RDS-Farm 2016: Die Anmeldung des Dienstes Gruppenrichtlinienclient ist fehlgeschlagen. Zugriff verweigert

Mitglied: Mr.Vain

Mr.Vain (Level 1) - Jetzt verbinden

20.04.2021, aktualisiert 08:56 Uhr, 675 Aufrufe, 6 Kommentare

Hallo zusammen,

seit gut einem halben Jahr sind wir von RDS 2012R2 auf RDS 2016 umgestiegen.
Unsere RDS Farm besteht derzeit aus 5 RD-Sitzungshosts und einem RDS-Management-Server (Verbinungsbroker, Gateway, Lizenzierung, WebAccess).
Per GPO sind Umleitungen von Desktop und Co. auf das persönliche Share des Nutzer eingerichtet. Außerdem wird das Roaming-Profile des Nutzers in dem Share "TSProfile$" auf dem File-Server (Server 2012R2) abgelegt, auch eingestellt per Policy.

Nun tritt es häufig auf, dass ab und an bei verschiedenen Nutzenr bei der Anmeldung die Fehlermeldung "Die Anmeldung des Dienstes Gruppenrichtlinienclient ist fehlgeschlagen. Zugriff verweigert" erhalten. Somit ist eine Anmeldung nicht möglich.
Mir ist aufgefallen, dass bei diesen Nutzern die ntuser.dat dann nur 8 kb groß ist. Lösche ich diese ntuser.dat im Profil, dann ist die Anmeldung wieder möglich. Nach Abmeldung wird die ntuser.dat dann auch wieder korrekt ins Servergespeicherte Profil geschrieben.

Auf dem Fileserver ist Deduplizierung deaktiviert. Außerdem habe ich in F-Secure die ntuser.dat als Ausnahme definiert.

Was könnte der Grund sein, dass sich die ntuser.dat bzw. das Profil häufig zerschießt? Dies tritt erst seit dem Wechsel auf Server 2016 auf. Eigentlich ist fast alles analog der RDS-Farm 2012R2 konfiguriert.

Vielleicht habt Ihr ja auch das Problem gehabt und könnt helfen.

Vielen Dank im Voraus!

Gruß
Mitglied: StefanK2110
20.04.2021 um 11:07 Uhr
Wir haben bei einem Kunden ein identisches Problem.
Terminalserver Farm mit Server 2016

Fehlermeldung ursprünglich: Anmeldung hängt beim Gruppenrichtliniendienst und bricht ab.
Wir konnten auch eingrenzen, dass die ntuser.dat dann 8kb "klein" ist und haben Volumenschattenkopien aktiviert - so können wir die letzte (funktionierende) Version wiederherstellen.

Wir hatten den Eindruck, dass das Problem existiert, seit die GPO zum Löschen der Profile beim Abmelden aktiviert haben.

Bei unserem Kunden ist Panda AD360 im Einsatz - hier haben wir schon Ausnahmen für die ntuser.dat (und sogar alle .dat-Dateien) definiert.
Keine Besserung.

Der Fehler tritt sporadisch und benutzerunabhängig auf.

Die kaputte ntuser.dat enthält immer nur einen Eintrag - und zwar in
\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
Der Eintrag ist:
BuildNumber 0x00003839 (14393)

Was mir noch aufgefallen ist: Der Kunde hatte 2 defekte Profile kopiert. In diesen lag jeweils eine ntuser.dat.log1.
In diesen .log1 Dateien lagen jeweils an der gleichen Stelle Einträge, die auch im Text-Editor lesbar waren:
S-1-5-21-2290794699-[...]-[...]23347-1840_AetherAgent_Tmp bzw.
S-1-5-21-2290794699-[...]-[...]23347-1768_AetherAgent_Tmp

Daher hatte ich darauf getippt, dass der Panda AetherAgent hier Schuld wäre - aber das Problem tritt wohl augenscheinlich auch mit anderen Virenscannern auf.

Ich habe nun ein Skript geschrieben, dass alle servergespeicherten Profile durchsucht und ausgibt, wenn ein Profil kleiner als 10KB ist. Dieses will ich nachher noch erweitern, so dass in dem Fall automatisch protokolliert wird, wann das defekte Profil aufgetreten ist und dieses automatisch über VSS wieder hergestellt wird.

Vielleicht lässt sich so auch herausfinden, wann die Datei kaputt geschrieben wird.
Bitte warten ..
Mitglied: Mr.Vain
20.04.2021 um 11:21 Uhr
Da bin ich ja halbwegs froh, dass wir nicht nur das Problem haben.
Über ein Script habe ich auch schon nachgedacht. Vorallem das mit dem automatischen Hersellen über VSS find ich als Umgangslösung praktikabel. Ist es möglich, dass Du das dann fertige Script veröffentlichst? Ich muss das Rad ja nicht unbedingt neu erfinden... :-) face-smile

Wäre super hilfreich!

