Zum Inhalt wechseln


Foto

Benutzeranmeldung dauert sehr lange


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 zetor

zetor

    Member

  • 324 Beiträge

 

Geschrieben 03. Februar 2010 - 09:11

Hallo Leute,

folgendes Problem: Bei mir befinden sich neuerdings 2 Windows 7 Rechner im Netzwerk. Diese melden sich im AD eines SBS 2003 an. Die Benutzerkonten liegen zentral auf dem Server, werden jedoch "Offline" zur Verfügung gestellt. Die Synchronisation der Offline Dateien soll laut GPO beim Abmelden stattfinden.

ABER: Die Anmeldung an den Windows 7 Rechnern dauert extrem lang (3-8Minuten). Wenn ich dann im Synchronistationcenter die Offlinedateien bei den Rechnern deaktiviere, dauert die Anmeldung 10-20 Sekunden.

Kann es sein das Windows 7 die GPO zur Synchronisation nicht übernommen hat? Bei XP war es ja wenigstens noch so das das System erst synchronisert hat wenn man schon drin war, bei Windows 7 läuft das offenbar vorher ab, richtig?


Könnt ihr mir helfen?
gruß Andreas !

Server 2008R2 + Exchange 2010

#2 solinske

solinske

    Expert Member

  • 1.001 Beiträge

 

Geschrieben 12. Februar 2010 - 11:43

Mal GPRESULT laufen lassen, um zu kontrollieren, ob die GPO überhaupt ankommt?
Mein Motto : Mensch bleiben

MVP - Enterprise Security

#3 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 12. Februar 2010 - 14:23

Hallo,

die Standardfrage lautet, was steht zum Thema in den Ereignisprotokollen?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#4 zetor

zetor

    Member

  • 324 Beiträge

 

Geschrieben 15. Februar 2010 - 12:51

hi leute,

ich habe nun die ereignisprotolle angesehen:
windowsprotokolle anwendung:

Protokollname: Application
Quelle: Microsoft-Windows-Winlogon
Datum: 15.02.2010 09:48:11
Ereignis-ID: 6005
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: PC-HUBERT.****.local
Beschreibung:
Der Anmeldebenachrichtigungsabonnent <GPClient> benötigt einige Zeit, um dieses Benachrichtigungsereignis (Logon) zu bearbeiten.


Protokollname: Application
Quelle: Microsoft-Windows-Winlogon
Datum: 15.02.2010 09:53:47
Ereignis-ID: 6006
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: PC-HUBERT.****.local
Beschreibung:
Der Anmeldebenachrichtigungsabonnent <GPClient> hat 395 Sekunden benötigt, um dieses Benachrichtigungsereignis (Logon) zu bearbeiten.
Ereignis-XML:


Dann habe ich noch einmal in den benutzerdefinierten ansichten nachgesehen, dort steht unter administrative ereignisse eine menge an ! ereignissen:

Protokollname: System
Quelle: atikmdag
Datum: 15.02.2010 09:46:38
Ereignis-ID: 52236
Aufgabenkategorie:(51)
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: PC-HUBERT.****.local
Beschreibung:
CPLIB :: General - Invalid Parameter

sagt mir nichts!

Protokollname: System
Quelle: NETLOGON
Datum: 15.02.2010 09:46:47
Ereignis-ID: 5719
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: PC-HUBERT.***.local
Beschreibung:
Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne *** aufgrund der folgenden Ursache:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. nicht einrichten.
Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.

ZUSÄTZLICHE INFORMATIONEN
Wenn dieser Computer ein Domänencontroller der bestimmten Domäne ist, wird eine sichere Sitzung zum primären Domänencontrolleremulator in der bestimmten Domäne eingerichtet. Andernfalls richtet dieser Computer eine sichere Sitzung zu einem beliebigen Domänencontroller in der bestimmten Domäne ein.
Ereignis-XML:


daran scheints wohl zu liegen! aber ich kapier nicht was falsch läuft?!

als folge dessen kommen noch einige meldungen das sich der computer nicht richtig mit der domäne authentifizieren konnte..


*edit* kann das mit dem ipv6 zusammenhängen?

Bearbeitet von zetor, 15. Februar 2010 - 13:09.

gruß Andreas !

Server 2008R2 + Exchange 2010

#5 zetor

zetor

    Member

  • 324 Beiträge

 

Geschrieben 16. Februar 2010 - 12:13

hat keiner eine idee?

ich habe jetzt schon viel rumprobiert: firewalls deaktiviert, den pc neu zur domäne hinzugefügt, die GPOs aufgeräumt und reduziert. hat aber alles nichts geholfen, es ist vielleicht etwas schneller geworden (180 sekunden GPClient anmeldung).

Wenn ich dann lokal am Rechner im Windows 7 Synchronisierungscenter die offlinedateien deaktiviere dauert die anmeldung vielleicht 10 Sekunden, und es kommt gar keine Meldung mit dem GPclient mehr!
gruß Andreas !

Server 2008R2 + Exchange 2010

#6 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. Februar 2010 - 15:51

Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne *** aufgrund der folgenden Ursache:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. nicht einrichten.

Hallo,

Für mich die Frage, hat der Computer zu dem Zeitpunkt schon eine Netzwerkverbindung zum DC, hat der Computer eine IP zu dem Zeitpunkt?

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#7 Sunny61

Sunny61

    Expert Member

  • 22.238 Beiträge

 

Geschrieben 16. Februar 2010 - 21:24

ich habe jetzt schon viel rumprobiert: firewalls deaktiviert, den pc neu zur domäne hinzugefügt, die GPOs aufgeräumt und reduziert. hat aber alles nichts geholfen, es ist vielleicht etwas schneller geworden (180 sekunden GPClient anmeldung).


