Große Probleme mit Team-Client über VPN

  • Moin zusammen,

    wir haben bei einem Kunden über den Jahreswechsel von Terminal-Server-Betrieb auf direkte Verbindung der Notbeook-Clients umgestellt. Und weil eh jedes Gerät einmal angepasst werden musste, dachten wir: Hey, schmeißen wir auch gleich die alten David-Clients raus und installieren den Team-Client. Alles schön neu [tm].

    Großer Fehler, offenbar. Folgendes Problem lässt sich reproduzieren: User wählt sich ein, verbindet sich zum David-Server. Oft kommt das Fenster, in dem man manuell eine Serveradresse eintragen soll - die Suche funktioniert über VPN nicht. Das haben wir den Usern mitgeteilt, klappt. Jedoch: Beendet man den Team-Client (komplett, incl. Notifier) und startet ihn neu, kommt unter der Angabe des gleichen Servernamens plötzlich keine Verbindung mehr zustande. Man darf dann experimentieren: Mal klappt SERVER, mal nur FQDN (SERVER.KUNDE.NETZ), dann wieder nur die IP-Adresse, und oft muss man zusätzlich noch Usernamen und Kennwort eintragen. Irgendwann geht es irgendwie, aber die User nervt das verständlicherweise mächtig.

    Mit dem alten "Modern Client" trat das Problem nicht auf. Da konnte man auch noch die Anmeldedaten speichern, was die Sache zumindest vereinfacht hätte, aber Team merkt sich ja schlichtweg gar nichts mehr.

    Die Clients sind alle Mitglied der Domäne, VPN läuft stabil und performant, DNS werkelt einwandfrei. Wir können übers VPN alle Netzwerk-Ressourcen verwenden, sowohl im Windows Explorer als auch z. B. in der Warenwirtschaft, die auf einen SQL-Server im LAN zugreift. Nur der Team-Client will nicht. Wir hatten schon die Idee, den David ins WAN direkt zu öffnen, aber a) ist das sicherheitstechnisch heikel und b) haben wir bei einem anderen Kunden ein verwandtes Problem, denn der muss je nach LAN oder VPN ebenfalls immer händisch den Servernamen wechseln, weil der Anschluss eine dynamsiche IP hat (david.kunde.de vs. server.internesnetz.local). Das ist den Usern kaum zu vermitteln.

    Hat jemand von euch Praxiserfahrung in dieser Richtung mit dem Team-Client? Ich hatte im Hinterkopf, dass der bzgl. Remote- oder generell "dünnen" Verbindungen optimiert sei, und im täglichen LAN-Betrieb kann man mit dem Teil inzwischen eigentlich auch ganz gut arbeiten. Aber dass der Kunde von obigem Verhalten maximal genervt ist, kann ich total verstehen.

    "Witzig" ist in diesem Zusammenhang, dass wir als worst-case-workaround angeboten haben, den alten Client wieder in Betrieb zu nehmen. Da der Kunde im Zuge der RDS-Server-Abschaffung aber schon für alle Clients M365 erworben hat, steht nun natürlich eher der vorgezogene Umstieg auf Exchange Online im Raum. Klassischer Fall von Knieschuss. :(

    Also, ich bin für alle Ideen dankbar. Schönes Wochenende schonmal euch allen!

  • 1. ich würde die Probleme dann doch im VPN selbst suchen, denn wenn dieses passend für den David Client eingerichtet ist funktioniert darüber sowohl die Suche in allen 3 aktuell verfügbaren David Clients, als auch der stabile Betrieb aller 3 Varianten.
    Beim Team Client habe ich allerdings die Erfahrung gemacht das er sehr zickig reagiert wenn Der David Server mal nicht erreichbar ist.
    Aus unerfindlichen Gründen verwirft er dann jeweils seine Login Daten, samt Server Adresse.
    Daher macht es dort für uns am meisten Sinn die Leute die Anmeldung über Chayns nutzen zu lassen, da sie sich dann neben ihrer eMail Adresse nur noch das Kennwort merken müssen.

    2. wenn man im DNS des internen Netzes einen Eintrag für den externen Namen eines sowohl intern, als auch extern verfügbaren David Servers mit der internen IP einrichtet müssen sich die Leute generell nur noch einen Servernamen merken.
    (Randnotitz dazu: Wer den postlagernden Versand nutzt kommt da übrigens auch gar nicht drum herum, zumindest nicht wenn er den Nutzern ermöglichen möchte im Zweifel auch mal einen postlagernd versandten Anhang selbst kontrollieren zu können.)

    3. sowohl Modern, als auch Team Client arbeiten in der Tat deutlich flüssiger über schlechte Leitungen als der classic Client.
    Neue Kollegen bekommen daher auf Ihren mobilen Geräten seit geraumer Zeit auch nur noch den jeweils aktuellsten Client.
    Zuerst gab es also den Modern und inzwischen den Team Client für neue Kollegen.
    Bekommen Nutzer des Modern Client neue Geräte erhalten sie inzwischen dort dann auch den Team Client.
    Altnutzer bekommen nur bei Klagen über die mobile Performance den Team Client, da es doch eine sehr große Umgewöhnung vom Classic Client ist und es dazu viele Beschwerden von Altnutzern gab. Wenn sie allerdings mal merken das die moderneren Clients unterwegs flüssiger arbeiten, mögen sich die meisten dann doch lieber umgewöhnen.

