TheDonMiguel 11 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 Hallo zusammen Ich suche seit einigen Tagen nach einer Lösung eines Client-Problem. Gewisse Windows XP SP2 (German) Systeme haben mehrere Minuten beim einloggen. Ich habe das "Userenv Full Logging" aktiviert und dabei folgendes festgestellt: a) Userinit.exe bleibt für mehrere Minuten stehen, bis der nächste Prozess im Log aufgeführt wird. Dies kommt gemäss Logfile 1-2x beim einloggen vor... b) Nachfolgende Meldung erscheint nachfolgend: Failed to impersonate user with 5. GetUserNameAndDomain Failed to impersonate user Domain name is NT Authority. No DNS domain name available Diese Meldung wird bei manchen Workstaionts dann nach und nach wiederholt. Kennt jemand von euch dieses Problem und deren Lösung? GPO's wurden sämtliche, bis auf die Default Domain Policy neu erstellt (2-3 Policies). DNS weisst soweit keine Fehler auf. Ich danke euch für eure Hilfe! Grüsse Miguel Zitieren
Necron 71 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 DNS weisst soweit keine Fehler auf. Ich danke euch für eure Hilfe! Grüsse Miguel Hi, habt ihr die IP-Einstellungen auf den Clients überprüft? Zitieren
TheDonMiguel 11 Geschrieben 30. November 2007 Autor Melden Geschrieben 30. November 2007 Hallo Die IP's werden mittels DHCP verteilt. Scope und Optionen habe ich bereits kontrolliert. Zitieren
dalmatino 10 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 Hört sich doch klar nach einem DNS-Problem an. Is aber meist die Ursache dafür, wenn er länger beim Anmelden braucht. Überprüf mal deinen DNS-Eintrag und den Suffix. Als nächstes mal einen nslookup auf deinen DNS Server. Als nächstes würde ich dann noch zwei Befehle ausführen: 1. ipconfig /flushdns 2. ipconfig /registerdns Danach sollte alles sauber laufen. Gruß Denis Zitieren
TheDonMiguel 11 Geschrieben 30. November 2007 Autor Melden Geschrieben 30. November 2007 Hallo Denis Im Userenv-Log sehe ich, dass die Gruppenrichtlinien erfolgreich angewendet wurden und dies innert wenigen Sekunden. Die genannten Meldungen tauchen erst nach den GPO-Einträgen im Logfile auf. Aus diesem Grund würde ich DNS als Ursache ausschliessen... Gruss Miguel Zitieren
olc 18 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 Hi, wenn es sicherheitstechnisch möglich ist poste hier einmal die Userenv Ausgabe. Die "impersonate" Geschichten brauchst Du meist nicht zu beachten. Wird vor der Zeitverzögerung unter Umständen ein, zwei Mal die cmd.exe aufgerufen oder ähnliches? Oftmals sind Scripts für solche Verzögerungen verantwortlich oder auch Virenscanner / Firewalls. Ggf. macht auch ein Netlogon Log bzw. ein Netzwerktrace Sinn. Gruß olc Zitieren
TheDonMiguel 11 Geschrieben 30. November 2007 Autor Melden Geschrieben 30. November 2007 Ich habe aktuell kein Zugriff auf den Client aber ich kann das Log sicherlich nachliefern. Was ich mir rausgeschrieben habe: 07:59:21 > 08:00:23 | PC Start bis GPO has been applied 08:00:48 > 08:02:26 | Steht der userinit.exe Prozess Bei anderen Workstations habe ich nebst dem userinit auch eine Verzögerung im Minuten-Bereich bei "wmiprvse.exe" festgestellt. Olc, kannst du mir ev. sagen woher der "Failed to impersonate user with 5." kommt? Gruss Miguel Zitieren
olc 18 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 Hallo, soweit ich mich entsinnen kann wird bei einem "failed to impersonate...." schlichtweg versucht, bestimmte Aktionen durchzuführen, die beispielsweise erhöhte Rechter erfordern (würden). Klingt erstmal beunruhigend - ist aber im Normalfall kein Problem. Wenn es mit der gewünschten Aktion nicht klappt wird ein anderer Weg gewählt bzw. die Aktion nicht weiter verfolgt. Da sind interne Prozesse im Spiel, die ich Dir jedoch auch leider nicht genauer auseinandernehmen kann. Man muß sich beim Userenv halt vor Augen führen, daß es ein erweitertes Logging ist. Somit werden unter Umständen auch Events geloggt, die für Deine Analyse nur untergeordnete Bedeutung haben. Interessant sind nicht nur die beiden von Dir geposteten Zeiten / Aktionen, sondern das, was dazwischen passiert... Überprüfe nach Möglichkeit einmal meinen Hinweis oben (cmd.exe Aufrufe), überprüfe das Ereignisprotokoll und logge ggf. den Netzwerktraffic und die Netlogon Geschichten... [EDIT] Schau einmal hier hinein - dort sind ein paar Informationen zur Interpretation des Userenv Logs zu finden: Microsoft Corporation [/EDIT] Viele Grüße olc Zitieren
