42111
Goto Top

Windows Server 2008 Gruppenrichtlinienverarbeitung - Drucker

Hallo Forum,

ich wäre für eine Denkanstoß SEHR dankbar!

Unsere Umgebung:
Windows Server 2008 x64 als DC
Windows Server 2008 x86 als Printserver

Windows Server 2008R2 (logisch x64) als Anwendungsserver

Windows XP x86 und Windows 7 x64 Clients (letztere bisher nur in der EDV).

Auf dem Printserver sind folgende Treiber hinterlegt:

Kyocera FS-1128MFP KX - Windows x64 - 5.1.1405.0
Kyocera FS-1128MFP KX - Windows NT x86 - 5.0.2215.0

Kyocera FS-1350DN KX - Windows x64 - 5.1.1405.0
Kyocera FS-1350DN KX - Windows NT x86 - 5.0.2215.0

Kyocera FS-3920DN KX - Windows x64 - 5.1.1405.0
Kyocera FS-3920DN KX - Windows NT x86 - 5.1.1405.0

Kyocera FS-C1020MFP PCL5 - Windows NT x86 - 1.0.227.0
Kyocera FS-C1020MFP PCL6 - Windows NT x86 - 1.0.227.0

Kyocera FS-C5200DN KX - Windows x64 - 5.1.1405.0
Kyocera FS-C5200DN KX - Windows NT x86 - 5.0.2215.0

Kyocera TASKalfa 250ci KX - Windows x64 - 5.1.1405.0
Kyocera TASKalfa 250ci KX - Windows NT x86 - 5.0.2215.0

so wie 4 HP Treiber und ein RICOH Aficio MP 171 PCL6 alle nur als x86 Treiber.

ca. 350 Drucker auf 900 Rechnern.

Die Drucker werden über die neuen funktionen der 2008er Gruppenrichlinien verteilt. Pro Gruppenrichtlinie werden ca. 40 Drucker verteilt die jedoch über die "Zielgruppenadressierung auf Elementebene" noch einmal spezialisiert wird.

Soweit zu unserer UMGEBUNG!! :D Ist zwar jetzt sehr ausführlich aber vielleicht hilft das den Fehler schneller zu finden face-smile

DER FEHLER:
Melden wir uns an unseren 2008er Servern über RDP an hängt die Anmeldung manchmal bis zu 30 min bei

Benutzereinstellungen werden übernommen... ca. 2 Minuten
Richtlinie "Group Policy Printers" wird übernommen... ca. 10 - 15 Minuten
Richtlinie "Skrips" wird übernomen... ca. 5 - 10 Minuten

ABER nur wenn wir unseren eigenen Login nehmen. Der Admin kommt schneller rein.
Wir haben den Fehler so weit eingrenzen können das es an den Gruppenrichtlinien liegt die die Drucker verteilt (ist eine GPO nur für Drucker) und die auf die OU wirkt in der sich unsere USER accounts befinden.
Deaktivieren wir die GPO läuft es wieder einigermaßen schnell.

Ein Workaround momentan ist über eine WMI Filterung die GPO so zu filtern das sie nicht auf Vista, Server2008 und Win7 sowie Server2008R2 wirkt.

Wir betreiben jedoch auch einige Terminalserver (ebenfalls Server2008) und dort müssen USER sich SCHNELL anmelden können. Der workaround würde zwar auch hier helfen aber wirklich glücklich bin ich damit nicht.

Vorallem weil wir über diese GPOs eigentlich auch die Windows 7 Clients mit druckern bestücken wollen. Was jedoch auch noch nicht funktioniert (trotz deaktivierter Point-and-Print Beschränkung). Die Point-and-Print Beschränkung für Vista und Server2008 die wahrscheinlich auch etwas mit unserem Fehler der langen anmeldung zu tun hat ist ebenfalls schon deaktiviert und die Anmeldung dauert auf den Servern aber immernoch genauso lang....

Wo kann ich suchen?


Zu guter letzt noch ein Auszug aus dem Ereigniss log:

Der Anmeldebenachrichtigungsabonnent <GPClient> hat 608 Sekunden benötigt, um dieses Benachrichtigungsereignis (EndShell) zu bearbeiten.
Der Anmeldebenachrichtigungsabonnent <GPClient> benötigt einige Zeit, um dieses Benachrichtigungsereignis (Logon) zu bearbeiten.
Der Winlogon-Benachrichtigungsabonnent <Sens> ist bei einem Benachrichtigungsereignis fehlgeschlagen.
Der Anmeldebenachrichtigungsabonnent <GPClient> benötigt einige Zeit, um dieses Benachrichtigungsereignis (EndShell) zu bearbeiten.

usw... usw... usw....


