9
Remote Desktop Verbindungsabbrüche über Lancom
Hallo,
ich bin am verzweifeln und mein Kunde ist langsam stinksauer.
Szenario:
5 Standorte sind über Lancoms mit der Verwaltung über VPN gekoppelt.
Lancom 800 steht in der Verwaltung. Bisher ohne Probleme.
Standort 1 hat einen TDSL-Business Anschluß. Die USer arbeiten via RDP auf dem Terminalserver der Verwaltung. Keine Probleme. Jetzt hat Standort 1 einen Company Connect von der Telekom bekommen. Habe diesen auf einer Lancom 1611+ eingerichtet. Internet funzt. Komme mit Advanced VPN Client auch drauf. Bestens. Jetzt habe ich eine VPN-Verbindung von Standort 1 über den Company Connect zur Verwaltung eingerichtet. VPN-Tunnel steht. Die User melden sich via RDP an. Auch gut. Sobal die USer die RDP-Verbindung in die Taskleiste legen, wird die Verbindung nach kurzer Zeit getrennt. Seit diese Verbindung besteht werde ich auch mit meinem Advanced CLient regelmäßig in unregelmäßigen Abständen rausgeschmissen.
Das seltsame ist, das, wenn ich die VPN-Verbindung wieder über den DSL-Business Anschluß einrichte, können die USer ganz normal arbeiten. Laut Telekom sei die Lancom eventuell defekt. Neue LAncom hingestellt und trotzdem das gleiche Problem.
Ich weiß nicht mehr weiter. Habe auch mal die MTU in der LAncom auf 1456 gesetzt (Laut Telekom).
Kein Erfolg. An dem Problem sitze ich jetzt seit 2 Wochen. Mein Kunde zweifelt langsam an meiner Kompetenz
Für Hilfe bin ich sehr dankbar.
Gruss
Christian
ich bin am verzweifeln und mein Kunde ist langsam stinksauer.
Szenario:
5 Standorte sind über Lancoms mit der Verwaltung über VPN gekoppelt.
Lancom 800 steht in der Verwaltung. Bisher ohne Probleme.
Standort 1 hat einen TDSL-Business Anschluß. Die USer arbeiten via RDP auf dem Terminalserver der Verwaltung. Keine Probleme. Jetzt hat Standort 1 einen Company Connect von der Telekom bekommen. Habe diesen auf einer Lancom 1611+ eingerichtet. Internet funzt. Komme mit Advanced VPN Client auch drauf. Bestens. Jetzt habe ich eine VPN-Verbindung von Standort 1 über den Company Connect zur Verwaltung eingerichtet. VPN-Tunnel steht. Die User melden sich via RDP an. Auch gut. Sobal die USer die RDP-Verbindung in die Taskleiste legen, wird die Verbindung nach kurzer Zeit getrennt. Seit diese Verbindung besteht werde ich auch mit meinem Advanced CLient regelmäßig in unregelmäßigen Abständen rausgeschmissen.
Das seltsame ist, das, wenn ich die VPN-Verbindung wieder über den DSL-Business Anschluß einrichte, können die USer ganz normal arbeiten. Laut Telekom sei die Lancom eventuell defekt. Neue LAncom hingestellt und trotzdem das gleiche Problem.
Ich weiß nicht mehr weiter. Habe auch mal die MTU in der LAncom auf 1456 gesetzt (Laut Telekom).
Kein Erfolg. An dem Problem sitze ich jetzt seit 2 Wochen. Mein Kunde zweifelt langsam an meiner Kompetenz
Für Hilfe bin ich sehr dankbar.
Gruss
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62767
Url: https://administrator.de/contentid/62767
Printed on: April 26, 2024 at 14:04 o'clock
9 Comments
Latest comment
Hallo,
da würde ich darauf bestehen, dass die Telekom die Leitung mal richtig durchmisst (langzeitmessung). So ähnlich war das bei uns auch bis vor kurzem. Da brauchen am zweiten Standort auch immer die Citrixsessions zusammen. Ende vom Lied: Die Telekom hat und ein neues Kable ins Gebäude gebuddelt.
