Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows 2016 - Anmeldeverzögerung

Mitglied: emeriks

emeriks (Level 5) - Jetzt verbinden

07.05.2019, aktualisiert 14:33 Uhr, 1572 Aufrufe, 24 Kommentare, 1 Danke

Hi,
wir haben unter Windows 2016 bei Zugriff via RDP oder ICA in ca. 50% der Anmeldungen eine Verzögerung von dann immer ziemlich genau 23 s.

Den einzigen halbwegs konkreten Hinweis, welchen wir bisher auf den Servern gefunden haben, ist im NETLOGON.log. Dort steht zu den betreffenden Zeitpunkten drin
Der letzte Eintrag vor dem ersten "CRITICAL" ist dann ca. 22-23 s früher.

Ja ich weiß, "local" als TLD. Da brauchen wir jetzt hier nicht drüber zu diskutieren. Das ist so historisch gewachsen.

Für den Anwender äußert sich das so, dass er beim Anmelden am Remotedesktop beim "Willkommen" für diese ca 22 s hängen bleibt. Danach geht es gewohnt weiter.

DCDIAG, NLTEST und Konsorten liefern keine Hinweise auf Fehler oder Probleme.
Wir haben getestet:
  • Benutzer mit und ohne vorhandenem lokalen Profil
  • Benutzer mit und ohne Roaming Profile
  • mit und ohne Umleitung von Clientgeräten (Drucker und Laufwerke)
  • mit und ohne Citrix Profile Manager
  • mit und ohne Citrix SSO (Bestandteil von Citrix Workspace)

Das Verhalten ist immer gleich. Bei ca. der Hälfte der Anmeldeversuche geht es ohne diese Verzögerung (Anmeldung dauert ca. 9-11 s) und bei der anderen Hälfte der Versuche mit dieser Verzögerung (Anmeldung dauert ca. 30-35 s). Und diese Fälle sind dann auch schön ungleichmäßig verteilt.

Im Web haben wir bisher nichts hilfreiches gefunden. DNS und AD haben wir überprüft, wir finden keine Fehler.

Wenn die Verzögerung nicht auftritt, dann tauchen im NETLOGON.log aus den o.g. Zeilen die beiden CRITICAL nicht auf.

Hat jemand eine Idee oder kennt es sogar aus eigener Erfahrung?

E.
Mitglied: Spirit-of-Eli
07.05.2019 um 14:36 Uhr
Moin,

bezieht sich das Problem immer auf die Anmeldung am DC03?

Gruß
Spirit
Bitte warten ..
Mitglied: Kraemer
07.05.2019 um 14:40 Uhr
Moin,

prüfe mal in den Netzwerkeigenschaften die DNS-Server. Klingt so, als wäre da ein Nicht-DC-DNS mit drin.

Gruß
Bitte warten ..
Mitglied: emeriks
07.05.2019 um 14:44 Uhr
Zitat von Spirit-of-Eli:
bezieht sich das Problem immer auf die Anmeldung am DC03?
Nein. Da werden auch andere DC erwähnt. Wir haben 12 Domänen in einem AD und alle DC sind auch GC. Die DC welche dort erwähnt werden, sind aber alle vom AD-Standort des betreffenden Terminalserver.
Bitte warten ..
Mitglied: departure69
07.05.2019, aktualisiert um 14:56 Uhr
Hallo.

Ich seh' in gleiche Richtung wie @Spirit-of-Eli . Es gibt einen DC namens "DC03", und wenn die Userauth. an diesem landet, verzögern sich sowohl speziell DNS (der DC03 ist vermutlich auch DNS?) als allgemein auch die Auth. an der Domäne bis zu einem Zeitwert "Critical".

Nimm' den DC03 mal genauer unter die Lupe. Was passiert, wenn Du den mal testweise runterfährst? "DC03" impliziert, daß es noch zwei weitere DCs gibt, die den Job derweil übernehmen könnten.. Sieh' dann nach, ob die Probleme verschwinden (und an welchen DCs die schneller funktionierenden Anmeldungen zum authentifizieren landen). Wenn sich der DC03 als das Problem herausstellt, vergleiche ihn mit den anderen DCs.