Vielen Dank schonmal
Bitte warten ..
Mitglied: StefanK2110
20.04.2021 um 13:08 Uhr
Wenn es fertig ist, kann ich das machen - es ist aber kein "schönes" Skript und Du musst es dann anpassen (Pfad zum Roaming-Profil).

Löscht ihr die Profile auch bei Abmeldung von den Terminalservern?

Ich habe den Eindruck. dass das Problem erst seit dem Moment existiert, wo wir das eingestellt haben. Vorher war mal hier oder da ein Profil kaputt - aber nur alle paar Monat mal eins.
Bitte warten ..
Mitglied: Mr.Vain
20.04.2021 um 13:19 Uhr
Es muss auch kein schönes Skript sein. Ein funktionales ist völlig in Ordnung. :-) face-smile

Ja, wir löschen auch die Profile von Terminalservern bei der Abmeldung. Ich kann nicht genau sagen, ob die Probleme deswegen auftreten, weil es halt von Anfang so konfiguriert ist.
Bei RDS 2012R2 war haben wir auch die Profile bei der Abmeldung von TS gelöscht. Da gab es nie ein Problem.
Bitte warten ..
Mitglied: StefanK2110
LÖSUNG 28.04.2021, aktualisiert 05.05.2021
Hier nun das Skript dass sich als Workaround über die Aufgabenplanung regelmäßig alle 30Minuten ausführe.

Bitte das Log-Verzeichnis vorher anpassen und anlegen - Schreibzugriff muss gegeben sein.
Ebenso das Laufwerk und Verzeichnis für die Roaming-Profile bitte anpassen.
(Ich habe beides hier geändert um jeden Bezug zu unserem Kunden zu entfernen.)

Das Skript wurde nun auch nochmal überarbeitet, da neu angelegte User, die sich das erste mal anmelden zunächst ein Leeres Roamingprofil erhalten und das Skript diese leeren Verzeichnisse als "defektes Profil" erkannt hat. (Ab Zeile 87)

find_damaged_ntuser.ps1:



Das erzeugte Log (ich habe ein defektes Profil simuliert) sieht dann in etwa wie folgt aus:


Bitte warten ..
Mitglied: Mr.Vain
28.04.2021 um 19:29 Uhr
Super, vielen Dank dir!!
Bitte warten ..
Heiß diskutierte Inhalte
Linux Netzwerk
NAS läßt sich unter Ubuntu-Server nicht anpingen, unter Windows jedoch schon?!
gelöst dr.zetoVor 1 TagFrageLinux Netzwerk53 Kommentare

Hallo, ich habe das Problem, dass ich eine Synology-NAS unter einem Ubuntu-Server nicht pingen kann. Unter einem Windows-Client jedoch wird der Ping beantwortet. Hierzu ...

Netzwerke
Suche aktuelle Fernwartungsmöglichkeiten ab 2021?
watchdog76Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, das ist für viele vermutlich ein uraltes Thema und es gibt schon viele alte Threads, weshalb ich trotzdem einen eneue Thread geschrieben habe. ...

CPU, RAM, Mainboards
Wohin geht die Zukunft?
cramtroniVor 1 TagFrageCPU, RAM, Mainboards6 Kommentare

Guten Tag zusammen, wir sind gerade dabei, uns eine neue IT-Infrastruktur anzuschaffen, bisher haben wir 2 physische Server, auf denen unsere 9 virtuellen Server ...

Batch & Shell
Accounts nach 6 Monaten löschen
lordofremixesVor 16 StundenFrageBatch & Shell6 Kommentare

Hallo Freunde der Sonne, tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler. Muss leider die Kunden immer darauf hinweisen, ...

Netzwerke
DHCP IP passt nicht zu MAC-Adresse
KirschiVor 12 StundenFrageNetzwerke16 Kommentare

Hallo zusammen, wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf ...

Multimedia & Zubehör
Suche Handy im Hallen und Außenbereich
gelöst favoriten-listeVor 1 TagFrageMultimedia & Zubehör6 Kommentare

Hallo Für die Produktion suchen wir aktuell Handy. Es reicht ein normales Tasten Telefon. ( Es muss kein Smartphone sein! ) Es sollte Robust ...

Drucker und Scanner
Erfahrungen mit Triumph-Adler
gelöst IT-SpitzbubeVor 7 StundenFrageDrucker und Scanner10 Kommentare

Hi, hat jemand von Euch bereits Erfahrungen mit Triumph-Adler im Zusammenhang mit MFPs gemacht. Wenn ja schaut Ihr hierauf positiv oder negativ zurück. Lieben ...

Server-Hardware
10" Server - für Netzwerkschrank
snop123Vor 1 TagFrageServer-Hardware9 Kommentare

Hallo, im Bereich der Heimnetzwerk setzen sich immer mehr 10" Zoll Netzwerkschränke durch. Ich möchte hier keine Diskussion für das für und wider im ...