sturmi 10 Geschrieben 30. Mai 2006 Melden Teilen Geschrieben 30. Mai 2006 Hallo miteinander, ich habe mal wieder Probleme in der Firma, die mein Wissen übersteigen. Ich arbeite in einem Unternehmen, welches mittels rechnergestützter Leitsysteme Großanlagen zur Herstellung von pharmazeutischen Produkten betreibt. Seit letztem Jahr wurde für diese rechnergestützen Anlagen ein spezielles Automatisierungsnetz eingerichtet, was zwar Verbindung zum normalen Büro-Netz hat, aber über diverse ACLs abgeschirmt ist. Dies soll den Vorteil haben, daß sich Mitarbeiter nicht diverse Passwörter merken müssen, sondern mit ihrem normalen Domain-Konto Zugriff auf die Anlagen bekommen. In dem Automatisierungsnetz ist ein eigener Domaincontroller vorhanden. Seit 2 Wochen habe ich eine neue Anlage zu betreuen, die als Leitrechner einen Windows XP Client nutzt. Diesen habe ich auch problemlos an die Domäne hängen können. Da der Benutzer keinen Zugriff auf die Betriebssystemebene haben soll, meldet sich per Autologon ein Standard-User der Domäne an, und es wird automatisch die Applikation gestartet, die das Bedienen der Anlage gestattet. (Für Insider: Wonderware Intouch 9.0) Die Applikation verwendet die Betriebssystemeigene Benutzerverwaltung, indem sie lokalen Gruppen unterschiedliche Berechtigungen zur Bedienung einräumt. Ich habe nun einfach die die Domänenkonten der Benutzer den lokalen Gruppen zugeordnet. Wenn die Applikation startet, verlangt sie nun eine Authentifizierung. Hier kann der Mitarbeiter seine Kennung, die Domäne und das Passwort eingeben. Soweit so gut. Allerdings dauert die Verifizierung der Anmeldedaten extrem lange. (zwischen 30 Sekunden und 1 Minute) Während dieser Zeit ist der Rechner derart ausgelastet, daß die Applikation nicht mehr reagiert. Dies führt dazu, daß sie ihr Keepalive mit der Steuerung der Anlage nicht mehr aufrecht erhalten kann, und es kommt zu einem Nothalt der Anlage. Wie ihr euch sicher vorstellen könnt, ist dies ein gravierendes Probem. Ich habe schon fleißig im Netz gesucht, und bin natürlich beim Thema Anmeldung auf eine fehlerhafte DNS-Konfiguration gestossen. Nun kann ich meinen DNS-Server auch nicht anpingen, da ICMP per Access List im Router gesperrt ist. Jedoch kann ich mit NSLOOKUP jeden Namen auflösen, also tut der DNS-Server seinen Dienst. Ein Gespräch mit unserer Netzwerkbetreuung ergab leider auch nichts, denn sie konnten in der Kommunikation keine Probleme feststellen. Hat jemand eine Idee, was ich tun kann, oder eine wage Vermutung, wo das Problem liegen könnte? Für das Lesen dieses langen Textes sowie eventueller Hilfestellung möchte ich mich im Voraus bedanken! Gruß Christian Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 30. Mai 2006 Melden Teilen Geschrieben 30. Mai 2006 Kannst du den besagten Rechner testweise in das "normale" Netz mit dem Domänencontroller stellen? So köönnte man herausfinden ob durch die ACLs irgendetwas wichtiges geblockt wird. Zitieren Link zu diesem Kommentar
sturmi 10 Geschrieben 30. Mai 2006 Autor Melden Teilen Geschrieben 30. Mai 2006 Guten Morgen, und danke für die zügige Antwort. Ja, das habe ich mir auch schon gedacht, jedoch habe ich das Problem, daß die Automatisierungsseite ihre eigenen IP-Bereiche und Subnetze hat. Zudem erreiche ich aus dem Büronetz weder den Domaincontroller noch die DNS/WINS-Server. Und, um das ganze noch etwas komplizierter zu machen: Da die Firma recht groß ist, und sehr viele Anlagen hat, ist das Automatisierungsnetz in VLANs eingeteilt. (Aus dem ich aber rauskomme, d.h. daran liegts m.E. nicht) Ich denke, es würde mir nicht viel nützen, wenn ich mich an mein "normales" Netz hänge, weil hier die Umstände gravierend anders wären. (Büronetz arbeitet mit DHCP, Automatisierungsnetz mit statischen IPs usw) Gruß Christian Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 30. Mai 2006 Melden Teilen Geschrieben 30. Mai 2006 Geben die Ereignisanzeigen an dem Rechner irgendetwas her? Zitieren Link zu diesem Kommentar
