Shao-Lee 11 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 - Betrifft das Problem alle Benutzer am Remotestandort oder nur einzelne? Betrifft alle 10 Clients - Das GPO auf dem DC02 ist identisch wie das auf DC01 (Versionsnummer, Dateien, etc.)? Das GPO ist in unsere Domänenstruktur (AD) eingetragen und wird an alle DC's repliziert. Ich schaue mir das aber nochmals ganz dediziert an. Versionsnummer ? Muss ich prüfen. Wo sehe ich die ? - Läuft auf den Clients besondere Software, z.B. eine Novell-Client? Nein, lediglich: - Windows 2000 SP4 - Office 2000 - IE v6 - Telnet-Anwendungen - Hänge doch mal bitte die in eine Textdatei umgeleitete Ausgabe von gpresult /v hier an deinen nächsten Beitrag an. Bin nachher nochmals draußen und organisiere das. Von den Servern auch ? Machts gut, Tapio aka Shao-Lee Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 Status-Update: Wenn ich den externen Client bei mir ins interne Netzwerk hänge und sich der besagte Benutzer anmeldet, werden die Gruppenrichtlinien korrekt übertragen. Transportiere ich nun anschließend den Client in die Außenstelle und meldet sich der Benutzer dort erneut an, sind die fehlenden Settings enthalten. Dies hängt damit zusammen, dass sich die GPO in das lokale Benutzerprofil des Clients schreiben und nach einer erneuten Anmeldung von dort gelesen werden. Fragen: 1.) Werden Gruppenrichtlinien bei geringer Bandbreite "beschnitten" oder erst garnicht übertragen ? Gibt es ein Setting für eine mögliche Bandbreitenregelung unter Windows bzw. für die GPO's ? Ich habe sowas ähnliches in den GPO's für die Videoübertragung gefunden. 2.) Gibt es die Möglichkeit, die Übertragung der GPO's an die Clients "zu erzwingen" ? Die "Loopbackverarbeitung" gilt - wenn ich das richtig verstanden habe - lediglich für die Terminalserverlösungen. Ich werde folgendes Testen: a.) Neue GPO nur für die Außenstellen, um zu testen, ob da überhaupt was übertragen wird b.) Replikation der Richtliniensätze auf unseren DC's checken (auf jedem DC das AD aufrufen und Gruppenrichtlinien auf vollständigkeit überprüfen - ist das korrekt ?) Grüssle, Shao Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 1.) Werden Gruppenrichtlinien bei geringer Bandbreite "beschnitten" oder erst garnicht übertragen ? Gibt es ein Setting für eine mögliche Bandbreitenregelung unter Windows bzw. für die GPO's ? Ich habe sowas ähnliches in den GPO's für die Videoübertragung gefunden. Dazu folgender Link: Microsoft Windows 2000 Advanced Server Documentation 2.) Gibt es die Möglichkeit, die Übertragung der GPO's an die Clients "zu erzwingen" ? Die "Loopbackverarbeitung" gilt - wenn ich das richtig verstanden habe - lediglich für die Terminalserverlösungen. Nein, nicht nur für TS. Siehe Loopback processing of Group Policy Christoph Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 Status-Update: 1.) Werden Gruppenrichtlinien bei geringer Bandbreite "beschnitten" oder erst garnicht übertragen ? Gibt es ein Setting für eine mögliche Bandbreitenregelung unter Windows bzw. für die GPO's ? Ich habe sowas ähnliches in den GPO's für die Videoübertragung gefunden. Was heißt Slow Link? Wie "langsam sind denn die Standorte miteinander verbunden? Hier das Verhalten bei Slow Link: Default Behavior for Group Policy Extensions with Slow Link IE-Settings sollten lt. Artikel eigentlich nicht davon betroffen sein 2.) Gibt es die Möglichkeit, die Übertragung der GPO's an die Clients "zu erzwingen" ? Hier, wie man Slow Link Detection ganz abschaltet, also immer alle Richtliniien