none
Příliš dlouhý test GPO při startu počítače

    Dotaz

  • Dobrý den.

    I když jsem v nastavení politik v GP na Server 2003 nic nezměnil, tak někdy u některých PC při spouštění počítače trvá hláška Nastavení počítače při testu změn GPO hodně dlouho. Trvá to i několik minut. To sousloví NĚKDY a NĚKDE je bohužel pravdivé. Je to u klientů s Windows XP, Vista i 7 a je to náhodné. U některých PC prakticky každý den při prvním zapnutí PC, u některých jen občas. Nedaří se mi vysledovat co to způsobuje. Počítače se u nás každý den na konci směny vypínají.

    Politiky jsem jednu po druhé prověřil a nemělo by tam být nic špatného. Když se používá jen část pro HW, tak část pro uživatele je vždy zakázána, platí to i naopak. Politiky se na PC aplikují tak, jak je očekáváno. Přes GPResult se mi také žádný problém nepodařilo najít a přes simulaci také ne. Vše vypadá, že má správnou logiku a přesto se to chová tak, jak popisuji. Jako by se při testu některá z politik zasekla a čekalo to na vypršení timeoutu.

    Můžete mi prosím poradit nějaký další způsob, jak zjistit proč se tak děje?

    Děkuji

    11. února 2011 8:31

Odpovědi

  • 1. Admin konzoli bych pouzil na stanici, na ktere dochazi k problemu. Musite vysledovat, zda je problem vazan na uzivatele, nebo na stanici. Muzete uvest pouzivane politiky?

    2. Doporucoval bych otestovat provoz s pocitacem, na kterem je Network Monitor s pouzitim hubu. Kde jsou nejvetsi prodlevy, na co se ceka?

    3. Mate nastavene mapovani disku? Spolu s GPO Wait for network....

    4. Jaky AV program pouzivate a jak ho mate nakonfigurovany?

    5. Uzivatele se hlasi vzdy na jeden system, nebo na vice sytemu? Pokud ano, nemuze byt chyba ve spatne konfiguraci "spolecneho prostoru".

    6. Neni v seznamu DNS jina adresa nez prislusi AD? Tedy verejna adresa. Nebo nejaka nedostupna adresa

    7. Je rozdil v dobe prihlasovani pro lokalniho a domenoveho uzivatele?

    S pozdravem

    M.Puchta

    Pod carou: Proc pouzivate UPHclean, kdyz nestehujete profily?

    14. února 2011 9:29
    Moderátor
  • Mel jsem na mysli gpmc, kterou spustite na jedne z problematickych stanic a podivate se, jake politiky se skutecne uplatni. Jake jsou vysledne GP pro uzivatele a pro stanici?

    Hub se pouziva, pokud mate nainstalovany network monitor na zvlastnim pocitaci, napriklad na notebooku. Monitorovaci pocitac nelze pripojit primo na port switche. Pak byste monitoroval provoz jen na tomto mericim pocitaci (notebooku). Timto zpusobem promerite i provoz v situaci, kdy neni nikdo zalogovan. Nam ted jde o zjisteni prodlev.

