none
GPO:Identische Benutzer, unterschiedliches Verhalten

    Frage

  • Hallo,

    ich betreue ein unspektakuläres Windows2003-Netzwerk mit ActiveDirectory und etwa 200 Clients mit Windows XP.

    Ein WindowsXP-Client in einer Außenstelle verbindet sich per VPN mit dem Netzwerk, und hier taucht ein mir unverständliches Phänomen auf:

    Auf dem Client sind zwei Domänen-Benutzer in der Gruppe der Lokalen Administratoren angelegt, die im ActiveDirectory in der gleichen OU sind, und bei denen somit auch die gleiche Gruppenrichtlinie (DefaultDomainPolicy) greifen sollte. Eine Softwareverteilung findet hierüber nicht statt.

    Für Benutzer A läuft alles prima. Für Benutzer B wird die Benutzerkonfiguration nicht abgearbeitet, da hakt es am Komponentenstatus (Host war bei Socketvorgang nicht erreichbar).

    Bereits vorgenommen habe ich:

    • Update des AMD-64-Proz-Treibers auf dem Client
    • Benutzerprofil B neu angelegt (2x)
    • icmp-Durchsatz >2048 sichergestellt
    • userenv-Log aktiviert
    • slow-Detection aktiviert (Test mit 0, 100, 500 kB)
    • Test auf Ausweichrechner-gleiches Ergebnis

    Das Problem bewirkt, dass die Windows-Anmeldung des Benutzers B 15 Minuten dauert. Benutzer A ist nach einer Minute angemeldet.

    Ich bin für jeden Tipp dankbar.

     

     

     

     

     

    Mittwoch, 20. April 2011 10:46

Alle Antworten

  • Hi,

    Am 20.04.2011 12:46, schrieb Sabine A aus H:

    * Benutzerprofil B neu angelegt (2x)

    Habt ihr Serverbasierte Profile im Einsatz?
    Da ist die Datensumme nicht unbeding der Flaschenhals, sondern oft
    die Anzahl der Dateien, die bei den div. "Recent" Ordnern ins
    unermessliche steigen können.

    Schau es dir mal mit Treesize an. Du kannst die Ansicht auf Datensumme
    oder Dateianzahl oder oder oder umstellen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 21. April 2011 08:52
  • Hallo Mark,

    wir haben keine serverbasierten Profile im Einsatz. Wir verwenden lokale Benutzerprofile.

    Das funktionierende Profil von Benutzer A ist 65 MB groß und besteht aus 220 Dateien in 242 Ordnern.

    Profil Benutzer B ist 1,5 MB groß und besteht aus 63 Dateien in 52 Ordnern. Halt neu und jungfräulich.

    Beide Benutzer-Profile funktionieren im lokalen Netz tadellos. Nur auf Rechnern über die VPN-Anbindung besteht das Problem. 

     

    Gruß

    Sabine

     

    Donnerstag, 21. April 2011 09:48
  • Am 21.04.2011 11:48, schrieb Sabine A aus H:

    Profil Benutzer B ist 1,5 MB groß

    Sind die Domänengruppen Mitgliedschaften identisch?
    Gibt es WMI Filter auf den GPOs?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 21. April 2011 13:29
  • nein, die Mitgliedschaften sind nicht identisch. Das könnte ich vielleicht nochmal angleichen. Zumindest testweise.

    Es gibt keinerlei WMI-Filter.

    Donnerstag, 21. April 2011 13:34
  • Hi,

    Am 21.04.2011 15:34, schrieb Sabine A aus H:

    nein, die Mitgliedschaften sind nicht identisch. Das könnte ich
    vielleicht nochmal angleichen.

    Sinn würde es nicht wirklich mahcne, aber scheint zur Zeit die
    einzige Differenz zu sein. Probiers mal aus.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 22. April 2011 09:31
  • Hallo,

    ich habe jetzt bei dem besagtem user die Gruppenmitgliedschaften angepasst, so dass er über die gleichen verfügt, wie der funktionierende user.Leider verändert das gar nichts.

    Gibt es denn grundsätzliche Dinge, die bei der Abarbeitung der GPOs über VPN zu beachten sind?

    Aber, wenns bei einem funktioniert, und beim anderen nicht......Puhh. Bin ratlos.

     

    Dienstag, 26. April 2011 06:58
  • Hi,

    Am 26.04.2011 08:58, schrieb Sabine A aus H:

    Gibt es denn grundsätzliche Dinge, die bei der Abarbeitung der GPOs
    über VPN zu beachten sind?

    Ja, aber die gelten für den Computer und alle sich anmeldenden Benutzer.

    Hast du mal von dem funktionierenden Benutzer eine Kopie erstellt und
    dann probiert?