Vielen Dank fürs lesen und vielleicht auch helfen. Falls ihr noch aus IRGEND einem bereich infos braucht ich geb euch alles was ihr wollt :D

Ich bin langsam am mich im Kreis drehen und die Ferienzeit ist bald rum... Danach werde ich diesen Fehler wieder bis zu den Weihnachtsferien auf Eis legen müssen da das Tagesgeschäft einen überrent -.-


DANKE!

Flo

Content-Key: 149616

Url: https://administrator.de/contentid/149616

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: Nailara
Nailara 24.08.2010 um 16:12:50 Uhr
Goto Top
Installier doch mal auf einem Terminalserver alle Druckertreiber, so das das Nachziehen der Druckertreiber per GPO bei der Anmeldung nicht mehr notwendig ist und nur die Verbindung hergestellt werden muss. Ich könnte mir vorstellen, dass hier der Hase im Pfeffer ...

CU
Mitglied: napperman
napperman 24.08.2010 um 16:28:39 Uhr
Goto Top
Ich dachte immer der Windows 2008 r2 als TS braucht die Treiber für lokal verwendete Drucker nicht mehr. Da gabs doch diese Easy Print Geschichte...
Mitglied: Nailara
Nailara 24.08.2010 um 16:35:59 Uhr
Goto Top
Kann sein - kenne ich nicht.

Ich weiss, dass ich unter 2003 mit ebenfalls über Policies verteilte Druckerverbindungen mal Schwierigkeiten hatte, weil die Treiber nachinstalliert wurden. Hat mich zwei Wochen gekostet herauszubekommen, dass es günstiger ist, die Treiber vorab als Admin schon mal zu installieren...

Daher: nur eine Idee face-smile
Mitglied: 42111
42111 24.08.2010 um 16:42:38 Uhr
Goto Top
Hallo Nailara,

vielen dank für den Tipp. Denke das es daran liegt... Werde es aber noch testen.

Nur es muss doch auch eine Einstellung in der GPO geben?

Hatte gehoft das ich am ende die Drucker (inkl. Treiber) per GPO nicht nur wie bisher auf die XP sondern auch auf die Server2008 und Windows7 Clients bekomme.

Theoretisch könnte ich ja auch für den Terminalserver per WMI Filterung die GPO aussortieren (Drucken geht ja dennoch da wir TS-Easy-Print nutzen und deshalb kein Treiber auf dem TS sein muss)

Ich vermute das es an den Sicherheitseinstellungen von Windows2008 und Win7 liegt die ich ja eignetlich mit der Point-and-Print Einstellung verändere nur ich hab keinerlei Änderung.

Gibt es noch mehr als die Point-and-Print Einstellung an der ich schrauben könnte?

Danke


Update:
Also ich habe nun die Treiber installiert (habe den Drucker aus dem Explorer heraus über \\server\drucker gemappt) er hat auch nicht gemeckert das der Treiber nicht signiert ist oder ähnliches sprich, die Point-and-Print Einstellung erfüllt zumindest im angemeldeten zustand ihre aufgabe. (Ohne die Einstellung kam immer die Sicherheitswarnung).

ABER über die Gruppenerichtlinie bekomme ich immernoch nicht die Drucker.
Wenn ich jetzt über die Gruppenrichtlinienergebnisse gehe sehe ich das alle GPOs angewendet wurden und auch das die Drucker EIGENTLICH hätten verbunden werden sollen. Wenn ich dann aber den Drucker bereich aufklappe steht bei den Druckern folgender Fehler:

Ergebnis: Fehler (Fehlercode: 0x80070005)
Ergebnis: Fehler (Fehlercode: 0x80070709)
Mitglied: goscho
goscho 24.08.2010 um 17:13:40 Uhr
Goto Top
Hallo Quare,
ohne das es die ultimative Lösung ist, aber die Anwendung der GPOs (Point-and-Print Einstellung) hat sich von Vista/2008 zu Windows7/2008R2 geändert.
In Vista ist's eine User-GPO in 7 eine für die Computer.
Dazu müssten dann verschiedene GPOs bearbeitet und bereitgestellt werden.

