Domänenanmeldung eines Users an einem CLient-Pc extrem langsam

[tob.s 0]

Hallo,

 

ich habe folgendes Problem - Möchte sich ein bestimmter Mitarbeiter an seinem Arbeitsplatz Pc in der Domäne anmelden, dauert dies teilweise extrem lange ( bis zu 30 min. und mehr). Benutzt der gleiche User einen anderen Pc, tritt das Problem nicht auf. Per Google hab ich noch nichts konkretes dazu gefunden, bin aber auch neu im GPO-Jungel :-) .

Habt Ihr eine Idee was das verursachen könnte ?

 

freundliche Grüße,

 

Tobias

 

 

Während des Anmeldens zeigt das Log folgende Fehler:

 

Ereignis-ID 1129

 

Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator.

 

Ereignis-ID 1058

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\Kunde.local\sysvol\Kunde.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann: 

a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller. 

b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert). 

c) Der DFS-Client (Distributed File System) wurde deaktiviert.

 

Außerdem gibts Fehler bei google update - ID 7000 und 7009

Fehler "1053" in DCOM, als der Dienst "gupdate" mit den Argumenten "/comsvc" gestartet wurde, um den folgenden Server zu verwenden:

{4EB61BAC-A3B6-4760-9581-655041EF4D69}

 

Der Dienst "Google Update-Dienst (gupdate)" wurde aufgrund folgenden Fehlers nicht gestartet: 

Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

 

Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Google Update-Dienst (gupdate) erreicht.

 

Server 2012 / Windows 10 Client

Server 2012 - Windows 10 Client

[Nobbyaushb 1.464]

Moin,

 

wenn das Problem nicht mit dem User wandert, liegt das Problem beim Rechner.

 

Schau dir mal lokale Einstellungen, GPO, Proxy-Settings an.

 

Sonst einfach neu machen, ein Domänen-PC ist in 10 min eingerichtet.

 

;)

bearbeitet 28. Juli 2017 von Nobbyaushb

[GuentherH 61]

Zusätzlich zu den oben geposteten Einstellungen. Überprüfe die Netzwerkeinstellungen im spziellen DNS.

Post eventuell einmal die ipconfig Ausgabe des DC und die des Clients.

 

LG Günther

[lefg 276]

Moin

 

Dauert tatsächlich das das Anmelden so lange oder das Laden des Benutzerprofils?

 

Ist es ein lokales Benutzerprofil oder ein servergespeichertes?

 

Ob man das lokale Benutzerprofil einmal löscht?

 

Was steht im Ereignisprotokoll?

bearbeitet 28. Juli 2017 von lefg

[tob.s 0]

Danke für eure Tipps

 

Plattmachen wäre schön, ist aber keine Garantie und wegen Buchhaltungssoftware und Privatkrams auch nicht eben schnell gemacht.

 

Hab grad noch ein paar Infos Sammeln können ( ich komme nur per Remote und auch nicht immer an den Rechner drann )

 

DNS sieht gut aus ( Der Rechner bekommt vom DNS-Server eine feste Ip zugewiesen ) , wird in alle Richtungen aufgelöst, 10 min ping ohne aussetzer.

 

Das Problem tritt sporadisch auf, manchmal funktioniert es nach einem Abbruch durch Kaltstart, manchmal auch nicht - per Remote konnte ich mich grad ca 10x ohne Probleme auf dem Klienten anmelden.

Die Datei \\Kunde.local\sysvol\Kunde.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini ist vorhanden und lässt sich auch, als der betroffene User angemeldet und von seinem Pc aus, öffnen.

Hängt der Anmeldevorgang, kommt es desweiteren zu Browser-Fehler ID 8021.

 

Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "

Kunde" auf dem Netzwerk "\Device\NetBT_Tcpip_{15060543-62D3-433A-934E-5BDFB9ED97C8}" erhalten.

 

Dazu spuckte Google mir einem englischen Thread aus, bei dem die Symptome übereinstimmen könnten - trotzdem komisch das bei mir nur ein Rechner betroffen ist

 

https://serverfault.com/questions/343359/event-id-8021-the-browser-was-unable-to-retrieve-a-list-of-servers-from-the-brow

 

da wird nun wiederum auf einen sehr langen MS-Thread verlinkt - kurz gesagt soll das Ausschalten des Browserdienstes helfen

 

https://support.microsoft.com/en-us/help/135404/common-causes-and-solutions-of-browser-event-id-8021-and-event-id-8032

 

ich hab frühestens Montag wieder Zugriff auf den Rechner, drum schönes Wochende euch allen :-)

[daabm 1.348]

Die Datei \\Kunde.local\sysvol\Kunde.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini ist vorhanden und lässt sich auch, als der betroffene User angemeldet und von seinem Pc aus, öffnen.

 

 

Wie viele Domain Controller gibt es? Und ist die Datei auf _allen_ vorhanden? Ich vermute nein - Sysvol-Replikation kaputt wegen NTFS Journal Wrap :-) Prüfe das FRS-- bzw. DFSR-Eventlog auf allen DCs.