    Wenn es ein neues Profil ist und es lange dauert, was läuft alles im
    "ActiveSetup" des IE?
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

    Ist irgendwas in den Autostart Einträgen des Default Users?
    Ist das Default User Profil funktionell?
    Dauert es genauso lange, wenn sich an der Maschine ein neuer LOKALER
    Benutzer anmeldet?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 26. April 2011 08:14
  • ich sehe gerade, du hast schon einen anderen PC verwendet, dann sind
    wohl einige der Ideen Wurscht ...

    Habt ihr den Default User in NETLOGON definiert?


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 26. April 2011 08:16
  • Ich habe jetzt vom funktionierenden user eine Kopie erstellt, und es ging mit der Kopie tatsächlcih genauso flott, wie mit dem Original.

    Nachdem ich allerdings die Mitgliedschaften korrigiert habe, ist das Problem wieder vorhanden. Die Gruppen stellen jedoch nur Berechtigungsgruppen für den Zugriff auf Verzeichnisse des Fileservers da. Eigentlich dürften die Mitgliedschaften nicht das Problem sein.

    Einen DefaultUser haben wir nicht definiert. Alle Benutzer verwenden Login-Scripts.

    Dienstag, 26. April 2011 13:58
  • Es sieht jetzt so aus, dass der kopierte user tadellos läuft, solange ich ihn unverändert lasse, wie das Original (Mitglied in fünf Benutzergruppen).

    Verändere ich die Mitgliedschaften (es ist nur Domänen-Benutzer gewünscht), habe ich wieder das Problem, dass die Windows-Anmeldung fünfzehn Minuten dauert.

    Es lässt sich nicht eingrenzen, welche Gruppenmitgliedschaft ausschlaggebend ist.

    Ich teste auf zwei Rechnern parallel.

    Mittwoch, 27. April 2011 07:14
  • Hi

    Am 27.04.2011 09:14, schrieb Sabine A aus H:

    Verändere ich die Mitgliedschaften [...] dass die Windows-Anmeldung
    fünfzehn Minuten dauert.

    Ist es die Anzahl der Gruppen? Oder auch wenn es weiterhin 5 sind,
    aber andere?

    Ich tippe jetzt mal ins Blaue, setze mal:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
    "MaxPacketSize"=1 (Reg_Dword)

    http://support.microsoft.com/kb/244474/en-us

    Wenn der Fehler nur auftritt, wenn es "mehr" sind, könnte evtl
    die Kerberos TicketSize Probleme verursachen.
    Beim "vorhandenen" User klappt es dann, weil er sich mit Cached
    Credentials anmeldet. Ändere mal bei diesem die Gruppen ...
    Entweder wird er die Änderungen nicht mitnehmen (Cached Credentials)
    oder er braucht auch 15 Minuten ...

    Wir haben noch garnicht über mein Lieblingsthema an der Stelle
    gesprochen: Firewall/Router/Hardware

    Schneller Test:
    - 2003/2008 RAS PPTP Server aufsetzen
    - 1723 + GRE zulassen
    - UMTS Stick an Rechner anschliessen
    - anmelden über DFÜ Netzwerk

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 27. April 2011 08:01
  • ich werd verrückt: Es ist scheinbar die Anzahl der Gruppen. Irgendwelche fünf Gruppen, egal welche, und die Anmeldung dauert sieben Sekunden.

    Schmeiße ich zwei oder drei raus, dauert es wieder eine viertel Stunde.

    Mittwoch, 27. April 2011 10:50
  • Am 27.04.2011 12:50, schrieb Sabine A aus H:

    ich werd verrückt: Es ist scheinbar die Anzahl der Gruppen.

    http://blogs.technet.com/b/askds/archive/2009/06/18/potential-for-kerberos-issues-when-using-a-cisco-vpn-asa-with-win2003-or-later-dc-s.aspx

    was mich wieder auf die Ticket Größe und deine Firewall bringt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 27. April 2011 12:27
  • Mark, ganz großer Sport!

    MaxPacketSize!!!!!!

    Das war´s! Alle Probleme und Phänomene schienen in diesem Fall davon abzuhängen. Anmeldezeit an verschiedenen Rechneren mit verschiedenen usern ist nun immer etwa 15 Sekunden.

    In der GUI Computerverwaltung lassen sich nun auch wieder Domänen-Benutzer hinzufügen.

    Vielen Dank für Deine Unterstützung.

    Gruß

    Sabine
    Mittwoch, 27. April 2011 13:09
  • Hi,

    Am 27.04.2011 15:09, schrieb Sabine A aus H:

    MaxPacketSize!!!!!!
    Das war´s!

    Freut mich. Da hatte ich jetzt schon öfter Probleme mit über Router/VPN.
    An diese Stolperfallen denk ich immer erst zuletzt.
    Egal, Hauptsache es geht. ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 27. April 2011 13:33