Robert Arens

Hallo, Ich habe folgende Situation: - HP Compaq 5720 ThinClients mit deutschem Image - Default User Verzeichnis im NETLOGON-Verzeichnis vom DC - Citrix PNAgent auf den ThinClients Durch das Default User Verzeichnis werden den Benutzern am Thin Client jedes mal ein vorbereites Profil aufgespielt. Das klappt eigentlich super. Allerdings ist in dem Profil wahrscheinlich nicht explizit eingestellt, dass die deutsche Sprache verwendet werden soll. Also kommt die Oberfläche in Englisch daher :-( Blocke ich das Default User Verzeichnis, dann ist die Benutzeroberfläche auf deutsch. Kann mir jemand sagen, welchen Key ich zusätzlich setzen muss? Schaden kann der ja eigentlich nicht, da deutsch eh gewünscht ist. Zudem bräuchte ich den Key, um den Citrix-Clients vorzugeben, dass Sie die Benutzeranmeldung nutzen sollen. Da sich die ThinClients die Einstellungen nicht merken, würden die Benutzer sonst jeden Tag aufs neue die Haken setzen müssen. Freundliche Grüße Robert Arens

How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000 Dieser Link hat sehr geholfen! Recommended TCP/IP settings for WAN links with a MTU size of less than 576 Evtl. hat das dazu beigetragen. Falls ich noch weitere Erkenntnisse bekomme, melde ich mich noch mal.

How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000 How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000´ Dieser Link hat sehr geholfen! Recommended TCP/IP settings for WAN links with a MTU size of less than 576 Recommended TCP/IP settings for WAN links with a MTU size of less than 576 Evtl. hat das dazu beigetragen. Falls ich noch weitere Erkenntnisse bekomme, melde ich mich noch mal.

Lieber Markus, => Vielleicht solltest Du Dich erst einmal ausführlich mit dem Handbuch der PIX => beschäftigen bevor Du an den Dingern rumfummelst. Danke für Deinen liebevollen Rat! Vielleicht sollte ich mich erst bei Cisco zertifizieren lassen, bevor ich eine Einstellung an der Pix änder. => Offensichtlich hat es bislang noch nicht einmal zur Lektüre der ersten => zwei oder drei Kapitel gereicht. Ich habe leider auch kein Handbuch zu Windows Produkten. Darf ich die trotzdem benutzen? Da Du so belesen scheinst, könntest Du mir bitte etwas von Deinem Wissen zu Teil kommen lassen? Falls jemand anders mit einen Tipp geben kann, wär ich sehr dankbar! Freundliche Grüße Robert

Hallo, Ich habe eine 506 und eine 501 die per Site-to-Site Tunnel miteinander verbunden sind. Als Inventory-Software setze ich LogInventory ein. Wenn ich den snmp-server im lokalen Netz freischalte kann ich die Werte wunderbar auslesen. Jetzt hatte ich mir gedacht, dass ich nur statt inside outside setzen müsste, damit ich die Werte auslesen kann. Leider klappt das nicht. Muss ich noch eine Route setzen oder habe ich etwas übersehen? Wenn ich einen einzelnen Host freischalte mit einer privaten IP, sollte das doch kein Sicherheitsproblem darstellen, oder? Danke für eure Tipps, Robert