sturmi 10 Geschrieben 30. Mai 2006 Autor Melden Teilen Geschrieben 30. Mai 2006 Hab die Protokolle nun geprüft, und mir fällt nichts merkwürdiges auf. Hab jetzt allerdings die Hosts-Datei bestückt. Mir fiel bei einem NSLOOKUP auf, daß der DNS-Server sämtliche Domain-Controller listet, die zu unserer Domäne gehören, und das sind sehr viele. Da aber nur ein einziger aus diesem Netzsegment erreichbar ist, habe ich in der Host-Datei einen Verweis auf ihn geschrieben, wann immer eine Abfrage auf die Domäne erfolgt. Dies hat dafür gesorgt, daß die Authentifizierung jetzt zwischen 20 und 35 sek. dauert. Das ist leider noch nicht befriedigend...... Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 30. Mai 2006 Melden Teilen Geschrieben 30. Mai 2006 Das mit der HOSTS Datei ist natürlich etwas gepfuscht :), normalerweise regelt man sowas ja mit Active Directory Standorten. Die Authentifizierung dauert jetzt immer noch so lange, dass die Machine einen Stopp macht? Wie ist denn die Verbindung zwischen dem Rechner und dem Domänencontroller? Zitieren Link zu diesem Kommentar
sturmi 10 Geschrieben 30. Mai 2006 Autor Melden Teilen Geschrieben 30. Mai 2006 Ich weiß, daß ich hier zu vielleicht nicht so eleganten Mitteln greife, muß jedoch zu meiner Entschuldigung anführen, daß ich kein Domänenadministrator bin, sondern nur in Verantwortung für Teilbereiche wie z.B. diese Anlage stehe. ;-) Nein, die Zeit, die es jetzt dauert sorgt nicht mehr für einen Stop der Anlage, es ist nur für mich störend, denn eigentlich muß eine solche Anfrage rasend schnell gehen, zumal in diesen Bereichen nicht sonderlich viel Traffic auf dem LAN ist. Die Verbindung zwischen dem Rechner und dem DC sind eigentlich hervorragend, die Ping-Zeiten sind mehr wie angenehm. Mittels Traceroute sieht man auch, daß die Wege kurz sind. Ein Hop aufs Gateway, und schon ist der Server erreicht. Ich frage mich deshalb auch, was nun noch die Verzögerung bewirkt. Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 31. Mai 2006 Melden Teilen Geschrieben 31. Mai 2006 Ich würde mich mit deinen Bedenken einfach mal an den zuständigen Domänenadmin wenden. Der soll doch dann auf seinem Server mal prüfen, warum eine Authentifizierung so lange dauert. Du bist nur für deinen Teilbereich verantwortlich, gerade deswegen musst du mit den anderen Admins ja zusammenarbeiten. Zitieren Link zu diesem Kommentar
sturmi 10 Geschrieben 31. Mai 2006 Autor Melden Teilen Geschrieben 31. Mai 2006 Ja, das denke ich inzwischen auch. Allerdings will ich natürlich ausschließen, daß das Problem von meiner Maschine kommt. Trotzdem vielen Dank für die Zeit, die du dir genommen hast! Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 31. Mai 2006 Melden Teilen Geschrieben 31. Mai 2006 Naja, selbst wenn das Problem dann doch von deiner Maschine ausgeht, kannst du es ja nicht so einfach ohne den Domänenadmin rausfinden. Deswegen dürfte er eigentlich auch dann keinen Stress machen. Viel Erfolg und schreib mal was es gegeben hat! Zitieren Link zu diesem Kommentar
sturmi 10 Geschrieben 19. Juli 2006 Autor Melden Teilen Geschrieben 19. Juli 2006 Hallo nochmal, ich weiß, die Antwort kommt spät, aber ich möchte des Rätsels Lösung doch noch posten: Also, es stellte sich heraus, daß der Rechner standardmäßig versucht hat, alle Anfragen auf die Domäne an den DNS weiterzuleiten. Dieser sendete natürlich als Antwort alle DCs zurück, die er selbst erreichen kann. Das davon für den Rechner nur ein einziger zu erreichen ist, wirft natürlich Probleme und Verzugszeiten auf. Als Lösung wurde in diesem Netzsegment jetzt ein eigener DNS eingerichtet, der alle Anfragen für die Domäne auf den verfügbaren DC umleitet. So on, vielen Dank für die Unterstützung. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.