Forums Neueste Beiträge
 

Performanceprobleme bei ISA Server Standort-zu-Standort Verbindung

17/05/2009 - 12:06 von Markus Schuhmacher | Report spam
Hallo NG,

wir haben bei einem Kunden einen ISA Server 2006 in der Zentrale stehen. Der
Kunde hat weitere 3 Standorte, die früher per OpenVPN oder sonstiges über
einen PC oder Server an eine Linux Firewall (in der Zentrale) angebunden
waren. Als wir das übernommen haben, wollten wir das Netz vereinheitlichen
und haben die Linux Firewall entfernt und haben das dort angeschlossene Netz
and den ISA Server angeklemmt.
Zusàtzlich haben wir bei den Außenstandorten neue Router gekauft und beim
ISA Server eine Standort-zu-Standort Verbindung eingerichtet (über IPSec).
Alle Standorte besitzen feste IP Adressen. Die Router, die wir im Einsatz
haben sind Netgear FVS338. Jetzt sind alle Zweigstellen über den ISA Server
angeschlossen.

Das Netz in der Zentrale hat 2 Subnetze (10.10.10.0/24 und 192.168.1.0/24).
In dem 192.168.1.0 Netz befindet sich ein CRM Server, worauf alle Zugriff
haben. Ebenso die Außenstandorte.

Technisch funktioniert das soweit, die Verbindung steht und alles ist
anpingbar und aufrufbar. Nur performancetechnisch ist das nicht optimal, bzw.
nicht akzeptabel.
An einem der drei Zweigstellen arbeiten etwas mehr Leute, deshalb haben
diese einen Server, welcher Domaincontroller, DHCP und DNS macht. Die PCs (6)
vor Ort sind in der Domain und arbeiten direkt mit dem CRM Client lokal und
nicht auf einem Terminalserver. Dort fallen die Performanceprobleme natürlich
am deutlichsten auf, da die anderen Zweigstellen nur über Terminalserver
arbeiten.
Das größte Problem ist der Aufruf der CRM Webseite von dem Standort aus. Es
dauert ersten eine Ewigkeit, bis vom CRM Server eine Rückmeldung kommt, dann
dauert es noch eine Ewigkeit, bis die Seite geladen ist.

Folgendes wurde bereits gemacht / kann ausgeschlossen werden.
- Am CRM Server liegt es nicht, andere Server sind im Zugriiff auch
langsam, ebenso Server im LAN 1 der Zentrale
- An den Netgear Router liegt es nicht, da wir diesen bereits durch einen
Linksys RV042 ausgetauscht hatten und die gleichen Performanceprobleme
bestanden. Zusàtzlich haben wir eine normale VPN Verbindung über den RRAS
Server (der oben erwàhnt wurde) an der Zweigstelle getestet. Wenn dieser
Server eine normale VPN Verbindung aufbaut, ist der Aufruf föllig normal und
performant. Aber; zum Test haben wir in der Zentrale einen Netgear FVS338
aufgestellt, wo die anderen sich drauf verbunden haben. In diesem Fall war
die Performance sehr gut, also liegt es nicht an den Routern.

Irgendwelche Ideen?
 

Lesen sie die antworten

#1 Jens Baier
17/05/2009 - 12:32 | Warnen spam
Hi,

wir haben bei einem Kunden einen ISA Server 2006 in der Zentrale stehen.
Der
Kunde hat weitere 3 Standorte, die früher per OpenVPN oder sonstiges über
einen PC oder Server an eine Linux Firewall (in der Zentrale) angebunden
waren. Als wir das übernommen haben, wollten wir das Netz vereinheitlichen
und haben die Linux Firewall entfernt und haben das dort angeschlossene
Netz
and den ISA Server angeklemmt.



recht so!