Hallo, In dem Pfad finde ich leider nichts. Es muss also beim Löschen der Profile sauber gelöscht worden sein. Folgendes Problem besteht immer noch: Anmelden mit frischem User => geht Anmelden mit User der schon mal angemeldet war, dessen Profil aber gelöscht wurde => geht nicht. Komplett frischer User :906 LoadUserProfile: lpProfileInfo->lpDefaultPath = <\\GS-SO-DC01\netlogon\Default User> :906 LoadUserProfile: NULL server name :906 LoadUserProfile: User sid: S-1-5-21-2411098607-2270899040-1041246106-2706 :916 CSyncManager::EnterLock <S-1-5-21-2411098607-2270899040-1041246106-2706> :916 CSyncManager::EnterLock: No existing entry found :916 CSyncManager::EnterLock: New entry created :916 CHashTable::HashAdd: S-1-5-21-2411098607-2270899040-1041246106-2706 added in bucket 4 :926 LoadUserProfile: Wait succeeded. In critical section. :218 GetOldSidString: Failed to open profile profile guid key with error 2 :218 GetProfileSid: No Guid -> Sid Mapping available :218 GetOldSidString: Failed to open profile profile guid key with error 2 :228 GetProfileSid: No Guid -> Sid Mapping available :228 RestoreUserProfile: Entering :228 IsCentralProfileReachable: Entering :228 IsCentralProfileReachable: Null path. Leaving User der schon mal da war LoadUserProfile: lpProfileInfo->lpDefaultPath = <\\GS-SO-DC02\netlogon\Default User> LoadUserProfile: NULL server name LoadUserProfile: User sid: S-1-5-21-2411098607-2270899040-1041246106-1200 CSyncManager::EnterLock <S-1-5-21-2411098607-2270899040-1041246106-1200> CSyncManager::EnterLock: No existing entry found CSyncManager::EnterLock: New entry created CHashTable::HashAdd: S-1-5-21-2411098607-2270899040-1041246106-1200 added in bucket 15 LoadUserProfile: Wait succeeded. In critical section. 3 Min Pause GetUserGuid: Failed to get user guid with 1359. GetProfileSid: No Guid -> Sid Mapping available 3 Min Pause GetUserGuid: Failed to get user guid with 1359. GetProfileSid: No Guid -> Sid Mapping available RestoreUserProfile: Entering IsCentralProfileReachable: Entering IsCentralProfileReachable: Null path. Leaving RestoreUserProfile: Profile path = <> ExtractProfileFromBackup: Failed to open key Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2411098607-2270899040-1041246106-1200 with error 2 ExtractProfileFromBackup: Couldn't open backup profile key. Error = 2

So. Ich habe mal bei einem Benutzer der Probleme macht den Anmeldenamen geändert. Sonst habe ich nichts angefasst. Die SID müsste dadurch doch gleich geblieben sein. Siehe da: Windows XP verhält sich so, als ob es ein neuer Benutzer ist. Es muss also irgendwo eine Liste geben, in der sich Windows XP die angemeldeten Benutzer merkt. Nur wo und wie kann ich die zurücksetzen. Ich hoffe auf eure Ideen!

Das Konto liegt in der Domäne und soll, wenn möglich, nicht gelöscht werden. Wenn sich der Benutzer an einem Rechner anmeldet, dann wird dort lokal seine Anmeldung & sein Profil abgelegt. Ich muss es jetzt so haben, dass ein bereits einmal angemeldeter User so gelöscht wird, dass er bei der nächsten Anmeldung als neuer Benutzer behandelt wird, damit er das Default User Verzeichnis aus dem Netz neu zieht. Benutzer die noch nie am System angemeldet waren, laufen wie gewünscht. Benutzer die schon einmal angemeldet waren werfen Probleme auf. Lösche ich den Benutzer im AD und lege ihn mit neuem Benutzernamen an, habe ich auch noch das Problem. Es muss also meiner Meinung nach etwas mit dem Benutzernamen zu tun haben. Kopier ich den Benutzer und verpasse ihm nur einen neuen Anmeldenamen, so läuft es. Was kann ich tun? Danke für die Hilfe!

