alojahey
Goto Top

Profil unregelmäßig defekt

Hallo zusammen,
ich habe einen ominösen Fehler. Zuerst zur Konfig: Es ist eine Terra-Miniserver ganz normal mit einer Black Dwarf Firewall und WLAN Bridge. Es ist ein transparenter Proxy eingerichtet und es läuft der Securepoint AV Pro. Einige Webfilter, das wars. Die Profile sind so eingestellt, dass diese beim Anmelden vom Server geholt werden und beim Abmelden weggeschrieben werden. (Outlook ist ausgenommen).
Der besonders betroffene Client liegt direkt neben der UTM. Also volle Verbindung. Sporadisch fährt der Laptop (WIndows 11, neu von Terra) hoch und meldet, dass das Profil nicht geladen werden könne, weil die Verbindung zum Server nicht da sei. Eine Idee war, dass der Av dazwischen haut und anfängt zu scannen, der Server daher so langsam ist, dass er keine Antwort beim Anmelden gibt.Der Server scannt allerdings in der Nacht. Der Client morgens um 7:30. Der Fehler kommt gegen 8. Also hochfahren, und anmelden 30 Minuten später.

Es ist Windows 11 installiert, bzw. ein Server 2021. Das merkwürdie ist, dass es 10-14 Tage läuft, dann wieder nicht. Die GPO aufs Netzwerk warten ist aktiv. Da die Daten alle auf dem Server liegen, sind die Profile sehr klein. Der Computer kann Gerät ausschalten um Energie zu sparen ist auch aus.

Daher vermute ich den Av oder die UTM. Ich kan natürlcih AppData als Ausnahme hinzufügen, aber das fände ich unpassend. Ist so ein Verhalten bekannt? Die Ereignisanzeigen des Clients sind unauffällig. An GPos läuft nicht viel. Ordnerumleitung,ein paar Laufwerke, ein paar Drucker. Eine Idee ist, dass eine Regel nicht ganz sauber konfiguriert ist oder nicht greift. Der Server ist per Kabel angebunden.

Es sind keine Timer-Regeln installiert, also gilt nur von bis. Irgendeine Idee? mfG

Content-ID: 4667360738

Url: https://administrator.de/forum/profil-unregelmaessig-defekt-4667360738.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

NordicMike
NordicMike 18.11.2022 um 08:44:36 Uhr
Goto Top
AV kannst du nur prüfen, indem Du die Profilordner im AV testweise deaktivierst. Du kannst ja den Defender AppData prüfen lassen.

Die UTM kannst du ausschließen, indem du dem Client testweise eine feste IP Nummer gibst. Der Client greift ja auf den Profil-Dateiserver direkt zu (also ohne UTM Firewall, UTM Routing usw.). Der Client benötigt nur beim Starten den DHCP Server von der UTM.

Lass mal beobachten ob der Fehler vorkommt, wenn der Rechner schon eine Minute lief, bevor man sich anmeldet.
Alojahey
Alojahey 18.11.2022 um 09:04:50 Uhr
Goto Top
Moin,
vielen Dank. Argh, mein Problem ist, dass der Fehler nicht reproduzierbar ist. Also selbst wenn ich AV deaktiviere und Fw rausnehme, müsste das für 10, 14 oder 20 Tage sein...

Und so lange ohne Schutz...
NordicMike
NordicMike 18.11.2022 um 09:21:15 Uhr
Goto Top
Hast du eine Firewall zwischen dem Client und dem Fileserver?
Alojahey
Alojahey 18.11.2022 um 17:51:24 Uhr
Goto Top
Ja. Es ist ein Terra-Miniserver ganz normal mit einer Black Dwarf Firewall und WLAN Bridge.
Aber ich habe eine Vermutung. Der Virenscan lief um 08:00 (schnelle Prüfung) und Systemscan 11:00
Das waren in etwas die Zeiten wo die Probleme auftraten.

Also User meldet sich an, Profil soll gezogen werden, in dem Moment greift gerade der Av drauf zu. Zugriff verzögert, Client bekommt das Profil nicht geladen bzw. keine Antwort in angemessener Zeit und macht ein Standard Profil.
Dann meldet sich der User 20 Minuten früher oder später an und dann geht es, weil der Scan abgeschlossen ist oder noch nicht gestartet.
Alojahey
Alojahey 24.11.2022 um 10:18:32 Uhr
Goto Top
Hallo zusammen,
der Ansatz mit dem AV war es auch nicht. Die Scanzeiten deutlich nach hinten geschoben und trotzdem kam innerhalb der letzten 5 Tage 3x die Warnung mit dem Profil.
Und auch das zu anderen Zeiten.
8:30
08:15, 14:00

...
NordicMike
NordicMike 24.11.2022 um 10:56:24 Uhr
Goto Top
Durchsuch mal die Firewall Logs, ob irgendeine Anfrage blockiert wurde (oder schalte die Logs genau für diesen Cliet ein)
Alojahey
Alojahey 24.11.2022 um 16:35:33 Uhr
Goto Top
Hallo zusammen,
mir ist gerade noch eine Idee gekommen:
Kann es sein, dass der Schnellstart da irgendwie eine Strich durch macht?
Der User meldet sich ab. Das Profil wird hochgeladen.
Dann wird die hiberfile.sys geschrieben, die natürlich dann um einige (Milli-)sekunden geändert ist.
Der User startet, die Hyberfile.sys wird geladen, dnn lädt er das Profil und stellt fest, oh das ist ja anders...
Alojahey
Alojahey 25.11.2022 um 16:35:20 Uhr
Goto Top
Ich bin jetzt etwas weiter. Bei der Mac-Adresse hatte ich einen Dreher. Die 10.10.10.66 sollte zugeweisen werden, aus irgendeinem Grund hat er die 10.10.10.74 bekommen. Er zeigte verbunden an, ich konnte surfen, aufs Netzwerk zugreifen und alles. Aber der ping lief ins leere.

Das Ganze korrigiert und trotzdem blieb er bei der 10.10.10.74. Auch nach Neustart. Also das Ganze auf manuell umgestellt, 10.10.10.66 eingetragen und er meldet mir glatt, die Werte seien ungültig.

Ping auf 10.10.10.66 meldet mir Zeitüberschreitung.

Geschaut, die 10.10.10.66 gab es nicht im Netzwerk, also die 10.10.10.69 genommen. Why ever ging es dann. Den Client neu gestartet. Dann waar plötzlich das WLAN für rund 30 Sekunden weg,


Kabel eingesteckt Komischerweise wurde das WLAN direkt deaktiviert.

Nach 30 Sekunden ging es. Profil auf lokal umgestellt und nun abwarten.