Nimm den Client doch mal in ein OU, auf der keine GPO wirkt. GPUPDATE und neu starten. Gehts jetzt besser? Wenn ja, dann eine GPO nach der anderen dazu schalten. Und jedesmal GPUPDATE und neu starten.

Wenn ich dann lokal am Rechner im Windows 7 Synchronisierungscenter die offlinedateien deaktiviere dauert die anmeldung vielleicht 10 Sekunden, und es kommt gar keine Meldung mit dem GPclient mehr!


Check auch das SMB-Signing gem. Best Praxis: SMB Signing - Einstellungen für: Kommunikation digital signieren
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#8 zetor

zetor

    Member

  • 324 Beiträge

 

Geschrieben 17. Februar 2010 - 09:18

hi leute,

also ich muss etwas ergänzen: durch das neu anmelden des pcs an der domäne hat sich die fehlermeldung mit dem nicht finden des domänencontrollers erledigt. ich vermute diese fehlermeldung lag an einer rücksicherung eines images vom server, und das der client den dann nicht mehr richtig erkannt hat.

das problem mit der langen gpclient anmeldung bestand schon vorher. in der ereignisanzeige taucht diese auch weiterhin auf. ich werde jetzt sunnys ratschläge mal versuchen, auch wenn diese wieder mal meine amateuradministratorfähigkeiten beanspruchen! :D

beim durchsehen der GPOs ist mir ein Eintrag in der Small-Business Server-Client GPO aufgefallen:

Für einige Einstellungen konnten keine Anzeigenamen gefunden werden. Eine Aktualisierung der von der Gruppenrichtlinienverwaltung verwendeten ADM-Dateien behebt möglicherweise das Problem.

Einstellung Status
software\microsoft\windows nt\currentversion\winlogon\SyncForegroundPolicy 1


das hat ja anscheinend irgendwas mit dem winlogon zu tun, was macht diese policy?
gruß Andreas !

Server 2008R2 + Exchange 2010

#9 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 17. Februar 2010 - 09:26

Werter Zetor,

oftmals, eigentlich immer, sind für eine Analyse alle wesentlichen Informationen bereits in der Eröffnung eines Thread notwendig, wir drehen hier sonst auf dem Teller und kommen der Sache nicht näher.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#10 zetor

zetor

    Member

  • 324 Beiträge

 

Geschrieben 17. Februar 2010 - 09:32

Sehr geehrter Herr lefg,

ich habe ja keine Ahnung welche Informationen wichtig sein könnten! Soll ich einfach mal einen Auszug aus einer Kompletten Anmeldungsphase der Ereignisanzeige reinkopieren? Ich hab doch versucht mein Problem so zu gut wie möglich zu beschreiben!!

*anhang*
nochwas fällt mir auf: in der serververwaltungskonsole kann man ja die clientpcs verwalten und auch dort zentral die ereignisanzeigen einsehen. allerdings funktioniert das bei den windows 7 rechner nicht:
"Die Verbindung mit dem Computer konnte nicht hergestellt werden. Fehler:
Netzwerkpfad nicht gefunden.

Die Netzwerkkennung auf dem Client ist aktiviert, Datei und Druckerfreigabe auch, es sind feste IP Einstellungen eingetragen und die Firewall ist deaktiviert.
gruß Andreas !

Server 2008R2 + Exchange 2010

#11 Sunny61

Sunny61

    Expert Member

  • 22.238 Beiträge

 

Geschrieben 17. Februar 2010 - 20:20

also ich muss etwas ergänzen: durch das neu anmelden des pcs an der domäne hat sich die fehlermeldung mit dem nicht finden des domänencontrollers erledigt. ich vermute diese fehlermeldung lag an einer rücksicherung eines images vom server, und das der client den dann nicht mehr richtig erkannt hat.


Kannst Du das bitte in verständlichen Worten mit der üblichen Groß- und Kleinschreibung wiederholen?

das problem mit der langen gpclient anmeldung bestand schon vorher. in der ereignisanzeige taucht diese auch weiterhin auf. ich werde jetzt sunnys ratschläge mal versuchen, auch wenn diese wieder mal meine amateuradministratorfähigkeiten beanspruchen! :D


Wenn das wirklich eine Rücksicherung eines Images war, dann solltest Du den Client aus der Domain nehmen, das Computerkonto löschen, und jetzt den Rechner wieder neu aufnehmen.

beim durchsehen der GPOs ist mir ein Eintrag in der Small-Business Server-Client GPO aufgefallen:


das hat ja anscheinend irgendwas mit dem winlogon zu tun, was macht diese policy?


Hmm, ist Google kaputt? GPO-FAQ No. 36, die erste Einstellung davon: FAQ-GPO
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#12 Sunny61

Sunny61

    Expert Member

  • 22.238 Beiträge

 

Geschrieben 17. Februar 2010 - 20:21

*anhang*
nochwas fällt mir auf: in der serververwaltungskonsole kann man ja die clientpcs verwalten und auch dort zentral die ereignisanzeigen einsehen. allerdings funktioniert das bei den windows 7 rechner nicht:
"Die Verbindung mit dem Computer konnte nicht hergestellt werden. Fehler:
Netzwerkpfad nicht gefunden.


Noch ein Indiz für eine unsaubere Imagerücksicherung. Probiers mal wie ich im anderen Posting geschrieben habe.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/