Windows 7 Domänenclients extrem lange Anmeldezeiten (-5 Minuten)

[Adm -MCSE 0]

Hallo,

 

 

Wir haben eine sehr große vernetzte Unternehmensstruktur und setzen seit kurzem Windows Server 2008 R2 Domänencontroller und Windows 7 ein.
Die Domäne ist ursprünglich eine Windows 2003 Domän.

 

 

 

Einige Informationen:

 

Hauptstelle : 2 DCs

Hauptstelle angebunden via 25 G Standleitung

2 Netzwerkbereiche (Arbeitsnetzwerk/ Servernetzwerk)

----------------------------------------------------------------------------------------

 

Nebenstellen alle angebunden via ADSL Telekom 6000- 16000 Kbit/s

 

Bis zu 20 Clients pro Außenstelle

 

Benutze GPO Einstellungen Hauptsächlich:

• Laufwerksmappings
• Druckerverteilung
• Verknüpfungen auf Desktop hinzufügen
• kleinere Anpassungen Windows 7 (Bibliotheken .....)

 

Anmeldezeiten von optimal 1,9 Minuten- 5 Minuten

Latenzen bei Last im über WAN relativ hoch!

 

Fehler IDs der Clients:

 

selten Netlogon 5719 "Anmeldeserver nicht gefunden"

sehr Häufig GPClient 6006 "180 sekunden ......."

 

Problem besteht nur bei Windows 7, bei Windows XP sehr schnelle Anmeldungen.

 

 

Ich benötige Dringen Hilfe um diese Problem abzuschalten!

 

 

Dankeschön im Voraus  :) 

 

[NilsK 2.785]

Moin,

 

willkommen im Board - schön, dass du uns gefunden hast!

 

Lange Anmeldezeiten können hunderte von Ursachen haben, durchaus auch kombiniert. Wenn du also "dringend" Hilfe benötigst, ist ein Forum wahrscheinlich kein günstiger Ort. Praktisch alle hier können nur in ihrer Freizeit antworten. Wenn dein Problem kritisch ist, dann solltest du erwägen, dich an einen professionellen Support zu wenden.

 

Die bislang von dir geposteten Informationen sagen nur aus, dass der Vorgang lang dauert. Das ist ja aber bereits bekannt. Daher bleiben zunächst nur die Standard-Ansätze:

• Ist die Namensauflösung korrekt eingerichtet?
• Stimmt das Routing?
• Führen die Clients bei der Anmeldung irgend etwas aus, das Timeouts erzeugt?
• Gibt es weitere Auffälligkeiten in den Eventlogs?
• Sind die Clients auf aktuellem Patchlevel?
• Sind die Treiber aktuell?
• Sind erweiterte Debug-Logs eingerichtet? Wenn ja, was fällt dort auf?

Gruß, Nils

[Adm -MCSE 0]

Danke für das Willkommen!

• Ist die Namensauflösung korrekt eingerichtet? zu 99% denke ich das DNS i.O. ist, es stammt aber noch von WS 2003 Domänencontrollern, und ist von mir via Hand eingerichtet.
• Stimmt das Routing? das Routing wird vom MPLS Provider gemanagt, obwohl ich hier nicht weiß ob es i. O. ist das manchmal das Transportnetz im Ping auftaucht, beim Neustart z Bsp.
• Führen die Clients bei der Anmeldung irgend etwas aus, das Timeouts erzeugt? die Clients führen nichts bei der Anmeldung aus außer die GPO`s 
• Gibt es weitere Auffälligkeiten in den Eventlogs? Hauptsächlich die GPClient Timeouts 
• Sind die Clients auf aktuellem Patchlevel? JA via WSUS
• Sind die Treiber aktuell? JA, das Pänomen tritt nach kompletten Umstellungen auf. Wobei die Rechner via WDA neu installiert sind
• Sind erweiterte Debug-Logs eingerichtet? Wenn ja, was fällt dort auf? Nein es sind keinerlei Debug- Logs eingerichtet, welche sollten hier aktiviert werden?

 

Was ich noch nicht ganz durchschaue ist, das Windows XP sich problemlos verhält in der selben Umgebung!

bearbeitet 13. August 2014 von Adm -MCSE

[Daniel -MSFT- 129]

Posta mal ipconfig /all von Client und Server. Nutzt ihr einen öffentlich verwendeten Domänennamen? Hast Du du Bootprotokollierung mit MSCONFIG schon genutzt?

