Gruppenrichtlinienverarbeitung eines VPN-Standorts schlägt fehl, sobald WMI-Filter eingesetzt werden
Hallo zusammen,
wie der Betreff schon verrät: ich habe ein Problem mit einem Remote-Standort und der Gruppenrichtlinienverarbeitung, sobald ein WMI-Filter eingesetzt wird.
Problembeschreibung
Es handelt sich um einen kleinen Standort mit gerade mal 3 Rechnern. An allen tritt das Problem auf, dass beim Starten von Windows der Anmeldebildschirm ca. 10 - 15 Minuten bei "Bitte warten..." hängt. Wenn sich dann endlich der User anmelden kann, dauert es erneut 10 - 15 Minuten, ehe der Desktop erscheint. Im Anwendungs-Eventlog werden folgende Warnmeldungen aufgeführt, die auf ein Problem mit der Gruppenrichtlinienverarbeitung schließen lassen:
ID 6005, Quelle Winlogon, Meldung: Der Anmeldebenachrichtigungsabonnent <GPClient> benötigt einige Zeit, um dieses Benachrichtigungsereignis (CreateSession) zu bearbeiten.
ID 6006, Quelle Winlogon, Meldung: Der Anmeldebenachrichtigungsabonnent <GPClient> hat 914 Sekunden benötigt, um dieses Benachrichtigungsereignis (CreateSession) zu bearbeiten.
Infrastruktur
Bevor ich euch erzähle, welche Analysen und Lösungsversuche ich durchgeführt habe, zunächst ein paar Infos über die Infrastruktur - ich denke das ist wichtig zu wissen, um das Problem besser einschätzen zu können. Wir befinden uns in einer reinen, heterogenen Microsoft AD-Domäne. Die Remotestandorte sind über Site-2-Site VPN-Verbindungen mit der Zentrale verbunden. Das Subnetz des Standortes, der Probleme macht, ist in "Active Directory-Standorte und -Dienste" dem Standort der Zentrale zugewiesen, da in der Außenstelle kein separater DC bereitgestellt wurde. Die Verbindung (und damit auch die Namensauflösung) vom Remotestandort zur Zentrale funktioniert einwandfrei, die User können über Outlook auf den Mailserver zugreifen, Netzlaufwerke werden verbunden - alles läuft problemlos, nur nicht die Verarbeitung der Gruppenrichtlinien.
Durchgeführte Analysen und Lösungsversuche
Natürlich habe ich gegoogled, sogar unseren Support-Partner zur Rate gezogen, der uns bei Problemen, die wir nicht lösen können, sonst sehr kompetent unterstützt. Wir sind zu dem Ergebnis gekommen: sobald eine Gruppenrichtlinie mit einem WMI-Filter verknüpft wird, tritt dieses Phänomen auf. Insgesamt existieren zwei solcher GPO's, einmal für Computer, einmal für Benutzer, was erklärt, warum vor und nach der Useranmeldung mehrere Minuten gewartet werden muss. Die WMI-Filter lauten wie folgt:
Computerpolicy: Select * From Win32_OperatingSystem Where ProductType="2" or ProductType="3"
Benutzerpolicy: Select * From Win32_OperatingSystem Where ProductType="1"
Die Computerpolicy soll nur auf Server-Systemen greifen, während die User-Policy nur auf Client-Computern ausgeführt werden soll. Beide GPOs sind an oberster Ebene der AD-Struktur eingehängt und werden erzwungen. Ich könnte zwar hergehen und die Richtlinien in den entsprechenden OUs verknüpfen, das hat aber zur Folge, dass an den Terminalservern die Benutzerpolicies bei jeder User-Anmeldung auch ausgeführt werden, was nicht gewünscht ist (Stichwort Loopback-Verarbeitung) - deshalb der WMI-Filter.
Die Computerpolicy erstellt an allen Servern eine Aufgabe, die Benutzerpolicy führt bei der Useranmeldung an einem Client-Rechner ein Programm aus. Das funktioniert soweit auch tadellos an allen anderen Standorten, nur eben in einer Außenstelle tritt das beschriebene Problem aus.
