Ich habe ein Problem mit unseren VPN-Clients: Die Erkennung von “langsamen Netzwerken” bei der Verarbeitung von Gruppenrichtlinien schlägt fehl. Dadurch nimmt Windows immer an, es stehe eine schnelle Verbindung zur Verfügung und führt alle Scripts aus, egal wie lange es dauert. Und es kann verdammt lange dauern (10 Minuten und länger).
Vorweg einige Links, die mir bei der Bearbeitung des Problems geholfen haben:
- Algorithmus zur Berechnung der Netzwerk-Geschwindigkeit aus dem TechNet. Hier steht auch, welche Windows-Funktionen bei langsamen Verbindungen aktiviert bzw. deaktivert werden.
- Aktivierung der Debugprotokollierung von Windows (erstellt die Datei %SYSTEMROOT%\Debug\UserMode\Userenv.log, die bei der Fehlersuche extrem wichtig ist)
- Langsame Verbindungen bei der Verarbeitung von Benutzerprofilen und Gruppenrichtlinien erkennen (Möglichkeit, die Pings, die Windows zur Erkennung langsamer Netze durchführt, manuell zu testen)
In meiner userenv.log brach die Erkennung der langsamen Netzwerke mit folgendem Fehler ab: PingComputer: Second send failed with 11010 Einen längeren Auszug aus der userenv.log gibt es in der Microsoft Knowledge Base. Die ersten Pings, die ICMP-Pakete mit einer Größe von 0 Byte verwenden, gehen recht normal (für eine UMTS-Verbindung) mit max. 200ms Antwortzeit durch. Die zweiten mit 2 KB Größe erzeugen ein Timeout. Warum ist klar: Unsere Firewall blockt alle “verdächtigen” ICMP-Pakete. Und eine Größe von 2 KB ist anscheinend verdächtig 😉 (dank dieses Artikels auf neohapsis bin ich überhaupt erst drauf gekommen, dass es an der Firewall liegen könnte).
Jetzt muss ich also nur noch die Firewall-Einstellung finden, die die großen ICMP-Pakete durchlässt, und der Erkennung langsamer Netzwerke steht nichts mehr im Weg. Dann werden auch die VPN-Benutzer mit einer vernünftigen Geschwindigkeit an- und abgemeldet.
Pingback:Windows-Abmeldescripts werden trotz langsamer Verbindung ausgeführt » Stefan Macke