Lange Logindauer Windows Server 2003 AD und XP Clients
Verzweifelte Suche nach dem Problem... Hilfe!
Hallo Allerseits,
ich arbeite in meinem Nebenjob an der Uni als Sysadmin und stehe vor einem Problem für das mein begrenztes Fachwissen leider nicht ausreicht. Die Umgebung sieht wie folgt aus. Wir haben eine Subdomäne im Uninetz und ca. 70 XP Clients. Die Authentifizierung erfolgt über das Active Direktory, wobei wir aber die Benutzer nicht selbst anlegen, sondern die Profile aus der nächst höheren Domäne in ein Container Objekt werfen und nur Benutzer aus diesem Container den Zugriff an unseren Clients erlauben.
Das Problem ist nun, dass der Login teilweise bis zu 5 min dauert (manchmal aber auch nur 10 sek). An der Netzverbindung kann das kaum liegen, da es sich hier um ein Gigabit Netzwerk handelt welches auch mit sehr viel mehr Traffic klar kommt (z.B. wird hier Citrix Provisioning eingesetzt). Der DNS und DHCP ist auch richtig konfiguriert.
Meine Vermutung ist nun, dass es nicht an unseren Server liegt, sondern an der Authentifizierung der User in der nächst höheren Domäne bzw. den Profilpfade auf welche ich keinen Einfluss habe, da ich nichts an den Profilen selbst schrauben kann. Die Ordnerumleitung scheint es wohl auch nicht zu sein, da ich diese Testweise schon entfernt hatte.
Ein bekanntes Problem ist, dass die Replikation nicht 100% funktioniert. Dh. ich habe immer wieder Probleme, dass sich Clients die Gruppenrichtlinie von einem veralteten Replikat ziehen (Falls dazu jemand eine Idee hat... immer her damit )
Die Logs zeigen ein paar Fehler, welche mich aber bisher auch nicht weitergebracht haben. Kann vielleicht jemand von euch daraus etwas schließen?
Netlogon (Habe ein paar IP's und Domainnames geschwärzt)
Userenv (Loglevel ist ganz oben und diese Meldungen scheinen im Leerlauf entstanden zu sein)
In der Ereignisanzeige laufen weder auf dem Client noch auf dem Server nennenswerte Fehler auf. Außer eben aus dem Replikationsdienst mit Fehlern die auf Probleme mit dem Replikationsdienst des zweiten Domain Controllers schließen lassen. Der Verzeichnisdienst hat auffällig oft Einträge der Kategorie "Information" mit der Meldung, dass eine Konsistenzprüfung stattgefunden hat (Ereigniscode: 1104 Quelle: NTDS KCC)
Falls irgendjemand damit etwas anfangen kann wäre ich zu tiefstem Dank verpflichtet.
Viele Grüße
Ray
ich arbeite in meinem Nebenjob an der Uni als Sysadmin und stehe vor einem Problem für das mein begrenztes Fachwissen leider nicht ausreicht. Die Umgebung sieht wie folgt aus. Wir haben eine Subdomäne im Uninetz und ca. 70 XP Clients. Die Authentifizierung erfolgt über das Active Direktory, wobei wir aber die Benutzer nicht selbst anlegen, sondern die Profile aus der nächst höheren Domäne in ein Container Objekt werfen und nur Benutzer aus diesem Container den Zugriff an unseren Clients erlauben.
Das Problem ist nun, dass der Login teilweise bis zu 5 min dauert (manchmal aber auch nur 10 sek). An der Netzverbindung kann das kaum liegen, da es sich hier um ein Gigabit Netzwerk handelt welches auch mit sehr viel mehr Traffic klar kommt (z.B. wird hier Citrix Provisioning eingesetzt). Der DNS und DHCP ist auch richtig konfiguriert.
Meine Vermutung ist nun, dass es nicht an unseren Server liegt, sondern an der Authentifizierung der User in der nächst höheren Domäne bzw. den Profilpfade auf welche ich keinen Einfluss habe, da ich nichts an den Profilen selbst schrauben kann. Die Ordnerumleitung scheint es wohl auch nicht zu sein, da ich diese Testweise schon entfernt hatte.
Ein bekanntes Problem ist, dass die Replikation nicht 100% funktioniert. Dh. ich habe immer wieder Probleme, dass sich Clients die Gruppenrichtlinie von einem veralteten Replikat ziehen (Falls dazu jemand eine Idee hat... immer her damit )
Die Logs zeigen ein paar Fehler, welche mich aber bisher auch nicht weitergebracht haben. Kann vielleicht jemand von euch daraus etwas schließen?