An einem Client habe ich testhalber die Slow Link Detection deaktiviert, siehe https://support.microsoft.com/en-us/kb/2008977
Sofern ich den Artikel richtig verstehe, sollte der Registry-Eintrag IsSlowLink=1 (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History) sein, sofern erkannt wird, dass es sich um eine langsame Verbindung handelt - doch der Wert steht bei allen Rechnern auf 0.
Weiter ist mir aufgefallen: wenn der Rechner bei "Bitte warten" hängt und ich von meinem Admin-PC mit PsKill.exe den Task WMIPrvse.exe abschieße, erscheint sofort "Drücken Sie STRG+ALT+ENTF um sich anzumelden.". Ich habe auch in dieser Richtung recherchiert und diverse MS-Patches installiert (ich weiß nicht mehr welche ^^), aber ohne Erfolg.
Auch habe ich in der Registry den Key MaxPacketSize=1 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters) gesetzt, um die Kerberos-Authentifizierung über TCP zu erzwingen - ohne Erfolg. Das war aber mehr schon ein sehr "unrealistischer Versuch", denn der Zugriff auf Netzlaufwerke und E-Mail funktioniert ja tadellos/ohne Probleme...
Wir haben auch schon einen PC getauscht - komplett frisch installiert, selbes Ergebnis. Sehr interessant ist aber: wir haben den zurückgekommenen "Problem-Rechner" mal bei uns in der Zentrale am LAN angeschlossen, eingeschalten und siehe da, die Gruppenrichtlinienverarbeitung funktioniert tadellos, schnell und ohne Probleme...
Auf Grund dieser Erkenntnisse komme ich zu dem Ergebnis, dass es sich nicht um ein "reines" Betriebssystemproblem handeln kann, sondern (zusätzlich?) irgendetwas an der Netzwerkinfrastruktur/VPN-Verbindung nicht passt - nur was? Wir haben die Firewall der Außenstelle getauscht, ohne Ergebnis. Switch ist keiner dazwischen, alle Netzwerkgeräte hängen an den LAN-Ports der Firewall. Alle Clients können den DC erreichen (Ping, Zugriff auf Netlogon etc.), es gibt keine Anzeichen für ein AD-/Domänen-/DNS-Problem - und genau das macht die Fehlersuche so schwer. Lediglich die Gruppenrichtlinienverarbeitung scheitert, sobald ein WMI-Filter eingesetzt wird - die Rechner "hängen" einfach.
Ah ja, zur WMI-Thematik: wenn ich an einem der Remoteclients wbemtest aufrufe und die oben genannte WMI-Abfrage ausführe, wird diese ohne Verzögerungen/Probleme ausgeführt.
Ein gpupdate führt übrigens ebenfalls zu einem Timeout "Die Aktualisierung der Benutzerrichtlinie wurde ich in der erwarteten Zeit abgeschlossen. Abbruch..." Es ist auch egal, ob ich als angemeldeter Domänen-Admin gpupdate aufrufe: auch wenn die Richtlinie für Domänen-Admins nicht angewendet wird, der Befehl hängt trotzdem, ehe er mit der Timeout-Meldung abbricht.
Somit bin ich mit meinem Latein ziemlich am Ende. Trotz funktionierender VPN-Verbindung und reibungslosem Zugriff auf diverse Domänen-Services (File, Mail, Print etc.) spinnt die Verarbeitung der GPOs, sobald eine Richtlinie mit einem WMI-Filter verknüpft ist.
Hat von euch jemand eine Idee, wo der Fehler noch liegen könnte? Mir wäre schon geholfen, wenn ich wüsste, wo ich ein Log der WMIPrvse.exe finde bzw. wie ich das Logging hierfür aktivieren kann - aber mein Freund Google hat hier kein zufriedenstellendes Ergebnis geliefert
Besten Dank im Voraus!
Gruß
Flo
wie der Betreff schon verrät: ich habe ein Problem mit einem Remote-Standort und der Gruppenrichtlinienverarbeitung, sobald ein WMI-Filter eingesetzt wird.
Problembeschreibung
Es handelt sich um einen kleinen Standort mit gerade mal 3 Rechnern. An allen tritt das Problem auf, dass beim Starten von Windows der Anmeldebildschirm ca. 10 - 15 Minuten bei "Bitte warten..." hängt. Wenn sich dann endlich der User anmelden kann, dauert es erneut 10 - 15 Minuten, ehe der Desktop erscheint. Im Anwendungs-Eventlog werden folgende Warnmeldungen aufgeführt, die auf ein Problem mit der Gruppenrichtlinienverarbeitung schließen lassen:
ID 6005, Quelle Winlogon, Meldung: Der Anmeldebenachrichtigungsabonnent <GPClient> benötigt einige Zeit, um dieses Benachrichtigungsereignis (CreateSession) zu bearbeiten.
ID 6006, Quelle Winlogon, Meldung: Der Anmeldebenachrichtigungsabonnent <GPClient> hat 914 Sekunden benötigt, um dieses Benachrichtigungsereignis (CreateSession) zu bearbeiten.
Infrastruktur
Bevor ich euch erzähle, welche Analysen und Lösungsversuche ich durchgeführt habe, zunächst ein paar Infos über die Infrastruktur - ich denke das ist wichtig zu wissen, um das Problem besser einschätzen zu können. Wir befinden uns in einer reinen, heterogenen Microsoft AD-Domäne. Die Remotestandorte sind über Site-2-Site VPN-Verbindungen mit der Zentrale verbunden. Das Subnetz des Standortes, der Probleme macht, ist in "Active Directory-Standorte und -Dienste" dem Standort der Zentrale zugewiesen, da in der Außenstelle kein separater DC bereitgestellt wurde. Die Verbindung (und damit auch die Namensauflösung) vom Remotestandort zur Zentrale funktioniert einwandfrei, die User können über Outlook auf den Mailserver zugreifen, Netzlaufwerke werden verbunden - alles läuft problemlos, nur nicht die Verarbeitung der Gruppenrichtlinien.
Durchgeführte Analysen und Lösungsversuche
Natürlich habe ich gegoogled, sogar unseren Support-Partner zur Rate gezogen, der uns bei Problemen, die wir nicht lösen können, sonst sehr kompetent unterstützt. Wir sind zu dem Ergebnis gekommen: sobald eine Gruppenrichtlinie mit einem WMI-Filter verknüpft wird, tritt dieses Phänomen auf. Insgesamt existieren zwei solcher GPO's, einmal für Computer, einmal für Benutzer, was erklärt, warum vor und nach der Useranmeldung mehrere Minuten gewartet werden muss. Die WMI-Filter lauten wie folgt:
Computerpolicy: Select * From Win32_OperatingSystem Where ProductType="2" or ProductType="3"
Benutzerpolicy: Select * From Win32_OperatingSystem Where ProductType="1"
Die Computerpolicy soll nur auf Server-Systemen greifen, während die User-Policy nur auf Client-Computern ausgeführt werden soll. Beide GPOs sind an oberster Ebene der AD-Struktur eingehängt und werden erzwungen. Ich könnte zwar hergehen und die Richtlinien in den entsprechenden OUs verknüpfen, das hat aber zur Folge, dass an den Terminalservern die Benutzerpolicies bei jeder User-Anmeldung auch ausgeführt werden, was nicht gewünscht ist (Stichwort Loopback-Verarbeitung) - deshalb der WMI-Filter.
Die Computerpolicy erstellt an allen Servern eine Aufgabe, die Benutzerpolicy führt bei der Useranmeldung an einem Client-Rechner ein Programm aus. Das funktioniert soweit auch tadellos an allen anderen Standorten, nur eben in einer Außenstelle tritt das beschriebene Problem aus.
An einem Client habe ich testhalber die Slow Link Detection deaktiviert, siehe https://support.microsoft.com/en-us/kb/2008977
Sofern ich den Artikel richtig verstehe, sollte der Registry-Eintrag IsSlowLink=1 (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History) sein, sofern erkannt wird, dass es sich um eine langsame Verbindung handelt - doch der Wert steht bei allen Rechnern auf 0.
Weiter ist mir aufgefallen: wenn der Rechner bei "Bitte warten" hängt und ich von meinem Admin-PC mit PsKill.exe den Task WMIPrvse.exe abschieße, erscheint sofort "Drücken Sie STRG+ALT+ENTF um sich anzumelden.". Ich habe auch in dieser Richtung recherchiert und diverse MS-Patches installiert (ich weiß nicht mehr welche ^^), aber ohne Erfolg.