Für lange Loginzeiten kannst Du den Process Explorer oder xperf und xbootmgr aux dem Windows Performance Toolkit zur Analyse nutzen: http://blogs.technet.com/b/markrussinovich/archive/2012/07/02/3506849.aspx und http://www.wintotal.de/windows-performance-toolkit-macht-mudes-windows-wieder-munte

bearbeitet 13. August 2014 von Daniel -MSFT-

[NilsK 2.785]

Moin,

 

deine Antworten zeigen, dass du dich auf einige Dinge verlässt - du solltest sie aber in deiner Situation überprüfen.

 

Für DNS etwa:

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Beim Routing meine ich weniger das WAN-Routing, das wird ja für alle gleich sein. Relevant wäre hier, die tatsächlichen IP-Konfigurationen der Clients zu überprüfen. Gerade bei automatischen Installationen übersieht man manchmal Fehler, weil man sich auf die Automatik verlässt.

 

Bei den GPOs können sich auch viele Probleme verbergen. Oft sind es "versteckte Timeouts", weil sich z.B. Namen im Netzwerk geändert haben oder so.

 

Bei den Treibern wäre ggf. zu prüfen, ob es mit der verwendeten Version Probleme gibt - besonders, wenn es viele Clients mit derselben Hardware gibt.

 

Logging: Bevor du irgendwas hochdrehst, verdienen die vorhandenen Protokolle einen näheren Blick. Schau dir vor allem im Zweig Anwendungs- und Dienstprotokolle mal das Protokoll Microsoft/Windows/Group Policy näher an.

 

Eine ganz gute Übersicht über Troubleshooting-Techniken bei Start und Anmeldung findest du auch hier:

 

[What’s Taking So Long? How to Fight Slow Startup Times in Windows 7 >> IT Expert Voice]
http://itexpertvoice.com/home/what%E2%80%99s-taking-so-long-how-to-fight-slow-startup-times-in-windows-7/
 

Gruß, Nils

[Sunny61 773]

Habt ihr im Active Directory Standorte und Dienste alle Standorte und Subnetze korrekt eingerichtet und konfiguriert?

[Adm -MCSE 0]

Posta mal ipconfig /all von Client und Server. Nutzt ihr einen öffentlich verwendeten Domänennamen? Hast Du du Bootprotokollierung mit MSCONFIG schon genutzt?

Für lange Loginzeiten kannst Du den Process Explorer oder xperf und xbootmgr aux dem Windows Performance Toolkit zur Analyse nutzen: http://blogs.technet.com/b/markrussinovich/archive/2012/07/02/3506849.aspx und http://www.wintotal.de/windows-performance-toolkit-macht-mudes-windows-wieder-munte

Wir benutzen keinen öffentlichen Domänennamen!

Nein habe ich noch nicht ist aber geplant, danke für den Tip war mir entfallen......(msconfig Bootprotokollierung) 

Das tTolkit müsste ich mir mal anschauen

 

IPCONFIG /ALL "DC"

 

 

IPCONFIG /ALL "Client"

 

bearbeitet 13. August 2014 von Adm -MCSE

[NilsK 2.785]

Moin,

 

beim DC sind die DNS-Server "über Kreuz" eingetragen, das ist OK. Nimm aber bei den DCs den sekundären WINS raus und stelle nur die eigene IP-Adresse dort ein, sofern der betreffende DC WINS-Server ist. (Und: Nicht mehr als 3-5 WINS-Server insgesamt, sonst ohne MS-Consulting nicht supported.)

 

Die Client-DNS-Konfig sieht auch soweit gut aus (wenn sie flächendeckend so ist). Aber da ist kein WINS eingetragen - wieso? Wenn man WINS nutzt, dann müssen alle es nutzen, sonst ist es sinnlos.

 

Auf der Ebene also zunächst kein rauchender Colt.

 

Gruß, Nils

[Adm -MCSE 0]

Moin,

 

beim DC sind die DNS-Server "über Kreuz" eingetragen, das ist OK. Nimm aber bei den DCs den sekundären WINS raus und stelle nur die eigene IP-Adresse dort ein, sofern der betreffende DC WINS-Server ist. (Und: Nicht mehr als 3-5 WINS-Server insgesamt, sonst ohne MS-Consulting nicht supported.)

 

Die Client-DNS-Konfig sieht auch soweit gut aus (wenn sie flächendeckend so ist). Aber da ist kein WINS eingetragen - wieso? Wenn man WINS nutzt, dann müssen alle es nutzen, sonst ist es sinnlos.

 

Auf der Ebene also zunächst kein rauchender Colt.

 

Gruß, Nils

Die Wins Server sind kurz vor dem Abriß, bei den Clients wird  nur noch via DNS geredet! (Ab Windows 7).

Da einer der Domänencontroller auf eine neue Hardware kommt, werden in dem Zusammenhang auch die Wins Server gelöscht.

