Remove From My Forums

GPO:Identische Benutzer, unterschiedliches Verhalten

Frage
0

Anmelden
Hallo,

ich betreue ein unspektakuläres Windows2003-Netzwerk mit ActiveDirectory und etwa 200 Clients mit Windows XP.

Ein WindowsXP-Client in einer Außenstelle verbindet sich per VPN mit dem Netzwerk, und hier taucht ein mir unverständliches Phänomen auf:

Auf dem Client sind zwei Domänen-Benutzer in der Gruppe der Lokalen Administratoren angelegt, die im ActiveDirectory in der gleichen OU sind, und bei denen somit auch die gleiche Gruppenrichtlinie (DefaultDomainPolicy) greifen sollte. Eine Softwareverteilung findet hierüber nicht statt.

Für Benutzer A läuft alles prima. Für Benutzer B wird die Benutzerkonfiguration nicht abgearbeitet, da hakt es am Komponentenstatus (Host war bei Socketvorgang nicht erreichbar).

Bereits vorgenommen habe ich:

Update des AMD-64-Proz-Treibers auf dem Client
Benutzerprofil B neu angelegt (2x)
icmp-Durchsatz >2048 sichergestellt
userenv-Log aktiviert
slow-Detection aktiviert (Test mit 0, 100, 500 kB)
Test auf Ausweichrechner-gleiches Ergebnis

Das Problem bewirkt, dass die Windows-Anmeldung des Benutzers B 15 Minuten dauert. Benutzer A ist nach einer Minute angemeldet.

Ich bin für jeden Tipp dankbar.
Mittwoch, 20. April 2011 10:46

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Hi,

Am 20.04.2011 12:46, schrieb Sabine A aus H:

* Benutzerprofil B neu angelegt (2x)

Habt ihr Serverbasierte Profile im Einsatz?
Da ist die Datensumme nicht unbeding der Flaschenhals, sondern oft
die Anzahl der Dateien, die bei den div. "Recent" Ordnern ins
unermessliche steigen können.

Schau es dir mal mit Treesize an. Du kannst die Ansicht auf Datensumme
oder Dateianzahl oder oder oder umstellen.

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Donnerstag, 21. April 2011 08:52

Antworten

|

Zitieren
0

Anmelden

Hallo Mark,

wir haben keine serverbasierten Profile im Einsatz. Wir verwenden lokale Benutzerprofile.

Das funktionierende Profil von Benutzer A ist 65 MB groß und besteht aus 220 Dateien in 242 Ordnern.

Profil Benutzer B ist 1,5 MB groß und besteht aus 63 Dateien in 52 Ordnern. Halt neu und jungfräulich.

Beide Benutzer-Profile funktionieren im lokalen Netz tadellos. Nur auf Rechnern über die VPN-Anbindung besteht das Problem.

Gruß

Sabine

Donnerstag, 21. April 2011 09:48

Antworten

|

Zitieren
0

Anmelden

Am 21.04.2011 11:48, schrieb Sabine A aus H:

Profil Benutzer B ist 1,5 MB groß

Sind die Domänengruppen Mitgliedschaften identisch?
Gibt es WMI Filter auf den GPOs?

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Donnerstag, 21. April 2011 13:29

Antworten

|

Zitieren
0

Anmelden

nein, die Mitgliedschaften sind nicht identisch. Das könnte ich vielleicht nochmal angleichen. Zumindest testweise.

Es gibt keinerlei WMI-Filter.

Donnerstag, 21. April 2011 13:34

Antworten

|

Zitieren
0

Anmelden

Hi,

Am 21.04.2011 15:34, schrieb Sabine A aus H:

nein, die Mitgliedschaften sind nicht identisch. Das könnte ich
vielleicht nochmal angleichen.

Sinn würde es nicht wirklich mahcne, aber scheint zur Zeit die
einzige Differenz zu sein. Probiers mal aus.

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Freitag, 22. April 2011 09:31

Antworten

|

Zitieren
0

Anmelden

Hallo,

ich habe jetzt bei dem besagtem user die Gruppenmitgliedschaften angepasst, so dass er über die gleichen verfügt, wie der funktionierende user.Leider verändert das gar nichts.

Gibt es denn grundsätzliche Dinge, die bei der Abarbeitung der GPOs über VPN zu beachten sind?

Aber, wenns bei einem funktioniert, und beim anderen nicht......Puhh. Bin ratlos.

Dienstag, 26. April 2011 06:58

Antworten

|

Zitieren
0

Anmelden

Hi,

Am 26.04.2011 08:58, schrieb Sabine A aus H:

Gibt es denn grundsätzliche Dinge, die bei der Abarbeitung der GPOs
über VPN zu beachten sind?

Ja, aber die gelten für den Computer und alle sich anmeldenden Benutzer.

Hast du mal von dem funktionierenden Benutzer eine Kopie erstellt und
dann probiert?

Wenn es ein neues Profil ist und es lange dauert, was läuft alles im
"ActiveSetup" des IE?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

Ist irgendwas in den Autostart Einträgen des Default Users?
Ist das Default User Profil funktionell?
Dauert es genauso lange, wenn sich an der Maschine ein neuer LOKALER
Benutzer anmeldet?

