Sehr langsame Client-Anmeldung am DC
Hallo,
wir haben in letzter Zeit, das Problem, das Anmeldungen am DC mehrere Minuten lang dauern.
Auf den Clients selbst konnte ich in den Ereignisprotokollen nichts auffälliges finden.
Ein DCDIAG ergab auf dem DC01 einen Fehler bei der Replikation des SYSVOLs:
Ich vermute da einen Zusammenhang mit den Timing-Problemen der Clients.
Könnt Ihr mir einen Tipp geben, wie das Problem weiter eingegrenzt werden kann?
Danke,
Benson
wir haben in letzter Zeit, das Problem, das Anmeldungen am DC mehrere Minuten lang dauern.
Auf den Clients selbst konnte ich in den Ereignisprotokollen nichts auffälliges finden.
Ein DCDIAG ergab auf dem DC01 einen Fehler bei der Replikation des SYSVOLs:
Server wird getestet: Default-First-Site\VW-DC01
Starting test: Advertising
......................... VW-DC01 hat den Test Advertising bestanden.
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge
haben.
......................... Der Test FrsEvent für VW-DC01 ist
fehlgeschlagen.
Ich vermute da einen Zusammenhang mit den Timing-Problemen der Clients.
Könnt Ihr mir einen Tipp geben, wie das Problem weiter eingegrenzt werden kann?
Danke,
Benson
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328024
Url: https://administrator.de/forum/sehr-langsame-client-anmeldung-am-dc-328024.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
23 Kommentare
Neuester Kommentar
Hi,
Zu DCDIAG:
Mehrere DC in der Domäne?
Falls ja: Was sagt DCDIAG auf diesen?
E.
- Du meinst sicher die Anmeldung eines AD-Benutzers am Client und nicht die Anmeldung des Clients selbst?
- Roaming Profiles im Einsatz? Falls ja: Größe des Profiles gecheckt?
Zu DCDIAG:
Mehrere DC in der Domäne?
Falls ja: Was sagt DCDIAG auf diesen?
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden.
Und - welche? Hast Du im Eventlog nachgeschaut?E.
An deinem DC-01 ist eine Netzwerkkarte nicht konfiguriert. Die hat eine apipa adresse. Wenn ein client die via dns anfrage (round robin dns) als server angezeigt bekommt, kann das zu erheblichen Verzögerungen kommen.
Das solltest du korrigieren. Netzwerkkarte deaktivieren oder konfigurieren, dns eintrag korrigieren. Probieren. Das ist dann schonmal eins weniger.
Das solltest du korrigieren. Netzwerkkarte deaktivieren oder konfigurieren, dns eintrag korrigieren. Probieren. Das ist dann schonmal eins weniger.
Nachtrag von einem richtigen Computer aus
ICh kenne Dein Netz nicht, wenn es aber ein 24 Bit Netz ist (maske 255.255.255.0 ) dann ist auch ein weiterer Eintrag falsch.
In dem Fall wäre die Adresse 192.168.101.0 die Netzwerkadresse Deines LAN, das sollte dann nicht als DNS Server eingetragen sein.
Vielleicht subnettest Du auch, angenommen deine clients haben 24 Bit Netzwerkmaske, deine Server 16 bit. Dann ist
Servenetz (192.168.0.0/16)
Clientnetz (192.168.101.0/24)
Dann versuchen deine Clients per round robin DNS abfrage einen DNS Server zu erhalten.
dann bekommen sie 50 Prozent falsche Angeben und versuchen es dann nochmal, solange bis mal ein richtiger DNS Eintrag bei ist.
Server: vw-dc01.la-vw.local
Address: 192.168.101.6
Name: LA-VW.local
Addresses: 192.168.101.6
192.168.101.0 <---- Netzwerkadresse? (sofern dein Netzwerk mit 24 bit die Netzwerkmaske 255.255.255.0 )
192.168.101.7
192.168.101.117
169.254.150.5 <---- APIPA Adresse
ICh kenne Dein Netz nicht, wenn es aber ein 24 Bit Netz ist (maske 255.255.255.0 ) dann ist auch ein weiterer Eintrag falsch.