Zusàtzlich haben wir bei den Außenstandorten neue Router gekauft und beim
ISA Server eine Standort-zu-Standort Verbindung eingerichtet (über IPSec).
Alle Standorte besitzen feste IP Adressen. Die Router, die wir im Einsatz
haben sind Netgear FVS338. Jetzt sind alle Zweigstellen über den ISA
Server
angeschlossen.



ja, geht so mit den teilen. Nicht die pralle Welle mit den Netgear, aber OK!

Das Netz in der Zentrale hat 2 Subnetze (10.10.10.0/24 und
192.168.1.0/24).
In dem 192.168.1.0 Netz befindet sich ein CRM Server, worauf alle Zugriff
haben. Ebenso die Außenstandorte.



OK

Technisch funktioniert das soweit, die Verbindung steht und alles ist
anpingbar und aufrufbar. Nur performancetechnisch ist das nicht optimal,
bzw.
nicht akzeptabel.



und was ist langsam? Nur CRM und was wenn nur CRM genau?

An einem der drei Zweigstellen arbeiten etwas mehr Leute, deshalb haben
diese einen Server, welcher Domaincontroller, DHCP und DNS macht. Die PCs
(6)
vor Ort sind in der Domain und arbeiten direkt mit dem CRM Client lokal
und
nicht auf einem Terminalserver. Dort fallen die Performanceprobleme
natürlich
am deutlichsten auf, da die anderen Zweigstellen nur über Terminalserver
arbeiten.



ist denn ausser CRM noch etwas langsam? War das vorher alles schnell, bevor
Ihr von OpenVPN umgestiegen seid?

Das größte Problem ist der Aufruf der CRM Webseite von dem Standort aus.
Es
dauert ersten eine Ewigkeit, bis vom CRM Server eine Rückmeldung kommt,
dann
dauert es noch eine Ewigkeit, bis die Seite geladen ist.



und danach ist alles schnell? Ist sonst alles, was Webaufrufe macht auch
schnell?

Folgendes wurde bereits gemacht / kann ausgeschlossen werden.
- Am CRM Server liegt es nicht, andere Server sind im Zugriiff auch
langsam, ebenso Server im LAN 1 der Zentrale



ah, also alles ist langsam aus dem Standort mit dem DC?! Wie hoch ist die
Bandbreite, was ergeben Deine Netzwerkmessungen bzgl. Latenz / Auslastung
der Systeme?

- An den Netgear Router liegt es nicht, da wir diesen bereits durch einen
Linksys RV042 ausgetauscht hatten und die gleichen Performanceprobleme
bestanden.



vermutest Du, dass die VPN Router so langsam sind? Die sollte doch
eigentlich mit einem VPN und ein paar Benutzern klar kommen? Evtl. liegt es
an der Verbindung?

Zusàtzlich haben wir eine normale VPN Verbindung über den RRAS
Server (der oben erwàhnt wurde) an der Zweigstelle getestet. Wenn dieser
Server eine normale VPN Verbindung aufbaut, ist der Aufruf föllig normal
und
performant. Aber; zum Test haben wir in der Zentrale einen Netgear FVS338
aufgestellt, wo die anderen sich drauf verbunden haben. In diesem Fall war
die Performance sehr gut, also liegt es nicht an den Routern.



ah OK, dann sieht es nach der Kombi ISA und Router aus?
Was fuer ein VPN habt Ihr? PPTP / IPSEC?
Ausser, dass Du die Einstellungen des VPN nochmal auf beiden Seiten pruefen
solltest, haette ich keine Idee. Also gerade die "harten"
Netzwerk-Einstellungen wie MTU, Paket Fragmentierung usw. solltest Du mal
pruefen.
Testhalber auch mal in den Standort einen ISA zum testen haengen. Kannst ja
eine VM nehmen und mit den beiden ISA dann eine S2S aufbauen.
Wenn es dann nicht hilft, ist so eine Diagnose per Newgsoup immer sehr
schwer

Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/p...Marc.Grote
http://blog.it-training-grote.de

Ähnliche fragen