Hallo, Meine User melden sich an einer Domäne an, speichern ihr Profil aber lokal. Auf Grund einiger Umstellung ist es notwendig, dass diese lokal angelegten Profile gelöscht und komplett neu angelegt werden. Wenn ich die Profile über Arbeitsplatz lösche, hat er trotzdem irgendwo noch hinterlegt, dass er den Anmeldenamen und damit das Profil kennt. Wo kann die Profile so löschen, dass er nichts mehr davon weiß. Registry? Irgendeine LogDatei? Ich hoffe jemand von euch kann mir helfen. Sonst muss ich allen neue Benutzernamen verteilen :-( Freundliche Grüße Robert Arens

Hallo, Mittlerweile klappt es mit ganz frischen Usern gut. Nur wenn die Profile von bestehenden Usern lösche, damit sie sauber nur angelegt werden hängt er sehr lange an: Failed to get user guid with 1359 Kann es sein, dass er irgendwo noch den alten Benutzernamen gespeichert hat? Was kann ich tun, dass er die alten User als neue ansieht? Freundliche Grüße Robert Arens

Ich teste die Lösung. Wenn ihr nichts mehr von mir hört, dann ist das Problem endgültig gelöst. Danke an alle für die Hilfe!

@ITHome: Aus welchem Material hättest du dein Denkmal gerne? Ich habe den Vorschlag mit dem Default User durchgeführt. Das scheint zu klappen. Jetzt schiebt er zwar am Anfang 800 KB nurs Netz, aber das sollte er ja nur bei der ersten Anmeldung machen, da er sonst das Profil ja schon hat und kein Default mehr benötigt. Sehe ich das richtig? Somit müssten die schon bestehenden User auch von dem Default Verzeichnis nicht beeinträchtigt werden. Das ganze werde ich mal ausgiebig test und dann hoffentlich als Lösung festhalten. @ALL: Vielen Dank für die Tipps! Ich hoffe, dass es jetzt so klappt wie ich mir das vorstelle. Die User in den Außenstellen einmal mit einem neuen Profil zu versehen dürfte nicht das Problem sein.

Das mit dem Login-Skript über Computerrichtlinien klappt leider nicht, da HKCU da noch nicht der entsprechende User ist. Warum reicht die Einstellung in den Computerrichtlinien nicht für beide Bereiche... Die Computerrichtlinien zieht er sauber. Nur die Benutzerrichtlinien nicht. Das mit der PingSize habe ich eingestellt. Es scheint aber nicht zu klappen. Außerdem wäre mir kein Geschwindigkeitstest am liebsten. Denn der dauert länger als das Ziehen der GPO. Hat noch jemand eine gute Idee, wie der Key an jeden User verteilt werden kann?

Er zieht ein Profil aus dem Netlogon, oder versucht es zumindest. Kann ich dort den Key irgendwie eintragen? Hmm. Das mit dem Startskript wär eine Möglichkeit. Die Frage ist nur, wie ich das Skript verteilt bekomme, wenn er keine GPOs zieht. Die Außenstellen werden nämlich nur sehr gering angepasst, da dort hauptsächlich Citrix PNAgent läuft. Es muss also nur Firewall & Automatische Updates konfiguriert werden. Das mit dem Profil würde mich reizen. Dann würde ich lokal die Profile rausschmeißen und bei einer neuen Anmeldung klappt es dann. Lokal ist ja eh nicht viel vorhanden. Vielleicht kannst du mich ja auch noch über diesen Berg (aus meiner Sicht) schubsen ;-) Auf jeden Fall schon mal Danke!!!

http://support.microsoft.com/kb/910206/ => Das könnte ich mir als anpassen.reg vorstellen und dann mittels "Ausführen als" versuchen die Einstellungen vorzunehmen => Mal abgesehen vom Deutsch der Info, wie geht das? Ich habe in der Regestry den gewünschten Key unter HKEY_USERS .Default gesetzt, aber das scheint nicht zu fruchten. Kann ich dass in der Domäne irgendwo ändern?

Die Pix schaft ping -l 1024 dc-rechner. Mehr aber nicht. Den Link habe ich vor einiger Zeit schon mal gesehen. Kann ich dass denn zentral für alle einstellen oder muss ich jeden Rechner anfassen. Wie gesagt: wenn ich per Hand eintrage, dass er nicht Geschwindigkeit testen soll, dann klappt es. Aber das kann noch nicht die Lösung sein, weil ich so für jeden User an jedem Rechner die Einträge machen muss.

