Thaurix 10 Geschrieben 19. Oktober 2012 Melden Teilen Geschrieben 19. Oktober 2012 Hallo werte Forummitglieder! Vorerst herzlichen Dank an Euch, ich lese dieses Forum schon seit Jahren, aber heute komme ich nicht herum, hier selbst einmal eine Frage zu stellen, denn ich probiere schon fast 2 Monate herum ohne eine Lösung zu finden (auch nicht in anderen Foren oder im Google). Ich bitte Euch um Rat zu folgender Situation: Schüler bekommen aus Gründen der Einfachheit Laufwerksbuchstaben zugeordnet: • Z: Userfolder - wird beim Benutzerkonto im AD direkt eingestellt. • K: Klassenordner – Schüler haben hier lesenden Zugriff. • T: Tempfolder – alle User lesen/schreiben, wird in der Nacht geleert (dient nur zum praktikablen Datentausch). Das Problem: Laufwerk K und T – sind manchmal bei allen Schülern vorhanden, manchmal fehlt es bei 3/20 Schülern, manchmal fehlt es bei 17/20 Schülern. (Z, das übers Profil kommt, ist immer da (eine einmalige einzige Ausnahme gab es)). Ich lege eine genaue Beschreibung des Problems bei, bitte seid so nett und schaut mal rein. Die Beschreibung hab ich auf 2 Seiten aufgeteilt - wegen der Bilder wäre der Anhang sonst zu groß. Danke im Voraus!! mbG Thaurix Zitieren Link zu diesem Kommentar
testperson 1.554 Geschrieben 19. Oktober 2012 Melden Teilen Geschrieben 19. Oktober 2012 Hi, um welche Windows Versionen handelt es sich? Ggfs. könnte das hier helfen: Mapped Drive Connection to Network Share May Be Lost Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 19. Oktober 2012 Autor Melden Teilen Geschrieben 19. Oktober 2012 Falls die PDFs nicht freigeschaltet werden versuche ich es hier ohne den Bildern zu ergänzen: Ort des Problems: Netzwerk einer Schule Beschreibung: Schüler bekommen aus Gründen der Einfachheit Laufwerksbuchstaben zugeordnet: • Z: Userfolder - wird beim Benutzerkonto im AD direkt eingestellt. • K: Klassenordner – Schüler haben hier lesenden Zugriff. • T: Tempfolder – alle User lesen/schreiben, wird in der Nacht geleert (dient nur zum praktikablen Datentausch). Problem: Laufwerk K und T – sind manchmal bei allen Schülern vorhanden, manchmal fehlt es bei 3/20 Schülern, manchmal fehlt es bei 17/20 Schülern. Hinweis: Die Laufwerke sind immer, auch wenn die Laufwerke nicht vorhanden sind via UNC-Pfade ansprechbar (stellt aber vor allem für die jüngeren Schüler und älteren Lehrer ein Problem dar) Das Laufwerk Z ist immer vorhanden (eine einzige Ausnahme, einmalig bei einem User – vernachlässigbar?) Eckdaten – Hardware: • 2 Stück sehr leistungsstarke Server á 32GB auf denen je 2 Virtuelle Server laufen, denen jeweils 12GB Ram zugeteilt sind. • Es gibt ca. 130 Anwenderrechner (davon sind ca. 60 „bessere“ Geräte dabei – es sind leider noch Core2Duos…. Den Rest würde ich gerne verschrotten geht aber nicht, ist alles zurück bis zum P4 und kein Geld….) Problem tritt aber auch bei den „neueren“ Rechnern auf. • Switches: Nagelneu – Cisco Soho Produkte Virtuelle Hardware und Funktionen der Server: (alle Server 2008) • Server 1: DC (Masterfunktionen), DNS (AD-integriert), KMS (Lizenzserver) • Server2: Exchange 2010, IIS7 für OWA • Server3: DC, DNS, WSUS, Proxy (Squid), DHCP für max. 10 Clients • Server4: Server 2008, Memeberserver, Apache, PHP, MySQL, tomcat, phpmyadmin Funktion auf Hardware-Server: • Hyper-V für je 2 virtuelle Server • Einer der Hardware-Server (von oben) wird zusätzlich als Fileserver verwendet, taufen wir ihn Server 5 – hier liegen alle Daten – also alle Userfolder und sonstige Ordner die als Laufwerk gemapped werden sollen. Anzahl der User: ca. 600 (etwas weniger), keine Roaming-Profiles Ausgang/Start: Die Laufwerke K und T hatte ich ursprünglich nur mittels Anmeldeskript verbunden: Das Skript sieht so aus: net use k: \\[iP-Adresse]\classfolder net use t: \\[iP-Adresse]\tempfolder Das Skript wurde in einer eigenen Gruppenrichtlinie unter Benutzerkonf.