Moin,

 

deine Antworten zeigen, dass du dich auf einige Dinge verlässt - du solltest sie aber in deiner Situation überprüfen.

 

Für DNS etwa:

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]

http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/      //Genau so wie es dort beschrieben ist ist es erstellt worden "DNS")

 

Beim Routing meine ich weniger das WAN-Routing, das wird ja für alle gleich sein. Relevant wäre hier, die tatsächlichen IP-Konfigurationen der Clients zu überprüfen. Gerade bei automatischen Installationen übersieht man manchmal Fehler, weil man sich auf die Automatik verlässt.

 

Bei den GPOs können sich auch viele Probleme verbergen. Oft sind es "versteckte Timeouts", weil sich z.B. Namen im Netzwerk geändert haben oder so.

 

Bei den Treibern wäre ggf. zu prüfen, ob es mit der verwendeten Version Probleme gibt - besonders, wenn es viele Clients mit derselben Hardware gibt.

 

Logging: Bevor du irgendwas hochdrehst, verdienen die vorhandenen Protokolle einen näheren Blick. Schau dir vor allem im Zweig Anwendungs- und Dienstprotokolle mal das Protokoll Microsoft/Windows/Group Policy näher an.

 

Eine ganz gute Übersicht über Troubleshooting-Techniken bei Start und Anmeldung findest du auch hier:

 

[What’s Taking So Long? How to Fight Slow Startup Times in Windows 7 >> IT Expert Voice]

http://itexpertvoice.com/home/what%E2%80%99s-taking-so-long-how-to-fight-slow-startup-times-in-windows-7/

 

Gruß, Nils

Wegen bootlogs und anderen Tests bin ich erst die Woche vor Ort, in einer Außenstelle.

Habt ihr im Active Directory Standorte und Dienste alle Standorte und Subnetze korrekt eingerichtet und konfiguriert?

Betreiben im Moment nur noch 2 DC's in der Zentrale

bearbeitet 13. August 2014 von Adm -MCSE

[Sunny61 773]

Betreiben im Moment nur noch 2 DC's in der Zentrale

 

OK, und es gibt auch nur ein Subnetz und einen Standort im AD?

bearbeitet 13. August 2014 von Sunny61

[Daniel -MSFT- 129]

WINS kann auch bei Windows 7 - gerade in gerouteten Netzen - weiterhin sinnvoll sein. Dann aber richtig konfiguriert: http://www.faq-o-matic.net/2004/10/23/wie-sollte-wins-konfiguriert-werden/

 

Die Bootprotokollierung und xbootmgr sollten Dich auf die richtige Spur bringen.

[daabm 1.185]

20 Clients hinter DSL mit Druckermappings von einem Server? Hast Du hier "Aktualisieren" oder "Ersetzen" eingestellt?

 

Beim Diagnostizieren der GPO-Verarbeitung hilft Dir übrigens http://www.sysprosoft.com/policyreporter.shtml hervorragend weiter :cool:

[Doso 77]

Windows 7 und 2008R2 nutzen "neuere" Protokolle wie RPC, neue Varianten von SMB etc. - es kann also auch durchaus ein Filter auf einer Firewall sein. Wir haben bei Windows 7 Maschinen auch sehr lange Anmeldezeiten beobachtet und erst Monate später entdeckt das veraltete Treiber auf einem Druckserver die Ursache waren. Neuer Treiber der auch für Windows 7 freigegeben war, zack keine Minuten sondern nur noch Minuten bei der Anmeldung.

[Adm -MCSE 0]

20 Clients hinter DSL mit Druckermappings von einem Server? Hast Du hier "Aktualisieren" oder "Ersetzen" eingestellt?

 

Beim Diagnostizieren der GPO-Verarbeitung hilft Dir übrigens http://www.sysprosoft.com/policyreporter.shtml hervorragend weiter :cool:

Ersetzen wird zum größten Teil benutzt.

WINS kann auch bei Windows 7 - gerade in gerouteten Netzen - weiterhin sinnvoll sein. Dann aber richtig konfiguriert: http://www.faq-o-matic.net/2004/10/23/wie-sollte-wins-konfiguriert-werden/

 

Die Bootprotokollierung und xbootmgr sollten Dich auf die richtige Spur bringen.

WINS Einstellungen sind wie beschrieben, 2. WINS Server IP aus den Einstellungen entfernt!

 

 

Bootprotokollierung geplant für nächste Woche...

[daabm 1.185]

Ersetzen wird zum größten Teil benutzt.

 

Prima Idee... Das heißt, daß bei jeder Anmeldung die Drucker erst gelöscht und dann neu installiert werden. Und dabei wird auch der Treiber neu installiert, selbst wenn er schon vorhanden war... :eek: