Jump to content

langsame / teilweise / mehrfache Verarbeitung von Gruppenrichtlinien


Recommended Posts

Hallo ins Forum,

wir haben seit einiger Zeit (lässt sich nicht definitiv sagen, da die Probleme sich nicht immer gleich zeigen) folgende Probleme in unserem AD:

- Richtlinien werden sehr langsam verarbeitet
- Richtlinien werden teilweise verarbeitet
- Richtlinien kommen auf dem Client nicht an
- Richtlinien werden teilweise mehrfach verabeitet (z.B. Scripte doppelt ausgeführt)
- DNS Registrierung / Aktualisierung (Forward- und Reverse-Lookup) passiert manchmal nicht
- DNS Registrierung / Aktualisierung funktioniert zum Teil nicht (Bsp. Forward-Lookup existiert und Reverse-Lookup fehlt, oder ist nicht aktualisiert)
- Anmeldung "hängt" in "Wilkommen" Dialog
- in den Ereignislogs werden fehlerhafte Anmeldungen (mehrfach) dokumentiert, auch wenn der User sich sofort korrekt anmeldet


Nun treten die Problem sporadisch und an unterschiedlichen Clients auf:

- direkt im LAN
- an Standorten per IPSec angebunden
- an Heimarbeitsplätzen per IPSec angebunden
- an Heimarbeitsplätzen per SSL Client angebunden

In den Ereignislogs finde ich leider gar keine Hinweise die weiterhelfen.

Wir haben zwei DCs in der Zentrale + an jedem Standort einen.

Wo kann ich am besten mit der Fehlersuche beginnen, wer hat hier eine Idee?

Link to comment

Moin,

der letzte Punkt in der Fehlerbeschreibung lässt an Replikationsprobleme in Deinem AD denken...

Ich würde damit beginnen, die Sites & Subnets zu überprüfen, sicherstellen, dass alles der Physik entspricht und die Replikation - AD *und* DFS-R - fehlerfrei funktioniert.

Parallel würde ich, auch wenn's mit Deinem Problem nicht ursächlich zu tun hat, hinterfragen, ob ich für Geräte mit dynamischen IP-Adressen *wirklich* die rückwärtige DNS-Auflösung brauche.

Link to comment

Hallo @cj_berlin,

 

danke für die Rückmeldung.

 

Was mir als erstes auffällt, ist unter Active Directory-Standorte und Sites:

 

Bei allen Standorten sind unter dem Standort DC unter NTDS-Settings jeweils die beiden DCs in der Zentrale - OK, aber auch ein Eintrag "<automatisch generiert>" von einem Standort DC, der gehört da nicht hin denke ich.

 

Beim Standort dessen DC bei allen anderen Standorten unter NTDS-Settings "<automatisch generiert>" hinzugefügt ist hingegen habe ich wiederum alle Standort DCs einmal mit "<automatisch generiert>" unter den NTDS-Settings.

 

Dies würde ich gern als erstes auflösen, wie gehe ich dazu vor?

 

Link to comment

Wenn die Standorte nur Verbindungen zur Zentrale haben, aber nicht untereinander, musst Du wie folgt vorgehen:

  • Unter "Inter-Site-Transports - IP" für jeden Standort einen Site Link hinzufügen, der nur den jeweiligen Standort und die Zentrale beinhaltet. Tu Dir selbst einen Gefallen und setze das "options" Attribut jedes dieser Links auf 1 (USE_NOTIFY)
  • Wenn das fertig ist, den DEFAULTIPSITELINK löschen
  • Wenn die Zentrale zwischen den Standorten routet, bist Du fertig
  • Wenn die Zentrale nicht routet, klicke mit der rechten Maustaste auf den Container "IP" (wo die Site Links drin sind) und nimm den Haken raus bei "All links are bridged"

Das hast Du hoffentlich in der Zentrale gemacht. Öffne die Administrator-CMD auf dem DC, gegen den Du verbunden warst, und sage

repadmin /syncall /AdeP

(Groß- und Kleinschreibung ist wichtig)

Link to comment

Hallo @cj_berlin,

 

erst einmal vielen Dank für die Ausführung.

 

Aktuell ist ein Objekt "ZENTRALE" als Standortverknüpfung angelegt, welches alle Standorte und die Zentrale beinhaltet.

 

D.h. ich würde dieses eine Objekt löschen, nachdem ich für jeden Standort ein neues Objekt angelegt habe, welches die Zentrale und den jeweiligen Standort berücksichtigt, richtig?

 

DEFAULTIPSITELINK ist wohl bereits entfernt.

 

Zur Info, alle Standorte können untereinander die DCs erreichen, jedoch sind einige mit nicht besonders leistungsfähigen Internetanschlüssen angebunden. Besser wäre es also, wenn die Standorte nur zu den DCs in der Zentrale sprechen.

Link to comment

Hi,
 

folgende Prüfungen könntest Du nun mal durchführen (DC Locator Prozess):
 

Am Client\Server selbst den nachfolgenden Registry Eintrag 
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName einsehen und schauen was unter "Data" steht. Steht dort die "Site", welche Du unter "Sites&Services" inklusive des Subnetztes konfiguriert hast und diese stimmig zum Standort des Clients\Servers ist, ist das ein guter Start.


*Sidenote und bitte nur für den Troubleshooting Fall nutzen: 
Den DynamicSiteName Eintrag kann man über folgenden Registry Eintrag aushebeln:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters REG_SZ "SiteName" und unter Data dann die Site, die Du manuell eintragen möchtest. Wie erwähnt, sollte nur im Notfall/Troubleshooting Fall eingesetzt werden.



Wozu das ganze? Jeder Windows domain joined Client schaut beim DynamicSiteName Eintrag nach um für seine Site die verfügbaren DCs zur Anmeldung herauszufinden, dass macht er dann über einen DNS request, welcher dann die "Site" enthält.
Nachdem Du nun die "Sites&Services" Konfiguration geändert hast, könntest Du im "DNS" (ich gehe jetzt davon aus, Du hast die DNS Windows Rolle auf Euren DCs installiert) nachschauen, ob die DNS RR SRV Einträge korrekt aktualisiert wurden. Je nach Umgebung habe ich da von fantastisch aufgeräumten Einträgen bis hin zu Dschungel artigen Gegebenheiten gesehen.

DNS Pfad Rootdomain: ForwardLookupZone _msdcs.[domain].dc._sites.[Sitename]._tcp
DNS Pfad Childdomain: ForwardLookupZone [domain]._msdcs_dc.sites.[Sitename]._tcp


*Sidenote, es gibt noch einige anderes DNS Pfade, die für andere Szenarien\Gegebenheiten als Quelle von 3rd Party Solution anbietern, etc. genommen werden, beim DC Locator Prozess sind es die oben genannten.


Solltest Du nun DNS RR SRV Einträge sehen, die nicht stimmig sind, kannst Du diese  entfernen (Obacht: Sofern nach Bereinigung gar keine SRV Einträge übrig bleiben würden, bitte nicht löschen und zunächst Troubleshooten ;)


*Sidenote, sollten im DNS gar komplette DNS "Site" Einträge fehlen, kann ich dir wärmstens den folgenden Artikel empfehlen:
https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/sites-sites-everywhere-8230/ba-p/399239#:~:text=Domain Controllers cannot calculate site,first%3B that's up to you.


Zu guter letzt sei die GPO Einstellung "Enabling Clients to Locate the Next Closest Domain Controller" zu erwähnen, dass verbessert quasi den DC Locator Prozess in der Hinsicht, dass bevor der letzte Prozess Schritt "find any Domain Controller" durchgeührt wird, der Schritt "find next closest site" zunächst in Erwägung gezogen wird. Eventuell habt Ihr diese Einstellung ja schon, daher nur sicherheitshalber erwähnt.


Viele Grüße,
toao

 

Link to comment

Hallo @cj_berlin, hallo @toao,

 

ich habe die Einstellungen von @cj_berlin soweit umgesetzt.

 

Ich habe auch weitere Netze ergänzt, von Clients, die ich under Debug\netlogon auf den DCs gefunden haben.

 

HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName zeigt am Client den gewünschten Standort

 

DNS Pfad Rootdomain: ForwardLookupZone _msdcs.[domain].dc._sites.[Sitename]._tcp, DNS Pfad Childdomain: ForwardLookupZone [domain]._msdcs_dc.sites.[Sitename]._tcp - in beiden Pfaden sind die Standorte sauber mit den entsprechenden DCs zu sehen

 

Wo finde ich diese Einstellung "Enabling Clients to Locate the Next Closest Domain Controller", wie heißt hier die Überordnung?

 

 

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...