzeichnis am Ende der Datei ab. Dieses hin und her springen in den Zugriffen macht eine effiziente TCP Verbindung mit Sliding Window Optimierung unmöglich.
Ähnliche Probleme ergeben sich wenn man durch die Verzeichnisse blättert. Es dauert ewig bis der Explorer alle Dateien angefasst hat um die Icons darzustellen. Jedes mal müssen einige wenige Pakete durch die Verschlüsselung, die Firewall den einen Internet Provider, das den anderen Provider wieder eine Firewall und die Entschlüsselung. In einem LAN hat man in der Regel eine PING Zeit von 1ms. Über eine DSL Leitung typisch 30ms, über ein VPN oft 70ms. Diese 70ms * 100 Icons laden = kleine Ewigkeit für wartende Benutzer.

Es gibt z.B. von Riverbed und deren Wettbewerbern eine Box die auf beiden Standorten in das Netzwerk eingebaut wird. Die Box behauptet von sich jeweils der Server von der anderen Seite zu sein. Damit wird das lesen einer Word (MS Office) Datei oder auch nur das stöbern in den Verzeichnissen abgefangen und die Anfrage wird sehr viel effizienter an die zweite Box weitergeleitet, typisch 3 Pakete die sofort gesendet werden ohne auf eine Bestätigung zu warten oder erst eine Verbindung aufzubauen. Umgehend lädt die zweite Box die ganze Datei, sortiert das Dateiende nach vorne und beginnt mit der Übertragung zu der ersten Box. Der Client bekommt ganz normal die ersten paar KB, fragt dann nach dem ende der Datei und bekommt auch dieses sofort von der Box auf seiner Seite. Word öffnet die Datei augenblicklich, mit der ersten Seite, während der Rest noch geladen wird.

Zusätzlich werden die Daten komprimiert und liegen in einem Cache, typischerweise einige 100MB RAM + Festplatte in der Box. Wenn also ein zweiter Kollege die Datei öffnet, oder am nächsten Tag erneut lädt dann sind die Daten lokal noch vorhanden, es wird nur schnell geprüft ob noch die nötigen Dateiberechtigungen vorhanden sind oder ob evtl. die Datei an dem entfernten Standort zum schreiben geöffnet ist damit der Benutzer dann die Datei, wie gewohnt, nur lesend öffnen darf. Beim schreiben werden nur die tatsächlichen Änderungen übertragen. Wie bei rsync, bekannt von Linux.

Das passiert alles ohne eine Software auf die PCs bzw. Notebooks zu installieren. Gibt es für kleine Büros aber auch als reine Softwarelösung auf den Notebooks und eine Hardware in der Zentrale. Das variiert bei den Herstellern, siehe unten, in Möglichkeiten Optionen und Preisen erheblich. Diese coolen Tricks lassen die Hersteller sich stolz bezahlen. Aber es ist billiger als sich eine 100MBit Leitung zu mieten und definitiv schlauer als den ganzen Server an alle Standorte zu kopieren.

Alternativ würde ich vorschlagen alles zu unternehmen um die Latenzzeit zu reduzieren. Beide DSL Anschlüsse bei einem Anbieter damit Route im Internet optimiert wird und FastPath für die DSL Leitung einschalten lassen. Es hat sich auch bewährt eine zweite DSL Leitung zum surfen im Internet einzurichten um damit die VPN Leitungen zu entlasten.

Ich hoffe das erklärt dir ein wenig woher das Problem kommt.

Gruß Rafiki

PS: Wettbewerber Juniper WXC, Cisco WAAS, BlueCoat SG.
Wenn noch jemand weitere kennt bitte hier posten!