Schau doch bitte mal hier rein:
http://www.faq-o-matic.net/2009/10/08/drucken-unter-windows-7-in-der-do ...
Mitglied: 42111
42111 24.08.2010 um 17:19:32 Uhr
Goto Top
Hallo goscho,

danke für den Hinweis. Habe ich aber schon bedacht. Das die Windows 7 Clients nicht ziehen ist momentan auch weniger tragisch... aber das die Server 2008 nicht ziehen schon bzw. wenn sie wenigstens einfach die GPO nicht ziehen würden wäre es halt so... aber das die Anmeldung einfach ewig dauert so als würde er was machen aber nicht können....(gerade neuer Rekord habe die WMI-Filterung wieder drausen gehabt und ein Kollege hat fast 50 Min gebraucht für die Anmeldung am Server)

Danke an alle Helfer.

UPDATE:

Also ich bin wieder etwas weiter. Durch den hinweis in einem anderen Forum wonach der Fehler irgendwo auf ein "Access Denied" hinweist. Habe ich in der GPO unter

Benutzerkonfiguration\Einstellungen\Systemsteuerung\Drucker
mal bei zwei testdruckern im Reiter Gemeinsam das Haken "Im Sicherheitskontext des angemeldeten Benutzers ausführen" aktiviert.

Und siehe da. Die zwei Drucker tauchen zumindest auf den Windows 2008 Servern nach einem Gpupdate auf. Jetzt wäre nur die Frage ob man das nicht an anderer Stelle global definieren kann??? Bei 350 Druckern wären das 350 mal dieser haken... -.-

Desweiteren mal eine Verständnissfrage:
Wird der Teil "Benutzerkonfiguration" in einer GPO nicht eigentlich immer im Sicherheitskontext des Benutzers ausgeführt? Und wenn nein oder ja oder wie auch immer, warum geht es bei XP clients?

Steh da jetzt irgendwie mit einer lösung die ich nich so ganz verstehe und das fehlt mir noch als befriedigung ^^ (neben der option das man es global konfigurieren kann face-smile )
Mitglied: DerWoWusste
DerWoWusste 24.08.2010 um 23:17:26 Uhr
Goto Top
Moin.

Du nutzt GPPs (Group Policy Preferences= Einstellungen, nicht Policies). Nimm doch bitte, falls eine computergebundene Zuweisung ausreicht ganz einfach das Printer deployment, um die Dinger zu verteilen, das macht keine Probleme.
http://www.windowsitpro.com/article/john-savills-windows-faqs/how-can-i ...
Mitglied: 42111
42111 25.08.2010 um 08:13:06 Uhr
Goto Top
Guten Morgen,

ja du hast recht, ich nutze die GPPs danke für den Hinweis.

Leider reicht eine Computergebundene Zuweisung nicht aus.


So ganz richtig läuft es auch noch nicht -.-

Etwas was ich vielleicht anfangs vergessen hatte zu erwähnen: Die Drucker stehen bei uns alle auf "ersetzen" da wir nur so sicher gehen können das der Drucker z.b. auch bei einem Nutzer wieder gelöscht wird wenn er in einer anderen Gruppe landet.
Bei XP löscht er deshalb bei jeder Anmeldung oder immer bei GPupdate /force alle drucker und legt sie innerhalb von ca. 5 - 10 sekunden wieder an. Bei Win7 und Server2008 löscht er zwar auch brav jeden drucker (jedoch einzeln) und legt sie wieder neu an (läst aber manchmal einen aus) und braucht für den gesammten Vorgang 5 - 10 Minuten.

Wie unterscheidet sich hier das Verhalten der beiden Betriebssysteme?
Desweiteren bleibt die Frage aus meinem vorherigen post...

Naja vielleicht finden wir ja irgendwie eine Lösung ^^

Danke Leute!
Mitglied: iwinlux
iwinlux 12.04.2013 um 11:33:10 Uhr
Goto Top
Guten Morgen auch,

wie bist du denn jetzt weiter vorgegeangen, wenn ich fragen darf?

Aktuell sitze ich in einer ähnlichen Umgebung und habe das Problem das alle Drucker zwar brav verteilt werden, das jedoch die Anschlüsse mit der IP eigetragen versehen werden statt mit dem Hostnamen. Ist das bei dir auch der Fall?

Das mit dem Ersetzen hatte ich auch erst drin. Hab es aber dann rausgenommen, da Standartdrucker immer verloren gehen.
Dazu kam das die Drucker zwischenzeitlich bei jedem automatischen gpupdate mal eine Zeit lang, mitunter mitten während langer Druckaufträge, abbrechen und verschwinden.

Lieben Gruß