In dem Fall wäre die Adresse 192.168.101.0 die Netzwerkadresse Deines LAN, das sollte dann nicht als DNS Server eingetragen sein.
Vielleicht subnettest Du auch, angenommen deine clients haben 24 Bit Netzwerkmaske, deine Server 16 bit. Dann ist
Servenetz (192.168.0.0/16)
Clientnetz (192.168.101.0/24)
Dann versuchen deine Clients per round robin DNS abfrage einen DNS Server zu erhalten.
dann bekommen sie 50 Prozent falsche Angeben und versuchen es dann nochmal, solange bis mal ein richtiger DNS Eintrag bei ist.
Server: vw-dc01.la-vw.local
Address: 192.168.101.6
Name: LA-VW.local
Addresses: 192.168.101.6
192.168.101.0 <---- Netzwerkadresse? (sofern dein Netzwerk mit 24 bit die Netzwerkmaske 255.255.255.0 )
192.168.101.7
192.168.101.117
169.254.150.5 <---- APIPA Adresse
Also, da ploppen immer noch dns fehler auf.
Wenn Dein DNS glatt gezogen ist solltest du die Caches an allen Clients auskippen (ipconfig -flushdns), oder zumindest an deinen Testcomputern.
Dann die Dienste neu starten an den Servern, schadet nicht, dann siehst du auch gleich im Protokoll, ob alle Dienste normal hoch kommen.
Hast Du vielleicht noch einen anderen DNS im Einsatz? Nen Router oder sowas?
Das ist in einem AD nicht ratsam, ich hab schon gesehen, dass Leute Ihren Router als DNS nServer über DHCP verteilen lassen, da kam es dann zu solchen Verzögerungen. Denn so ein Router DNS Server ist zu selten AD integriert und kann die AD Anfragen so nicht bedienen.
Ist IP V6 auf den Clients aus?
Einer Deiner Server hat eine Dynamische V6 Adresse, ist auch manchmal doof wenn der DNS Server an diesem Interface lauscht und der Client eine andere Adresse im Cache hat.
Sind die Server redundant, also hast Du 2 von der selben Sorte (also 2 DC), schalte mal einen ab und schau was passiert.
Viel Erfolg
Wenn Dein DNS glatt gezogen ist solltest du die Caches an allen Clients auskippen (ipconfig -flushdns), oder zumindest an deinen Testcomputern.
Dann die Dienste neu starten an den Servern, schadet nicht, dann siehst du auch gleich im Protokoll, ob alle Dienste normal hoch kommen.
Hast Du vielleicht noch einen anderen DNS im Einsatz? Nen Router oder sowas?
Das ist in einem AD nicht ratsam, ich hab schon gesehen, dass Leute Ihren Router als DNS nServer über DHCP verteilen lassen, da kam es dann zu solchen Verzögerungen. Denn so ein Router DNS Server ist zu selten AD integriert und kann die AD Anfragen so nicht bedienen.
Ist IP V6 auf den Clients aus?
Einer Deiner Server hat eine Dynamische V6 Adresse, ist auch manchmal doof wenn der DNS Server an diesem Interface lauscht und der Client eine andere Adresse im Cache hat.
Sind die Server redundant, also hast Du 2 von der selben Sorte (also 2 DC), schalte mal einen ab und schau was passiert.
Viel Erfolg
Als dritten DNS Eintrag habe ich einen Router 192.168.101.254 eingetragen.
Du meinst, am Client? Falls ja: Das macht nur Sinn, wenn dieser auch die internen Namen auflösen kann.Falls am Server: Nimm es wieder raus und trage denn Router besser im DNS-Server als globale Weiterleitung ein.
Es sind zwei redundante Server, schalte ich den einen ab, bleibt das Fehlerbild (sehr langsame Anmeldung).
Was heißt "bleibt"? Also mit beiden DC online ist es auch da?
Den Router nimm als DNS ganz raus, bei den Clients und an den Domänencontrollern.
