URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16311
[ Назад ]

Исходное сообщение
"Не наследуются групповый политики через Tunnel на Cisco сквозь Interne"

Отправлено serg777 , 20-Май-08 12:05 
Есть головная точка. В ней стоит контроллер домена на Windows 2003 R2 SP2.
Есть несколько филиалова - которые уже пару лет успешно авторизауются на контроллере.
Каналы организованны на обрудовании Cisco, путем создания IPSec тунелей.
Так вот, появилась одна точка до которой поднят тунель через Internet. И вот в этой ОДНОЙ точке не наследуются групповые политики. Убирал в политиках определиние медленных линий Slow Link. Не помогает.
Канал в принципе хороший, ширина порядка 512Кбит, отклик 30-40 ms.

Обшарил весь microsoft.com, но вот склоняюсь к тому, что дело в канале... что можно подкрутить ?

interface Tunnel1
description to_RPSB_Kozlova
ip address 192.168.40.12 255.255.255.252
ip mtu 1300
ip tcp adjust-mss 1259
keepalive 15 4
tunnel source xxxxxx
tunnel destination xxxxxx
crypto map CRYPTO1


Содержание

Сообщения в этом обсуждении
"Не наследуются групповый политики через Tunnel на Cisco скво..."
Отправлено KobaLTD , 21-Май-08 10:04 
>[оверквотинг удален]
>
>interface Tunnel1
> description to_RPSB_Kozlova
> ip address 192.168.40.12 255.255.255.252
> ip mtu 1300
> ip tcp adjust-mss 1259
> keepalive 15 4
> tunnel source xxxxxx
> tunnel destination xxxxxx
> crypto map CRYPTO1

покрути МТУ, идей больше нет, а вообще это не канальная проблема - если по тунелю radmin и RDP лазят без проблем то капай маздай. А вообще в подобных ситуациях М$ не гарантирует работоспособность (насколько они вообще что то могут гарантировать), для таких случаев у них созданы решения: Лес контролеров, доверительнве отношения, репликация, ДФС - читайте изучайте - может будет меньше проблем :). М$ очень не любит работать по тунелям которые не они сами создают (объяснение тех подержки - у них есть свои "гарантированные" решения типа ISA и так тадалее :))


"Не наследуются групповый политики через Tunnel на Cisco скво..."
Отправлено serg777 , 23-Май-08 16:07 
>[оверквотинг удален]
>
>покрути МТУ, идей больше нет, а вообще это не канальная проблема -
>если по тунелю radmin и RDP лазят без проблем то капай
>маздай. А вообще в подобных ситуациях М$ не гарантирует работоспособность (насколько
>они вообще что то могут гарантировать), для таких случаев у них
>созданы решения: Лес контролеров, доверительнве отношения, репликация, ДФС - читайте изучайте
>- может будет меньше проблем :). М$ очень не любит работать
>по тунелям которые не они сами создают (объяснение тех подержки -
>у них есть свои "гарантированные" решения типа ISA и так тадалее
>:))

решил проблему - если так можно сказать. Отключил IPSec шифрование и групповая политика начала наследоваться...


"Не наследуются групповый политики через Tunnel на Cisco скво..."
Отправлено stitch636 , 28-Май-08 16:46 
> ip mtu 1300
> ip tcp adjust-mss 1259

Нужно:
(ip tcp adjust-mss) = (ip mtu) - 40

Пример:
ip mtu 1300
ip tcp adjust-mss 1260

Можно просто задать adjust-mss без mtu
и последовательно его уменьшать на 20
до работоспособности.

IPSEC добавляет overhead к пакету.
Всё должно работать и c IPSEC.
ESP (encryption and hash) Additional bytes - 56
GRE Additional bytes - 24


"Не наследуются групповый политики через Tunnel на Cisco скво..."
Отправлено dxer , 04-Июн-08 21:14 
>[оверквотинг удален]
>ip tcp adjust-mss 1260
>
>Можно просто задать adjust-mss без mtu
>и последовательно его уменьшать на 20
>до работоспособности.
>
>IPSEC добавляет overhead к пакету.
>Всё должно работать и c IPSEC.
>ESP (encryption and hash) Additional bytes - 56
>GRE Additional bytes - 24

Всё верно, но лучше проблему передачи больших керберосовских УДП пакетов не фрагментируя, ибо АД этого не любят и работать групповая политика не будет между доменами в GRe... Для этого ручками в реестре нужно указать размер MTU равном того, чего вы подсчитали для своего GRE over IPSec соединения.


"Не наследуются групповый политики через Tunnel на Cisco скво..."
Отправлено dxer , 04-Июн-08 21:18 
>[оверквотинг удален]
>>IPSEC добавляет overhead к пакету.
>>Всё должно работать и c IPSEC.
>>ESP (encryption and hash) Additional bytes - 56
>>GRE Additional bytes - 24
>
>Всё верно, но лучше проблему передачи больших керберосовских УДП пакетов не фрагментируя,
>ибо АД этого не любят и работать групповая политика не будет
>между доменами в GRe... Для этого ручками в реестре нужно указать
>размер MTU равном того, чего вы подсчитали для своего GRE over
>IPSec соединения.

Убери все правила ip mtu/ ip tcp ... итд c tun0 с двух сторон, поставь с двух сторон на интерфейсах которые смотрят в локалку ip tcp adj 1280
и в реестре винды поставь MTU 1370 - всё прекрасно работает, древовидная структура нашего холдинга по таким правилам работает, групповые политики отлично применяются. Я долго рыл эту проблему, там решение или Керберос переводить в режим TCP транзакций, либо врукопашную править MTU на зенетах АД.


"Не наследуются групповый политики через Tunnel на Cisco скво..."
Отправлено roman , 22-Июл-08 09:33 
>[оверквотинг удален]
>>размер MTU равном того, чего вы подсчитали для своего GRE over
>>IPSec соединения.
>
>Убери все правила ip mtu/ ip tcp ... итд c tun0 с
>двух сторон, поставь с двух сторон на интерфейсах которые смотрят в
>локалку ip tcp adj 1280
>и в реестре винды поставь MTU 1370 - всё прекрасно работает, древовидная
>структура нашего холдинга по таким правилам работает, групповые политики отлично применяются.
>Я долго рыл эту проблему, там решение или Керберос переводить в
>режим TCP транзакций, либо врукопашную править MTU на зенетах АД.

А можно по подробней откуда эти цифры? 1280, 1370
И "и в реестре винды поставь MTU 1370" это ставить на всех виндах которые лезут к контролеру через gre/ipsec тунель?


"Не наследуются групповый политики через Tunnel на Cisco скво..."
Отправлено migosm , 22-Июл-08 12:41 
>[оверквотинг удален]
>>двух сторон, поставь с двух сторон на интерфейсах которые смотрят в
>>локалку ip tcp adj 1280
>>и в реестре винды поставь MTU 1370 - всё прекрасно работает, древовидная
>>структура нашего холдинга по таким правилам работает, групповые политики отлично применяются.
>>Я долго рыл эту проблему, там решение или Керберос переводить в
>>режим TCP транзакций, либо врукопашную править MTU на зенетах АД.
>
>А можно по подробней откуда эти цифры? 1280, 1370
>И "и в реестре винды поставь MTU 1370" это ставить на всех
>виндах которые лезут к контролеру через gre/ipsec тунель?

Вообще циска советует ставить при решениях GRE+IPSEC размер MTU 1400, если максимальный MTU на WAN интерфейсе 1500, иначе учитывать оверхед WAN интерфейса. Соответственно MSS ставить 1360.

Вот ссылочка:

http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...