Viele Grüße

EDIT:

Nach Deiner Antwort an @Spirit-of-Eli hat sich mein Posting natürlich erledigt, wenn's nicht alleine der DC03 ist, bei dem die Critical-Logs erscheinen.

EDIT2:

Hier hat sich jemand ziemlich ausführlich damit auseinandergesetzt:

https://blog.pohn.ch/der-falsche-anmeldeserver-und-netlogon-5719/

Scheint zumindest nicht TS-spezifisch zu sein, sondern generell langsame Namensauflösungen und Domänenauthentifizierungen zu betreffen. Offenbar ein Netzwerkproblem, und das ist leider ein weites Feld, wie Du besser weißt als ich.
Bitte warten ..
Mitglied: sabines
07.05.2019 um 15:16 Uhr
Moin,

kannst Du den RDP Zugriff testweise statt per Namen mit der IP starten?
Damit könntest Du zumindest die Namensauflösung definitiv ausschließen.

Gruss
Bitte warten ..
Mitglied: emeriks
07.05.2019 um 15:27 Uhr
Zitat von sabines:
kannst Du den RDP Zugriff testweise statt per Namen mit der IP starten?
Damit könntest Du zumindest die Namensauflösung definitiv ausschließen.
Das ändert nichts. Wäre ja auch seltsam. Die Verbindung steht doch schon. Was "Willkommen" läuft (steht) doch in der Sitzung.
Bitte warten ..
Mitglied: emeriks
07.05.2019 um 16:00 Uhr
Zitat von Kraemer:
prüfe mal in den Netzwerkeigenschaften die DNS-Server. Klingt so, als wäre da ein Nicht-DC-DNS mit drin.
Nein, leider nicht. Das wäre jetzt auch zu einfach gewesen ...
Bitte warten ..
Mitglied: rzlbrnft
07.05.2019 um 16:34 Uhr
No Data returned from DNS Query weist offensichtlich auf ein Problem mit der DNS Auflösung hin.
Ist es möglich, bei allen involvierten Kisten einen festen DNS einzutragen?

Bei der Site Auflösung bekommst du offensichtlich auch nicht rechtzeitig eine verwertbare Aussage zurück, sonst müsste er sie sich nicht aus dem local Cache holen.

Kann es sein das DCs demotet wurden und noch alte Einträge vorhanden sind, oder per netdom Names geadded oder geändert wurden?
Bitte warten ..
Mitglied: Kraemer
07.05.2019 um 18:09 Uhr
Reverse-DNS geprüft?
Bitte warten ..
Mitglied: emeriks
07.05.2019 um 19:22 Uhr
Zitat von Kraemer:
Reverse-DNS geprüft?
Ja, auch alles ok.
Bitte warten ..
Mitglied: emeriks
07.05.2019 um 19:26 Uhr
Zitat von rzlbrnft:
No Data returned from DNS Query weist offensichtlich auf ein Problem mit der DNS Auflösung hin.
Jain. Wir haben am DNS-Server das Debug-Log aktiviert. Alle Anfragen von diesen TS werden prompt und fehlerfrei beantwortet.
Ich tippe hier eher auf einen Bug im Windows. Letzte Analysen haben ergeben, dass diese eine Zeile auch bei Anmeldungen ohne Verzögerung geloggt wird.
Ist es möglich, bei allen involvierten Kisten einen festen DNS einzutragen?
Was würde das ändern?
Bei der Site Auflösung bekommst du offensichtlich auch nicht rechtzeitig eine verwertbare Aussage zurück, sonst müsste er sie sich nicht aus dem local Cache holen.
Cache ist hier gut und richtig. By design Microsoft.
Kann es sein das DCs demotet wurden und noch alte Einträge vorhanden sind, oder per netdom Names geadded oder geändert wurden?
Nein. Lange her, dass da was gemacht wurde. Wie schon geschrieben, DCDIAG ohne Befund. Auch NLTEST und DNSLINT liefern nichts, was auf Fehler hindeuten würde.
Bitte warten ..
Mitglied: emeriks
07.05.2019 um 19:28 Uhr
Letzter Stand zum Feierabend war:
Wir haben auf den TS jetzt die Bindung für IPv6 an der NIC wieder aktiviert. Seit dem hatten wir keine Verzögerungen mehr beobachtet. Wir testen morgen früh weiter.
Bitte warten ..
Mitglied: nEmEsIs
07.05.2019 um 22:19 Uhr
Hi

