ray30002
Goto Top

Lange Logindauer Windows Server 2003 AD und XP Clients

Verzweifelte Suche nach dem Problem... Hilfe! face-smile

Hallo Allerseits,
ich arbeite in meinem Nebenjob an der Uni als Sysadmin und stehe vor einem Problem für das mein begrenztes Fachwissen leider nicht ausreicht. Die Umgebung sieht wie folgt aus. Wir haben eine Subdomäne im Uninetz und ca. 70 XP Clients. Die Authentifizierung erfolgt über das Active Direktory, wobei wir aber die Benutzer nicht selbst anlegen, sondern die Profile aus der nächst höheren Domäne in ein Container Objekt werfen und nur Benutzer aus diesem Container den Zugriff an unseren Clients erlauben.
Das Problem ist nun, dass der Login teilweise bis zu 5 min dauert (manchmal aber auch nur 10 sek). An der Netzverbindung kann das kaum liegen, da es sich hier um ein Gigabit Netzwerk handelt welches auch mit sehr viel mehr Traffic klar kommt (z.B. wird hier Citrix Provisioning eingesetzt). Der DNS und DHCP ist auch richtig konfiguriert.
Meine Vermutung ist nun, dass es nicht an unseren Server liegt, sondern an der Authentifizierung der User in der nächst höheren Domäne bzw. den Profilpfade auf welche ich keinen Einfluss habe, da ich nichts an den Profilen selbst schrauben kann. Die Ordnerumleitung scheint es wohl auch nicht zu sein, da ich diese Testweise schon entfernt hatte.
Ein bekanntes Problem ist, dass die Replikation nicht 100% funktioniert. Dh. ich habe immer wieder Probleme, dass sich Clients die Gruppenrichtlinie von einem veralteten Replikat ziehen (Falls dazu jemand eine Idee hat... immer her damit face-smile)
Die Logs zeigen ein paar Fehler, welche mich aber bisher auch nicht weitergebracht haben. Kann vielleicht jemand von euch daraus etwas schließen?

Netlogon (Habe ein paar IP's und Domainnames geschwärzt)

12/07 15:27:00 [SESSION] I_NetLogonGetAuthData: (null) PHILNET
12/07 15:27:00 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS 
12/07 15:27:00 [MAILSLOT] NetpDcPingListIp: philnet.xx.xxxx.de: Sent UDP ping to xxx.xxx.165.2
12/07 15:27:01 [MISC] DsGetDcName function returns 0: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS 
12/07 15:27:01 [MISC] DsGetDcName function called: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS 
12/07 15:27:01 [MISC] DsIGetDcName: Ignore single label DNS domain name PHILNET-DC1
12/07 15:27:01 [MISC] DsGetDcName function returns 1212: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS 
12/07 15:27:10 [MISC] DsGetDcName function called: Dom:PHILNET Acct:(null) Flags: IP KDC 
12/07 15:27:10 [MISC] NetpDcGetName: philnet.xx.xxxx.de. using cached information
12/07 15:27:10 [MISC] DsGetDcName function returns 0: Dom:PHILNET Acct:(null) Flags: IP KDC 
12/07 15:29:36 [MISC] NlWksScavenger: Can be called again in 'never' (0xffffffff)
12/07 15:29:38 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: DS BACKGROUND 
12/07 15:29:38 [MISC] NetpDcGetName: philnet.xx.xxxx.de. using cached information
12/07 15:29:38 [MISC] DsGetDcName function returns 0: Dom:(null) Acct:(null) Flags: DS BACKGROUND 
12/07 15:31:00 [SESSION] I_NetLogonGetAuthData: (null) PHILNET
12/07 15:32:41 [MISC] DsGetDcName function called: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS 
12/07 15:32:41 [MAILSLOT] NetpDcPingListIp: philnet.xx.xxxx.de.: Sent UDP ping to xxx.xxx.165.2
12/07 15:32:41 [MISC] DsGetDcName function returns 0: Dom:(null) Acct:(null) Flags: FORCE PDC NETBIOS RET_NETBIOS 
12/07 15:32:41 [MISC] DsGetDcName function called: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS 
12/07 15:32:41 [MISC] DsIGetDcName: Ignore single label DNS domain name PHILNET-DC1
12/07 15:32:41 [MISC] DsGetDcName function returns 1212: Dom:PHILNET-DC1 Acct:(null) Flags: DS WRITABLE DNS RET_DNS