Ralf
da würde ich darauf bestehen, dass die Telekom die Leitung mal richtig durchmisst (langzeitmessung). So ähnlich war das bei uns auch bis vor kurzem. Da brauchen am zweiten Standort auch immer die Citrixsessions zusammen. Ende vom Lied: Die Telekom hat und ein neues Kable ins Gebäude gebuddelt.
Ralf
Wenn die Verbindung ueber den T-DSL Business Anschluss sauber läuft, ist doch klar, dass es am CompanyConnect Anschluss hängt ;o) Wir setzen ebenfalls Lancom für VPN Verbindungen ein und wenn davon mal einer Defekt ist, wirkt sich das auch auf die Internetverbindung aus... lässt sich also recht fix nachprüfen.
Mal was anderes, die VPN Verbindung wird aber gänzlich gekillt oder? Nicht, dass der Terminalserver da die Verbindung wegen einer unglücklichen Einstellung Usergezielt killt. Das hab ich schonmal verbockt :o/
hast du mal nen PC mit dem LanMonitor 24h mitloggen lassen? Da lässt sich das an sich recht schnell sehen, weil der auch alle VPN Verbindungen und die Verbindungsaufbauten mitloggt. Wie gross ist denn der Abstand zwischen den einzelnen Abbruechen? liesse sich da per script zb morgens, in der mittagspause und abends die VPN Verbindung killen? Oder gehts eher um Minuten?
gruesse
Mal was anderes, die VPN Verbindung wird aber gänzlich gekillt oder? Nicht, dass der Terminalserver da die Verbindung wegen einer unglücklichen Einstellung Usergezielt killt. Das hab ich schonmal verbockt :o/
hast du mal nen PC mit dem LanMonitor 24h mitloggen lassen? Da lässt sich das an sich recht schnell sehen, weil der auch alle VPN Verbindungen und die Verbindungsaufbauten mitloggt. Wie gross ist denn der Abstand zwischen den einzelnen Abbruechen? liesse sich da per script zb morgens, in der mittagspause und abends die VPN Verbindung killen? Oder gehts eher um Minuten?
gruesse
Es geht bei den Abbrüchen um Minuten. Die Leute sind mitt in ner Session und werden rausgekickt.
Das mit dem Mitloggen kann ich leider nur am Wochenende machen. Werde am Freitag wieder auf den Company connect umschalten und mal ein paar Stunden den Trace laufen lassen. Obwohl mir ja ehrlich gesagt die Medlungen der Lancom nicht viel sagen.
Gruss
Christian
Das mit dem Mitloggen kann ich leider nur am Wochenende machen. Werde am Freitag wieder auf den Company connect umschalten und mal ein paar Stunden den Trace laufen lassen. Obwohl mir ja ehrlich gesagt die Medlungen der Lancom nicht viel sagen.
Gruss
Christian
So,
jetzt bin ich einen Schritt weiter. Habe mit einem Lancommitarbeiter das Problem nachgestellt. Er hat einen IP-Router Trace durchgeführt. Als die RDP-Sitzung wieder getrennt wurde hat er festgestellt, das der Client von dem die Verbindung aufgebaut wurde eiin Reset-Flag gesendet hat, wodurch die Gegenseite sofort die Verbindung abgebrochen hat.
Jetzt müsste ich halt nur noch wissen woran das leigen kann bzw. wie man dieses unterbinden kann.
Gruss
Christian
jetzt bin ich einen Schritt weiter. Habe mit einem Lancommitarbeiter das Problem nachgestellt. Er hat einen IP-Router Trace durchgeführt. Als die RDP-Sitzung wieder getrennt wurde hat er festgestellt, das der Client von dem die Verbindung aufgebaut wurde eiin Reset-Flag gesendet hat, wodurch die Gegenseite sofort die Verbindung abgebrochen hat.
Jetzt müsste ich halt nur noch wissen woran das leigen kann bzw. wie man dieses unterbinden kann.
