sgluehe 10 Geschrieben 28. Oktober 2016 Melden Teilen Geschrieben 28. Oktober 2016 Guten Morgen, uns quält seit fast zwei Wochen ein großes Problem mit unseren verbliebenen Windows 7 Rechnern in zusammenspiel mit einer 2012R2 Domänenumgebung. Die Clients sind verhältnismäßig gut ausgestattet Intel - I5 / SSD / 4 Gb RAM, benutzt werden diese Rechner bei uns in der Verwaltung für Office Anwendungen und Fachanwendungen. Problembeschreibung: An einem Client ging eines morgens fast gar nichts mehr, d.h. das starten der Anwenungen nach dem Anmelden war sehr langsam (mehrere Minuten) und auch das aufrufen von Standardprogrammen zur Überprüfung der Umgebung (z.B. Taskmanager) braucht mehrere Minuten. Ein Arbeiten wurde an diesem Rechner so gut wie unmöglich. Der Taskmanager wies keine besonderen Eregnisse auf, Arbeitspeicher ist genügend frei / Festplatte ist nicht voll / Netzwerk ist nicht ausgelastet / CPU "langweilt" sich Während unserer Fehleranalyse (Netzwerkswitch ändern, Kabel tauschen, angeschlossene Geräte abhängen, Treiber aktualisieren, Windows Updates installieren, Server Updates installieren, Server neu starten, Ereignisprotokoll überprüfen, Firewall testweise abschalten, Virenscanner testweise abschalten), ergab sich das Fehlerbild nach und nach auf den anderen Windows 7 Clients, insgesamt auf 5 Geräten. Die anderen Clients Windows 8.1 sind davon nicht betroffen. Windows 8.1 oder Windows 10 kann aufgrund von Softwareabhängigkeiten nicht auf den fehlerhaften Clients installiert werden. Auch eine Neuinstallation eines neuen PCs mit Windows 7 (nicht baugleich) zeigt das gleiche Verhalten bei Benutzeranmeldung. Wir vermuten momentan eine Fehlfunktion zwischen Client und Active Directory weil: - das verhalten scheinbar Benutzerbhängig ist / Administrator läuft ohne Probleme - wird ein neuer Nutzer im AD angelegt / so ist ein Arbeiten zeitweise wieder möglich - nach mehreren Neustarts funktioniert dann doch alles wieder einwandfrei Wir hatten zwischendurch wieder Tage an denen alles ohne Probleme lief, heute morgen tritt das Problem wieder an einem Arbeitsplatz auf. Gibt es hier jemanden der ein solches verhalten auch schon beobachten und den Fehler beheben konnte? Hat noch jemand einen Tipp wo ein solcher Fehler gesucht werden kann. Ich hoffe das Problem plausibel dargestellt zu haben und hoffe keinen unserer Bemühungen zu Fehlerbeseitigung vergessen zu haben. Viele Grüße Dennis Gibt es hier jemanden der ein solches verhalten auch schon beobachten und den Fehler beheben konnte? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Oktober 2016 Melden Teilen Geschrieben 28. Oktober 2016 (bearbeitet) Moin, nun, da es mit dem Konto und dem Profil des Administrators ohne Probleme funktioniert, wird das Profil des benutzres verdächtig. Eine einfache Lösung könnte sein, das Benutzerprofil zu löschen, eine jungfräuliches entstehen zu lassen. Was der Benutzer auch gemacht hat, was er sich auch eingefangen? Einen Bot? Oder geschehen Updates? Windows Updates deaktivieren(Dienst), Intelligenter Hintergrundübertragunsdienst(BITS) deaktivieren. Viel Erfolg bearbeitet 28. Oktober 2016 von lefg Zitieren Link zu diesem Kommentar
sgluehe 10 Geschrieben 20. Dezember 2016 Autor Melden Teilen Geschrieben 20. Dezember 2016 Guten Morgen, erst mal muss ich mich für die späte Antwort entschuldigen, mir ist meine Elternzeit "dazwischen" gekommen ;-) . Ich habe gleich nach der Antwort die Rechner auf Bots (Spybot Search & Destroy) und mit unserem Virenscanner G-Data Business geprüft und konnte keiner ungewöhnlichen Ergebnisse im Log finden. Während meiner Abwesenheit hat sich herausgestellt, dass das Problem nach 3-4 Neustarts für den Tag nicht mehr auftritt. Natürlich ist das keine zufriedenstellende Lösung und eine logische Erklärung dafür kann ich auch nicht sehen. Viele Grüße sgluehe Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Dezember 2016 Melden Teilen Geschrieben 20. Dezember 2016 (bearbeitet) Moin, wurde an dem Client schon in die Ereignisanzeige geschaut? Anwendungen und System, aber auch Anwendungs- und Dienstprogramme, Microsofr, Windows, Diagnostics.Performance? Ist auf dem Datenträger genügend Platz? Ist eventuell ein Defragmentieren notig? Wird überhaupt das richtige Profil geladen und nicht ein TEMP angelegt? Wurde schon erwogen, das derzeitige Profil zu löschen, und zwar korrekt (nicht einfach mit dem Explorer)? Nach einem Reboot sollte ein neues Profil entstehen, ein "jungfräuliches". Oder zum Test eine Anmeldung mit einem neuen Benutzerkonto, ein neues Profil entsteht dafür. sporadisch sehr langsam Wann ist denn sparadisch? Nach dem Patch Day? Testweise Windows Update und Intelligenter Hintergrundübetragungsdienst deaktiviert? Wenn das so eintritt, ist ein Benutzen des Leistungsmonitor möglich? Kann die Netzwerkauslastung überwacht werden? Z.B mit PRTG und Packet Tracer? Ich hatte im beruflichen Leben schon einige Krücken-Rechner am Bein, in Fällen hab ich den neu gemacht. Ganz besonders falls die Umstände nicht klärbar waren, dann wurde der Client als verdächtig eingestuft. bearbeitet 20. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 20. Dezember 2016 Melden Teilen Geschrieben 20. Dezember 2016 - sind die Rechner stets aktuell gepatcht? - sind die User nicht in den Gruppe der lokalen Administratoren? - haben die lokalen Administrator-Kennungen auf jeder Maschine unterschiedliche PWs? - auf den Win7-Maschine melden sich nicht mit ihrer DomainAdmin-Kennung lokal an (auch nicht mit RDP)? Irgendwo ein Nein? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Dezember 2016 Melden Teilen Geschrieben 20. Dezember 2016 (bearbeitet) seit fast zwei Wochen ein großes Problem mit unseren verbliebenen Windows 7 Rechnern in zusammenspiel mit einer 2012R2 Domänenumgebung. Wurde etwas veränder? Sind da zwei Virenscanner installiert, einmal der MS und noch ein anderer? bearbeitet 20. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
sgluehe 10 Geschrieben 21. Dezember 2016 Autor Melden Teilen Geschrieben 21. Dezember 2016 Nochmals vielen Dank für die Denkanstösse, ich gleiche nochmal die Vorschläge mit meinen Erkenntnissen ab ;-) die Ereignisanzeige habe ich bereits mit funktionierenden Windows 7 Rechnern abgeglichen / es konnten keine Unterschiede festgestellt werden es wird kein lokales Profil geladen / das Benutzerprofil wurde schon gelöscht / allerdings nur im Explorer / dafür haben wir mal ein ganz neues Profil auf Server angelegt und am Client angemeldet, auch hier war nach ein paar Minuten (sporadisch ohne spezielle Ausführung eines bestimmten Programmes) der Rechner sehr langsam ( das öffnen eines Programmes kann mehrere Minuten dauern) / ich werde nun test weise das Profil noch einmal sauber löschen Taskmanager kann aufgerufen werden und zeigt keine extreme Auslastung ich hatte test weise schon einen neuen PC an dem Platz angeschlossen und den Benutzer (neues Profil) anmelden lassen / auch an dem Gerät nach kurzer Zeit das gleiche verhalten. Daher vermute ich weiterhin Probleme mit dem Profil Updates sind auf dem neuesten Stand an den Rechnern sind Arbeitsplatzbedingt sehr viele USB Geräte angeschlossen, diese wurden allerdings schon alle einzeln angeschlossen und die Treiber wurde aktualisiert G-Data ist Virenscanner / Windows Defender wurde deaktiviert - sind die Rechner stets aktuell gepatcht? JA - sind die User nicht in den Gruppe der lokalen Administratoren? User sind nicht in der Gruppe lokale Administratoren / haben wir schon testweise mal hinzugefügt (kein unterschied) melde ich mich als Domänenadmin an, keine Probleme - haben die lokalen Administrator-Kennungen auf jeder Maschine unterschiedliche PWs? Nein - auf den Win7-Maschine melden sich nicht mit ihrer DomainAdmin-Kennung lokal an (auch nicht mit RDP)? keine RDP Anmeldung / keine lokale Anmeldung Wir würden als nächstes tatsächlich nochmal versuchen einen neuen Rechner zu installieren, da es sich im spezielle Software mit vielen speziellen Geräten handelt ist der Aufwand sehr hoch. Ein Image zu ziehen wäre in diesem Fall ja nicht besonders sinnvoll ;-) . Außerdem habe ich noch immer die Profile in verdacht. Ich werde tatsächlich nochmal versuchen das Profil sauber zu löschen und neu zu erstellen (vorher nochmal Serverupdates und Clientupdates überprüfen) . Die Kollegen können sich ja behelfen, die Lösung der mehrmaligen Neustarts ist nur äußerst unschön und ich möchte sichergehen, dass nicht etwas größeres dahintersteckt. Viele Grüße sgluehe Zitieren Link zu diesem Kommentar
