Nach Kennwortänderung - Warten auf Benutzerprofildienst

Mitglied: Andy1987

Andy1987 (Level 1) - Jetzt verbinden

27.04.2016 um 14:28 Uhr, 2469 Aufrufe, 16 Kommentare

Guten Tag,

wir haben seit einigen Wochen ein Problem bei uns und ich finde den Fehler einfach nicht.

Wir setzen eine AD auf einem Server 2008 R2 und Clients von Win7 bis Win10 ein.

Wenn bei uns ein User sein Kennwort an seinem Rechner ändert, kann er sich an diesem Rechner ganz normal danach mit dem neuen Kennwort anmelden.
Versucht sich der Benutzer an einem anderen Rechner, an dem er mit seinem alten Kennwort schon mal angemeldet war, mit seinem Kennwort an, bleibt der Rechner beim Laden des Benutzerprofils mit der Meldung "Warten auf Benutzerprofildienst" stehen. Haben Rechner auch schon über Nacht laufen lassen, aber selbst dann fängt sich die Anmeldung nicht mehr. Auch mehrmaliges Anmelden bringt dann nichts mehr, es passiert immer das selbe.

Wenn ich im AD den Haken "Kennwort muss geändert werden" setze, bekommt der Benutzer bei der Anmeldung die Aufforderung zur Änderung und es funktioniert danach alles wie gewünscht.

In der Ereignisanzeige und im AD finde ich hierzu keine Fehler.

Der Fehler tritt übrigens auch auf, wenn das Kennwort in der AD direkt wurde.

Wisst ihr Rat hierbei?

Danke im Voraus.

Andy
Mitglied: Chonta
27.04.2016 um 15:07 Uhr
Hallo,

wieviele DC sind im Einsatz? (replication)
Wie schauts mit gespeicherten Anmeldungen aus?
An einem PC wo noch nie angemeldet wurde geht es sofort?
Wenn es keine GPO gibt, die dafür sorgt, das die Clients vor der Anmeldung auf das Netzwekr warten, eine einrichten und das Verhalten beobachten.

Was sagt das Log auf Cleint und DC?

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
27.04.2016 um 15:59 Uhr
Wir haben zwei DCs im Einsatz auf denen die Replikation auch funktioniert.

Was meinst du mit gespeicherten Anmeldungen?

An meinem PC an dem der User noch nie angemeldet war funktioniert es auf Anhieb.

Die GPO mit dem Warten auf das Netzwerk ist aktiv und greift auch sauber.

Die Ereignisanzeige sagt gar nichts in dem Moment. Keinerlei Einträge.

Gruß Andy
Bitte warten ..
Mitglied: Chonta
27.04.2016 um 17:30 Uhr
Hallo,

normalerweise werden die Anmeldungen auf den Clients zwischengespeichert, so könnte man sich auch anmelden wenn das Netzwerk icht da ist.
Sprich wenn ein Benutzer sich schonmal an einem PC angemeldet hat (kein Servergespeichertes Profil) dann wird er sich auch ohne Netzwerk wieder anmelden können. (mit dem dahmals gültigen Passwort)

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
28.04.2016 um 11:05 Uhr
Hey,

ach das meinst du... Ja die Anmeldung sind auf den Clients zwischengespeichert.

Das neue Kennwort wird jedoch auch nicht abgelehnt, sondern er bleibt einfach stehen.

Das Ganze passiert jedoch auch auf mehreren Rechnern mit mehreren Usern.

Gruß Andy
Bitte warten ..
Mitglied: Chonta
28.04.2016 um 12:20 Uhr
Passiert das auch, wenn der Rechner schon in Betrieb war und der neue Benutzer sich anmelden will?
Bzw. es war ein anderer angemeldet, der meldet sich ab und der neue an.

Ist im Log des Clients etwas zu finden (Anwendung und System) währende der hängt?
Was passiert, wenn Du bei der Anmeldung das Netzwerkkabel ziehst?

Ist das DNS sauber?
Gab es DC die jetzt nicht mehr da sind?