Gruss
Christian
Default Haltezeit unter VPN - Defaults zu gering? die besagt afaik, dass, wenn kein Traffic entsteht, nach dieser Zeit die VPN Verbindung beendet wird. Stell die doch mal auf 0, damit wäre die Default Haltezeit unendlich.
btw: atuelles LCOS ist aber drauf oder? fällt mir grad noch so ein ;o)
achja:
unter IKE-Param. auch dort nochmal die Gültigkeitsdauer überprüfen. Lässt du Datum und Uhrzeit von einem NTP-Server abgreifen oder ist das deaktiviert?
btw: atuelles LCOS ist aber drauf oder? fällt mir grad noch so ein ;o)
achja:
unter IKE-Param. auch dort nochmal die Gültigkeitsdauer überprüfen. Lässt du Datum und Uhrzeit von einem NTP-Server abgreifen oder ist das deaktiviert?
Hi,
der Defaultwert ist 0. Die aktuelle LCOS ist drauf. Ich habe jetzt mal testweise die Firewall außen vor gelassen. aber der gleiche Fehler.
Sobald ich das RDP-Fenster minimiere switch die Verbindung nach spätestens 10 Min. weg.
Jetzt habe ich alles ausgereizt. Ich habe keine ahnung was ich noch machen soll. Lancom hat auch keine Idee mehr.
Gruss
Christian
der Defaultwert ist 0. Die aktuelle LCOS ist drauf. Ich habe jetzt mal testweise die Firewall außen vor gelassen. aber der gleiche Fehler.
Sobald ich das RDP-Fenster minimiere switch die Verbindung nach spätestens 10 Min. weg.
Jetzt habe ich alles ausgereizt. Ich habe keine ahnung was ich noch machen soll. Lancom hat auch keine Idee mehr.
Gruss
Christian
So, einen Schritt weiter.
Habe mich heute mit einem Kollegen (der betreut 50 Filialen weltweit) mal mit der Fehleranalyse auseinandergesetzt. Es verhält sich so, das genau nach 5 Minuten die Verbindung getrennt wird. TCP-Aging in der Lancom war es nicht, da dieser Wert nur für maskierte IP-Adressen gilt. Er hat einen Sniffer mitlaufen lassen. Tatsächlich bestätigt sich die Aussage von einem Lancom-Mitarbeiter, das ein Reset-Flag gesendet wird und die Verbindung getrennt wird. Jetzt müssen wir noch raus finden, ob dieser reset von dem Client zum Server oder der Server das Falg zu dem Client sendet. Eine 3. Möglichkeit ist, das die Lancom an einen der beiden dieses Flag setzt. Naja, wird noch bis Dienstag dauern, da dann mein Kollege dann erst wieder Zeit hat.
Halte euch auf dem laufenden.
Gruss
Christian
Habe mich heute mit einem Kollegen (der betreut 50 Filialen weltweit) mal mit der Fehleranalyse auseinandergesetzt. Es verhält sich so, das genau nach 5 Minuten die Verbindung getrennt wird. TCP-Aging in der Lancom war es nicht, da dieser Wert nur für maskierte IP-Adressen gilt. Er hat einen Sniffer mitlaufen lassen. Tatsächlich bestätigt sich die Aussage von einem Lancom-Mitarbeiter, das ein Reset-Flag gesendet wird und die Verbindung getrennt wird. Jetzt müssen wir noch raus finden, ob dieser reset von dem Client zum Server oder der Server das Falg zu dem Client sendet. Eine 3. Möglichkeit ist, das die Lancom an einen der beiden dieses Flag setzt. Naja, wird noch bis Dienstag dauern, da dann mein Kollege dann erst wieder Zeit hat.
Halte euch auf dem laufenden.
Gruss
Christian
Hallo!
Ich habe auch Problme mit trennung von TS Sitzungen.
