Windows-Anmeldung ohne DC-Kontakt dauert lange
Windows-Anmeldung ohne DC-Kontakt / ohne Verbindung zur Domäne dauert lange (keine servergespeicherten Profile oder sonstige Verbindungen, nur ein paar GPOs und ein Logon-Script)
Hallo!
Ich habe ein Problem mit Notebooks, auf denen sich auch unterwegs (ohne Kontakt zur Domäne) als Domänen-Benutzer angemeldet werden soll:
Windows-Anmeldung ohne DC-Kontakt / ohne Verbindung zur Domäne dauert lange (keine servergespeicherten Profile oder sonstige Verknüpfungen, nur ein paar GPOsund ein Logon-Script). Der Bildschirm bleibt nach Passwort-Eingabe erstmal 30-90 Sek. (s.u.) bei "Wilkommen".
Windows 7 Professional 64bit (aber auch mit XP hat man solche Effekte).
Entfernter Standort, Home-Office, Internet-Verbindung, kein Kontakt zur Domäne:
- Bei gezogenem Netzwerkstecker dauert die Anmeldung 30 Sekunden.
- Bei gestecktem Netzwerkstecker dauert die Anmeldung quälende 90 Sekunden.
- Kein WLAN eingerichtet.
- (Bei Kontakt zur Domäne [VPN] dauert die Anmeldung nur 5 Sekunden!)
Tatsache ist, daß der Client-PC (s)einen DC sucht. Das bricht er offenbar erst nach 90 Sekunden ab bzw. nach 30 Sekunden, wenn der Netzwerkstecker nicht gesteckt ist.
Danach erst geht's offenbar mit dem gecachten Profil weiter.
Es wäre nun nötig, daß der Client-PC anhand des Netzwerks (DHCP / IP-Adresse) am Remote-Standort erkennen sollte, daß er sich NICHT in seinem Domänen-LAN befindet, und daher gleich abbricht mit der Suche nach (s)einem DC.
Weiß jemand, wie man das Konfigurieren kann?
Nebenbei: Die vorausgehende IP-Auflösungssuche (nach Adresse des DC) habe ich schon mit Einträgen in lmhosts und hosts versucht abzumildern.
Das bringt aber keinerlei Geschwindigkeitsvorteil.
lmhosts:
192.168.1.2 DCSERVER #PRE #DOM:MYDOM
192.168.1.2 "MYDOM /0x1b" #PRE
-> unterer Eintrag ist entsprechend mit Leerzeichen aufgefüllt, um 15 Zeichen + das hexadezimale zu haben (sieht man hier im Browser/Forum nicht)
hosts:
192.168.1.2 dcserver.mydom.local
Gruß, Harald
Hallo!
Ich habe ein Problem mit Notebooks, auf denen sich auch unterwegs (ohne Kontakt zur Domäne) als Domänen-Benutzer angemeldet werden soll:
Windows-Anmeldung ohne DC-Kontakt / ohne Verbindung zur Domäne dauert lange (keine servergespeicherten Profile oder sonstige Verknüpfungen, nur ein paar GPOsund ein Logon-Script). Der Bildschirm bleibt nach Passwort-Eingabe erstmal 30-90 Sek. (s.u.) bei "Wilkommen".
Windows 7 Professional 64bit (aber auch mit XP hat man solche Effekte).
Entfernter Standort, Home-Office, Internet-Verbindung, kein Kontakt zur Domäne:
- Bei gezogenem Netzwerkstecker dauert die Anmeldung 30 Sekunden.
- Bei gestecktem Netzwerkstecker dauert die Anmeldung quälende 90 Sekunden.
- Kein WLAN eingerichtet.
- (Bei Kontakt zur Domäne [VPN] dauert die Anmeldung nur 5 Sekunden!)
Tatsache ist, daß der Client-PC (s)einen DC sucht. Das bricht er offenbar erst nach 90 Sekunden ab bzw. nach 30 Sekunden, wenn der Netzwerkstecker nicht gesteckt ist.
Danach erst geht's offenbar mit dem gecachten Profil weiter.
Es wäre nun nötig, daß der Client-PC anhand des Netzwerks (DHCP / IP-Adresse) am Remote-Standort erkennen sollte, daß er sich NICHT in seinem Domänen-LAN befindet, und daher gleich abbricht mit der Suche nach (s)einem DC.
Weiß jemand, wie man das Konfigurieren kann?
Nebenbei: Die vorausgehende IP-Auflösungssuche (nach Adresse des DC) habe ich schon mit Einträgen in lmhosts und hosts versucht abzumildern.