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
28.04.2016, aktualisiert um 13:47 Uhr
Hi, es passiert sowohl nach Neustart oder auch nach einer Anmeldung an einem Rechner der schon lange lief.

Im Log ist kein einziger Eintrag wären der "Wartezeit".

DNS läuft soweit Problemlos... Auch da geben die LOGs keinerlei Fehler aus. AD-Sync läuft auch sauber.

Die DCs laufen seit 1,5 Jahren schon. Hier gab es auch keine größere Änderung.


Andy

Edit:
Konnte jetzt den Test mit dem Netzwerkkabel machen:
- Benutzer hat einem Rechner sein Kennwort geändert
- Ist zum zweiten Rechner (an dem der Benutzer schon mal angemeldet war) gegangen, und der Rechner hing nach Eingabe des neuen Kennwortes wieder bei "Warte auf Benutzerprofildienst". Das Ganze drei vier mal probiert und immer das gleiche.
- Anschließend das Netzwerkkabel gezogen und wieder hochgefahren; Die Anmeldung läuft mit dem neuen Kennwort ohne Probleme.
- Neustart mit Netzwerkkabel und die Anmeldung lieft wieder ohne Probleme.
Bitte warten ..
Mitglied: Chonta
28.04.2016 um 14:16 Uhr
Hallo,

ok ich meinte eigendlich wenn der hängt das Netzwerkkabel mal ziehen und schuaen ob die Anmeldung dann durch geht.
Sind auch WIndows7 Clients betroffen?
Passiert das Problem beim Wechsle von Windows7 zu Windows 8 zu Windows 10?
Bzw in anderer Reihenfolge?
Geht es von innerhalb der gleichen Generation gut?

Servergespeicherte Profile? (wenn ja bestimmt keine Ordnerumleitung oder?)

Seid wann ist das Problem - Server oder Client Updates an einem Patchtag.

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
01.06.2016 um 12:43 Uhr
Guten Tag,

habe in den letzten Wochen noch einiges umgestellt und probiert und es verhält sich immer noch gleich.

Es ist vollkommen egal wie man Wechselt...Ob von Win7 zu Win10 oder andersrum... Der Fehler ist immer Identisch.

Der Fehler ist an keiner Systemänderung festzumachen.

Zu dem gezogenen Netzwerkkabel: Wenn der Rechner auf den ProfSvc wartet, wartet er egal was man mit... Mit Netzwerkkabel oder auch wenn man es zieht.

Erst wenn man danach ohne Netzwerkkabel den Rechner startet funktioniert die Anmeldung im Anschluss immer ohne Probleme.

Ich verstehe dieses Verhalten einfach nicht mehr.
Bitte warten ..
Mitglied: Chonta
01.06.2016 um 12:49 Uhr
Hallo,

das Netzwerkkabel muss gezogen weden BEVOR sich der Benutzer anmeldet.
Danach inst das Kind schon in den Brunnen gefallen.

Wenn der Benutzer sich anmelden kann wenn der Rechner ohne Netzwerk startet...
Verschiebe den Rechner mal in eine OU in der bis auf dei Domainpolecy keine GPO wirken und der Rechner auch KEINE Start/Anmeldescripte ausführt.
Wenn die Benutzer anmeldescripte haben auch diese mal deaktivieren.

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
01.06.2016 um 14:19 Uhr
Hallo,

aber wenn der User sich ein neues Kennwort an Rechner 1 vergibt und ich an Rechner 2 das Kabel vorm hochfahren ziehe, woher soll der Rechner das neue Kennwort kennen? Oder stehe ich hierbei auf dem Schlauch?
Bitte warten ..
Mitglied: Chonta
01.06.2016 um 14:37 Uhr
Wenn der Rechner ohne Netzwerk startet und dann eine Anmeldung erfolgt, wird die zwischengespeicherte Anmeldung verwendet.
Und die erfolgt dann mit dem alten Passwort.