GPOs können es nicht sein ?
Mal mit GPresult geschaut wie lange die Abarbeitung dauert ?
In den GPOs etwas was von einem DFSN geholt wird und hier die „Grenzen“ nicht richtig gesetzt wurden sprich holt sich files von einem Server einer anderen AD Site ?
Wenn du schreibst, dass es um 19:30 wieder besser ist ggf. Doch etwas im Netzwerk was hier bremst? Datensicherung, viele Andmeldungen, DNS „Stürme“ oder ähnliches ? Das SAN auf wo deine TS Server liegen ausgelastet ? Generell die virtuelle Umgebung u.a Netzwerlkarte(n) ausgelastet?
Vielleicht auch was banales wie energieschema auf ausgeglichen anstatt auf Höchstleistung in virtueller Umgebung und am Server selbst ?

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: sabines
08.05.2019 um 07:03 Uhr
Zitat von emeriks:

Letzter Stand zum Feierabend war:
Wir haben auf den TS jetzt die Bindung für IPv6 an der NIC wieder aktiviert. Seit dem hatten wir keine Verzögerungen mehr beobachtet. Wir testen morgen früh weiter.

Moin,

warum wurde das deaktiviert? Meines Wissens nach, benötigt Windows Server ab 2008 IPv6 auch wenn Du es "offiziel" gar nicht einsetzt. Oder verstehe ich Dich falsch?

Gruss
Bitte warten ..
Mitglied: Spirit-of-Eli
08.05.2019 um 07:55 Uhr
Zitat von sabines:

Zitat von emeriks:

Letzter Stand zum Feierabend war:
Wir haben auf den TS jetzt die Bindung für IPv6 an der NIC wieder aktiviert. Seit dem hatten wir keine Verzögerungen mehr beobachtet. Wir testen morgen früh weiter.

Moin,

warum wurde das deaktiviert? Meines Wissens nach, benötigt Windows Server ab 2008 IPv6 auch wenn Du es "offiziel" gar nicht einsetzt. Oder verstehe ich Dich falsch?

Gruss

Das ist beim Exchange so. WTS Server können ohne laufen, es sei denn eine Anwendung erfordert das.
Bitte warten ..
Mitglied: Kraemer
08.05.2019 um 08:21 Uhr
Zitat von emeriks:
Wir haben auf den TS jetzt die Bindung für IPv6 an der NIC wieder aktiviert.
das wird es sein. Auch Windows 10 macht immer wieder die komischten Probleme, wenn man ohne IPv6 fährt.
Microsoft rät auch dringend davon ab, IPv6 "abzuschalten"

Gruß
Bitte warten ..
Mitglied: emeriks
08.05.2019 um 08:42 Uhr
Zitat von sabines:
warum wurde das deaktiviert? Meines Wissens nach, benötigt Windows Server ab 2008 IPv6 auch wenn Du es "offiziel" gar nicht einsetzt. Oder verstehe ich Dich falsch?
Nee, Du verstehst richtig.
Warum das von den Citrix-Admins deaktiviert wurde, weiß ich nicht. Ich vermute mal "wird nicht offiziell gebraucht".
Bitte warten ..
Mitglied: TomTomBon
08.05.2019 um 08:42 Uhr
Moin Moin,

Im Großbereich Kopierwesen gibt es mit IPv6 auch immer wieder komische Sachen.
Mal funktionieren Sachen, auf Systemen die schon länger so laufen, plötzlich erst wenn man IPv6 umschaltet (von aus auf an oder umgekehrt).
Oder WIA läuft nur sauber wenn vorher via IPv6/WSD eine Verbindung hergestellt wird, oder oder oder.

Just a cent.