Das bringt aber keinerlei Geschwindigkeitsvorteil.
lmhosts:
192.168.1.2 DCSERVER #PRE #DOM:MYDOM
192.168.1.2 "MYDOM /0x1b" #PRE
-> unterer Eintrag ist entsprechend mit Leerzeichen aufgefüllt, um 15 Zeichen + das hexadezimale zu haben (sieht man hier im Browser/Forum nicht)
hosts:
192.168.1.2 dcserver.mydom.local
Gruß, Harald
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176038
Url: https://administrator.de/forum/windows-anmeldung-ohne-dc-kontakt-dauert-lange-176038.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
19 Kommentare
Neuester Kommentar
Moin.
Du hast offensichtlich gesucht und Windows 7 Anmeldung an Server 2008 dauert lange (obligatorische Profile) gefunden - für doch mal die Tipps von mir aus: Logging.
Du hast offensichtlich gesucht und Windows 7 Anmeldung an Server 2008 dauert lange (obligatorische Profile) gefunden - für doch mal die Tipps von mir aus: Logging.
moin,
ist schon mal doppelt bescheiden..
Jetzt kommen wir aber mal zur eigentlichen Frage:
Es gibt ein Kraut dagegen, aber dieses Kraut hat unter Umständen ganz üble Nebenwirkungen.
Von daher der erstmal naheliegendste Ansatz, warum hat der User auf seinem Notebook ein domainprofil und kein lokales?
Gruß
hosts:
192.168.1.2 dcserver.mydom.local
192.168.1.2 dcserver.mydom.local
ist schon mal doppelt bescheiden..
- Denn 49.99% der Baumarktrouterkäufer haben genau dieses Netz zu Hause. (weitere 49,9% haben 192.168.178 vom Fritz)
- Dann hat das mit dem Horst immer etwas....Uschiges
Jetzt kommen wir aber mal zur eigentlichen Frage:
Es gibt ein Kraut dagegen, aber dieses Kraut hat unter Umständen ganz üble Nebenwirkungen.
Von daher der erstmal naheliegendste Ansatz, warum hat der User auf seinem Notebook ein domainprofil und kein lokales?
Gruß
Aus Spaß würde ich sowas auch machen, dazu fehlt mir aber die Langeweile.
Hi. Ich gebe keine Tipps für Gelangweilte. Setz den Regkey und starte einmal neu. Du sollst keine Logs durchflöhen, sondern beim Booten sehen können, was wann passiert... an Stelle von "willkommen". Genau das tut die enableverbose...-Kiste nämlich.
moinsen,
Uschi ist die blondierte exFreundin von Manni und die hatte früher Montags immer frei und die kann nur vom Haaransatz bis zur Haarspitze denken.
Ihr Nachname lautet übrigens nicht Katzenberger, sondern Schwakowiak und seit dem Sie auf Arbeitslose Webdesigner Assistentin umgeschult hat - ist Sie auch mit Herbert zusammen und nennt sich Melanie.
Horst hängt dauernd in der Kneipe ab und weil er nicht mehr weiß, wo er wohnt - nennen Ihn seine Kumpels lokalhorst.
Dabei ist drivers\etc ein durchaus üblicher Strassenname, nur die Postleitzahl 127.0.0.x vergißt er immer wieder.
Uschis beste Freundin die Verona kann sich ja auch zahlen merken. dafür kann Ihr Mann Franjo nicht mehr zahlen.
Aber das führt zu weit.
(/OT)
Nun ja - da gebe ich dir teilweise recht - behaupte aber mal, das die beiden Klitschkos auch als die noch Amateure waren immer die Faust aufs Auge getroffen haben.
Gruß
- na dann vergiss die Zeile.
Horst und Uschi kenne ich nicht. Was meinst Du mit dieser 2. Sache?
(OT)Uschi ist die blondierte exFreundin von Manni und die hatte früher Montags immer frei und die kann nur vom Haaransatz bis zur Haarspitze denken.
Ihr Nachname lautet übrigens nicht Katzenberger, sondern Schwakowiak und seit dem Sie auf Arbeitslose Webdesigner Assistentin umgeschult hat - ist Sie auch mit Herbert zusammen und nennt sich Melanie.
Horst hängt dauernd in der Kneipe ab und weil er nicht mehr weiß, wo er wohnt - nennen Ihn seine Kumpels lokalhorst.
Dabei ist drivers\etc ein durchaus üblicher Strassenname, nur die Postleitzahl 127.0.0.x vergißt er immer wieder.