    S pozdravem

    Milos Puchta

    • Označen jako odpověď yorgstbk 16. února 2011 10:07
    15. února 2011 15:30
    Moderátor
  • Můžete mi prosím poradit nějaký další způsob, jak zjistit proč se tak děje?
    Můžete zkusit zapnout podrobné logování politik. Byla na to i šablona, tuším se jmenovala gpolog.adm kterou se dalo zapínat několik kličů mimo jiné v HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics. Pokud nenajdete, mohu poslat nebo někde vystavit. Ovšem počítejte s nutností analyzovat desítky, možná ke stovce záznamů v eventlogu. Ale osobně se domnívám, že pokud je problém nahodilý nemá moc smyslu to řešit. Také jsem něco podobného před časem zaznamenal, že se start PC zastavil na vykonávání politik, dokonce i na pár minut, ale většinou nikoli opakovaně. Souvislost s emi nepovedlo vystopovat, domnívám se, že to může souviset když vytvořím nové instalační balíčky. Z mých uživatelů si na to však nikdo nijak moc nestěžoval, možná proto, že se snažím zapínat instalace větších MSI balíčku (jako Adobe reader) na dobu nočních hodin či víkendových maintenance oken (pomocí WoL pecka o víkendu zapnu, 2x restartuji) Takže během pracovních hodin by měla být většina instalačních politik již aplikována. Na vašem místě bych se stěžujícím uživatelům snažil vysvětlit, že k tomu občas může dojít, když se z nějakého důvodu zasekne aplikace politik a že nejlepší je počítač nevypínat a nechat prodlouženému startu PC volný průběh. Prostě taková menší daň za výhody centrální správy... :-) Těch pár minut mohou využít k uvaření ranní kávy. Pokud by s nimi v tomto ohledu nebyla řeč, a jste ochoten rezignovat, můžete jim povolit hibernování počítače či uspávání do úsporného režimu (standby). Start bude tak rychlý, jak se povede načíst obsah RAM z HDD nebo téměř okamžitý (v případě standby režimu) Ale pak musíte počítat s tím, že politiky aplikované na počítač (instalace SW balíčků) se neprovedou a SW deployment je nutno to řešit jinak - pokud vám funguje Wake on Lan, tak lze tyto počítače probouzet v noci (např. nascriptovaným jobem ze serveru)
    • Označen jako odpověď yorgstbk 28. února 2011 11:17
    24. února 2011 8:58

Všechny reakce

  • Znamena to, ze system nejakou dobu fungoval a ted prestal fungovat jako predtim? Pak ale muselo dojit k nejake zmene na serverech, stanicich nebo na siti.

    1. Bylo by dobre uvest jake politiky pouzivate a take neco vice o konfiguraci AD a site (DNS, mapovani, typ node,...)

    2. Jsou nejake hlasky v Event logach?

    S pozdravem

    Milos Puchta

     

    11. února 2011 13:37
    Moderátor
  • Tak ma napada ..

    Skripty definovane cez GPO (Startup/Shutdown, resp. Logon/Logoff) maju defaultne nastaveny time-out na ukoncenie svojej cinnosti 600 sec. teda 10 min.

    Mate nejake taketo skripty? Nebude problem tu?

     

    Boris.

    11. února 2011 14:08
  • Nebojte se dat vic informaci, my od Vas opisovat nebudeme :-). Pokud budete poustet informace po jednotlivych polozkach, tak bude i reseni konvergovat dlouho.

    Nahodne procesy: Vyzkousejte system v dobe, kdy nejsou pripojeni dalsi uzivatele. Treba o vikendu.

    S pozdravem

    M.Puchta

     

    11. února 2011 15:09
    Moderátor
  • Dobrý den.

    ad "Znamena to, ze system nejakou dobu fungoval a ted prestal fungovat jako predtim?"

    Neznamená. Není to skoková změna. Já u svého počítače (W7 a poměrně výkonným HW) jsem ten problém zatím nezaznamenal. Přesněji nevšiml jsem si že by se to u  mě někdy stalo. Občas si ale někteří uživatele na stěžovali, že se jim prodlužuje start PC. Opět si dovolím zdůraznit slovo někteří. Protože to byli z větší části ti z kategorie "věčně nespokojení" nebo ti, kteří mají pomalejší HW (nejslabší jeu nás  Celeron 3.06 GHz, popřípadě Athlon X2 3800+ s 1 GB RAM), tak jsem to přičítal kombinaci obou těchto faktorů. Jedná se výhradně o kancelářské počítače.

    Teď se mi ale dostaly 2 takovéto počítače na stůl k reinstalaci v době nemoci uživatelů. Oba počítače s XP a oba po cca 3 letech od předchozí instalace. Nová instalace byla provedena, všechny politiky i update přes WSUS aplikované. Protože jsem nemusel spěchat, tak jsem ty počítače měl pár dní u sebe a několikkrát za den (2x až 3x) je vypnul a zapnul. Přes menu, ne násilně. A přitom jsem zjistil, že mají pravdu. Skutečně po některém novém spuštění trvá uvedené operace Nastavení počítače i několik minut. Jindy to trvá jen chvilu. Nejsou to desítky minut spíše to trvá do těch cca 5 minut. Těch 10 minut to určitě není. Žádná změna v GPO přitom provedena nebyla.