  • ich würde die Probleme dann doch im VPN selbst suchen

    Haben wir, allerdings ohne Ergebnis. Wie erwähnt läuft der Betrieb aller anderen Programme stabil und reibungslos, incl. SQL-Zugriff der Warenwirtschaft, SMB-Freigeben etc. Die Verbindung wurde bereits früher für den Zugriff auf den Teminal Server verwendet und lief mindestens 5 Jahre ohne Mucken. Und, am wichtigsten, sowohl Classic Client als auch "Modern Client" funktionieren ebenfalls problemlos.

    Es kann doch aber grundsätzlich nicht am VPN liegen, wenn man im Starfenster des Team-Client mit SERVERNAME ans Ziel kommt und beim nächsten Mal plötzlich nur noch mit SERVERNAME.LOKALEDOMAIN.LOCAL - ein PING auf beide Adressen funktioniert durchgehend und reproduzierbar zuverlässig. Nochmal im Detail: Ich beende den Team-Client, der mit Verbindung zu SERVERNAME brav funktionierte, starte ihn dann neu (OHNE dass sich an der VPN-Verbindung irgendwas ändert) und plötzlich mag Team SERVERNAME nicht mehr, obwohl er bis eben über diese Verbindung kommuniziert hat.

    wenn man im DNS des internen Netzes einen Eintrag für den externen Namen eines sowohl intern, als auch extern verfügbaren David Servers mit der internen IP einrichtet müssen sich die Leute generell nur noch einen Servernamen merken.

    Bei dieser Konstellation haben wir bei mehreren Kunden reprouzierbar das Phänomen, dass sich der Client nach längerem Nicht-Benutzen weghängt. Das Fenster wird "blass", der Mauszeiger zum Kringel, und man muss 30 Sekunden warten, bis sich wieder etwas tut. Dieses Problem wurde hier im Forum immer wieder mal in Einzelfällen berichtet, und Tobit hat es nie in den Griff bekommen. Ebenfalls so eine "Kleinigkeit", die in der Praxis tödlich nerven kann. Man hat jemanden am Telefon, sagt: "Warte, ich schau schnell im Kalender nach" - und dann kommt der Kringel.

    Na gut, wir machen mal einen Fall bei Tobit auf, aber es wird wohl auf ein Downgrade hinauslaufen.

  • Nochmal im Detail: Ich beende den Team-Client, der mit Verbindung zu SERVERNAME brav funktionierte, starte ihn dann neu (OHNE dass sich an der VPN-Verbindung irgendwas ändert) und plötzlich mag Team SERVERNAME nicht mehr, obwohl er bis eben über diese Verbindung kommuniziert hat.

    Leider doch, denn wenn es auf der Verbindung zu Paketverlusten oder lag kommt und der Client ab und an schlicht keine rechtzeitige korrekte Antwort vom Server bekommt, verwirft er die Verbindung samt Login Daten. Ja, ist nicht schön, aber leider Tatsache.
    Andere Programme / Protokolle sind da toleranter, weswegen sie auch über richtig grottige VPN Verbindungen noch sauber laufen. Deine Beispiele SQL und SMB sind perfekte Beispiele dafür selbst mit richtig grottigen VPNs noch gut klar zu kommen.
    Der Grund warum Du das siehst wenn der Client geschlossen wurde und man ihn neu startet ist schlicht das es nur bei der Authentifizierung auftritt. Steht die Verbindung erst mal nehmen die David Clients für die Dauer der Sitzung - völlig zu recht - an das sie mit den richtigen Daten am Server verbunden sind und es nichts weiter als akute Netzwerkstörungen sind, versuchen es als einfach beliebig häufig nach mal.
    Klappt allerdings das anmelden nicht muss man die Daten - völlig absurder Weise - jedes mal wieder neu eingeben, weil die modernen Clients sie schlicht jedes mal bei einem Fehlschlag der Verbindung verwerfen.
    Man kann übrigens auch schlicht immer wieder die gleiche Server Adresse eingeben, irgendwann klappt es dann halt, unabhängig davon ob man die Adresse ändert, oder nicht.
    Das ist am Ende eine reine Timing Frage.

    Meine Erfahrung ist das die David Clients über die gleich schlechte Internet Verbindung besser ohne VPN, als mit VPN klar kommen.
    Dabei ist der classic Client Fehlertoleranter, dafür aber weniger flüssig über schlechte Leitungen, die beiden modernen Clients sind dafür weniger Fehlertolerant, im Gegenzug aber flüssiger.