Der war noch nicht eingestellt. Ich hab den Wert in der Default Domain Policy eingetragen. Beim Starten eines neuen Users pingt er aber immer noch um die Benutzerprofile zu laden. USERENV(270.bec) 14:12:47:078 ProcessGPOs: Starting user Group Policy (Background) processing... USERENV(270.bec) 14:12:47:093 ProcessGPOs: USERENV(270.bec) 14:12:47:093 ProcessGPOs: USERENV(270.bec) 14:12:47:093 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0 USERENV(270.bec) 14:12:47:093 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0x704 USERENV(270.bec) 14:12:47:093 EnterCriticalPolicySectionEx: Leaving successfully. USERENV(270.bec) 14:12:47:140 ProcessGPOs: Machine role is 2. USERENV(270.bec) 14:12:47:187 PingComputer: Adapter speed 10000000 bps USERENV(270.bec) 14:12:47:265 PingComputer: First time: 81 USERENV(270.bec) 14:12:52:453 PingComputer: Second send failed with 11010 USERENV(270.bec) 14:12:52:531 PingComputer: First time: 80 USERENV(270.bec) 14:12:57:953 PingComputer: Second send failed with 11010 USERENV(270.bec) 14:12:58:015 PingComputer: First time: 69 USERENV(270.bec) 14:13:03:453 PingComputer: Second send failed with 11010 Wenn ich als Admin per Hand den Registry-Key setze ist alles in Ordnung. Aber das kann ich ja nicht für jeden User machen :-( Schon mal Danke für die Hilfe!

aktiviert und 0

@ITHome Das habe ich ja. Nur wenn er die Gruppenrichtlinie nicht zieht, weil er einen langsamen Link hat bzw. den Server bei dem Ping-Spielchen nicht findet, hilft mir das GPO leider nichts.

Ich hab es ja nur mit einem User der Adminrechte hatte wieder hinbekommen. Maschinen sind noch so ca. 40 draußen bei denen ich das Problem habe. Die Anzahl der Benutzer kommt ja noch hinzu. Wenn ich möchte, dass sich jeder überall anmelden kann, dann sollten für einen neuen Benutzer auch die Einstellungen ziehen. Deshalb verzweifel ich noch.

Die Clients sind im DNS richtig konfiguriert. Ich habe mittlerweile über die userenv.log herausgefunden, dass er die Computerrichtlinien zieht nur die User nicht, weil er dort immer noch die Geschwindigkeit prüft. Als Admin kann ich meine Registry-Keys ändern und folgendes ändern: Registrierungsunterschlüssel: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System Wertname: GroupPolicyMinTransferRate Dann geht es auch. Ich bin bald total verzweifelt...

Hallo, Ich bin natürlich selber auch noch auf der Suche nach einer Lösung. Mittels userenv.log und gpupdate /force versuche ich das Problem einzugrenzen. Dabei ist mir aufgefallen, dass bei der Aktualisierung der Computerrichtlinien "always download" gilt und somit die Geschwindigkeitskontrolle nicht durchgeführt wird. Die fast gleichzeitige Benutzerrichtlinienaktualisierung versucht die Geschwindigkeit des Netzwerks herauszufinden und scheitert. Was mich wundert: Ich habe beide Registry-Keys gesetzt, dass die Überprüfung nicht stattfindet. Außerdem sind in der Default Domain Policy die werte auch auf 0 gesetzt. Somit hoffe ich, dass beim Ziehen der Richtlinie die Werte erhalten bleiben. Was kann ich tun? Mir gehen so langsam die Ideen aus. Ich hoffe das bei dem warmen Wetter noch andere online sind und mir helfen können. Vielen Dank schon mal vorab. Robert