Uschis beste Freundin die Verona kann sich ja auch zahlen merken. dafür kann Ihr Mann Franjo nicht mehr zahlen.
Aber das führt zu weit.
(/OT)
Ich weiß nicht, ob ich Dich verstehe. Ein lokales Profil mit einem lokal angelegten Benutzer?
Sorry, das wäre mir zu amateuermäßig. Eine Domäne wird eingerichtet, um PCs und Anwender mit weniger Aufwand verwalten zu können.
Sorry, das wäre mir zu amateuermäßig. Eine Domäne wird eingerichtet, um PCs und Anwender mit weniger Aufwand verwalten zu können.
Nun ja - da gebe ich dir teilweise recht - behaupte aber mal, das die beiden Klitschkos auch als die noch Amateure waren immer die Faust aufs Auge getroffen haben.
Da sind lokale Accounts ausgeschlossen.
- Warum?
Es geht ja nicht um Heim-User, sondern um betriebliche Nutzung.
- Ganz ehrlich - eigentlich vermute ich hier nur Fragende und Antwortende aus dem Betrieblichen Bereich.
Oder kennst Du noch eine andere Art eines lokalen Profils (welches natürlich auch die zentral verwalteten GPOs erhält)?
- Die da wären?
- Ich les da irgendwas von VPN; Home-Office mit Untertisch-Tower usw.
- Die Notebooknutzer mit UMTS haben sowas nicht und die haben halt lokale Profile.
(Vom servergespeicherten Profil sprichst Du auch sicher nicht, oder? Sowas wird nicht genutzt.)
- Nein - ich "spreche" davon, dass jedes Problem mindestens eine Lösung hat und das man nicht die Lösung für alles haben kann.
Gruß
salve,
puh... weo fang ich an und schaff ich das heute überhaupt?
Nur mal so eine kleine info - Sei dir sicher, dass bei uns alles sauber ist.
Die letzte Aktion, die ich in der Userspezifischen GPO gemacht hab - machen mußte, war SP3 bei XP.
Da hat es eine Änderung gegeben, die vorher nicht nötig war - hatte was mit Netzwerkdruckern zu tun.
Jetzt bei W7 - geb ich zu - bin ich auch noch nicht "ganz" sicher, ob die Settings sauber sind.
Ich machs also kurz.
Was will man denn und wie funktioniert das Anmelden in einer Domain?
Daran kannst du nix ändern, außer den Timeout runterzuschrauben und wenn es eine lahme Verbindung ist - hast du damit den Bock geschossen, den du niemals nie nicht finden wirst.
Ergo?
Zum Thema VPN Router...
Sicher nicht.
Kannst du das mit nem VPN Router lösen (den du nicht aus dem Blödmarkt hast) - eben.
Ob die lokal am Ausguck werkeln, einen TS benutzen, Drucker in der Firma nutzen (ja sowas gibts auch)
Und abschliessend - du schreibst was von Loginscripten - wo liegen die, wann werden die ausgeführt und werden die ausgeführt, wenn der %logonserver%\netlogon gar nicht gefunden wird?
Eben.
Dann mußt du diese Aussendienst Kisten doch eh gesondert behandeln - XP im Einsatz? Und einen WSUS, Proxy, der nicht via proxy.pac verteilt wird? - siehste.
PS: ich mach das wirklich schon sehr lange und ein net user haumichblau/schiessmichtot incl.Profil kopieren - darf benutzt werden von...
Das ist halt Adminslife und kostet weniger Zeit, als hier was zu schreiben.
Gruß
puh... weo fang ich an und schaff ich das heute überhaupt?
Nur mal so eine kleine info - Sei dir sicher, dass bei uns alles sauber ist.
Die letzte Aktion, die ich in der Userspezifischen GPO gemacht hab - machen mußte, war SP3 bei XP.
Da hat es eine Änderung gegeben, die vorher nicht nötig war - hatte was mit Netzwerkdruckern zu tun.
Jetzt bei W7 - geb ich zu - bin ich auch noch nicht "ganz" sicher, ob die Settings sauber sind.
Ich machs also kurz.
Was will man denn und wie funktioniert das Anmelden in einer Domain?
- Rechner fährt hoch, findet heraus, dass er zu einer Domain gehört und klappert den DNS ab.?
- Nein - nicht ganz - Meistens haben Clients eine dynamische IP und damit auch keinen festen DNS Server.
- Der such sich also zuerst eine IP incl. DNS und dann sucht er sich nen Wolf nach dem Kerl/ den Kerlen, die sich unter %userdomain%.suffix melden.