Auch habe ich in der Registry den Key MaxPacketSize=1 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters) gesetzt, um die Kerberos-Authentifizierung über TCP zu erzwingen - ohne Erfolg. Das war aber mehr schon ein sehr "unrealistischer Versuch", denn der Zugriff auf Netzlaufwerke und E-Mail funktioniert ja tadellos/ohne Probleme...
Wir haben auch schon einen PC getauscht - komplett frisch installiert, selbes Ergebnis. Sehr interessant ist aber: wir haben den zurückgekommenen "Problem-Rechner" mal bei uns in der Zentrale am LAN angeschlossen, eingeschalten und siehe da, die Gruppenrichtlinienverarbeitung funktioniert tadellos, schnell und ohne Probleme...
Auf Grund dieser Erkenntnisse komme ich zu dem Ergebnis, dass es sich nicht um ein "reines" Betriebssystemproblem handeln kann, sondern (zusätzlich?) irgendetwas an der Netzwerkinfrastruktur/VPN-Verbindung nicht passt - nur was? Wir haben die Firewall der Außenstelle getauscht, ohne Ergebnis. Switch ist keiner dazwischen, alle Netzwerkgeräte hängen an den LAN-Ports der Firewall. Alle Clients können den DC erreichen (Ping, Zugriff auf Netlogon etc.), es gibt keine Anzeichen für ein AD-/Domänen-/DNS-Problem - und genau das macht die Fehlersuche so schwer. Lediglich die Gruppenrichtlinienverarbeitung scheitert, sobald ein WMI-Filter eingesetzt wird - die Rechner "hängen" einfach.
Ah ja, zur WMI-Thematik: wenn ich an einem der Remoteclients wbemtest aufrufe und die oben genannte WMI-Abfrage ausführe, wird diese ohne Verzögerungen/Probleme ausgeführt.
Ein gpupdate führt übrigens ebenfalls zu einem Timeout "Die Aktualisierung der Benutzerrichtlinie wurde ich in der erwarteten Zeit abgeschlossen. Abbruch..." Es ist auch egal, ob ich als angemeldeter Domänen-Admin gpupdate aufrufe: auch wenn die Richtlinie für Domänen-Admins nicht angewendet wird, der Befehl hängt trotzdem, ehe er mit der Timeout-Meldung abbricht.
Somit bin ich mit meinem Latein ziemlich am Ende. Trotz funktionierender VPN-Verbindung und reibungslosem Zugriff auf diverse Domänen-Services (File, Mail, Print etc.) spinnt die Verarbeitung der GPOs, sobald eine Richtlinie mit einem WMI-Filter verknüpft ist.
Hat von euch jemand eine Idee, wo der Fehler noch liegen könnte? Mir wäre schon geholfen, wenn ich wüsste, wo ich ein Log der WMIPrvse.exe finde bzw. wie ich das Logging hierfür aktivieren kann - aber mein Freund Google hat hier kein zufriedenstellendes Ergebnis geliefert
Besten Dank im Voraus!
Gruß
Flo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 293878
Url: https://administrator.de/forum/gruppenrichtlinienverarbeitung-eines-vpn-standorts-schlaegt-fehl-sobald-wmi-filter-eingesetzt-werden-293878.html
Ausgedruckt am: 20.12.2024 um 05:12 Uhr
5 Kommentare
Neuester Kommentar
Hi,
selten so eine ausführliche, gut ausformulierte, und - soweit ich es sehen kann - grammatikalisch und orthografisch fehlerfreie Frage hier gesehen! Respekt!
Zum Thema:
Da Du es explizit erwähnst, dass der Netzwerk-Standort nicht extra im AD abgebildet ist, gehe ich davon aus, dass an anderen Standorten außer der Zentrale schon mal DC's vor Ort sind?
Hinsichtlich Auswahl der DC im Fehlerfall und Slow Link Detection macht sich so ein Standort-Objekt aber sehr vorteilhaft. Wir haben bei uns ein Standort-Objekt "Ohne DC" angelegt und diesem alle Subnetz der betreffenden Netzwerk-Standorte zugeordnet, welche keinen DC vor Ort haben. Ein Client, der nicht bemerkt, dass er sich an einem anderen Standort als der DC befindet, prüft meines Wissens überhaupt nicht auf langsame Verbindungen. Weiterhin: Wenn der AD-Standort ohne DC nur eine Replikationsverbindung mit der Zentrale hat, dann versucht ein Client erst gar nicht, einen DC eines anderen Standorts auch nur "anzufragen". Wenn der Client jedoch "denkt", er wäre in der Zentrale, und der AD-Standort der Zentrale hat Site Links mit anderen AD-Standorten mit DC vor Ort, dann kann es vorkommen, dass Clients vom Standort ohne DC mal einfach so versuchen, einen DC von einem Standort mit DC (Nicht-Zentrale) "anzufragen". Insbesondere auch im Zusammenhang mit DFS-Namespaces (--> SYSVOL !).