Bei gpupdate /force erscheint folgendes in der userenv.log USERENV(278.170) 09:59:34:750 ProcessGPOs: DSGetDCName failed with 59. USERENV(278.170) 09:59:34:750 ProcessGPOs: No WMI logging done in this policy cycle. USERENV(278.170) 09:59:34:750 ProcessGPOs: Processing failed with error 59. USERENV(278.170) 09:59:34:750 LeaveCriticalPolicySection: Critical section 0x83c has been released. USERENV(278.170) 09:59:34:750 ProcessGPOs: User Group Policy has been applied. USERENV(278.170) 09:59:34:750 ProcessGPOs: Leaving with 0. USERENV(278.170) 09:59:34:750 GPOThread: Next refresh will happen in 103 minutes USERENV(278.428) 09:59:34:750 PingComputer: Adapter speed 10000000 bps USERENV(278.428) 09:59:34:828 PingComputer: First time: 71 USERENV(278.428) 09:59:40:250 PingComputer: Second send failed with 11010 USERENV(278.428) 09:59:40:312 PingComputer: First time: 70 USERENV(278.428) 09:59:45:750 PingComputer: Second send failed with 11010 USERENV(278.428) 09:59:45:828 PingComputer: First time: 79 USERENV(278.428) 09:59:51:250 PingComputer: Second send failed with 11010 USERENV(278.428) 09:59:51:250 PingComputer: No data available USERENV(278.428) 09:59:51:250 ProcessGPOs: DSGetDCName failed with 59. USERENV(278.428) 09:59:51:250 ProcessGPOs: No WMI logging done in this policy cycle. USERENV(278.428) 09:59:51:250 ProcessGPOs: Processing failed with error 59. USERENV(278.428) 09:59:51:250 LeaveCriticalPolicySection: Critical section 0x830 has been released. USERENV(278.428) 09:59:51:265 ProcessGPOs: Computer Group Policy has been applied. USERENV(278.428) 09:59:51:265 ProcessGPOs: Leaving with 0. USERENV(278.428) 09:59:51:265 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0 USERENV(278.428) 09:59:51:265 EnterCriticalPolicySectionEx: Machine critical section has been claimed. Handle = 0x830 USERENV(278.428) 09:59:51:265 EnterCriticalPolicySectionEx: Leaving successfully. USERENV(278.428) 09:59:51:328 LeaveCriticalPolicySection: Critical section 0x830 has been released. USERENV(278.428) 09:59:51:328 GPOThread: Next refresh will happen in 91 minutes

Hallo, Folgendes Problem hält sich bei mir hartnäckig. Auf den Clients erscheint im Event-Log 1054 Quelle Userenv Der Domnencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Ein unerwarteter Netzwerkfehler ist aufgetreten. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Folgende Infrastruktur: [DC] OS: W2K3 Subnet: 192.168.100.0/24 Eventlog: keine Fehler Anbindung: 2 MBit SDSL mit fester IP Firewall: Cisco PIX 506 [Client] OS: Win XP Pro Subnet: 192.168.100.0/24 Eventlog: keine Fehler Anbintung: auf selben ESX-Server wie DC [Client] OS: Win XP Pro Subnet: 192.168.110.0/24 Eventlog: 1054 Anbintung: 2 MBit ADSL mit fester IP Firewall: Cisco PIX 501 Die beinden Netze sind mit einer Site to Site Kopplung verbunden. Ping -l 1024 auf den DC gehen über die Strecke. NSLookup auf die Domäne wird auf die IP vom DC aufgelöst. Der DC kann aufgelöst werden. Der Server ist frisch in einer VM aufgesetzt, um den Fehler endlich zu finden. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Domain: passt NV Domain :passt rsop.msc => Die Richtlinienergebnissatzdaten sind ungültig. Mögliche Ursachen sind beschädigte Daten oder Daten, die gelöscht bzw. niemals erstellt wurden. Details: ungültiger Namespace Subnet ist im DNS eingetragen. gpupdate /force provoziert den Fehler. So langsam bin ich am verzweifeln. In unserem produktiven System haben wir den Fehler eine ganze Zeit lang nicht mehr gehabt, bis ich ein Abmeldeskript per Gruppenrichtlinie verteilen musste. Nun ist der Fehler wieder da. Ich bin für jeden Tipp dankbar. Robert