- EIne AD kann (und sollte) aus mehreren AD Controllern bestehen - daher auch Horst & Uschi - wobei das eher LMhosts ist.
- Ein Rechner, der kein aktives Netz hat - merkt das und stellt die Suche daher schneller ein.
Daran kannst du nix ändern, außer den Timeout runterzuschrauben und wenn es eine lahme Verbindung ist - hast du damit den Bock geschossen, den du niemals nie nicht finden wirst.
Ergo?
Zum Thema VPN Router...
- Ich kann durchaus einem VPN Router einen /24er Tunnel verpassen, will ich das? Nein - ich kann auch gezielt (ok Mac basierend) nur genau einem erlauben da durch zu kommen.
- Ob der Sohn, die Tochter oder ein anderes Familienmitglied so schlau - willens ist - ein Route add bla blub auf "seinem" Rechner zu machen und "so" auch in "meinem" Netz ist - das kannst du auch nicht via lokalem VPN Client unterbinden.
Sicher nicht.
Kannst du das mit nem VPN Router lösen (den du nicht aus dem Blödmarkt hast) - eben.
Weiß nicht, was Dir fehlt:
Und abschliessend - du schreibst was von Loginscripten - wo liegen die, wann werden die ausgeführt und werden die ausgeführt, wenn der %logonserver%\netlogon gar nicht gefunden wird?
Eben.
Dann mußt du diese Aussendienst Kisten doch eh gesondert behandeln - XP im Einsatz? Und einen WSUS, Proxy, der nicht via proxy.pac verteilt wird? - siehste.
PS: ich mach das wirklich schon sehr lange und ein net user haumichblau/schiessmichtot incl.Profil kopieren - darf benutzt werden von...
Das ist halt Adminslife und kostet weniger Zeit, als hier was zu schreiben.
Gruß
Ich muss mal Zuerückrudern, meine Erinnerung hatte mir einen Streich gespielt!
Also in einem sehr grossen weltrweit tätigem Konzern (ca. 500.000 Angestellte allein in Europa) konnten die Aussendienstmitarbeiter gegen Unterschrift auch lokale Adminrechte bekommen, so war es jedenfalls vor ca. 8 Jahern. Sowas wie VPN gab's da damals dort noch nicht, da wurde sich explizit mit ISDN Modem (!) via RAS ins Firmennetz verbunden. Das heisst die User hatten im Aussendienst ohne Netzwerk gearbeitet, wodurch sich die Anmeldung mit lokalem gespeichertem Profil nicht wesentlich verlängert hatte.
Dass Problem ist ja, daß lokale Benutzer nicht über eine zentrale Paketverwaltung administriert werden können (Updates, neue Software, Patches etc.).
ciao
Lothar
Also in einem sehr grossen weltrweit tätigem Konzern (ca. 500.000 Angestellte allein in Europa) konnten die Aussendienstmitarbeiter gegen Unterschrift auch lokale Adminrechte bekommen, so war es jedenfalls vor ca. 8 Jahern. Sowas wie VPN gab's da damals dort noch nicht, da wurde sich explizit mit ISDN Modem (!) via RAS ins Firmennetz verbunden. Das heisst die User hatten im Aussendienst ohne Netzwerk gearbeitet, wodurch sich die Anmeldung mit lokalem gespeichertem Profil nicht wesentlich verlängert hatte.
Dass Problem ist ja, daß lokale Benutzer nicht über eine zentrale Paketverwaltung administriert werden können (Updates, neue Software, Patches etc.).
ciao
Lothar
moin,
ich nehm mir mal ein paar Zeilen, und hoff du findest den Zusammenhang ..
Was ist die Moral von der Geschicht? Halbe Eier rollen nicht
ich nehm mir mal ein paar Zeilen, und hoff du findest den Zusammenhang ..
Ja, alles. Spielt aber alles für die Anmeldung keine Rolle.
- Aber für den späteren Einsatz schon.
Eben.
Richtig: Liegen auf den DCs. Da ich diese aber schonmal deaktiviert habe, kann ich sie als Ursache ausschließen.- Ja und was kannst du noch ausschliessen? - "Das ein Weg, den du hast - die einfache zentrale Verwaltung der Loginscripte abzufackeln" - eben bei diesen Kisten eh nicht funktioniert.
Das sind ja ganz andere Themenbereiche. Die sind natürlich auch zu berücksichtigen und berücksichtigt, aber haben bei dem Problem keine Beteiligung.