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Dienstag, 26. April 2011 08:14

Antworten

|

Zitieren
0

Anmelden

ich sehe gerade, du hast schon einen anderen PC verwendet, dann sind
wohl einige der Ideen Wurscht ...

Habt ihr den Default User in NETLOGON definiert?

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Dienstag, 26. April 2011 08:16

Antworten

|

Zitieren
0

Anmelden

Ich habe jetzt vom funktionierenden user eine Kopie erstellt, und es ging mit der Kopie tatsächlcih genauso flott, wie mit dem Original.

Nachdem ich allerdings die Mitgliedschaften korrigiert habe, ist das Problem wieder vorhanden. Die Gruppen stellen jedoch nur Berechtigungsgruppen für den Zugriff auf Verzeichnisse des Fileservers da. Eigentlich dürften die Mitgliedschaften nicht das Problem sein.

Einen DefaultUser haben wir nicht definiert. Alle Benutzer verwenden Login-Scripts.

Dienstag, 26. April 2011 13:58

Antworten

|

Zitieren
0

Anmelden

Es sieht jetzt so aus, dass der kopierte user tadellos läuft, solange ich ihn unverändert lasse, wie das Original (Mitglied in fünf Benutzergruppen).

Verändere ich die Mitgliedschaften (es ist nur Domänen-Benutzer gewünscht), habe ich wieder das Problem, dass die Windows-Anmeldung fünfzehn Minuten dauert.

Es lässt sich nicht eingrenzen, welche Gruppenmitgliedschaft ausschlaggebend ist.

Ich teste auf zwei Rechnern parallel.

Mittwoch, 27. April 2011 07:14

Antworten

|

Zitieren
1

Anmelden

Hi

Am 27.04.2011 09:14, schrieb Sabine A aus H:

Verändere ich die Mitgliedschaften [...] dass die Windows-Anmeldung
fünfzehn Minuten dauert.

Ist es die Anzahl der Gruppen? Oder auch wenn es weiterhin 5 sind,
aber andere?

Ich tippe jetzt mal ins Blaue, setze mal:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
"MaxPacketSize"=1 (Reg_Dword)

http://support.microsoft.com/kb/244474/en-us

Wenn der Fehler nur auftritt, wenn es "mehr" sind, könnte evtl
die Kerberos TicketSize Probleme verursachen.
Beim "vorhandenen" User klappt es dann, weil er sich mit Cached
Credentials anmeldet. Ändere mal bei diesem die Gruppen ...
Entweder wird er die Änderungen nicht mitnehmen (Cached Credentials)
oder er braucht auch 15 Minuten ...

Wir haben noch garnicht über mein Lieblingsthema an der Stelle
gesprochen: Firewall/Router/Hardware

Schneller Test:
- 2003/2008 RAS PPTP Server aufsetzen
- 1723 + GRE zulassen
- UMTS Stick an Rechner anschliessen
- anmelden über DFÜ Netzwerk

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Mittwoch, 27. April 2011 08:01

Antworten

|

Zitieren
0

Anmelden

ich werd verrückt: Es ist scheinbar die Anzahl der Gruppen. Irgendwelche fünf Gruppen, egal welche, und die Anmeldung dauert sieben Sekunden.

Schmeiße ich zwei oder drei raus, dauert es wieder eine viertel Stunde.

Mittwoch, 27. April 2011 10:50

Antworten

|

Zitieren
1

Anmelden

Am 27.04.2011 12:50, schrieb Sabine A aus H:

ich werd verrückt: Es ist scheinbar die Anzahl der Gruppen.

http://blogs.technet.com/b/askds/archive/2009/06/18/potential-for-kerberos-issues-when-using-a-cisco-vpn-asa-with-win2003-or-later-dc-s.aspx

was mich wieder auf die Ticket Größe und deine Firewall bringt.

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Mittwoch, 27. April 2011 12:27

Antworten

|

Zitieren
0

Anmelden

Mark, ganz großer Sport!
MaxPacketSize!!!!!!

Das war´s! Alle Probleme und Phänomene schienen in diesem Fall davon abzuhängen. Anmeldezeit an verschiedenen Rechneren mit verschiedenen usern ist nun immer etwa 15 Sekunden.

In der GUI Computerverwaltung lassen sich nun auch wieder Domänen-Benutzer hinzufügen.

Vielen Dank für Deine Unterstützung.

Gruß
Sabine

Mittwoch, 27. April 2011 13:09

Antworten

|

Zitieren
1

Anmelden

Hi,

Am 27.04.2011 15:09, schrieb Sabine A aus H:

MaxPacketSize!!!!!!
Das war´s!

Freut mich. Da hatte ich jetzt schon öfter Probleme mit über Router/VPN.
An diese Stolperfallen denk ich immer erst zuletzt.
Egal, Hauptsache es geht. ;-)

Tschö
Mark

Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

Mittwoch, 27. April 2011 13:33

Antworten

|

Zitieren