Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Langsamer Netzwerkverkehr nachdem IPSec aktiviert wurde

XXTomXX1 / 5 Antworten / Baumansicht Nickles

Hallo Leute,

ich habe einen Windows Server 2003 Domänencontroller laufen. Auf den Clients ist Windows XP installiert. Außerdem laufen auf dem Domänencontroller ein DNS, DHCP, Druck- und Datei Server. Die Clients werden über die Gruppenrichtlinien gesteuert.

Um den Netzwerkverkehr abhörsicherer zu machen habe ich die IP-Sicherheitsrichtlinie in der Default Domain Policy und in der Default Domain Controller Policy aktiviert - und zwar eine vordefinierte Regel "Server (Request Security)".

Nachdem diese aktiviert wurde und die Gruppenrichtlinien auf Server und Clients aktualisert wurden, läuft der gesamte Netzwerkverkehr sehr langsam. Der Zugriff auf einen freigegebenen Ordner dauert ca. 5 Minuten. Die Benutzer können sich mit ihren servergespeicherten Profilen nicht anmelden, da es zum Timeout kommt.

An was kann das liegen? Muss ich ggf. noch mehr in der IPSec Richtlinie konfigurieren?

Vielen Dank schon mal für die Hilfe

XXTomXX1

GarfTermy XXTomXX1

„Langsamer Netzwerkverkehr nachdem IPSec aktiviert wurde“

Optionen

zunächst muß man übder sinn und unsinn von ipsec nachdenken.

in einem netz, was von außen nicht erreichbar ist, macht ipsec keinen sinn. abhörsicher... wer soll denn da was abhören?

ansonsten bedeutet eine verschlüsselung immer, das auch rechenleistung dafür benötigt wird, das netzwerk wird also zwangsweise langsamer. wenn zugriffe so lange dauern, ist meist die namensauflösung fehlerhaft.

prüfe:

dns forward und revers
wins

;-)

XXTomXX1 GarfTermy

„zunächst muß man übder sinn und unsinn von ipsec nachdenken. in einem netz,...“

Optionen

Da das Netz von außen erreichbar ist, u.a. Internet, WLAN und Powerline macht IPSec auf jeden Fall Sinn.

DNS Forward und reverse müssten einwandfei funktionieren.
Ich habe dies mit dem Kommandozeileinbefehl "nslookup" überprüft. Der Computername als auch die IP Adresse wird aufgelöst.
Gibt es evtl. eine andere/bessere Überprüfungsmethode?

Ein WINS Server ist nicht eingerichtet.

GarfTermy XXTomXX1

„Da das Netz von außen erreichbar ist, u.a. Internet, WLAN und Powerline macht...“

Optionen

"...Da das Netz von außen erreichbar ist, u.a. Internet, WLAN und Powerline macht IPSec auf jeden Fall Sinn...."

das bedeutet aber nicht automatisch, das ipsec das mittel der wahl ist. wenn ein netz von außen erreichbar ist, sind die innerhalb des netzes versendeten pakete außen nicht zu sehen.

ipsec/vpn macht dann sinn, wenn deine daten DURCH ein nicht sicheres netz hindurch müssen und du den übertragungsweg nicht unter deiner kontrolle hast.

"...DNS Forward und reverse müssten einwandfei funktionieren...."

müßten heißt, du weißt es nicht...

"...Ein WINS Server ist nicht eingerichtet...."

so? einen WINS braucht man, auch wenn dir diverse kollegen das gegenteil erklären...

XXTomXX1 GarfTermy

„ ...Da das Netz von außen erreichbar ist, u.a. Internet, WLAN und Powerline...“

Optionen

Also DNS funktioniert einwandfrei (keine Fehlermeldung in der Ereignisanzeige, mit nslookup werden alle Namen und IP Adresse aufgelöst)

Ich habe nun auch einen WINS Server auf dem Windows Server 2003 Domänencontroller eingerichtet (Dies ist der einzige Server im Netzerk)

Ich habe außerdem folgende Einstellungen vorgenommen:

- DHCP Server - Bereichsoptionen - WINS/NBNS-Server = meine Server IP Adresse
- DNS Server - _mscds.xxx(Domänenname) - WINS Forward Lookup = meine Server IP Adresse
- DNS Server - xxx(Domänenname) - WINS Forward Lookup = meine Server IP Adresse
- DNS Server - Reverse Lookupzone - WINS-R-Lookup - xxx(meine Domäne)

Sind diese Einstellungen richtig?? Muss ich noch etwas konfigurieren, z.B. im WINS Server MMC ??

Wenn alles passt, dann probier ich das mit der IP Sicherheitsrichtlinie nochmal.

Vielen Dank schon mal

GarfTermy XXTomXX1

„Also DNS funktioniert einwandfrei keine Fehlermeldung in der Ereignisanzeige,...“

Optionen

"...Wenn alles passt, dann probier ich das mit der IP Sicherheitsrichtlinie nochmal...."

...selbst wenn alles paßt habe ich das starke gefühl, dass du ipsec völlig falsch einsetzt - dein problem ist die wahl des RICHTIGEN mittels.

aber mach ruhig weiter.

;-)