- PR -

VPN接続時のドメイン参加に時間がかかる

投稿者投稿内容
Desmo
大ベテラン
会議室デビュー日: 2004/03/24
投稿数: 149
投稿日時: 2006-10-31 14:10
現在、クライアントVPNを使用して 社内のネットワークに接続する環境を運用しているのですが、1つだけ困った現象が起きています。
PHS等のダイアルアップでインターネット接続した場合に、社内のWindowsサーバのドメイン参加に時間がかかるのです。
もう少し具体的に書きます。

PHS経由でVPN接続をする場合、
1. クライアントを起動
2. Windowsにログイン(ID、パスワード、ドメイン名 を入力)
3. PHSにダイアルアップ接続 → インターネットの利用が可能となる
4. クライアント上でVPNソフトを起動 → ログイン
5. net use コマンドにてネットワークドライブをマッピング
という手順になるのですが、
5.の net use コマンドが なかなか通りません。
時間を置いて何度か行う内に ようやくコマンドが通ってドライブがマッピングされるのです。

4.まで行けば、社内のネットワークとのTCP/IPで通信までは可能となります。
この時点で 社内のサーバに対してプライベートアドレスやホスト名でPINGが飛びますし、Lotus NotesやOracleの接続もできます。
しかしドライブをマッピングは直ぐに通らないのです。
恐らくドメインに参加するのに時間がかかっているのかと想像しています。
ネットワークコンピュータから、ネットワーク全体 → Microsoft Windows Network と辿っていっても、初めはなかなかドメイン名が表示されません。しばらく待ってから表示されるようになると、その後は net use コマンドも直ぐに通るようになります。
この間にドメイン参加のためのやり取りをしていると思われますが、これに数十秒〜数分かかってしまいます。
何か強制的にドメイン参加させるような方法は無いでしょうか?

使用しているVPNソフトは CheckPoint社のSecuRemoteというIPSECベースのものです。
社内のサーバはWindows2000とWindows2003が混在しています。
名前解決にはWINSを使用しています。
参考までに書きますと、ブロードバンド接続の場合には このような問題は無いのです。
ブロードバンド接続の際は、Windowsログインと同時にVPN接続も行えるため、ログインが完了した時点では既にドメインにも参加できているのです。
しかしPHSの場合、Windowsログイン後インターネット接続を行なうため、VPN接続は更に後になってしまい、結果として先ほどのような問題が起きています。
どうか宜しくお願いします。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-10-31 15:23
こんにちは。

PHSは通信速度がさほど高くないので、難しいかもしれません。

本質部分が、似たような質問 件名: Windows共有アクセスの高速化についてにも
コメントしましたが、Windowsファイル共有の宿命だと思われます。

本件とは直接関係ありませんが、下記情報なども参考になります。
WANを介しファイル共有を高速化するWAFSが国内で流行する十分な理由

本題に戻りますが、PHSでのアクセス方法をFTP等に変更する位しか対応方法は
無さそうに思えます。
Desmo
大ベテラン
会議室デビュー日: 2004/03/24
投稿数: 149
投稿日時: 2006-10-31 17:29
BackDoorさん、ご回答ありがとうございます。
私の方では、
「ドメインに参加するまでに要する時間が、通信速度に直接影響する」
という認識は持っていなかったのですが・・・果たしてどうなのでしょうね?
見た感じでは、この間に大量なパケットの送受信が行われている様子は無いのですが・・・
Desmo
大ベテラン
会議室デビュー日: 2004/03/24
投稿数: 149
投稿日時: 2006-10-31 17:36
追加情報です。
VPN接続の直後に、
> ping サーバ名
を行うと、Repryが帰ってきます。次に、
> net view \\サーバ名
を行うと、
システム エラー 53 が発生しました。
ネットワーク パスが見つかりません。
となります。更に、
>net use L: \\サーバ名\共有名
をすると、やはり、
システム エラー 53 が発生しました。
ネットワーク パスが見つかりません。
となります。
しかし、この後でしばらく(1〜2分)待つと、net viewも net useも通るようになるのです。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-11-01 09:11
追加状況説明感謝します。

引用:

Desmoさんの書き込み (2006-10-31 17:29) より:

「ドメインに参加するまでに要する時間が、通信速度に直接影響する」
という認識は持っていなかったのですが・・・果たしてどうなのでしょうね?