So long.
Bitte warten ..
Mitglied: emeriks
08.05.2019 um 08:46 Uhr
Zitat von nEmEsIs:
GPOs können es nicht sein ?
Nein, die GPO's ändern daran nichts.
Wir haben das u.a. mit dem Script Analyze Logon Duration gemessen und die Abarbeitung der GPO's dauert in allen Fällen etwa gleich lang.
Bitte warten ..
Mitglied: emeriks
08.05.2019 um 13:56 Uhr
Ich denke, wir haben es gefunden.
Die Server haben 2 NIC. Eine im "normalen" Netz und eine im Netz für Citrix PVS. Im PVS-Netz erfolgt die Verteilung der IP-Adressen über DHCP, damit der PXE-Boot funktioniert. Dort haben die Kollegen aber auch DNS-Server für dieses PVS-Netz mitgegeben, weil sie in den DHCP-Optionen im Pfad für das Bootfile den Servernamen angegeben haben. Dummerweise hat das zur Auswirkung, dass, weil auch unter Windows diese NIC auf DHCP steht, jetzt auch unter Windows auf dieser 2. NIC extra DNS-Server angegeben sind.
Auch wenn die Bindungsreihenfolge der NIC's unter Windows so ist, dass die aus dem "normalen" Netz an erster Stelle steht, kommt es zur beschriebenen Verzögerung, wenn an der 2. NIC diese DNS-Server eingetragen sind. Nachdem wir die DHCP-Optionen im PVS-Netz so geändert haben, dass das Bootfile mit IP-Adresse angegeben wird und keine DNS-Server verteilt werden, bleiben diese Verzögerungen aus.
Wir haben das durch mehrere Proben und Gegenproben gegengeprüft und sind uns ziehmlich sicher, dass das die Ursache war.
Bitte warten ..
Mitglied: Kraemer
08.05.2019 um 13:59 Uhr
hehe - hatte ich also doch recht
Bitte warten ..
Mitglied: Spirit-of-Eli
08.05.2019 um 13:59 Uhr
Ja, das klingt plausibel.
Theoretisch hätte es auch zum Erfolg geführt die DNS Bindung im system per script zu setzen.

Schöner ist natürlich einfach eine feste konfig.
Bitte warten ..
Mitglied: emeriks
08.05.2019 um 14:19 Uhr
Zitat von Kraemer:
hehe - hatte ich also doch recht
Nee, nicht ganz. Da waren ja keine "Nicht-DC-DNS" drin. Was ist das überhaupt?
Bitte warten ..
Mitglied: rzlbrnft
08.05.2019, aktualisiert um 17:09 Uhr
Zitat von emeriks:
Nee, nicht ganz. Da waren ja keine "Nicht-DC-DNS" drin. Was ist das überhaupt?

Ich nehme an er meint DNSs, die nicht von Windows bereitgestellt werden und deswegen die für Active Directory nötigen einträge nicht haben.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Windows Server 2016 + Exchange 2016
gelöst Frage von CavaliereExchange Server2 Kommentare

Hallo zusammen, ich bin ganz neu hier und wende mich an euch, weil ich meine ersten Erfahrungen sammeln und ...

Windows Server
Exchange 2016 auf Windows 2016
gelöst Frage von Hanspeter82Windows Server13 Kommentare

Hello, bin gerade den Exchange 2010 intern ab zulösen. Nun meine Frage kann ich Exchange 2016 auf einen Windows ...

Windows Server
Windows Server 2016
Frage von Daoudi1973Windows Server2 Kommentare

ich habe vor 10 Jahren eine Rechner auf dem Windows Server 2003 geklont, jetzt möchte ich es mit Windows ...

Windows Server
Rücksicherung Windows 2016
gelöst Frage von pluto2020Windows Server7 Kommentare

Hallo zusammen, ich habe einen HP DL380 GEN10 mit Windows 2016. Aufgrund eines RAID-Problems musste das Array gelöscht und ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 3 StundenSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Mozillas "DNS over HTTPS" in pfSense blockieren

Anleitung von FA-jka vor 5 StundenDNS2 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 13 StundenSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 1 TagInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Sicherheits-Tools
Passwortmanager DGSVO (Deutscher Anbieter - Hoster)
Frage von SoccerdeluxSicherheits-Tools39 Kommentare

Hallo zuammen, ich arbeite für meine Kunden auf unterschiedlichen Geräten / Notebooks. Ich ärgere mich jedesmal, das ich mein ...

Batch & Shell
Ip-Adresse-Konfiguration speichern zur Wiederherstellung
gelöst Frage von alex1991Batch & Shell20 Kommentare

Hallo, ich bin eigentlich nicht in der IT-Abteilung, aber als Programmierer bin ich noch am nächsten dran. Deshalb wurde ...

Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...