    V eventlogu na PC žádná chyba vypsaná není. "Jen" to trvá někdy dlouho.

    Konfigurace AD - jsem strom, který je součástí velkého lesa a jsem tak až v doméně 5. řádu. Ke konfiguraci DNS nejsem schopen nic konkrétního sdělit. Ne, že bych nechtěl, ale nevím co. Nekonfiguji to. Stejně tak nekonfigujuji strukturu AD. Obojí je dané a je spravované z centra.

    V rámci politik instaluji všechny programy, které se u nás používají a které takto instalovat přes msi balíčky lze. Mimo to politikami distribuuji certifikáty, nastavuji správu přihlašování do domény, chování MSIE, práva k adresářům atd. Viz přiložený obrázek. Mám za to, že nic neobvyklého.

    Možná co je neobvyklé je to, že při nové verzi instalovaných programů nepoužívám jejich aktualizace v rámci balíčků, ale starou verzi odeberu ze správy (je zaškrtnuto odebrat je-li mimo obor správy) a pro novou verzi vytvořím vždy novou politiku a po nějaké době (měsíc, dva) původní politiku se starou verzí vymažu. Takto to dělám po tom, co se půvovodní systém aktualizací stal před pár roky poměrně nepřehledným.

    Pro filtrování používám authenticated users u instalace SW, popřípadě bezpečnostní skupiny nebo v kombinaci s filtrováním přes WMI. Plus zákaz konfigurace u HW nebo uživatele v případě, že se daná politika HW nebo uživatelů netýká.

    Že opisovat nebudete vím, není co. :-) Lehkou konspiraci mi vzhledem k tomu, že jsem až v té doméně 5. řádu mi prosím odpusťte.

    Ještě doplním, že nepoužíváme cestovní profily uživatelů a používáme jen neveřejné pevné IP adresy a DHCP se neuplatní.

    Ještě mě teď napadla jedna věc. Cca před 1/2 rokem jsem začal pro správu GPO používat mimo gpmc.msc přímo na serveru 2003 také Group Policy and AD Tools on Windows 7. Takže část politik je vytvořená a spravovaná přes tuto verzi. Jestli to ale začalo až s používáním tohoto SW nejsem schopen říct.

     

    Závěrem se omlouvám, za dlouhý příspěvek.

    14. února 2011 7:21
  • Děkuji za doplnění, ale tady asi problém není. Přesněji, tady jsem žádný problém i po kontrole nenašel.

    Pár skriptů sice v politikách mám, ale to by se asi chyba ve skriptu projevila vždy. Všechny tyto skripty začínají po echo off testem if exist něco. Takže se provedou pouze jednou po připojení PC do domény.

    14. února 2011 7:32
  • 1. Admin konzoli bych pouzil na stanici, na ktere dochazi k problemu. Musite vysledovat, zda je problem vazan na uzivatele, nebo na stanici. Muzete uvest pouzivane politiky?

    2. Doporucoval bych otestovat provoz s pocitacem, na kterem je Network Monitor s pouzitim hubu. Kde jsou nejvetsi prodlevy, na co se ceka?

    3. Mate nastavene mapovani disku? Spolu s GPO Wait for network....

    4. Jaky AV program pouzivate a jak ho mate nakonfigurovany?

    5. Uzivatele se hlasi vzdy na jeden system, nebo na vice sytemu? Pokud ano, nemuze byt chyba ve spatne konfiguraci "spolecneho prostoru".

    6. Neni v seznamu DNS jina adresa nez prislusi AD? Tedy verejna adresa. Nebo nejaka nedostupna adresa

    7. Je rozdil v dobe prihlasovani pro lokalniho a domenoveho uzivatele?

    S pozdravem

    M.Puchta

    Pod carou: Proc pouzivate UPHclean, kdyz nestehujete profily?

    14. února 2011 9:29
    Moderátor
  • Děkuji  za trpělivost a rozsáhlou odpověď.
    Bohužel některým formulacím úplně nerozumím. Můžete to prosím trošku rozvést?

    1. Admin konzoli bych pouzil na stanici, na ktere dochazi k problemu. Musite vysledovat, zda je problem vazan na uzivatele, nebo na stanici. Muzete uvest pouzivane politiky?