Userenv (Loglevel ist ganz oben und diese Meldungen scheinen im Leerlauf entstanden zu sein)

USERENV(3f8.1478) 15:20:20:129 MyGetUserName:  GetUserNameEx failed with 1753.
USERENV(3f8.1310) 15:21:16:534 PolicyChangedThread: UpdateUser failed with 0.
USERENV(618.cd8) 15:21:23:253 LoadUserProfile: Failed to enable the restore privilege. error = c0000061

In der Ereignisanzeige laufen weder auf dem Client noch auf dem Server nennenswerte Fehler auf. Außer eben aus dem Replikationsdienst mit Fehlern die auf Probleme mit dem Replikationsdienst des zweiten Domain Controllers schließen lassen. Der Verzeichnisdienst hat auffällig oft Einträge der Kategorie "Information" mit der Meldung, dass eine Konsistenzprüfung stattgefunden hat (Ereigniscode: 1104 Quelle: NTDS KCC)

Falls irgendjemand damit etwas anfangen kann wäre ich zu tiefstem Dank verpflichtet.


Viele Grüße

Ray

Content-Key: 131149

Url: https://administrator.de/contentid/131149

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: mgoelike
mgoelike 07.12.2009 um 21:20:55 Uhr
Goto Top
Hallo Ray,

also die von Dir beschriebenen Probleme, manchmal lange Anmeldezeit, manchmal fehlerhafte Replikation deuten eigentlich immer auf einen Fehler in der DNS-Implementierung hin.

Eventuell stimmen einige Ressourceneinträge in den DNS-Zonen nicht oder nicht mehr. Eventuell versuchen die Clients daher auf DCs zuzugreifen die sich an einem anderen Standort befinden oder längst nicht mehr existieren.

Auch wenn der DNS Dienst problemlos funktioniert dürfte hier, wie in den fast allen Fällen, das Problem in fehlerhaften Einträgen im DNS liegen.
Prüfe mal die entsprechenden Einträge unter sites und tcp in den jeweiligen DNS-Zonen und vergleiche Sie mit der vorhandenen Struktur bei euch in der UNI.

Mit freundlichen Grüßen
Marcel
Mitglied: ray30002
ray30002 08.12.2009 um 20:29:16 Uhr
Goto Top
Ok Danke, werde mir die Einträge mal genauer anschauen. Melde mich sobald ich mehr weiß.

Vielen Dank
Mitglied: ray30002
ray30002 10.12.2009 um 16:22:21 Uhr
Goto Top
Also da ich den DNS nicht eingerichtet habe kenne ich mich dort nicht zu 100% aus.
Unter _tcp habe ich nur die verweise auf die Authentifizierungsdienste _kerberos, _ldap, und _kpasswd für DC1 und DC2. Unter _sites habe ich die Unterordner "Standardname-des-ersten-Standorts" und "_tcp". Der Ordner _tcp enthält die Verweise auf _ldap und _kerberos wieder jeweils auf DC1 und DC2. Der Eintrag für _kpasswd fehlt. Ist das soweit in Ordnung?
Es könnte sein, dass es bei DC2 Probleme geben könnte, da er wie gesagt nicht ordentlich repliziert wird. Ich werde am Wochenende mal ausprobieren ob das Problem damit zusammenhängt indem ich diese Einträge testweise lösche.

Viele Grüße