これは、本件には無関係だと思われます。

引用:

Desmoさんの書き込み (2006-10-31 17:36) より:

追加情報です。
VPN接続の直後に、
> ping サーバ名
を行うと、Repryが帰ってきます。次に、
> net view \\サーバ名
を行うと、
システム エラー 53 が発生しました。
ネットワーク パスが見つかりません。
となります。更に、
>net use L: \\サーバ名共有名
をすると、やはり、
システム エラー 53 が発生しました。
ネットワーク パスが見つかりません。
となります。
しかし、この後でしばらく(1〜2分)待つと、net viewも net useも通るようになるのです。


前のコメントは、少々説明不足だったかも知れませんので、補足します。

マイクロソフトのWindowsファイル共有サービスで用いるCIFS(Common Internet File System)
はWAN回線のように遅延の大きいネットワークには不向きであるようです。

引用:

WAN高速化ソリューション より引用

WANのパフォーマンスがあがらない原因:「遅延」
WANのパフォーマンスが直面する課題は、サーバーの処理能力だけではなく、ネットワークやプロトコルの特性に起因します。WANで一般的に利用されているプロトコルであるTCPは、遅延より安定性を重視した仕様になっているため、データ転送の際にパケットロスが発生するとスループットが一気に低下するという性質があります。また、TCPでは1回に転送できるデータ量に制限があるため、遅延が発生すると帯域をフルに使い切れません。ファイル共有で使うようなLANベースのプロトコルをWANに持ち込むと、遅延による影響で極端にパフォーマンスの低下が発生します。さらに、通常のアプリケーションはLANを意識して開発されているため、長距離拠点間では遅延による影響が顕著に現れます。したがって、単純な帯域の拡張では解決にならないことが多いのです。


Desmo様のところで行なっているnet useコマンド以降がこの解説部分に該当していると
思われます。
そんなわけで、前回のコメントに「Windowsファイル共有→FTP」の提案をした次第です。

編集:誤字修正・・・

[ メッセージ編集済み 編集者: BackDoor 編集日時 2006-11-01 09:13 ]

[ メッセージ編集済み 編集者: BackDoor 編集日時 2006-11-01 09:15 ]
Desmo
大ベテラン
会議室デビュー日: 2004/03/24
投稿数: 149
投稿日時: 2006-11-01 11:22
CIFSの件は勉強になりました。
本題とは離れますが「Windowsファイル共有が遅い」というのは私も実感しています。以前に拠点間のインターネットVPNを構築した際に、Windowsのファイルサーバの転送速度が遅くて悩んだことがあります。
キャリアや機器のスループットから45Mbpsくらい出る計算だったのに、どうしても10〜15Mbps程度しか出なくて・・・
そこで試しに LinuxサーバのFTPでファイル転送したら50Mbps程度出ているのが判りました。
「Windowsは(帯域のみでなく)遅延に大きく影響を受ける」と勝手に推測しておったのですが、BackDoorさんの解説で確信が持てました。

本題のドメイン参加の問題は、もう少し情報を収集して 再度UPします。
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2006-11-01 17:32
横から失礼します。
ちょっと気になった物ですから。

「名前解決にはWINSを使用しています。 」

と有りますが、何故DNSを使わないのでしょうか?

私どもの所ではSSL−VPNでリモートを使用しておりますが特に時間がかかりすぎると言うことが無いので。

*ADはwin−2003、DNSのみ使用という環境です。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-11-02 09:42
wojisan様、ご指摘感謝します。

引用:

wojisanさんの書き込み (2006-11-01 17:32) より:

「名前解決にはWINSを使用しています。 」

と有りますが、何故DNSを使わないのでしょうか?

私どもの所ではSSL−VPNでリモートを使用しておりますが特に時間がかかりすぎると言うことが無いので。


WINS使用 見落としてました。 ^^;
Windowsサーバのドメイン参加に時間がかかるの部分を良く見るべき
でした。
WINSもWindows名前解決における特有の仕組みなので、使用しない方が
早い動作になる可能性が高いかも知れません。

Desmo様へ
参考までに、名前解決のフローのサイトのリンクを付けておきます。
NetBIOSでの通信と名前解決の仕組み
中間より少し下の名前解決のフロー参照
→ WINSサーバの指定が無い場合、最終的にDNS参照が行なわれるはずなので
  現在参加しているDCの参照先のDNSにファイルサーバを登録し、テスト機
  のWINS指定を外して時間短縮されるかテストされると良いかも知れません。

スキルアップ/キャリアアップ(JOB@IT)