    Hier sollte Tobit meiner Meinung nach noch mal deutlich am Login Verhalten der modernen Clients nachbessern und einmal eigegebene Zugangsdaten schlicht wenigstens so lange unverändert im Speicher behalten wie man keine anderen eingibt.
    Ich habe das allerdings bislang nicht als Supportanfrage bei Tobit aufgemacht weil es für uns unterm Strich ein exotisches Problem ist, was sich durch Stabilisierung der Anbindung fast völlig beseitigen ließ und seither nur noch sehr selten auftritt.

    Hat man ein taugliches VPN läuft das alles einfach insgesamt sauber, ganz gleich mit welchem Client.
    Gleiches gilt auch ohne VPN bei direkt exponiertem David Server, passiert da halt nur meist seltener, weil eben der Overhead vom VPN das Problem der nicht optimalen Anbindung nicht noch zusätzlich belastet.

    Bei dieser Konstellation haben wir bei mehreren Kunden reprouzierbar das Phänomen, dass sich der Client nach längerem Nicht-Benutzen weghängt. Das Fenster wird "blass", der Mauszeiger zum Kringel, und man muss 30 Sekunden warten, bis sich wieder etwas tut. Dieses Problem wurde hier im Forum immer wieder mal in Einzelfällen berichtet, und Tobit hat es nie in den Griff bekommen. Ebenfalls so eine "Kleinigkeit", die in der Praxis tödlich nerven kann. Man hat jemanden am Telefon, sagt: "Warte, ich schau schnell im Kalender nach" - und dann kommt der Kringel.

    Das klingt danach als würde der Client zwischendurch über die externe Verbindung versuchen den Server zu erreichen.
    Da das bei den meisten Routern nicht funktioniert, bzw. selbst wenn es vom Router unterstützt wird und auch freigegeben ist halt dann zu einer Limitierung der Verbindungsgeschwindigkeit kommt kann man damit genau die von Dir - und gelegentlich hier im Forum - beschriebenen Effekte sehen, unterschiedlich ausgeprägt, je nach dem ob der Router Loopback erlaubt, oder ob er es nicht tut.

    Im Grunde ist das genau der Grund warum man sein DNS für solche konstellationen als sogenanntes split DNS aufsetzt, damit eben interne Nutzer beim Zugriff auf den intern stehenden Server nicht über die externe IP Adresse und damit durch den externen Router / Firewall hindurch - möglichst noch samt port forwarding - auf den Server zugreifen, sondern direkt.
    Das funktioniert aber halt nur dann wirklich sauber, wenn sichergestellt ist das die internen Clients garantiert immer die interne IP des Servers vom DNS geliefert bekommen.
    Tja und da sind wir bei der eigentlichen Problemquelle angelangt.
    Oft haben interne Clients doch Zugriff auf externe DNS Server und bekommen so dann von dort - in der Situation - unpassende DNS Antworten, was sie dazu bringt über das externe Interface des Routers / der Firewall auf den eigentlich internen Server zugreifen zu wollen.

    Bis zur Einführung von DNS over HTTPS gab es da eigentlich eine wirklich simple Lösung: sperren von jeglichen Client seitigen Traffic zu externen DNS Servern bzw. eben der entsprechenden Ports. Seit DNS over HTTPS ist das halt nicht mehr durch einfache Sperren zu erzwingen und es kommt schlicht drauf an die Clients korrekt zu konfigurieren.

  • Andere Programme / Protokolle sind da toleranter, weswegen sie auch über richtig grottige VPN Verbindungen noch sauber laufen. Deine Beispiele SQL und SMB sind perfekte Beispiele dafür selbst mit richtig grottigen VPNs noch gut klar zu kommen.

    Da habe ich bei SQL-Servern aber auch schon andere Erfahrungen gemacht. Manche verhalten sich sogar im LAN geradezu "divenhaft".

    Wir haben die VPN-Verbindung auf Herz und Nieren geprüft, die läuft absoult stabil. Keine Paketverluste im Dauertest, super Latenzen. Es handelt sich um einen Glasfaser-Anschluss mit Gigabit Up- und Downlink; die meisten Clients verfügen im HomeOffice ebenfalls über Glasfaser. Der Lancom-Support sagt anhand der Logs, das "alles optimal" funktioniert, und abgesehen vom Team-Client fühlt es sich auch so an.

  • Nur zur allgemeinen Info: Wir haben inzwischen den Verdacht, dass das Problem hauptsächlich auf Geräten auftritt, die den Advanced VPN-Client von Lancom (NCP IPSec) einsetzen. Testweise Umstellung eines kleinen Kunden auf WireGuard mit einer aktuellen FritzBox ergab, dass keine "Bockigkeiten" bei der Anmeldung in Team mehr gemeldet wurden.

    Blöd halt, dass mutmaßlich keiner der beiden Beteiligten (Tobit/Lancom) die Schuld bei sich suchen wird, sondern auf der jeweils anderen Seite. Und, um das nochmal zu betonen, mit den alten David-Clients ist die Verbindung auch via Lancom-VPN sehr schön stabil.

    Wir werden das jetzt mal weiter beobachten und, sofern sich der Verdacht bestätigt, einen neuen Support-Fall incl. Logs und Co. aufmachen. Vielleicht kommt ja doch was dabei heraus.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!