    Kterou Admin konzoli máte na mysli? GP manager z Remote Server Administration Tools? Nebo něco jiného? Seznam používaných politik je zde zobrazen. Nevím, které další politiky mám uvést.

    2. Doporucoval bych otestovat provoz s pocitacem, na kterem je Network Monitor s pouzitim hubu. Kde jsou nejvetsi prodlevy, na co se ceka?

    Network Monitor máte na mysli Microsoft Network Monitor 3.4 ? S tím programem jsem zatím nikdy nepracoval. Můžete prosím ještě napsat, co získám tím, že Network monitorem ověřovaný počítač připojím ještě na HUB? Všechny počítače i servery jsou připojeny přes switche a a ty přes router ven.

    3. Mate nastavene mapovani disku? Spolu s GPO Wait for network....

    Mapováním máte na mysli net use n: \\server\složka?  Pokud ano, mám mapování výhradně přes logon script. Typicky adresář se sdílenými aplikacemi a adresár sa daty uživatelů. Wait for network.... pokud není ve standardní konfiguraci, tak nastaveno není.

    4. Jaky AV program pouzivate a jak ho mate nakonfigurovany?

    Symantec Endpoint Protection, spravovaný je centrálně z nadřízeného serveru. Instalovaný na stanice lokálně přes PSExec. Definice správy je daná setAid.ini a sylink.xml.

    5. Uzivatele se hlasi vzdy na jeden system, nebo na vice sytemu? Pokud ano, nemuze byt chyba ve spatne konfiguraci "spolecneho prostoru".

    Na počítači je vždy jen jeden OS a to, že by se hlásil na jiný PC než svůj se děje jen výjimečně. Je to možné, ale není to obvyklé. Všichni uživatelé se hlásí do domény prostřednictvím čipové karty. Přihlášení i logon script je ale až po hlášce Nastevení počítače.

    6. Neni v seznamu DNS jina adresa nez prislusi AD? Tedy verejna adresa. Nebo nejaka nedostupna adresa

    Ne, není. V logu Události na serveru DNS jsou pouze informace o tom, je je spouštěna služba. Žádná chyba za poslední rok.

    7. Je rozdil v dobe prihlasovani pro lokalniho a domenoveho uzivatele?

    Uživatelé se na všech počítačích přihlašují pouze prostřednictvím doménového účtu. Lokální účet používá pouze administrátor a používá se prakticky jen při instalaci PC. Jinak není důvod.

    Pod carou: Proc pouzivate UPHclean, kdyz nestehujete profily?

    Přiznám se, že nevím. Kdysi jsem měl potíže s přihlašováním do domény a bylo mi doporučeno pro počítače s XP UPHclean všude použít. Tehdy tím problém zmizel. Od té doby tam UPHclean je. Jak se tehdy ta chyba projevovala už nevím, je to minimálně 5 let zpátky. Pokud není nutný, dám ho pryč.

    14. února 2011 10:47
  • Mel jsem na mysli gpmc, kterou spustite na jedne z problematickych stanic a podivate se, jake politiky se skutecne uplatni. Jake jsou vysledne GP pro uzivatele a pro stanici?

    Hub se pouziva, pokud mate nainstalovany network monitor na zvlastnim pocitaci, napriklad na notebooku. Monitorovaci pocitac nelze pripojit primo na port switche. Pak byste monitoroval provoz jen na tomto mericim pocitaci (notebooku). Timto zpusobem promerite i provoz v situaci, kdy neni nikdo zalogovan. Nam ted jde o zjisteni prodlev.

    S pozdravem

    Milos Puchta

    • Označen jako odpověď yorgstbk 16. února 2011 10:07
    15. února 2011 15:30
    Moderátor
  • Děkuji za doplnění.

    S těmito informacemi se už s tím nějak poperu.