\Richtlinien\Windows-Einst.\Skripts\Anmelden mittels \\IP-Adr.\netlogon\lw_schueler.cmd aufgerufen. Lösungsversuche: Da damit das oben beschriebene Problem auftrat, deaktivierte ich diese Gruppenrichtlinie und wies per Gruppenrichtlinie (eine andere) die Laufwerke zu: {da fehlt jetzt ein Bild} - Es handelt sich um die Einstellung zur direkten Zuweisung der Laufwerke. • Statt oben beschriebener IP-Adressen hatte ich zuvor die Computernamen verwendet (IP-Adressen zu verwenden war mein letzter Hilfloser Versuch) • Bei der 2. Gruppenrichtlinie hatte ich unter „Aktion“ bei den Laufwerken nicht nur „Aktualisieren“ sondern auch „Erstellen“ und „Ersetzen“ ausprobiert • Problem nicht gelöst, daher beide Gruppenrichtlinien in einer anderen bestehenden (aus dieser sind die Bilder) zusammengefasst, Problem nicht gelöst. Ergänzung: • Für Schüler gelten nun außer der „Default Domain Policy“ die oben angeführte Gruppenrichtlinie und eine weitere, die nur die Ordner Bilder, Dokumente, Favoriten und Musik auf den Userfolder legen (diese funktioniert). • In den anderen Policies werden natürlich keine Laufwerke zugewiesen… • Das Problem tritt nicht nur bei den Schülern auf, manchmal auch bei den Lehrern, die gleich konfiguriert sind, aber halt zusätzlich andere Laufwerke haben. Danke für Eure Geduld. Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 19. Oktober 2012 Autor Melden Teilen Geschrieben 19. Oktober 2012 (bearbeitet) Hallo Testperson! Ich habe den Artikel eben gelesen, danke für den Tipp. Server: Windows Server 2008 64bite Clients: Windows 7 Ultimate 32bit Das rote X-ist nicht vorhanden´bei den Usern, wenn ja, funktioniert der Doppelklick drauf, das paßt auch so. Aber das eigentliche Problem ist, dass die beiden Laufwerk K und T gar nicht verbunden werden, also auch nicht durchgestrichen am Arbeitsplatz angeziegt werden sondern gar nicht. Deswegen verwende ich in meiner 2. oben beschriebenen Gruppenrichtlinie beim Laufwerk T die Option "Alle einblenden" - damit auch eventuell zur Zeit nicht verbunde ausgeblendete Laufwerke angezeigt werden. Bitte um weitere Vorschläge :-) bearbeitet 19. Oktober 2012 von Thaurix Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 19. Oktober 2012 Melden Teilen Geschrieben 19. Oktober 2012 Beide Einstellungen aus der GPO FAQ No. 36 setzen: FAQ-GPO Die Clients anschließend zweimal neu starten. Funktioniert es jetzt? Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 19. Oktober 2012 Autor Melden Teilen Geschrieben 19. Oktober 2012 Hi Sunny61! Danke für Deine Antwort. Ich habe diese Einstellungen jetzt in der Gruppenrichtlinie gemacht die sich auf die Rechner bezieht. Ich kann dann nächste Woche sagen, ob das gefruchtet hat. Spätestens am Mittwoch weiß ich es. Bis dahin - schönes Wochenende! Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 22. Oktober 2012 Autor Melden Teilen Geschrieben 22. Oktober 2012 Es wird schlimmer :-( Am Freitag wurde also die Gruppenrichtlinie definert - (Asynchrones Startverhalten, was eigentlich für XP Clients gilt). Heute war es in beiden EDV-Sälen ungefähr so: von ca. 23 Geräten gibt es 3-4 Geräte (u.a. auch das Lehrergerät) die nach dem Anmelden für ca. 10 - 20 Minuten einen schwarzen Bildschrim zeigen (!!). Danach paßt alles, außer, dass nach 20 Minuten ja fast die halbe Unterrichtsstunde vorbei ist^^. Auf den Rechnern, die sofort starten (ca. 19), fehlen bei 2 die Laufwerksverbindungen. Auf jenem Lehrer-Rechner, der zuvor 20 Minuten den schwarzen Bildschirm zeigte, dauerte danach die Anmeldung einer anderen Person nur 3 Minuten. (Der schwarze Bildschirm kommt nach dem man sein Kennwort eingegeben hat, dieser war ca. 3 Minuten da). Aber die 3 Minuten sind ja auch zu lang. Ich werde mir aber anschauen ob das morgen noch auftritt. Dieser schwarze Schirm ist aber nicht da bis der Rechner weiß, dass er eine Netzwerkverbindung hat oder? Die Rechner haben fixe IP-Adressen (ip v4) - also kann DHCP als Problem ausgeschlossen werden. Hat jemand noch eine Idee? Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 22. Oktober 2012 Autor Melden Teilen Geschrieben 22. Oktober 2012 Vielleicht ist diese Informaiton wichtig: Die Server hängen in dem Netz 10.a.a.a /24 (ja, 255.255.255.0) Die Schülerrechner hängen in dem Netz 10.b.b.b/24 Die Lehrerrechner hängen in dem Netz 192.168.c.c /24 Es wird eine Fortigate Firewall verwendet die zw. den NEtzwerken routet. Die einzelnen Rechner sind aber NICHT in unterschieldichen VLANs zusammengefasst. Das hab ich, da es diesbezüglich eigentlich keine Sicherheitsbedneken gibt nicht für notwendig gehalten. Eine Routing-Loop schließe ich aus - es ist definitiv jeder Switch nur einmal mit meinem "Haupt-Switch" verbunden - auf diesem Hauptswitch steckt dann die Fortigate mit ihren 3 Interfaces. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 22. Oktober 2012 Melden Teilen Geschrieben 22. Oktober 2012 Teste doch bitte anstelle des Skripts net use... den Einsatz von Group Policy Preferences. Ich habe noch nie von Problemen mit Mapped Drives und GPP gehört. Von Login Skripts und Mapped Drives dagegen schon sehr oft. cheers, Daniel Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 22. Oktober 2012 Melden Teilen Geschrieben 22. Oktober 2012 Teste doch bitte anstelle des Skripts net use... den Einsatz von Group Policy Preferences. Ich habe noch nie von Problemen mit Mapped Drives und GPP gehört. Von Login Skripts und Mapped Drives dagegen schon sehr oft. GPPs sind auch nur eine GUI für die Scripte, die im Hintergrund laufen. ;) Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 22. Oktober 2012 Melden Teilen Geschrieben 22. Oktober 2012 Am Freitag wurde also die Gruppenrichtlinie definert - (Asynchrones Startverhalten, was eigentlich für XP Clients gilt). Heute war es in beiden EDV-Sälen ungefähr so: von ca. 23 Geräten gibt es 3-4 Geräte (u.a. auch das Lehrergerät) die nach dem Anmelden für ca. 10 - 20 Minuten einen schwarzen Bildschrim zeigen (!!). Danach paßt alles, außer, dass nach 20 Minuten ja fast die halbe Unterrichtsstunde vorbei ist^^. OK, dann nimm die zweite Einstellung mit den Scripten wieder aus der GPO raus, wieder neu starten und anmelden. Dauert es immer noch so lange? Gibt es Fehlermeldungen im Eventlog? Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 Derzeitiger Stand - Problem nicht gelöst. Was wurde gemacht: Lt. Tipp von Sunny61 wurde die Gruppenrichtlinie für die Rechner wurde folgende Richtlinie deaktivert - bzw. so eingestellt wie es da steht: Computerkonfiguration \ Administrative Vorlagen \ System \ Skripts "Anmeldeskripts gleichzeitig ausführen" = deaktiviert - danke Sunny61, hat aber leider noch nicht die Wirkung gezeigt. Jetzt eine weitere Analyse bzw. Antwort auf Fragen: (Ergebnis macht mir ein bisserl Kopfweh): Frage: Was sind die Antwortzeiten wenn du einen permanenten Ping machst? Antwort: alles ok mit <1ms, von 20 Pings sind 4 Abweichungen 3ms, 5ms, 9ms, 15ms - dabei wurde eine 8MB große Datei kopiert. Frage: Hast du den DNS überprüft ? (NSLOOKUP) Antwort: Ja, die eingetragenen DNS-Server stimmen (Erinnerung - kein DHCP). Nslookup tut wie es soll bringt interne und externe Ergebnis, verbindet sich mit dem primären DNS-Server, man kann sich auf den 2. DNS per "server" hinverbinden - Abfragen sind tadellos. Frage: Wie ist das Verhalten im Betrieb, gibt es da Probleme mit der Performence? Antwort: Ganz gut für die alten Geräte (Clients), keine Probleme Frage Steht in der Ereignisanzeige der Clients etwas ? Anwendungsprotkoll: Ereignis-ID: 6005 Ebene: Warnung Der Anmeldebenachrichtigungsabonnent <GPClient> benötigt einige Zeit, um dieses Benachrichtigungsereignis (StartShell) zu bearbeiten. Systemprotokoll (*hab angst*) 1.) Warnung, Ereignis-ID 1014, DNS-Clients-Events:Zeitüberschreitung bei der Namensauflösung für den Namen Rechner.domain.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat. 2.)Fehler, EReignis-ID 5719, NetlogonDer Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne DOMÄNE aufgrund der folgenden Ursache nicht einrichten: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht........ 3.) Warnung, Ereignis-ID 130, Time-ServiceVom "NtpClient" konnte kein Domänenpeer als Zeitquelle festgelegt werden, da keine Vertrauensstellung zwischen diesem Computer und der ""-Domäne zur sicheren Zeitsynchronisierung eingerichtet werden konnte. In 3473457 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt. Fehler: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. (0x800706FD) --> 10 Minuten später wird der Zeitserver erkannt: Nach einem vorangegangenen Fehler kann der Domänenpeer DC2.domäne.local vom "NtpClient" aufgelöst werden. Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von DC2.domäne.local (ntp.d|0.0.0.0:123->IP-DC2:123). Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von DC2.domäne.local (ntp.d|0.0.0.0:123->IP-DC2:123). 4.) Fehler, Ereignis-ID 1129, GroupPolicy Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator. So ich goolge mal über diese Meldungen, aber ich versteh das DNS-Problem nicht wenn ja die Server richtig konfiguriert sind... Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 So unmittelbar nach dem obigen Text habe ich den Testrechner neu gestartet (zuvor alle Protokolle geleert). Remote konnte ich mich an dem Gerät "sofort nach dem Neustart" anmelden: Habe aber unerklärliche Fehler im Protokoll: 1.) Warnung, DNS-Client, Zeitüberschreitung bei der Namensauflösung für den Namen Rechnername.domäne.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat. 2.) dann kommt wieder der Netlogon-Fehler, dass er keine sichere Sitzung einrichten konnte. (Netlogon, ID 5719) 3.) Dann das Time-Service wie oben, 4.) dann Fehler - Grouppolicy, 1055: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben: a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller. b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert). Meine Server replizieren aber ordentlich... es gibt auch keine negativen Einträge auf den Ereignisprotokollen der Server (soweit ich das sehe) Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Was wurde gemacht: Lt. Tipp von Sunny61 wurde die Gruppenrichtlinie für