Eines hat bei mir jedoch geholfen dass inaktive Sitzungen getrennt werden:
In den Gruppenrichtlinien gibt es eine einstellunge dass ein KeepAlive Signal gesendet wird d.h. wenn die Verbindung inaktive ist wird jede Minute ein Signal geschickt das aussagt dass die Verbindung am leben ist. Somit kann keine Firewall die Verbindung killen....
Ich hoffe ich konnte dir helfen....
Ich erhalte mehrmals täglich die meldung "Das Zeitlimit der Remoteverbindung wurde erreicht"
Vielleicht fällt Dir ja zu meiner Meldung auch was ein? Oder Deinem Kollegen...
Bin schon ziemlich ratlos!
Ich habe schon alles Probiert... anderen Switch, anderen router sämtliche einstellungen, tja......
Könnte dies auch mit einer zu stark ausgelasteten Internetleitung zu tun haben?
Wie auch immer
Vielleicht konnte ich Dir helfen.
Bis dann.
Ich habe auch Problme mit trennung von TS Sitzungen.
Eines hat bei mir jedoch geholfen dass inaktive Sitzungen getrennt werden:
In den Gruppenrichtlinien gibt es eine einstellunge dass ein KeepAlive Signal gesendet wird d.h. wenn die Verbindung inaktive ist wird jede Minute ein Signal geschickt das aussagt dass die Verbindung am leben ist. Somit kann keine Firewall die Verbindung killen....
Ich hoffe ich konnte dir helfen....
Ich erhalte mehrmals täglich die meldung "Das Zeitlimit der Remoteverbindung wurde erreicht"
Vielleicht fällt Dir ja zu meiner Meldung auch was ein? Oder Deinem Kollegen...
Bin schon ziemlich ratlos!
Ich habe schon alles Probiert... anderen Switch, anderen router sämtliche einstellungen, tja......
Könnte dies auch mit einer zu stark ausgelasteten Internetleitung zu tun haben?
Wie auch immer
Vielleicht konnte ich Dir helfen.
Bis dann.
Hallo zusammen,
habe hier ein par gedankenanstösse für dieses Problem,
1. Meine ich liegt es nicht an der Art der Verbindung habe gleiches Problem mit Citrix VPN RDP etc Verbindungen auf unterschiedlichsten Leitungen ADSL ComCon EtherCon SDSL
2. Meiner Meinung nach liegt das Problem am zusammenspiel zwischen Software (BS) und einer oder mehrerer Hardware Komponenten jedoch bei dieser Konstellation eher bei einer Hardware Komponente bzw. Server
3. Lösungsansatz : Prüfe zuerst die Konfiguration des Zielservers bzw. aller Beteiligten Server auf die Funktion in den Sicherheitsrichtlinien "Langsame Verbindungen erkennen"
Dann Prüfe die Konfiguration des verwendeten Clientbetriebsystems auf Beschränkungen der Halboffenen / Gleichzeitig geöffneten Verbindungen was hier wohl am wahrscheinlichsten ist denn seit einiger zeit stellt MS WinXP Pro oder höher Netzwerkanwendungen welche in minimiert werden automatisch auf halboffen was bei entsprechender Konfig der Firewall/Router -> SPI dazu führt das die Gegenstelle halboffene Verbindungen trennt auf halboffen werden auch verbindungen gestellt wenn ich zuviele Programme (Netzwerk allgemein am Host) offen habe ausserdem ist ein häufiger fehler bei derlei Verbindungen und Problemen eine softwaresicherheitslösung (Kaspersky oder TrendMicroetc) am client PC. Welche Verbindungen auf passiv stellen um reservierte Bandbreite bei datenflussstillstand freizugeben... also derlei Verbindungen mit einer ausnahmeregelung austatten...