Weltalltrauma 15 Geschrieben 21. Dezember 2016 Melden Teilen Geschrieben 21. Dezember 2016 Wie sieht es denn aus Gruppenrichtlinien. Stecken die User bei denen das Problem auftaucht in der gleichen GPO bzw. testweise die User/Rechner aus allen GPOs rausnehmen und schauen ob es immernoch auftaucht? - Sind die Userprofile servergespeichert? - Mal mit dem Process Explorer die Tasks überwacht, der zeigt etwas mehr Infos an. - Wurden vor 2 Wochen Windows Updates installiert, welches möglicherweise bei euch dieses Problem verursacht? - Have you tried to turn it off and on again ? ( nicht ernst gemeint ;) ) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 21. Dezember 2016 Melden Teilen Geschrieben 21. Dezember 2016 - haben die lokalen Administrator-Kennungen auf jeder Maschine unterschiedliche PWs? Nein Deine Beschreibung ist nicht untypisch für Malware. Zumindest dieser Punkt erleichtert es Malware von PC zu PC über zu springen, da Malware lokale PWs auslesen kann, vor allem im Admin-Kontext. Daher hilft es nichts nur einzelne PCs neu zu installieren. Schutzmaßnahmen wie aktuelle Patches, verschiedene und starke Adminpasswörter, Virenschutz, etc. helfen nur, wenn sie vor der Malwareattacke eingeführt werden, nicht hinterher. Profilprobleme kommen schon mal vor, aber sind selten. Probleme mit Patches kommen vor, diese sind dann aber innerhalb von Stunden im Netz bekannt. Da wärst du bestimmt nicht der einzige hier im Board mit diesem Verhalten! Mein Vorschlag: - ändert in der Domäne als Erstes eure AdminPWs, dann die Useraccounts - trennt strengstens die Accounts für die Domain Administration und die Client Administration. Nur für wenige Aufgaben braucht man wirklich "domain administrator" Rechte - gebt jedem Client ein anderes AdministratorPW. Reduziert die Mitglieder in der lokalen Administratorgruppe soweit wie möglich Selbst wenn sich letztlich ein anderer Grund herausstellt, diese Maßnahmen sind immer sinnvoll! blub Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 21. Dezember 2016 Melden Teilen Geschrieben 21. Dezember 2016 (bearbeitet) Den Effekt kenne ich von einige Win7- und Vista-Rechnern mit GData. Beim Pattern-Update zieht dieser die gesamte Systemleistung. Lösung (außer warten bis Aktualisierung durch ist) habe ich aber keine. Wehe einer lästert wegen der Vista-Rechner! bearbeitet 21. Dezember 2016 von Pitti259 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 21. Dezember 2016 Melden Teilen Geschrieben 21. Dezember 2016 Den Effekt kenne ich von einige Win7- und Vista-Rechnern mit GData. Beim Pattern-Update zieht dieser die gesamte Systemleistung. Lösung (außer warten bis Aktualisierung durch ist) habe ich aber keine. Einen anderen AV-Scanner verwenden, ist ein weiterer Lösungsvorschlag. :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Dezember 2016 Melden Teilen Geschrieben 21. Dezember 2016 (bearbeitet) Nochmals vielen Dank für die Denkanstösse, ich gleiche nochmal die Vorschläge mit meinen Erkenntnissen ab ;-) die Ereignisanzeige habe ich bereits mit funktionierenden Windows 7 Rechnern abgeglichen / es konnten keine Unterschiede festgestellt werden es wird kein lokales Profil geladen / das Benutzerprofil wurde schon gelöscht / allerdings nur im Explorer / dafür haben wir mal ein ganz neues Profil auf Server angelegt und am Client angemeldet, auch hier war nach ein paar Minuten (sporadisch ohne spezielle Ausführung eines bestimmten Programmes) der Rechner sehr langsam ( das öffnen eines Programmes kann mehrere Minuten dauern) / ich werde nun test weise das Profil noch einmal sauber löschen Moin, ich behaupte es mal so: man kann kein Profil im Explorer löschen, es wutrde mit dem Explorer gelöscht auf der Platte. Damit wird aber der Eintrag des Profils in der Registry nicht gelöscht, ProfilList. Ein Profil korrekt löschen: System, Erweiterte Systemeinstellungen, Erweitert, Benutzerprofile. Anschliessend Neustart. Das alles macht aber ein Administrator, der User selbst kann das nicht. Und, falls Roaming konfiguriert für den User, dann ist auch das Roamingprofil rauszunehmen, löschen, umbenennen in _old. Ein neues Benutzerprofil auf dem Server anlegen? Wie denn das? Warum denn das? Normal entsteht ein neues Benutzerprofil auf dem zum Anmelden benutzten Rechner bei erstmaliger Anmeldung des Benutzers. Ist dafür auch Roaming, serverspeicherung konfiguriert, dann entsteht auch der Ordner dafür auf dem Server. Nach dem Abmelden des Benutzers wird dann das lokale Profil in den Ordner auf dem Server geschrieben. Falls jemand etwas anderes gemacht hat und es Probleme gibt, dann ist es verdächtig, man sollte er es doch mal normal versuchen. Ein wesentlicher Punkt ist die SID des Benutzers und die Berechtigung des Benutzers mit der SID auf Access Control List der Verzeichnisse und Schlüssel im Benutzerteil der Registry. Die NTUser.dat im Profil ist der HKEY_CURRENT_USER in der Registry. Die NTUser.dat ist eine der verborgenen Dateien des Benutzerprofils. bearbeitet 21. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.