Jump to content

Domänenanmeldung dauert oder schlägt fehl


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

ich habe ein paar Probleme in unserem Netzwerk und hoffe ihr könnt mir helfen.

 

Zum Hauptproblem: 

die Anmeldung an der Domäne dauert relativ lange und manchmal geht es gar nicht. Die Anmeldung kann schon mal 2-3 Minuten dauern. Normalerweise wenn der der Benutzer seine Accountdaten angegeben hat, erscheint sein Name und darunter "Willkommen" (Windows 10 Kisten). Manchmal allerdings steht dort dann auch einfach "Anderer Benutzer" und dann meldet er ewig an ohne das etwas passiert. Sprich die Anmeldung schlägt fehl. Das ganze passiert willkürlich und kann nicht reproduziert werden. 

 

Zum System/Netzwerk/Aufbau:

Wir betreiben einen Windows 2016 Server mit DC auf dem alle Clients angemeldet sind. Es gibt keine servergespeicherten Profile oder einen Terminalserver. Via GPO werden Sicherheitseinstellungen und Netzlaufwerke sowie Software und Konfigurationsdateien verteilt. Der Server selbst hat nicht viel besonders: DC, DNS, IIS, File-Server, Hyper-V, WSUS und RAS. Externe Software läuft auf der Maschine mit dem DC kaum. Ein Virenscanner und eine Backup-Software. Im Hyper-V läuft ein Test Windows 10, ein Linux für eine kleine Intranet Webseite und ein separater Windows Server für eine MS SQL Datenbank. Die Leistung vom Server sollte vollkommen ausreichen, ein Intel Xeon E5-2620 v4 mit 32 GB RAM.

 

Da wir nicht nur einen Standort haben, sondern 9 sind die meisten Clients via VPN verbunden. Das VPN Netz wird mit Fritzboxen aufgespannt. Dabei verwenden wir aktuell 8 VPNs um alle nötigen Standorte an den Server anzubinden. Insgesamt sind damit ca. 40 Clients am Server angebunden. Der Server hat auf NIC1 eine eigene FritzBox mit Internet (55MBit/s down 12 Mbit/s up) welche die VPNs aufbaut. Auf NIC2 liegen die Clients welche sich im gleichen Haus befinden. Die Kommunikation im Netzwerk wird meist über TP-Link TL-SG1024D Switches. 

 

Die Clients sehen wie folgt aus: Meistens Windows 10 Kisten (noch ein paar Win7 und einen Win8.1). Office Paket (manuell installiert), unsere "spezielle" Software, ansonsten Adobe Reader, 7-zip, Virenscanner. 

 

Was habe ich schon versucht/ausgeschlossen:

Zunächst dachte ich, das ggf. die Verbindung zum DC zu lange dauert und die Anmeldemaske zu früh da ist. Da habe ich die GPO "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" gesetzt. Leider hat es kaum geholfen. Dann bin ich alle GPOs durchgegangen und habe nach ungültigen Pfaden gesucht, hier ist aber alles OK. Ebenfalls habe ich die Zeit gemessen die die GPOs brauchen um zu laden. Das sind ~30 Sek. an der schlechtesten Zweigstelle. Gemessen habe ich das mit dem SysPro Policy Reporter. Mit 30 Sek. könnte ich gut leben. Aber es dauert meist deutlich länger. Das Netzwerk selbst habe ich auch schon in verdacht gehabt, allerdings dauert das anmelden im Haus wo der Server steht auch länger allerdings tritt dort scheinbar nicht das Problem auf, das die Anmeldung fehl schlägt. 

 

Jetzt weiß ich nicht mehr weiter woran es noch liegen kann. Gruppenrichtlinien sind 30 Benutzer und 14 Computer vorhanden. Auf WMI Filter wurde weitestgehend verzichtet Es gibt einen Filter nach der IP Adresse welcher in 2 GPOs zum Einsatz kommt. Eines was ich mir ggf. noch vorstellen kann wäre: Es gibt bei den Laufwerkszuordnungen einige GPOs die Laufwerke zuordnen obwohl die entsprechenden Rechte bei einigen Benutzern/Gruppen nicht vorhanden sind.