gezogen werden: How a Slow Link Is Detected for Processing User Profiles and Group Policy Man beachte: Den Schwellwert au 0 kBit/s setzen kann man sowohl beim Benutzer als auch in den Computereinstellungen ;) grizzly999 Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 24. August 2006 Autor Melden Teilen Geschrieben 24. August 2006 YUHUU - ich denke, so langsam kommen wir dem Problem auf die Spur ! Status-Update: Ich habe jetzt einmal die beiden Gruppenrichtlinien "Erkennung von langsamen Verbindungen" aktiviert. Ergebnis => 2 User haben nach erneuter Anmeldung die IE-Settings übertragen bekommen ! Was ich auch noch getestet habe, ist, dass die fehlenden IE-Settings nach der Eingabe von => secedit /refreshpolicy user_policy an den Client ebenfalls erfolgreich übergeben wurden; und zwar im laufenden Betrieb. Lösungsansatz: Die aktualisierten GPO's lasse ich jetzt erstmal so laufen; weitere Anbindungen erfolgen. Frage: Spricht etwas dagegen, dass ich diesen Befehl in mein Logon-Script mit aufnehme, dass jeder User beim Systemstart automatisch ausführt ? Somit wäre ja gewährleistet, dass die User nach jeder Anmeldung mit den aktuellen Richtlinien verbunden sind. Außerdem könnte ich hierdurch Probleme durch mögliche fehlerhafte Übertragungen vorbeugen. Der Client zieht sich dann halt 2x den Richtliniensatz. 1x über die Windowsanmeldung; 2x über das Script. Ist das ein Problem ? Zu unserer VPN-Verbindung: Wir nutzen Standard-DSL-Anschlüsse (1000er bzw. 2000er) incl. erhöhtem Upload. Unsere Zentrale ist mit einer 2000er sync. Leitung ausgestattet. Ping-Zeiten sind zwar langsam, aber akzeptabel. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. August 2006 Melden Teilen Geschrieben 24. August 2006 Ah, wusste ich auch nicht, das IE-Settings auch von der Slow Link Sache betroffen sind. Sind die Benutzer der Außenstelle nun direkt mit DSL verbunden (also jeder Computer eizeln mit einem DSL-Modem oder sitzen da alle hinter einem einzigen Router in einem Subnetz? grizzly999 Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 24. August 2006 Autor Melden Teilen Geschrieben 24. August 2006 Hi ! Die Außenstellen sind alle in separaten Subnetzen untergebracht; Router und DSL-Modem übernehmen den Verbindungsaufbau, ect. :-) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. August 2006 Melden Teilen Geschrieben 24. August 2006 Dann brauchts eigentlich kein zusätzliches Skript beim Logon. Die GPOs werden normalerweise so beim Login abgerufen, und ohne Slow Link Detection auch über langsame Verbindungen, sofern die Clients den DNS (und DC) erreichen. Ist es denn möglich und sicher, einen DC dort vor Ort zu stellen, dann wäre die Problematik gleich gelöst. grizzly999 Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 25. August 2006 Autor Melden Teilen Geschrieben 25. August 2006 Hi - das Vorhalten von DC's an den Außenstellen kommt bereits aus Kostengründen nicht in Frage. Dies war auch der Grund, weshalb wir draußen keine eigenen Netzstrukturen aufbauen wollten, sondern uns für den Weg einer "flächendeckenden Integration" entschieden haben. Nächste Woche weiss ich, ob die Maßnahme auch "flächendeckend" greift. Bis jetzt konnte ich es nur sporadisch an 2 Clients testen. Herzlichen Dank nochmals an Alle für Euer Feedback :D Und ja: MS ist cool - schafft es aber immer wieder, dass der Admin anfängt, an sich selbst zu zweifeln ;) In diesem Sinne wünsche ich Euch weiterhin auch viel Erfolg ! Machts gut, Tapio aka Shao-Lee Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.