Und gibt es evtl. Anmeldeskripts, die in einen Timeout laufen könnten? Das wären dann per Default 20 Minuten.

[zahni 550]

 

 

DNS sieht gut aus ( Der Rechner bekommt vom DNS-Server eine feste Ip zugewiesen ) ,

 

Ähm, das glaube  ich nicht.

 

Poste mal ipconfig /all vom PC.

[mba 133]

Ich tippe mal auf Router=Dhcp., Dns

[tob.s 0]

ups, Ip bekommt er natürlich von der Fritzbox (... .254) , DNS macht der Server, es gibt nur einen DC

 

hier das ipconfig vom Server , an den Client kam ich noch nicht rann

 

 

Windows-IP-Konfiguration

 

   Hostname  . . . . . . . . . . . . : KundeSRV

   Prim„res DNS-Suffix . . . . . . . : Kunde.local

   Knotentyp . . . . . . . . . . . . : Hybrid

   IP-Routing aktiviert  . . . . . . : Nein

   WINS-Proxy aktiviert  . . . . . . : Nein

   DNS-Suffixsuchliste . . . . . . . : Kunde.local

 

Ethernet-Adapter Ethernet:

 

   Verbindungsspezifisches DNS-Suffix: 

   Beschreibung. . . . . . . . . . . : Intel® Ethernet Connection (2) I219-V

   Physische Adresse . . . . . . . . : D0-50-99-83-39-44

   DHCP aktiviert. . . . . . . . . . : Nein

   Autokonfiguration aktiviert . . . : Ja

   Verbindungslokale IPv6-Adresse  . : fe80::1ce6:947e:7c4:5766%12(Bevorzugt) 

   IPv4-Adresse  . . . . . . . . . . : 192.168.115.253(Bevorzugt) 

   Subnetzmaske  . . . . . . . . . . : 255.255.255.0

   Standardgateway . . . . . . . . . : 192.168.115.254

   DHCPv6-IAID . . . . . . . . . . . : 315642009

   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1E-02-5C-DA-D0-50-99-83-39-44

   DNS-Server  . . . . . . . . . . . : 192.168.115.253

   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Tunneladapter Teredo Tunneling Pseudo-Interface:

 

   Medienstatus. . . . . . . . . . . : Medium getrennt

   Verbindungsspezifisches DNS-Suffix: 

   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP aktiviert. . . . . . . . . . : Nein

   Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter isatap.{8A424433-934F-4748-91F1-F387DC68A8AC}:

 

   Medienstatus. . . . . . . . . . . : Medium getrennt

   Verbindungsspezifisches DNS-Suffix: 

   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2

   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP aktiviert. . . . . . . . . . : Nein

   Autokonfiguration aktiviert . . . : Ja

 

 

 

Server-seitig fällt auf das sich, während die Anmeldung hängt, Schannel Fehler häufen:

Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 10. Der Windows-SChannel-Fehlerstatus lautet: 1203.

Schannel 36888 - Code 10

soweit ich verstehe bedeutet code 10 das versucht wird per ssl auf nicht ssl Inhalte zuzugreifen, nur wer da worauf zugreifen will sagt er leider nicht.

hoffentlich habe ich morgen mehr Gelegenheit zum Nachforschen

Danke

Tobias

[daabm 1.348]

Du hast ne Domäne und DHCP macht die Fritzbox? Stell das um - DHCP/DNS sollte der DC mit erledigen, dann klappts auch mit den SRV-Records...

[lefg 276]

ups, Ip bekommt er natürlich von der Fritzbox (... .254) , DNS macht der Server, es gibt nur einen DC

 

Moin

 

Warum natürlich von der Fritzbox? Warum nicht von der Domäne, nicht vom DHCP des Servers?

 

Im Local Area Netzwerk (LAN) mit einer Domäne Microsoft Windows ist der DHCP auf dem DC der natürliche Dienst dafür. Es geht natürlich auch anders. Aber wozu, warum?

 

In der IPConfig des Servers kann ich nichts Schlimmes entdecken,, vielleicht sollte man sich die des Clients hier einmal anschauen, falls das Umstellen auf DHCP des Servers keine Besserung bringt.

 

Gibt es einen bedeutsamen Unterschied zwischen dem betroffenen PC und den anderen Rechnern?

 

Woher erhalten die anderen Rechner die IP?

 

Ob das aber wirklich das Problem ist?

 

Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten.

 

 

Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann: 

a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.

 

Ob der PC zu schnell fertig zur Anmeldung und noch keine Netzwerkverbindung hat, das Netzwerkinterface noch nicht fertig ist nach Neustart, Kaltstart? Das Anmelden selbst geschähe wohl cached, der Server ist aber noch nicht erreichbar.

 

Das geschieht wohl bei Rechnern mit SSD.

 

Man könnte mit dem Anmelden mal etwas warten. W10 zeigt auf dem Anmeldebildschirm unten rechts doch das Netzwerksymbol.

bearbeitet 6. August 2017 von lefg