- Nein - das gehört alles zum für und wieder dazu. Immer dran denken:
Was ist die Moral von der Geschicht? Halbe Eier rollen nicht
Nur wenn man's einmal macht. Nicht, wenn man die grundsätzliche Lösung für ein grundsätzliches Problem haben will.
- Die gibt es nicht - nochmal - "meine" Aussendienstler haben Kisten, die ich genau 2* im Jahr sehe -- außer wenn die nen Schuss haben und per Kurier hier eintrudeln, die stecke ich garantiert nicht mit nem Domainaccount zum Kunden...
In einer anderen Umgebung/Domäne ist's übrigens das gleiche, habe ich inzwischen schonmal gegengeprüft.
- Erzähl mir was neues
Ich muß das Thema jetzt aber erstmal auf Eis legen, da niemand für die nun umfangreich werdende Bearbeitung zahlen will.
- Auch gut, obwohl wir ja alle "gratis" beraten.
Ich hatte halt gehofft, daß es doch ein bekannteres Problem ist, immerhin ja auch oft googlebar - nur die Lösungsideen sind immer keine.
Danke an die, die sich die Mühe gemacht haben!
Gruß, Harald
Danke fürs Danke und gruß zurück
Salve,
Nein, das ist wirklich ein Feature... Denk dran, der Rechner weiß er gehoert zur Domain und wenn der ein Netz findet und dann den DC nicht sofort und wuerde dann aufgeben, dann - was glaubst du - waere dann los
Sind das immer die identischen Kisten?
Zu den "fiesen" Tricks...
Ich vermute, du hast ne Ahnung, warum ich damit erst "jetzt" rausrücke und das ich das mit dem rausrücken auch nur unter Vorbehalt mache.
Gruß
(ich tippe ja nach wie vor auf Bug).
Nein, das ist wirklich ein Feature... Denk dran, der Rechner weiß er gehoert zur Domain und wenn der ein Netz findet und dann den DC nicht sofort und wuerde dann aufgeben, dann - was glaubst du - waere dann los
Sind das immer die identischen Kisten?
gpupdate ist doch via vpn kein Ding...
Zu den "fiesen" Tricks...
VPN Tunnel beim Systemstart aufbauen
per Devcon die Netzwerkkarten deaktivieren und später wieder aktivieren.
per Devcon die Netzwerkkarten deaktivieren und später wieder aktivieren.
Ich vermute, du hast ne Ahnung, warum ich damit erst "jetzt" rausrücke und das ich das mit dem rausrücken auch nur unter Vorbehalt mache.
1 finde ich nicht toll
2 hab ich nur mal Theoretisch gemacht, nie im praktischen Einsatz
2 hab ich nur mal Theoretisch gemacht, nie im praktischen Einsatz
- beides ist IMHO bei Kisten, auf die physikalisch der hanne und der Bambel dran können eher nicht wirklich....
Gruß
eine andere Lösung ist auch interessant, sofern der User vorher Internet hat http://www.microsoft.com/germany/forefront/edgesecurity/unified-access- ...
Ich habe mir das letztes Jahr auf der Cebit angeschaut und auch schon ein paar Webcasts dazu angesehen, der Client verbindet sich beim Systemstart via IPSec/SSL mit der Domäne (sofern Internet vorhanden) und zieht dann sogar angepasste GPO's zum Systemstart - so muss der Nutzer garnicht mehr selbst irgendwas machen sondern nur noch den Rechner starten und er hat bei bestehender Internetverbindung direkt Zugriff auf das Netzwerk.
Wir stehen momentan vor der Herausforderung "viele" Außendienstmitarbeiter so einfach wie möglich einzubinden da unsere GL wohl einige Vertriebsbüros (in halb Europa) im nächsten Jahr plant und man dafür nicht immer eine teure Standort-Vernetzung haben möchte.
Ich habe mir das letztes Jahr auf der Cebit angeschaut und auch schon ein paar Webcasts dazu angesehen, der Client verbindet sich beim Systemstart via IPSec/SSL mit der Domäne (sofern Internet vorhanden) und zieht dann sogar angepasste GPO's zum Systemstart - so muss der Nutzer garnicht mehr selbst irgendwas machen sondern nur noch den Rechner starten und er hat bei bestehender Internetverbindung direkt Zugriff auf das Netzwerk.
Wir stehen momentan vor der Herausforderung "viele" Außendienstmitarbeiter so einfach wie möglich einzubinden da unsere GL wohl einige Vertriebsbüros (in halb Europa) im nächsten Jahr plant und man dafür nicht immer eine teure Standort-Vernetzung haben möchte.