Beispiel: 2 Gruppen: Abteilungsleitung, Mitarbeiter.

Eine GPO möchte zwei Laufwerke zuordnen. Eines darf nur die Leitung und das andere Leitung und Mitarbeiter sehen. Die GPO wird auf beide ausgerollt und bei den Mitarbeitern kann das Laufwerk für die Leitung nicht eingebunden werden weil die Sicherheitseinstellungen den Zugriff verweigern. 

 

Diesen Fall gibt es oft, mit sehr vielen Laufwerken. Daher möchte ich hier jetzt nicht alles über Kopf werfen. 

 

Ich hoffe, ihr habt ein paar Ratschläge oder Ideen was man noch machen könnte um das ganze etwas zu beschleunigen. Ich danke euch schon mal.

Link zu diesem Kommentar
vor 2 Minuten schrieb NorbertFe:

Hi,

 

Stimmt denn die Netzwerkkonfiguration?

DNS bei allen Clients? Standort-Subnet Konfiguration in Sites and Services? Fehlermeldungen im Eventlog?

Hyper-V und DC auf dem Host ist keine besonders sinnvolle Konfiguration. Wie sieht die Hyper-V Konfiguration aus? Virtuelle NIC für den Host oder zwei NICs?

 

Bye

Norbert

Hi, Ja

Der Server hat folgendes:

NIC1

IP: 192.168.2.2

Sub: 255.255.255.0

DNS: 192.168.2.1

Gateway: 192.168.2.1

NIC2:

IP: 192.168.30.2

Sub: 255.255.255.0

DNS: 192.168.30.2

Gateway: none

 

Die Clients haben dann (sofern sie in einer Zweigstelle stehen)

IP: 192.168.{X1}.{X2}     Wobei X1 das dort herschende Netz ist und X2 die Client-Adresse

Sub: 255.255.255.0

DNS: 192.168.2.2

Gateway: 192.168.{X1}.1

 

Eventlogs sind bis auf die normalen Com errors unauffällig. 

 

Wir haben leider nur ein Gerät, daher musste der Hyper-V dort laufen. Der Hyper-V hat zwei virtuelle Switches für die NICs eingerichtet auf denen dann jeweils auch die Services der VMs erreichbar sind. 

vor 7 Minuten schrieb mba:

Schalte bitte das ipv6 in den fritzboxen ab. Insbesondere den dhcp

Danke für den Tip: Sowas habe ich schon mal gelesen und habe per GPO die IPv6 auf den Clients abgeschaltet. Auf den Fritzboxen selber nicht. Dort sind die DHCPs auch noch aktiv. 

Link zu diesem Kommentar
vor 16 Minuten schrieb mba:

Jetzt bereinige erstmal den dhcp von den fbs weg. 

Ipv6 besser stateless als aus

Ich hab gerade nochmal nachgesehen. IPv6 unterstützung ist in den fbs aus! Vom ISP wird auch keine vergeben (vertraglich so vereinbart). Über den DHCP vergibt sie aber eine lokale.

Die DHCP kann ich allerdings nicht einfach abschalten da einige Mobilgeräte (ohne Serverrelevanz) da drin stecken und ich würde die auch aussperren. Ich kämpfe schon länger dafür das Netzwerk zu überarbeiten und auf andere Router und Switches umzusteigen.

 

Edit:

Achso, zur Erläuterung: Wir sind ein gemeinnütziger Verein und bieten unseren Klienten und Bewohnern Internet. Das geht über das Gast-Lan bzw. Gast-WLAN. Schalte ich die DHCPs ab, ist das Gast-WLAN auch weg und die Klienten kommen nicht mehr ins Netz. 

bearbeitet von Preiselbärchen
Nachtrag
Link zu diesem Kommentar
vor einer Stunde schrieb Preiselbärchen:

Der Server selbst hat nicht viel besonders: DC, DNS, IIS, File-Server, Hyper-V, WSUS und RAS. Externe Software läuft auf der Maschine mit dem DC kaum.