4. Also
Firewall Software (auch anti virus) mit einer ausnahmeregelung konfigurieren
Einstellen der MTU am Router macht in diesem Fall nur Sinn wenn ich dies im ganzen Netzwerk umsetze (Windows/Linux etc std 1500) andernfalls kann es in stark frequentierten zeiten zu timeouts kommen (router CPU/RAM Defrag/Frag)
Serverseitige Konfiguration auf folgendes Prüfen
Erkennen langsamer Verbindungen
Wiederverbinden der session bei fernzugriff (subnet abweichend)
Gleichzeitig offene verbindungen
Firewall etc
SPI Prüfen Fehlerhafte Pakete Timeouts ungültige Pakete
ausnahme für IPSec etc (unnötig verschlüsselt gesichert)
routing informationen manuell konfigurieren RIP ist schoen aber nicht immer das schnellste gell (CPU/RAM im Router)
Gleichzeitige Verbindungen bei WinXP etc erhöhen
Direkte routen am client
DNS Verwenden immer !!!!! Nicht gateway sondern DNS Server fullqualified names (z.B. xxx01.serverdomain.info nicht xxx01) da netbios traffic verursacht (Broadcast etc)
Programme auf Aktiv Passiv funktion überprüfen ---- Serverkonfig SSL HTTPS etc
Falls noch mehr infos brauchst meld per email gruss bis dann
habe hier ein par gedankenanstösse für dieses Problem,
1. Meine ich liegt es nicht an der Art der Verbindung habe gleiches Problem mit Citrix VPN RDP etc Verbindungen auf unterschiedlichsten Leitungen ADSL ComCon EtherCon SDSL
2. Meiner Meinung nach liegt das Problem am zusammenspiel zwischen Software (BS) und einer oder mehrerer Hardware Komponenten jedoch bei dieser Konstellation eher bei einer Hardware Komponente bzw. Server
3. Lösungsansatz : Prüfe zuerst die Konfiguration des Zielservers bzw. aller Beteiligten Server auf die Funktion in den Sicherheitsrichtlinien "Langsame Verbindungen erkennen"
Dann Prüfe die Konfiguration des verwendeten Clientbetriebsystems auf Beschränkungen der Halboffenen / Gleichzeitig geöffneten Verbindungen was hier wohl am wahrscheinlichsten ist denn seit einiger zeit stellt MS WinXP Pro oder höher Netzwerkanwendungen welche in minimiert werden automatisch auf halboffen was bei entsprechender Konfig der Firewall/Router -> SPI dazu führt das die Gegenstelle halboffene Verbindungen trennt auf halboffen werden auch verbindungen gestellt wenn ich zuviele Programme (Netzwerk allgemein am Host) offen habe ausserdem ist ein häufiger fehler bei derlei Verbindungen und Problemen eine softwaresicherheitslösung (Kaspersky oder TrendMicroetc) am client PC. Welche Verbindungen auf passiv stellen um reservierte Bandbreite bei datenflussstillstand freizugeben... also derlei Verbindungen mit einer ausnahmeregelung austatten...
4. Also
Firewall Software (auch anti virus) mit einer ausnahmeregelung konfigurieren
Einstellen der MTU am Router macht in diesem Fall nur Sinn wenn ich dies im ganzen Netzwerk umsetze (Windows/Linux etc std 1500) andernfalls kann es in stark frequentierten zeiten zu timeouts kommen (router CPU/RAM Defrag/Frag)
Serverseitige Konfiguration auf folgendes Prüfen
Erkennen langsamer Verbindungen
Wiederverbinden der session bei fernzugriff (subnet abweichend)
Gleichzeitig offene verbindungen
Firewall etc
SPI Prüfen Fehlerhafte Pakete Timeouts ungültige Pakete
ausnahme für IPSec etc (unnötig verschlüsselt gesichert)
routing informationen manuell konfigurieren RIP ist schoen aber nicht immer das schnellste gell (CPU/RAM im Router)
Gleichzeitige Verbindungen bei WinXP etc erhöhen
Direkte routen am client
DNS Verwenden immer !!!!! Nicht gateway sondern DNS Server fullqualified names (z.B. xxx01.serverdomain.info nicht xxx01) da netbios traffic verursacht (Broadcast etc)
Programme auf Aktiv Passiv funktion überprüfen ---- Serverkonfig SSL HTTPS etc
Falls noch mehr infos brauchst meld per email gruss bis dann