lefg 276 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 Wann wird an den betroffenen Rechnern denn das Netzwerk gestartet? Kommt nach der Meldung über den Start von Windows die Meldung "Netzwerkverbindungen werden vorbereitet"? Ist die Gruppenrichtlinie "... immer auf das Netzwerk warten" ein Begriff? Zitieren
dalmatino 10 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 Ich bin trotzdem davon überzeugt, das es sich um ein DNS-Problem handelt :-D Gib mal unter ausführen " rsop.msc " ein... dort kannst du sehen, ob er wirklich die GPs aktualisiert hat... Gruß Zitieren
TheDonMiguel 11 Geschrieben 30. November 2007 Autor Melden Geschrieben 30. November 2007 Hi lefg, ja dieser Policy Eintrag ist aktiv ;) Beim RSoP werden auch die richtigen GPO's ohne Fehlermeldung aufgeführt... Mich irritierte einfach dass im Log-Verlauf ein 1-3 Minuten Delay beim Eintrag "userinit" vorhanden ist. Dieser ist auf "funktionierenden" Workstations im niederigen Sekunden-Bereich. Grüsse Miguel Zitieren
olc 18 Geschrieben 30. November 2007 Melden Geschrieben 30. November 2007 N'Abend, Wann wird an den betroffenen Rechnern denn das Netzwerk gestartet? Kommt nach der Meldung über den Start von Windows die Meldung "Netzwerkverbindungen werden vorbereitet"? Ist die Gruppenrichtlinie "... immer auf das Netzwerk warten" ein Begriff? Ich will jetzt nichts ausschließen, dazu sind es bisher zu wenige Informationen. Aber da die Group Policies laut Miguel schon gezogen haben wenn es zu dem Delay kommt, denke ich, daß Deine Vermutung wahrscheinlich eher nicht die Ursache ist. Ich bin trotzdem davon überzeugt, das es sich um ein DNS-Problem handelt :-D DNS ist meist ein guter Ansatz, aber in diesem Fall auch nicht unbedingt die Lösung. Die Policies sind ja offensichtlich da, also muß die Namensauflösung erst einmal funktioniert haben. Unter Umständne können jedoch Daten aus anderen DNS Domänen gezogen werden, dann würde es Sinn machen. Geschichten wie "GetUserNameAndDomain" können auch auftreten, wenn z.B. in Logonscripts Usernamen verwendet werden, ohne die Domäne anzugeben. In diesem Fall werden im schlimmsten Fall mehrere verfügbare Domänen nach dem Account durchsucht. Dann kann es durchaus zu Timeouts kommen. Wie eingangs schon gesagt: Es kann alles sein und nichts. Eine weitere Analyse macht m.E. erst nach einem Blick in die o.g. Daten Sinn. Gruß olc Zitieren
lefg 276 Geschrieben 1. Dezember 2007 Melden Geschrieben 1. Dezember 2007 Ich möchte mal etwas genauer nachfragen. Tritt das Problem bei allen sich an den betroffenen WS anmeldenden Usern auf? Oder meldet sich nur ein User an den WS an? Ist es wirklich ein Problem der WS oder ist es eines der User? Wie ist es denn, wenn falls sich der Administrator anmeldet? Zitieren
TheDonMiguel 11 Geschrieben 1. Dezember 2007 Autor Melden Geschrieben 1. Dezember 2007 Hallo zusammen Erstmal danke dass ihr euch aktiv an der Lösungsfindung beteiligt! Hier noch paar Informationen nach welcher ihr verlangt habt: Unter Umständne können jedoch Daten aus anderen DNS Domänen gezogen werden Es existiert eine Domain mit 2 Domain Controller. Auf dem Client sind diese beiden als DNS-Server eingetragen. wenn z.B. in Logonscripts Usernamen verwendet werden, ohne die Domäne anzugeben. Es wird bei allen das gleiche, simple Logon-Script verwendet. CMD mit netuse. Aber wenn hier das Problem wäre, würde im Userenv.log der Delay wohl bei der cmd.exe liegen und nicht beim userinit.exe. Oder? Früher bestand eine Vertrauensstellung in die alte NT4 Domain. Vo da wurden vor Jahren auch die Accounts und Computers migriert. Die NT4 Domain besteht aber seit Sommer nicht mehr. Tritt das Problem bei allen sich an den betroffenen WS anmeldenden Usern auf? Ja, das Problem kann an dieser WS reproduziert werden. Ist es wirklich ein Problem der WS oder ist es eines der User? Kann ich aktuell nicht zu 100% bestätigen, da ich die Unterlagen nicht zur Hand habe. Ich meinte aber, dass die User an anderen WS keine Probleme hatten. Was ich weiss, dass diese Accounts ohne Probleme auf die Citrix-Farm einloggen können. Diese User-Login Antwort und das Userenv.log poste ich asap! Nochmals Danke und Grüsse, Miguel Zitieren
TheDonMiguel 11 Geschrieben 6. Dezember 2007 Autor Melden Geschrieben 6. Dezember 2007 Hallo zusammen Ich habe nun ein Userenv-Log eines Problem PC's: userenv_Problem.txt Dieser PC konnte heute Morgen nicht einloggen, da der PC nur noch den "leeren" Desktop (jedoch inkl. Wallpaper) anzeigte. Nach 2-3 Reboots und weiteren Versuchen klappt der Login allerdings. Dieser Benutzer hat ein Roaming-Profile welches 5MB gross ist. Auf dem Client ist der UPHClean installiert. Danke für die Inputs & Grüsse Miguel Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.