Ein Hyper-V ist ein Hyper-V ist ein Hyper-V, sonst nichts. Mit der W2016 Standard Lizenz vom Hyper-V darfst Du auf dem Hyper-V, sofern der Hyper-V nur Hyper-V ist und sonst nichts anbietet, noch 2 weitere virtuelle Server mit der gleichen W2016 Standard Lizenz installieren und betreiben. Alles andere ist Bastelei und führt zu den dir bekannten Problemen, neben den mit einem Multihomed DC.

 

[Warum der Hyper-V-Host keine (!) weiteren Dienste ausführen sollte | faq-o-matic.net]
https://www.faq-o-matic.net/2010/05/03/warum-der-hyper-v-host-keine-weiteren-dienste-ausfhren-sollte/

 

 

Link zu diesem Kommentar
vor 21 Minuten schrieb NorbertFe:

Multihomed dcs machen sehr häufig Probleme, wenn man nicht genau weiß was man tut. Also warum hat der zwei nics?

Ansonsten ad Standortkonfiguration korrekt vornehmen. Das hast du in deiner Antwort ja gekonnt ignoriert. ;)

Die zwei NICs wurden damals so eingerichtet weil die Netze getrennt sein müssen und über verschiedene Gateways ins Netz gehen. 

Auf dem einen NIC läuft das Haus selbst und auf dem anderen die VPN-Verbindungen sowie die Internetverbindung des Servers.

 

Standorte wurden keine weiteren festgelegt. Es gibt auch nur einen DC. An den Zweigstellen sind nur Clients. Soweit ich weiß macht das nur sinn wenn man auch mehrere DCs betreibt oder sehe ich das falsch?

vor 28 Minuten schrieb Sunny61:

Ein Hyper-V ist ein Hyper-V ist ein Hyper-V, sonst nichts. Mit der W2016 Standard Lizenz vom Hyper-V darfst Du auf dem Hyper-V, sofern der Hyper-V nur Hyper-V ist und sonst nichts anbietet, noch 2 weitere virtuelle Server mit der gleichen W2016 Standard Lizenz installieren und betreiben. Alles andere ist Bastelei und führt zu den dir bekannten Problemen, neben den mit einem Multihomed DC.

 

[Warum der Hyper-V-Host keine (!) weiteren Dienste ausführen sollte | faq-o-matic.net]
https://www.faq-o-matic.net/2010/05/03/warum-der-hyper-v-host-keine-weiteren-dienste-ausfhren-sollte/

 

 

Das ist bekannt und es soll auch geändert werden. 

Link zu diesem Kommentar
vor 35 Minuten schrieb mba:

Ich bin sehr überrascht bei soviel Murks derart wenige Probleme berichtet zu bekonnen

Ich kann den Kommentar verstehen, der hilft mir nur leider nicht.

vor 17 Minuten schrieb NorbertFe:

Um es kurz zu sagen, mit vernünftiger Anforderungsdefinition und korrekter Konfiguration bekommt man das hin. Du lieferst zu wenig Infos und doktorst an den Symptomen rum. Sinnvoll wäre es, die Struktur sauber aufzubauen. Dann gibts auch solche Probleme nicht.

Ich glaube das Problem wird von mir allein nicht zu lösen sein. Zumal das auch nicht mein Fachgebiet ist. Ich werde mal vorschlagen vorerst eine Grundordnung reinzubringen. Also den DC in eine VM zu verlagern und nur Hyper-V zu nutzen und die zwei NICs zu entfernen. 

 

Ich danke euch sehr für die Unterstützung, ich bin da etwas schlauer geworden und sollten noch Fragen sein oder Tipps werde ich die gern beantworten und entgegennehmen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...