Netlogon (Habe ein paar IP's und Domainnames geschwärzt)
12/07 15:27:00 [SESSION] I_NetLogonGetAuthData: (null) PHILNET
12/07 15:27:00 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS
12/07 15:27:00 [MAILSLOT] NetpDcPingListIp: philnet.xx.xxxx.de: Sent UDP ping to xxx.xxx.165.2
12/07 15:27:01 [MISC] DsGetDcName function returns 0: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS
12/07 15:27:01 [MISC] DsGetDcName function called: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS
12/07 15:27:01 [MISC] DsIGetDcName: Ignore single label DNS domain name PHILNET-DC1
12/07 15:27:01 [MISC] DsGetDcName function returns 1212: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS
12/07 15:27:10 [MISC] DsGetDcName function called: Dom:PHILNET Acct:(null) Flags: IP KDC
12/07 15:27:10 [MISC] NetpDcGetName: philnet.xx.xxxx.de. using cached information
12/07 15:27:10 [MISC] DsGetDcName function returns 0: Dom:PHILNET Acct:(null) Flags: IP KDC
12/07 15:29:36 [MISC] NlWksScavenger: Can be called again in 'never' (0xffffffff)
12/07 15:29:38 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: DS BACKGROUND
12/07 15:29:38 [MISC] NetpDcGetName: philnet.xx.xxxx.de. using cached information
12/07 15:29:38 [MISC] DsGetDcName function returns 0: Dom:(null) Acct:(null) Flags: DS BACKGROUND
12/07 15:31:00 [SESSION] I_NetLogonGetAuthData: (null) PHILNET
12/07 15:32:41 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS
12/07 15:32:41 [MAILSLOT] NetpDcPingListIp: philnet.xx.xxxx.de.: Sent UDP ping to xxx.xxx.165.2
12/07 15:32:41 [MISC] DsGetDcName function returns 0: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS
12/07 15:32:41 [MISC] DsGetDcName function called: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS
12/07 15:32:41 [MISC] DsIGetDcName: Ignore single label DNS domain name PHILNET-DC1
12/07 15:32:41 [MISC] DsGetDcName function returns 1212: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS
Userenv (Loglevel ist ganz oben und diese Meldungen scheinen im Leerlauf entstanden zu sein)
USERENV(3f8.1478) 15:20:20:129 MyGetUserName: GetUserNameEx failed with 1753.
USERENV(3f8.1310) 15:21:16:534 PolicyChangedThread: UpdateUser failed with 0.
USERENV(618.cd8) 15:21:23:253 LoadUserProfile: Failed to enable the restore privilege. error = c0000061
In der Ereignisanzeige laufen weder auf dem Client noch auf dem Server nennenswerte Fehler auf. Außer eben aus dem Replikationsdienst mit Fehlern die auf Probleme mit dem Replikationsdienst des zweiten Domain Controllers schließen lassen. Der Verzeichnisdienst hat auffällig oft Einträge der Kategorie "Information" mit der Meldung, dass eine Konsistenzprüfung stattgefunden hat (Ereigniscode: 1104 Quelle: NTDS KCC)
Falls irgendjemand damit etwas anfangen kann wäre ich zu tiefstem Dank verpflichtet.
Viele Grüße
Ray
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 131149
Url: https://administrator.de/contentid/131149
Ausgedruckt am: 29.03.2024 um 00:03 Uhr
3 Kommentare
Neuester Kommentar
Hallo Ray,
also die von Dir beschriebenen Probleme, manchmal lange Anmeldezeit, manchmal fehlerhafte Replikation deuten eigentlich immer auf einen Fehler in der DNS-Implementierung hin.
Eventuell stimmen einige Ressourceneinträge in den DNS-Zonen nicht oder nicht mehr. Eventuell versuchen die Clients daher auf DCs zuzugreifen die sich an einem anderen Standort befinden oder längst nicht mehr existieren.
Auch wenn der DNS Dienst problemlos funktioniert dürfte hier, wie in den fast allen Fällen, das Problem in fehlerhaften Einträgen im DNS liegen.
Prüfe mal die entsprechenden Einträge unter sites und tcp in den jeweiligen DNS-Zonen und vergleiche Sie mit der vorhandenen Struktur bei euch in der UNI.
Mit freundlichen Grüßen
Marcel
also die von Dir beschriebenen Probleme, manchmal lange Anmeldezeit, manchmal fehlerhafte Replikation deuten eigentlich immer auf einen Fehler in der DNS-Implementierung hin.
Eventuell stimmen einige Ressourceneinträge in den DNS-Zonen nicht oder nicht mehr. Eventuell versuchen die Clients daher auf DCs zuzugreifen die sich an einem anderen Standort befinden oder längst nicht mehr existieren.
Auch wenn der DNS Dienst problemlos funktioniert dürfte hier, wie in den fast allen Fällen, das Problem in fehlerhaften Einträgen im DNS liegen.
Prüfe mal die entsprechenden Einträge unter sites und tcp in den jeweiligen DNS-Zonen und vergleiche Sie mit der vorhandenen Struktur bei euch in der UNI.
Mit freundlichen Grüßen
Marcel