Du kannst auch vor einer Anmeldung versuchen den Benutzeranmeldedienst neu zustarten.
Irgendwas muss aber auch in den Logs drin stehen.
Was ist wenn Du mit lokalen Profilen arbeitest, geht das dann immer ohne Probleme?

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
01.06.2016 um 15:04 Uhr
Der User kann sich ohne Probleme an dem selben Rechner nach einer Passwortänderung anmelden.

Nur an einem weiteren Rechner nicht mehr, an dem sein altes Passwort bekannt ist.

Heute ist mir aufgefallen, dass in den Logs auf dem DC ein Eintrag ist. Von genau dem Rechner an dem ich heute getestet habe, allerdings mit knapp 30 Minuten Verzögerung.

DCOM konnte mit dem Computer "PC" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
System - Dcom - 10009

Der Test war um ca. 12:30, der Eintrag um 13:07.
Bitte warten ..
Mitglied: Chonta
01.06.2016 um 15:27 Uhr
Hallo,

hat mit deinem Problem nix zu tun.
Dann deaktiviere mal die zwischengespeicherten Anmeldungen, dann MUSS imme ralles vom DC geholt werden.
Und ganz wichtig, dafür sorgen das die Kisten auf das Netzwerk WARTEN.
Warum? Die Rechner starten so schnell, das eine Anmeldung möglich ist, bevor das Netzwerk bereit ist.
Wenn jetzt an einem anderen rechner mit veralteten zwischengespeicherten Daten macht, kann er das aber wenn Das Netzwerk steht und er versucht auf Netzwerkresourcen zuzugreifen ZONK falsches Passwort.

Ist die Protokollierung für Anmeldungen aktiviert, was steht drin?

Wichtig auch Hibernate und son müll abstellen, weil damit die Rechner nicht richtig neu gestartet werden sondern sich verhaltne wie beim energiesparmodus und die sitzung vom runterfahren versuchen wiederherzustellen.....
Das zerschießt Dummerweise nur die GPO/Skript Mechanismen die MS selber mal aufgebaut hat....

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
01.06.2016 um 15:58 Uhr
So habe es getestet mit dem Cachen der letzten Anmeldungen und bei dem User und einem weiteren Rechner lief es ohne Probleme.

Könnte die Einstellung auch per GPO an alle Verteilen, jedoch habe ich ein Problem mit unseren Notebooks dabei.
Ohne gecachte Anmeldung keine Anmeldung mehr möglich an dem Notebooks.

Außer unterschiedliche GPOs, noch eine Idee dazu wie ich das elegant lösen kann?

Gruß Andy
Bitte warten ..
Mitglied: Chonta
01.06.2016 um 16:03 Uhr
Hallo,

laptops gehöhren in separate OU.
Ansonsten alle Stationären Rechner in eine Gruppe und das no chache gpo für dise gruppe filtern (nur die gruppe nix anderes)
Oder mit WMI Filter die GPO nur auf nicht Mobile anwenden.
Das mit dem WMI ist aber nicht immer möglich, weil ggf das ein oder andere Laptop nicht mit spielt, siche rist es alle Workstations in eine Gruppe und dan filtern oder Laptops und Workstations in separaten OUs.

Oder Du findest die Ursache, meine Vermutung die Rechner erlauben eine Anmeldung bevor der Netzwerkstack richtig geladen ist und dann zonk alte Anmeldedaten und nix geht.

Gruß

Chonta
Bitte warten ..
Mitglied: Andy1987
01.06.2016 um 16:23 Uhr
Die Policy "Warten aufs Netzwerk" ist jedoch aktiv.

Werde wohl die Notebooks in eine neue OU Auslagern und dann das mit einer neuen Policy in der nur der Cache deaktiviert einsetzen.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware20 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 19 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Windows Server
Lokaler DNS verlangsamt Internet?
gelöst Rattical84Vor 6 StundenFrageWindows Server20 Kommentare

Hallo zusammen, ich habe hier eine Domäne mit dem Domänencontroller als DNS-Server. Das ist der einzige DC und DNS-Server im Netz. Jetzt habe ich ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 11 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...