Zumindest die GPO für die Computer würde ich statt über WMI besser über OU-Links filtern. OU's, in welchen nur Server sind, und OU's in welchen nur Terminalserver sind, und solche, in welchen nur Workstations sind.
Wenn Du auch für die Clients Loopback in Modus "Zusammenführen" ("merge") aktivierst, dann kannst Du die GPO, welche für Benutzer nur bei Anmeldung am Client gelten sollen, an die Stamm-OU für Workstations verlinken.
E.
selten so eine ausführliche, gut ausformulierte, und - soweit ich es sehen kann - grammatikalisch und orthografisch fehlerfreie Frage hier gesehen! Respekt!
Zum Thema:
Da Du es explizit erwähnst, dass der Netzwerk-Standort nicht extra im AD abgebildet ist, gehe ich davon aus, dass an anderen Standorten außer der Zentrale schon mal DC's vor Ort sind?
Hinsichtlich Auswahl der DC im Fehlerfall und Slow Link Detection macht sich so ein Standort-Objekt aber sehr vorteilhaft. Wir haben bei uns ein Standort-Objekt "Ohne DC" angelegt und diesem alle Subnetz der betreffenden Netzwerk-Standorte zugeordnet, welche keinen DC vor Ort haben. Ein Client, der nicht bemerkt, dass er sich an einem anderen Standort als der DC befindet, prüft meines Wissens überhaupt nicht auf langsame Verbindungen. Weiterhin: Wenn der AD-Standort ohne DC nur eine Replikationsverbindung mit der Zentrale hat, dann versucht ein Client erst gar nicht, einen DC eines anderen Standorts auch nur "anzufragen". Wenn der Client jedoch "denkt", er wäre in der Zentrale, und der AD-Standort der Zentrale hat Site Links mit anderen AD-Standorten mit DC vor Ort, dann kann es vorkommen, dass Clients vom Standort ohne DC mal einfach so versuchen, einen DC von einem Standort mit DC (Nicht-Zentrale) "anzufragen". Insbesondere auch im Zusammenhang mit DFS-Namespaces (--> SYSVOL !).
Zumindest die GPO für die Computer würde ich statt über WMI besser über OU-Links filtern. OU's, in welchen nur Server sind, und OU's in welchen nur Terminalserver sind, und solche, in welchen nur Workstations sind.
Wenn Du auch für die Clients Loopback in Modus "Zusammenführen" ("merge") aktivierst, dann kannst Du die GPO, welche für Benutzer nur bei Anmeldung am Client gelten sollen, an die Stamm-OU für Workstations verlinken.
E.
Schau mal z.Z. hier: http://social.technet.microsoft.com/wiki/contents/articles/10130.root-c ...
Da gibt es einen Absatz "WMI" mit Hinweisen auf ein paar KB. Trifft davon was zu?
Möglicherweise kommst Du auch mit WMIDiag weiter. Das ist ein VBScript, welches Du testweise als Startup-Script einrichten könntest, um zu sehen, was hinsichtlich WMI beim Starten des PC anders ist, als wenn Du das nach der Anmeldung testest.
Siehe auch: http://windowsitpro.com/scripting/resolve-wmi-problems-quickly-wmidiag
Da gibt es einen Absatz "WMI" mit Hinweisen auf ein paar KB. Trifft davon was zu?
Möglicherweise kommst Du auch mit WMIDiag weiter. Das ist ein VBScript, welches Du testweise als Startup-Script einrichten könntest, um zu sehen, was hinsichtlich WMI beim Starten des PC anders ist, als wenn Du das nach der Anmeldung testest.
Siehe auch: http://windowsitpro.com/scripting/resolve-wmi-problems-quickly-wmidiag