die Rechner wurde folgende Richtlinie deaktivert - bzw. so eingestellt wie es da steht: Computerkonfiguration \ Administrative Vorlagen \ System \ Skripts "Anmeldeskripts gleichzeitig ausführen" = deaktiviert - danke Sunny61, hat aber leider noch nicht die Wirkung gezeigt. Diese Einstellung Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" = aktiviert ist noch gesetzt und aktiv? Zeig doch ein ipconfig /all von allen Servern und von ein oder zwei Referenz Clients. Nicht für die Öffentlichkeit bestimmte Daten unkenntlich machen. Welcher AV-Scanner läuft auf den Clients und Servern? 2.)Fehler, EReignis-ID 5719, NetlogonDer Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne DOMÄNE aufgrund der folgenden Ursache nicht einrichten: Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht........ Für W7 fordere diesen Hotfix an: Event ID 5719 and event ID 1129 may be logged when a non-Microsoft DHCP Relay Agent is used Auch wenn Du DHCP nicht benutzt, den Dienst hast Du hoffentlich nicht deaktviert, oder? Für XP Clients diese angegebene Lösung ausprobieren: Event ID: 5719 Source: NETLOGON Sind die Treiber für die Netzwerkkarten aktuell? 3.) Warnung, Ereignis-ID 130, Time-ServiceVom "NtpClient" konnte kein Domänenpeer als Zeitquelle festgelegt werden, da keine Vertrauensstellung zwischen diesem Computer und der ""-Domäne zur sicheren Zeitsynchronisierung eingerichtet werden konnte. In 3473457 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt. Fehler: Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden. (0x800706FD) --> 10 Minuten später wird der Zeitserver erkannt: Nach einem vorangegangenen Fehler kann der Domänenpeer DC2.domäne.local vom "NtpClient" aufgelöst werden. Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von DC2.domäne.local (ntp.d|0.0.0.0:123->IP-DC2:123). Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von DC2.domäne.local (ntp.d|0.0.0.0:123->IP-DC2:123). Für mich sieht das so, also ob das Netzwerk beim starten einfach noch nicht bereit ist. 4.) Fehler, Ereignis-ID 1129, GroupPolicy Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator. So ich goolge mal über diese Meldungen, aber ich versteh das DNS-Problem nicht wenn ja die Server richtig konfiguriert sind... Möglicherweise liegt es an der Konfiguration der Switche, dazu gab es in den Technet Foren kürzlich etwas. Hier ist das relevante Posting: Immer noch Probleme beim GPO-Deployment Zitieren Link zu diesem Kommentar
Thaurix 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 Hallo! Während du geschrieben hast kam die Meldung von der Schule, dass es jetzt in beiden EDV-Sälen bis auf 2 Rechner keine Probleme gibt (ich hab aber keine Ahnung warum und will das noch nicht als erledigt betrachten, wer weiß wie es eine Stunde später ausschaut - könnte aber an der geänmderten Policy liegen). *) Ja, Computerkonfiguration \ Administrative Vorlagen \ System \ Anmeldung "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" = aktiviert --> Diese Einstellung hab ich gelassen, weil du meintest ich soll nur das 2. rausnehmen. Im Moment haben auch alle Schüler Ihre Laufwerksverbindungen. *) es sind ausschließlich W7 Clients, ich schau mir den Hotfix gleich an - hab gerade nachgeschaut auf 4 Rechnern (wurde per Image verbreitet) ist der DHCP-Client automatisch Gestartet (und läuft) *) AV-Scanner ist das neueste von Avira die Suite wo das für Exchange auch dabei ist - das große Paket. Adressen und so kommt gleich.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.