    16. února 2011 10:09
  • Můžete mi prosím poradit nějaký další způsob, jak zjistit proč se tak děje?
    Můžete zkusit zapnout podrobné logování politik. Byla na to i šablona, tuším se jmenovala gpolog.adm kterou se dalo zapínat několik kličů mimo jiné v HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics. Pokud nenajdete, mohu poslat nebo někde vystavit. Ovšem počítejte s nutností analyzovat desítky, možná ke stovce záznamů v eventlogu. Ale osobně se domnívám, že pokud je problém nahodilý nemá moc smyslu to řešit. Také jsem něco podobného před časem zaznamenal, že se start PC zastavil na vykonávání politik, dokonce i na pár minut, ale většinou nikoli opakovaně. Souvislost s emi nepovedlo vystopovat, domnívám se, že to může souviset když vytvořím nové instalační balíčky. Z mých uživatelů si na to však nikdo nijak moc nestěžoval, možná proto, že se snažím zapínat instalace větších MSI balíčku (jako Adobe reader) na dobu nočních hodin či víkendových maintenance oken (pomocí WoL pecka o víkendu zapnu, 2x restartuji) Takže během pracovních hodin by měla být většina instalačních politik již aplikována. Na vašem místě bych se stěžujícím uživatelům snažil vysvětlit, že k tomu občas může dojít, když se z nějakého důvodu zasekne aplikace politik a že nejlepší je počítač nevypínat a nechat prodlouženému startu PC volný průběh. Prostě taková menší daň za výhody centrální správy... :-) Těch pár minut mohou využít k uvaření ranní kávy. Pokud by s nimi v tomto ohledu nebyla řeč, a jste ochoten rezignovat, můžete jim povolit hibernování počítače či uspávání do úsporného režimu (standby). Start bude tak rychlý, jak se povede načíst obsah RAM z HDD nebo téměř okamžitý (v případě standby režimu) Ale pak musíte počítat s tím, že politiky aplikované na počítač (instalace SW balíčků) se neprovedou a SW deployment je nutno to řešit jinak - pokud vám funguje Wake on Lan, tak lze tyto počítače probouzet v noci (např. nascriptovaným jobem ze serveru)
    • Označen jako odpověď yorgstbk 28. února 2011 11:17
    24. února 2011 8:58
  • Děkuji, že jste se podělil o vaši zkušenost.

    Šablonu jsem našel a stáhl, budu postupně podle časových možností testovat.

    Uživatelé se s tím smířili (nic jiného jim nezbývá) a najít si důvod si zahřešit na správce ICT taky někdy není od věci. Nějak je to postavit si na kafe třeba zdůvodnit. :-)

    Hibernace bohužel není možné použít, protože při ní se rozpojí telnet, který je hlavním komunikačním kanálem. A to pak vyvolává opakované dotazy proč to zase nefunguje. které při vypínání PC nejsou. Wake on Lan není na všech PC podporované a i proto ho mám všude kde je zablokované. Vypadá to, že to je do budoucna dobrá cesta. Díky za tip. Problém s jeho využitím vidím ale trošku u notebooků. 

    Mi šlo spíše o to, vyloučit jako příčinu delšího Nastavení počítače mou případnou chybu v nastavení politik. Ono to funguje, to ale nemusí znamenat, že to je dobře a tak se to snažím to najít spíše jen pro vlastní dobrý pocit.

    24. února 2011 10:34
  • Pokud neni WoL k dispozici, je mozne pouzit i probouzeni z BIOSu. (Pouzivam to pro WSUS. Pokud je nejaky problem, uvidim to pristi den v manazeru WSUS.) Po vykonani vsech potrebnych ukonu poslu pocitace spat prikazem shutdown -s -f -m \\ipadresa -t 0 (-f je nutne k ukonceni aplikaci, plati to na stanice s AV a se zapomenutym USB, ktere by normalne nepustilo shutdown.)
    24. února 2011 11:14
    Moderátor
  • Pokud neni WoL k dispozici, je mozne pouzit i probouzeni z BIOSu.
    No ještě je další možnost - naplánovaná úloha se zatržítkem "probudit počítač k provedení této úlohy" kdy případnou změnu času probouzení lze nastavit vzdáleně editací úlohy a není nutno měnit nastavení v biosu. Pochopitelně u novějších PC s technologií Intel V-Pro lze i bios měnit vzdáleně, ale to ještě není standardní věc. Ale problematika správy s využitím WoL apod by byla nejen na nový topic, ale možná i na samostatné fórum... :-)
    25. února 2011 1:13