Die können maximal Hosts auflösen, aber den ganzen AD Inhalt nicht, das führt zu Fehlern.
Da hat emeriks recht, trage es am Server als Weiterleitung ein.
Bei 2 DC hier ein Beispiel für die Netwerkkonfiguration:
DC1 DNS Server, Sich selbst und DC2 als DNS Server an der Netzwerkkarte eintragen.
DC2 DNS Server, Sich selbst und DC1 als DNS Server eintragen.
Solltest Du mehr netzwerkarten habe, rate ich noch zu folgendem.
in den "Eigenschaften von Internetprotokoll Version 4" (Setup Lan Karte) geh auf erweitert, dann dns, und dann nimm den Haken aus "Adressen dieser Verbindung in DNS registrieren" raus.
Das verhindert, dass sich unkonfigurierte Lan Adapter am DNS registrieren und vermeintlich im Round Robin als DNS Server angezeigt werden.
Das ist doof, weil bei Nichterreichen immer erst ein Timeout erfolgen muss, bis die nächste DNS Serveradresse gefragt wird.
Die können maximal Hosts auflösen, aber den ganzen AD Inhalt nicht, das führt zu Fehlern.
Da hat emeriks recht, trage es am Server als Weiterleitung ein.
Bei 2 DC hier ein Beispiel für die Netwerkkonfiguration:
DC1 DNS Server, Sich selbst und DC2 als DNS Server an der Netzwerkkarte eintragen.
DC2 DNS Server, Sich selbst und DC1 als DNS Server eintragen.
Solltest Du mehr netzwerkarten habe, rate ich noch zu folgendem.
in den "Eigenschaften von Internetprotokoll Version 4" (Setup Lan Karte) geh auf erweitert, dann dns, und dann nimm den Haken aus "Adressen dieser Verbindung in DNS registrieren" raus.
Das verhindert, dass sich unkonfigurierte Lan Adapter am DNS registrieren und vermeintlich im Round Robin als DNS Server angezeigt werden.
Das ist doof, weil bei Nichterreichen immer erst ein Timeout erfolgen muss, bis die nächste DNS Serveradresse gefragt wird.
Versuch auch mal einen Richtlinienergebnissatz am DC mittels der Gruppenrichtlinienverwaltung, findest Du ganz unten links.
Und ja, wenns an Richtlinien liegt, gibt es Eventlogs in den WIndows Logs.
Die lange Anmeldung deutet für mich auf Timeout innerhalb von einer bestimmten Richtlinie hin.
Eine Möglichkeit:
Softwarerrichtlinie, wenn der Client das Paket nicht findet, kann es daran liegen, dass der DFS Stamm nicht verfügbar ist und damit der UNC Pfad nicht erreichbar.
Oder aber Du hast das Paket manuell mit dem gemappten Verzeichnis verknüpft, das klappt auch erst nach einer Anmeldung und geht als Computerrichtlinie schief.
Wie siehts denn mit Deinem DNS aus? Läuft das?
Hast Du noch Fehler ?
Siehe immer das globale Setup von ganz und versteif dich nicht im Detail, sondern sammle Fakten.
Ich gehe immer noch von DNS und Folgefehlern aus.
Und ja, wenns an Richtlinien liegt, gibt es Eventlogs in den WIndows Logs.
Die lange Anmeldung deutet für mich auf Timeout innerhalb von einer bestimmten Richtlinie hin.
Eine Möglichkeit:
Softwarerrichtlinie, wenn der Client das Paket nicht findet, kann es daran liegen, dass der DFS Stamm nicht verfügbar ist und damit der UNC Pfad nicht erreichbar.
Oder aber Du hast das Paket manuell mit dem gemappten Verzeichnis verknüpft, das klappt auch erst nach einer Anmeldung und geht als Computerrichtlinie schief.
Wie siehts denn mit Deinem DNS aus? Läuft das?
Hast Du noch Fehler ?
Siehe immer das globale Setup von ganz und versteif dich nicht im Detail, sondern sammle Fakten.
Ich gehe immer noch von DNS und Folgefehlern aus.