The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не наследуются групповый политики через Tunnel на Cisco скво..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от serg777 email on 20-Май-08, 12:05 
Есть головная точка. В ней стоит контроллер домена на Windows 2003 R2 SP2.
Есть несколько филиалова - которые уже пару лет успешно авторизауются на контроллере.
Каналы организованны на обрудовании Cisco, путем создания IPSec тунелей.
Так вот, появилась одна точка до которой поднят тунель через Internet. И вот в этой ОДНОЙ точке не наследуются групповые политики. Убирал в политиках определиние медленных линий Slow Link. Не помогает.
Канал в принципе хороший, ширина порядка 512Кбит, отклик 30-40 ms.

Обшарил весь microsoft.com, но вот склоняюсь к тому, что дело в канале... что можно подкрутить ?

interface Tunnel1
description to_RPSB_Kozlova
ip address 192.168.40.12 255.255.255.252
ip mtu 1300
ip tcp adjust-mss 1259
keepalive 15 4
tunnel source xxxxxx
tunnel destination xxxxxx
crypto map CRYPTO1

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от KobaLTD email on 21-Май-08, 10:04 
>[оверквотинг удален]
>
>interface Tunnel1
> description to_RPSB_Kozlova
> ip address 192.168.40.12 255.255.255.252
> ip mtu 1300
> ip tcp adjust-mss 1259
> keepalive 15 4
> tunnel source xxxxxx
> tunnel destination xxxxxx
> crypto map CRYPTO1

покрути МТУ, идей больше нет, а вообще это не канальная проблема - если по тунелю radmin и RDP лазят без проблем то капай маздай. А вообще в подобных ситуациях М$ не гарантирует работоспособность (насколько они вообще что то могут гарантировать), для таких случаев у них созданы решения: Лес контролеров, доверительнве отношения, репликация, ДФС - читайте изучайте - может будет меньше проблем :). М$ очень не любит работать по тунелям которые не они сами создают (объяснение тех подержки - у них есть свои "гарантированные" решения типа ISA и так тадалее :))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от serg777 email on 23-Май-08, 16:07 
>[оверквотинг удален]
>
>покрути МТУ, идей больше нет, а вообще это не канальная проблема -
>если по тунелю radmin и RDP лазят без проблем то капай
>маздай. А вообще в подобных ситуациях М$ не гарантирует работоспособность (насколько
>они вообще что то могут гарантировать), для таких случаев у них
>созданы решения: Лес контролеров, доверительнве отношения, репликация, ДФС - читайте изучайте
>- может будет меньше проблем :). М$ очень не любит работать
>по тунелям которые не они сами создают (объяснение тех подержки -
>у них есть свои "гарантированные" решения типа ISA и так тадалее
>:))

решил проблему - если так можно сказать. Отключил IPSec шифрование и групповая политика начала наследоваться...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от stitch636 on 28-Май-08, 16:46 
> ip mtu 1300
> ip tcp adjust-mss 1259

Нужно:
(ip tcp adjust-mss) = (ip mtu) - 40

Пример:
ip mtu 1300
ip tcp adjust-mss 1260

Можно просто задать adjust-mss без mtu
и последовательно его уменьшать на 20
до работоспособности.

IPSEC добавляет overhead к пакету.
Всё должно работать и c IPSEC.
ESP (encryption and hash) Additional bytes - 56
GRE Additional bytes - 24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от dxer on 04-Июн-08, 21:14 
>[оверквотинг удален]
>ip tcp adjust-mss 1260
>
>Можно просто задать adjust-mss без mtu
>и последовательно его уменьшать на 20
>до работоспособности.
>
>IPSEC добавляет overhead к пакету.
>Всё должно работать и c IPSEC.
>ESP (encryption and hash) Additional bytes - 56
>GRE Additional bytes - 24

Всё верно, но лучше проблему передачи больших керберосовских УДП пакетов не фрагментируя, ибо АД этого не любят и работать групповая политика не будет между доменами в GRe... Для этого ручками в реестре нужно указать размер MTU равном того, чего вы подсчитали для своего GRE over IPSec соединения.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от dxer on 04-Июн-08, 21:18 
>[оверквотинг удален]
>>IPSEC добавляет overhead к пакету.
>>Всё должно работать и c IPSEC.
>>ESP (encryption and hash) Additional bytes - 56
>>GRE Additional bytes - 24
>
>Всё верно, но лучше проблему передачи больших керберосовских УДП пакетов не фрагментируя,
>ибо АД этого не любят и работать групповая политика не будет
>между доменами в GRe... Для этого ручками в реестре нужно указать
>размер MTU равном того, чего вы подсчитали для своего GRE over
>IPSec соединения.

Убери все правила ip mtu/ ip tcp ... итд c tun0 с двух сторон, поставь с двух сторон на интерфейсах которые смотрят в локалку ip tcp adj 1280
и в реестре винды поставь MTU 1370 - всё прекрасно работает, древовидная структура нашего холдинга по таким правилам работает, групповые политики отлично применяются. Я долго рыл эту проблему, там решение или Керберос переводить в режим TCP транзакций, либо врукопашную править MTU на зенетах АД.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от roman email(??) on 22-Июл-08, 09:33 
>[оверквотинг удален]
>>размер MTU равном того, чего вы подсчитали для своего GRE over
>>IPSec соединения.
>
>Убери все правила ip mtu/ ip tcp ... итд c tun0 с
>двух сторон, поставь с двух сторон на интерфейсах которые смотрят в
>локалку ip tcp adj 1280
>и в реестре винды поставь MTU 1370 - всё прекрасно работает, древовидная
>структура нашего холдинга по таким правилам работает, групповые политики отлично применяются.
>Я долго рыл эту проблему, там решение или Керберос переводить в
>режим TCP транзакций, либо врукопашную править MTU на зенетах АД.

А можно по подробней откуда эти цифры? 1280, 1370
И "и в реестре винды поставь MTU 1370" это ставить на всех виндах которые лезут к контролеру через gre/ipsec тунель?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не наследуются групповый политики через Tunnel на Cisco скво..."  
Сообщение от migosm on 22-Июл-08, 12:41 
>[оверквотинг удален]
>>двух сторон, поставь с двух сторон на интерфейсах которые смотрят в
>>локалку ip tcp adj 1280
>>и в реестре винды поставь MTU 1370 - всё прекрасно работает, древовидная
>>структура нашего холдинга по таким правилам работает, групповые политики отлично применяются.
>>Я долго рыл эту проблему, там решение или Керберос переводить в
>>режим TCP транзакций, либо врукопашную править MTU на зенетах АД.
>
>А можно по подробней откуда эти цифры? 1280, 1370
>И "и в реестре винды поставь MTU 1370" это ставить на всех
>виндах которые лезут к контролеру через gre/ipsec тунель?

Вообще циска советует ставить при решениях GRE+IPSEC размер MTU 1400, если максимальный MTU на WAN интерфейсе 1500, иначе учитывать оверхед WAN интерфейса. Соответственно MSS ставить 1360.

Вот ссылочка:

http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру