hm7user
Goto Top

Windows-Anmeldung ohne DC-Kontakt dauert lange

Windows-Anmeldung ohne DC-Kontakt / ohne Verbindung zur Domäne dauert lange (keine servergespeicherten Profile oder sonstige Verbindungen, nur ein paar GPOs und ein Logon-Script)

Hallo!

Ich habe ein Problem mit Notebooks, auf denen sich auch unterwegs (ohne Kontakt zur Domäne) als Domänen-Benutzer angemeldet werden soll:


Windows-Anmeldung ohne DC-Kontakt / ohne Verbindung zur Domäne dauert lange (keine servergespeicherten Profile oder sonstige Verknüpfungen, nur ein paar GPOsund ein Logon-Script). Der Bildschirm bleibt nach Passwort-Eingabe erstmal 30-90 Sek. (s.u.) bei "Wilkommen".

Windows 7 Professional 64bit (aber auch mit XP hat man solche Effekte).

Entfernter Standort, Home-Office, Internet-Verbindung, kein Kontakt zur Domäne:
- Bei gezogenem Netzwerkstecker dauert die Anmeldung 30 Sekunden.
- Bei gestecktem Netzwerkstecker dauert die Anmeldung quälende 90 Sekunden.
- Kein WLAN eingerichtet.
- (Bei Kontakt zur Domäne [VPN] dauert die Anmeldung nur 5 Sekunden!)


Tatsache ist, daß der Client-PC (s)einen DC sucht. Das bricht er offenbar erst nach 90 Sekunden ab bzw. nach 30 Sekunden, wenn der Netzwerkstecker nicht gesteckt ist.
Danach erst geht's offenbar mit dem gecachten Profil weiter.


Es wäre nun nötig, daß der Client-PC anhand des Netzwerks (DHCP / IP-Adresse) am Remote-Standort erkennen sollte, daß er sich NICHT in seinem Domänen-LAN befindet, und daher gleich abbricht mit der Suche nach (s)einem DC.
Weiß jemand, wie man das Konfigurieren kann?


Nebenbei: Die vorausgehende IP-Auflösungssuche (nach Adresse des DC) habe ich schon mit Einträgen in lmhosts und hosts versucht abzumildern.
Das bringt aber keinerlei Geschwindigkeitsvorteil.

lmhosts:
192.168.1.2 DCSERVER #PRE #DOM:MYDOM
192.168.1.2 "MYDOM /0x1b" #PRE
-> unterer Eintrag ist entsprechend mit Leerzeichen aufgefüllt, um 15 Zeichen + das hexadezimale zu haben (sieht man hier im Browser/Forum nicht)

hosts:
192.168.1.2 dcserver.mydom.local


Gruß, Harald

Content-ID: 176038

Url: https://administrator.de/forum/windows-anmeldung-ohne-dc-kontakt-dauert-lange-176038.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

jsysde
jsysde 09.11.2011 um 22:50:23 Uhr
Goto Top
Moin,

imho völlig normales Verhalten, dagegen ist kein Kraut gewachsen. Domänenrechner startet man ausserhalb der Domäne immer ohne aktive Netzwerkverbindung, so hab ich das irgendwann mal gelernt.

Cheers,
jsysde
DerWoWusste
DerWoWusste 09.11.2011, aktualisiert am 18.10.2012 um 18:49:04 Uhr
Goto Top
Moin.
Du hast offensichtlich gesucht und Windows 7 Anmeldung an Server 2008 dauert lange (obligatorische Profile) gefunden - für doch mal die Tipps von mir aus: Logging.
60730
60730 09.11.2011 um 23:16:19 Uhr
Goto Top
moin,

hosts:
192.168.1.2 dcserver.mydom.local

ist schon mal doppelt bescheiden..

  • Denn 49.99% der Baumarktrouterkäufer haben genau dieses Netz zu Hause. (weitere 49,9% haben 192.168.178 vom Fritz)
  • Dann hat das mit dem Horst immer etwas....Uschiges

Jetzt kommen wir aber mal zur eigentlichen Frage:
Es gibt ein Kraut dagegen, aber dieses Kraut hat unter Umständen ganz üble Nebenwirkungen.

Von daher der erstmal naheliegendste Ansatz, warum hat der User auf seinem Notebook ein domainprofil und kein lokales?

Gruß
hm7user
hm7user 10.11.2011 um 04:12:40 Uhr
Goto Top
> hosts:
> 192.168.1.2 dcserver.mydom.local

ist schon mal doppelt bescheiden..

  • Denn 49.99% der Baumarktrouterkäufer haben genau dieses Netz zu Hause. (weitere 49,9% haben 192.168.178 vom Fritz)

Danke für den Hinweis. In der Tat wären da zusätzliche Wechselwirkungen wahrscheinlich.
Ich hatte allerdings die Einträge anonymisiert, in Wirklichkeit ist es ein anderer privater Range, bei dem Wechselwirkungen mit verbreiteten Heim-Routern geringer sind. (Ein Glück, daß ich bereits vor 15 Jahren diese Voraussicht hatte und im LAN nicht eines der später häufig verwendeten privaten Subnetze gewählt hatte.)

* Dann hat das mit dem Horst immer etwas....Uschiges

Horst und Uschi kenne ich nicht. Was meinst Du mit dieser 2. Sache?


Jetzt kommen wir aber mal zur eigentlichen Frage:
Es gibt ein Kraut dagegen, aber dieses Kraut hat unter Umständen ganz üble Nebenwirkungen.

Kommt mir bekannt vor. Die Kräuter, die mir bisher selber eingefallen sind, waren alle auch in der Art. Das wäre also nicht akzeptabel.


Von daher der erstmal naheliegendste Ansatz, warum hat der User auf seinem Notebook ein domainprofil und kein lokales?

Ich weiß nicht, ob ich Dich verstehe. Ein lokales Profil mit einem lokal angelegten Benutzer?
Sorry, das wäre mir zu amateuermäßig. Eine Domäne wird eingerichtet, um PCs und Anwender mit weniger Aufwand verwalten zu können. Da sind lokale Accounts ausgeschlossen. Es geht ja nicht um Heim-User, sondern um betriebliche Nutzung.

Oder kennst Du noch eine andere Art eines lokalen Profils (welches natürlich auch die zentral verwalteten GPOs erhält)?

(Vom servergespeicherten Profil sprichst Du auch sicher nicht, oder? Sowas wird nicht genutzt.)


Harald
hm7user
hm7user 10.11.2011 um 04:30:53 Uhr
Goto Top
Hallo jsysde!

imho völlig normales Verhalten, dagegen ist kein Kraut gewachsen.

So einfach kann ich diese Problematik nicht abtun.

Zudem halte ich das für unwahrscheinlich. Sowas ist ein verbreiteter Anwendungsfall, und da akzeptiert kein vernünftiger Road-Warrior oder Home-Officler bei JEDER (!) Anmeldung nutzlose 90 Sekunden Zeitverschwendung. (Der restliche Start dauert ja auch noch/schon.)

Man stelle sich Außendienstler vor, die ihr Notebook 20 mal täglich starten.

Nebenbei: Standby oder Ruhezustand sind aus verschiedenen Gründen keine akzeptablen dauerhaften Work-Arounds.


Domänenrechner startet man ausserhalb der Domäne
immer ohne aktive Netzwerkverbindung, so hab ich das irgendwann mal gelernt.

Das wäre kein praxisgerechtes Vorgehen.
Zudem schadet es Netzwerk-Stecker und -Buchse, wenn man andauernd stöpselt. Im Home-Office mit Untertisch-Tower außerdem eine Zumutung.

Und selbst wenn: Versuch' mal sowas einem DAU aufzutischen... Der würde es zuerst nicht begreifen (weil sein Heim-PC ja auch "schneller startet"), und anschließend würde er wegen dieser mehrmals täglichen 90 Sekunden dem technikuniteressierten Chef so lange auf die Nerven gehen, bis dieser inkompetent anordnet, sämtliche Sicherheits- und Verwaltungskostensparmaßnahmen auszuhebeln, damit er Ruhe hat.


Danke trotzdem für Deine Überlegungen,
Harald
hm7user
hm7user 10.11.2011, aktualisiert am 18.10.2012 um 18:49:04 Uhr
Goto Top
Hallo DerWoWußte!

Du hast offensichtlich gesucht und Windows 7 Anmeldung an Server 2008 dauert lange (obligatorische Profile) gefunden - für doch mal die Tipps von
mir aus: Logging.

Danke für Deinen Hinweis. Aus Spaß würde ich sowas auch machen, dazu fehlt mir aber die Langeweile.

Ich halte das für einen üblichen Effekt, den eigentlich viele haben müßten, daher macht es für mich wenig Sinn, sowas mit Log-Analyse und als nächstes Stack-Disassemblieren anzugehen... ;) Ich wollte das Rad nicht neu erfinden.

Schließlich ist es kein Fehler sondern m.E. eine gewollte (aber in 99,9% vom Anwender ungewünschte) Verhaltensweise.

Suche und Google bringen leider nur massenweise Tips zu (zumeist angenommenen und gelegentlich auch ursächlichen) DNS-/Netzwerkdesign-Problemen. Da findet man nichts sinvolles mit vertretbarem Aufwand.


Gruß,
Harald
DerWoWusste
DerWoWusste 10.11.2011 um 09:53:08 Uhr
Goto Top
Aus Spaß würde ich sowas auch machen, dazu fehlt mir aber die Langeweile.
Hi. Ich gebe keine Tipps für Gelangweilte. Setz den Regkey und starte einmal neu. Du sollst keine Logs durchflöhen, sondern beim Booten sehen können, was wann passiert... an Stelle von "willkommen". Genau das tut die enableverbose...-Kiste nämlich.
60730
60730 10.11.2011 um 10:41:12 Uhr
Goto Top
moinsen,

Zitat von @hm7user:
Ich hatte allerdings die Einträge anonymisiert..
  • na dann vergiss die Zeile.
Horst und Uschi kenne ich nicht. Was meinst Du mit dieser 2. Sache?
(OT)
Uschi ist die blondierte exFreundin von Manni und die hatte früher Montags immer frei und die kann nur vom Haaransatz bis zur Haarspitze denken.
Ihr Nachname lautet übrigens nicht Katzenberger, sondern Schwakowiak und seit dem Sie auf Arbeitslose Webdesigner Assistentin umgeschult hat - ist Sie auch mit Herbert zusammen und nennt sich Melanie.

Horst hängt dauernd in der Kneipe ab und weil er nicht mehr weiß, wo er wohnt - nennen Ihn seine Kumpels lokalhorst.
Dabei ist drivers\etc ein durchaus üblicher Strassenname, nur die Postleitzahl 127.0.0.x vergißt er immer wieder.

Uschis beste Freundin die Verona kann sich ja auch zahlen merken. dafür kann Ihr Mann Franjo nicht mehr zahlen.
Aber das führt zu weit.
(/OT)


Ich weiß nicht, ob ich Dich verstehe. Ein lokales Profil mit einem lokal angelegten Benutzer?
Sorry, das wäre mir zu amateuermäßig. Eine Domäne wird eingerichtet, um PCs und Anwender mit weniger Aufwand verwalten zu können.

Nun ja - da gebe ich dir teilweise recht - behaupte aber mal, das die beiden Klitschkos auch als die noch Amateure waren immer die Faust aufs Auge getroffen haben.
Da sind lokale Accounts ausgeschlossen.
  • Warum?
Es geht ja nicht um Heim-User, sondern um betriebliche Nutzung.
  • Ganz ehrlich - eigentlich vermute ich hier nur Fragende und Antwortende aus dem Betrieblichen Bereich.
Oder kennst Du noch eine andere Art eines lokalen Profils (welches natürlich auch die zentral verwalteten GPOs erhält)?
  • Die da wären?
  • Ich les da irgendwas von VPN; Home-Office mit Untertisch-Tower usw.
"Meine" Anwender mit UntertischTower haben einen VPN Router, der ohne eingeschalteten Rechner eine Verbindung zu mir aufbaut und womit ich von hier aus auch deren Rechner einschalten kann und so sicher sein kann, dass das, was ich hier haben will/muß die da auch haben.

  • Die Notebooknutzer mit UMTS haben sowas nicht und die haben halt lokale Profile.
Das die Kisten selber in der Domain sind und wenn Sie Kontakt mit der Domain haben auch deren GPO ziehen, das hat nix mit der Art zu tun, wie sich der Anwender anmeldet.
(Vom servergespeicherten Profil sprichst Du auch sicher nicht, oder? Sowas wird nicht genutzt.)
  • Nein - ich "spreche" davon, dass jedes Problem mindestens eine Lösung hat und das man nicht die Lösung für alles haben kann.
Und um dir eine nennen zu können, hätte ich mir halt dein Einsatzzweck der Nummer gewünscht.

Gruß
hm7user
hm7user 11.11.2011 um 00:37:21 Uhr
Goto Top
Hallo TimoBeil!

LokalHorst aus der Kneipe - ich mach' mir in's Höschen! Sehr gut!

Gehe ich dann recht in der Annahme, daß Du meintest, es ist generell unklug, manuell hosts-Dateien zu verwalten?
Da stimme ich mit Dir überein. (War ja auch nur ein Test, um der Ursache auf die Schliche zu kommen.)


Nun ja - da gebe ich dir teilweise recht - behaupte aber mal, das die beiden Klitschkos auch als die noch Amateure waren immer die
Faust aufs Auge getroffen haben.

Das sind immer so Argumente... Klingt wie die Aussagen der Azubi-Heißsporne: "Bei mir zu Hause funktioniert's aber auch so.".

Rein technisch mag das zutreffen, über die Jahre des Betriebs und der Notwendigkeit der Verwaltbarkeit sehe ich den Nutzen weniger gegeben.

Es ist ja auch gerade der Unterschied zwischen Profi und Amateur, zielgerichtet professionelle Ergebnisse einzustellen.


> Da sind lokale Accounts ausgeschlossen.
  • Warum?

Wegen der Verwaltbarkeit. Wer soll diese zusätzlichen lokalen User und ihre Rechte pflegen?
Zudem arbeiten sie ja auch gelegentlich oder häufiger im Firmen-LAN und sogar an anderen PCs.

Bei VPN-Tunnel müssen sie auch Rechte auf die Firmen-LAN-Ressourcen haben.


> Es geht ja nicht um Heim-User, sondern um betriebliche Nutzung.
  • Ganz ehrlich - eigentlich vermute ich hier nur Fragende und Antwortende aus dem Betrieblichen Bereich.

Ja, aber Anlage lokaler Benutzer ist für mich 100% Heim-User oder Azubi-"Admin". Daher. (Soll jetzt kein Angriff sein - sehe ich generell so.)


> Oder kennst Du noch eine andere Art eines lokalen Profils (welches natürlich auch die zentral verwalteten GPOs
erhält)?
  • Die da wären?
  • Ich les da irgendwas von VPN; Home-Office mit Untertisch-Tower usw.

Keine Ahnung, ich dachte, Du würdest was kennen, was ich noch nicht kenne.


"Meine" Anwender mit UntertischTower haben einen VPN Router, der ohne eingeschalteten Rechner eine Verbindung zu mir
aufbaut und womit ich von hier aus auch deren Rechner einschalten kann und so sicher sein kann, dass das, was ich hier haben
will/muß die da auch haben.

Das wäre eine Variante. Aber so ist das nicht immer möglich, speziell im Home-Office. Denn da ist oft z.B. die Infrastruktur und der Internet-Anschluß privat oder wird in Eigenregie mit Heim-User-Überlegungen geändert / befummelt.
Zudem ist's auch nicht immer gewünscht, daß alle (privaten) PCs des Nutzers per VPN in's Firmen-LAN kommen. Da ist ein VPN-Client auf dem Firmen-Notebook (oder Tower) oft geeigneter. Und auch einheitlicher, wenn die meisten Road-Warrior sind.

Router-endende VPNs würde ich eher für Zweigstellen einsetzen.


* Die Notebooknutzer mit UMTS haben sowas nicht und die haben halt lokale Profile.
Das die Kisten selber in der Domain sind und wenn Sie Kontakt mit der Domain haben auch deren GPO ziehen, das hat nix mit der Art
zu tun, wie sich der Anwender anmeldet.

Also benutzerbezogene GPOs und Login-Skripte haben schon was mit dem anmeldenden Benutzer zu tun.
Mir ist nicht bekannt, wie man sowas mit lokalen Benutzern realisieren könnte.


> (Vom servergespeicherten Profil sprichst Du auch sicher nicht, oder? Sowas wird nicht genutzt.)
  • Nein - ich "spreche" davon, dass jedes Problem mindestens eine Lösung hat und das man nicht die Lösung
für alles haben kann.
Und um dir eine nennen zu können, hätte ich mir halt dein Einsatzzweck der Nummer gewünscht.

Weiß nicht, was Dir fehlt:

Ich möchte Domänen-Notebooks mit Domänen-Benutzern, auf denen sich die Domänen-Benutzer überall mit 5 Sek. anmelden können, egal ob im Company-LAN, im Home-Office, am beliebigen Remote-Standort, mit und ohne eingestöpseltes Netzwerkkabel und mit und ohne verbundenes WLAN.
Lokale Benutzer-Accounts möchte ich nicht verwalten, weder einrichten noch 1st-Level-Support dafür an der Backe haben.


Harald
60730
60730 11.11.2011 um 10:24:48 Uhr
Goto Top
salve,

puh... weo fang ich an und schaff ich das heute überhaupt?

Nur mal so eine kleine info - Sei dir sicher, dass bei uns alles sauber ist.

Die letzte Aktion, die ich in der Userspezifischen GPO gemacht hab - machen mußte, war SP3 bei XP.
Da hat es eine Änderung gegeben, die vorher nicht nötig war - hatte was mit Netzwerkdruckern zu tun.

Jetzt bei W7 - geb ich zu - bin ich auch noch nicht "ganz" sicher, ob die Settings sauber sind.

Ich machs also kurz.

Was will man denn und wie funktioniert das Anmelden in einer Domain?

  • Rechner fährt hoch, findet heraus, dass er zu einer Domain gehört und klappert den DNS ab.?
  • Nein - nicht ganz - Meistens haben Clients eine dynamische IP und damit auch keinen festen DNS Server.
  • Der such sich also zuerst eine IP incl. DNS und dann sucht er sich nen Wolf nach dem Kerl/ den Kerlen, die sich unter %userdomain%.suffix melden.
  • EIne AD kann (und sollte) aus mehreren AD Controllern bestehen - daher auch Horst & Uschi - wobei das eher LMhosts ist.
  • Ein Rechner, der kein aktives Netz hat - merkt das und stellt die Suche daher schneller ein.

Daran kannst du nix ändern, außer den Timeout runterzuschrauben und wenn es eine lahme Verbindung ist - hast du damit den Bock geschossen, den du niemals nie nicht finden wirst.

Ergo?

Zum Thema VPN Router...

  • Ich kann durchaus einem VPN Router einen /24er Tunnel verpassen, will ich das? Nein - ich kann auch gezielt (ok Mac basierend) nur genau einem erlauben da durch zu kommen.

  • Ob der Sohn, die Tochter oder ein anderes Familienmitglied so schlau - willens ist - ein Route add bla blub auf "seinem" Rechner zu machen und "so" auch in "meinem" Netz ist - das kannst du auch nicht via lokalem VPN Client unterbinden.
Hast du eine Abfrage - Verbinde dich nur dann mit dem Tunnel, wenn die Antivirenlösung aktuell ist?
Sicher nicht.
Kannst du das mit nem VPN Router lösen (den du nicht aus dem Blödmarkt hast) - eben.


Weiß nicht, was Dir fehlt:
Ob die lokal am Ausguck werkeln, einen TS benutzen, Drucker in der Firma nutzen (ja sowas gibts auch)

Und abschliessend - du schreibst was von Loginscripten - wo liegen die, wann werden die ausgeführt und werden die ausgeführt, wenn der %logonserver%\netlogon gar nicht gefunden wird?

Eben.

Dann mußt du diese Aussendienst Kisten doch eh gesondert behandeln - XP im Einsatz? Und einen WSUS, Proxy, der nicht via proxy.pac verteilt wird? - siehste.

PS: ich mach das wirklich schon sehr lange und ein net user haumichblau/schiessmichtot incl.Profil kopieren - darf benutzt werden von...
Das ist halt Adminslife und kostet weniger Zeit, als hier was zu schreiben.

Gruß
hm7user
hm7user 14.11.2011 um 07:11:39 Uhr
Goto Top
Hallo TimoBeil!

Danke für Deine rege Beteiligung!

Ob die lokal am Ausguck werkeln, einen TS benutzen, Drucker in der Firma nutzen (ja sowas gibts auch)

Ja, alles. Spielt aber alles für die Anmeldung keine Rolle.


Und abschliessend - du schreibst was von Loginscripten - wo liegen die, wann werden die ausgeführt und werden die
ausgeführt, wenn der %logonserver%\netlogon gar nicht gefunden wird?

Eben.

Richtig: Liegen auf den DCs. Da ich diese aber schonmal deaktiviert habe, kann ich sie als Ursache ausschließen.


Dann mußt du diese Aussendienst Kisten doch eh gesondert behandeln - XP im Einsatz? Und einen WSUS, Proxy, der nicht via
proxy.pac verteilt wird? - siehste.

Das sind ja ganz andere Themenbereiche. Die sind natürlich auch zu berücksichtigen und berücksichtigt, aber haben bei dem Problem keine Beteiligung.


Das ist halt Adminslife und kostet weniger Zeit, als hier was zu schreiben.

Nur wenn man's einmal macht. Nicht, wenn man die grundsätzliche Lösung für ein grundsätzliches Problem haben will.


In einer anderen Umgebung/Domäne ist's übrigens das gleiche, habe ich inzwischen schonmal gegengeprüft.


Ich muß das Thema jetzt aber erstmal auf Eis legen, da niemand für die nun umfangreich werdende Bearbeitung zahlen will.
Ich hatte halt gehofft, daß es doch ein bekannteres Problem ist, immerhin ja auch oft googlebar - nur die Lösungsideen sind immer keine.

Danke an die, die sich die Mühe gemacht haben!


Gruß, Harald
Digi-Quick
Digi-Quick 14.11.2011 um 10:36:48 Uhr
Goto Top
Moin,
sowas nenne ich dann eher Beratungsresistent!

Kurzform:
Konatkt zur Domäne (zum DC) = Domänenanmeldung
Kein Kontakt zum DC = lokale Anmeldung mit lokalem User (nicht lokaler Admin)!
Das hat nix mit Profi & Amateur zu tun sondern Praxisrelevanz.

ciao
Lothar
hm7user
hm7user 15.11.2011 um 08:06:48 Uhr
Goto Top
Hallo Digi-Quark!

Dein Vorschlag wurde doch schon gemacht.

Siehe dazu auch Antwort auf die Frage "Oder kennst Du noch eine andere Art eines lokalen Profils (welches natürlich auch die zentral verwalteten GPOs
erhält)?" Die wurde nicht gegeben.

Und wer macht in den 2. (lokalen) Benutzerprofilen die Settings, die zentral vorgegebenen und die persönlichen?
Und vor allem: Wer verwaltet für alle User 2 oder mehr Accounts? Da könnte man ja gleich ein "Heimnetzwerk" einrichten, mit 'nem Win7-PC als "Server"...

Ist Dir überhaupt klar, daß eine Domäne ein Verwaltungskontext ist, und nicht nur ein Mittel, um Usern den Zugriff auf zentrale Ressourcen zu erschweren (wie manche glauben)?

Das hat nix mit Profi & Amateur zu tun sondern Praxisrelevanz.

Ähnlich argumentieren Heimwerker z.B. in der Elektroinstallation (da kenne ich es zufällig auch): Weil sie die Hintergründe professioneller Lösungen nicht (ansatzweise) kennen (und professionelle Arbeiten für zu teuer halten), kommen dann auch immer laienhafte (und nebenbei vorschriftswidrige) Basteleien, die einem die Haare zu Berge stehen lassen. - Genau sowas unterscheidet den Laien vom Profi.
(Und "Laie" ist hier keine Beschimpfung, sondern eine Definition: Alle, die nicht Profis sind, sind Laien.)

Im IT-Bereich kennt man das von vielen Seiteneinsteigern und Flachinformatikern: Die basteln auch so vor sich hin, ohne zu wissen, wie man's richtig macht. Da kommen dann so Lösungen raus, wie man sie schon seit den 90ern nicht (mehr) macht. Wenn man sich nicht auskennt, glaubt man auch gerne, daß seine "funktioniert irgendwie"-Lösungen ein sinnvoller Weg sind.


Gruß, Harald
Digi-Quick
Digi-Quick 15.11.2011 um 10:34:50 Uhr
Goto Top
Ich muss mal Zuerückrudern, meine Erinnerung hatte mir einen Streich gespielt!
Also in einem sehr grossen weltrweit tätigem Konzern (ca. 500.000 Angestellte allein in Europa) konnten die Aussendienstmitarbeiter gegen Unterschrift auch lokale Adminrechte bekommen, so war es jedenfalls vor ca. 8 Jahern. Sowas wie VPN gab's da damals dort noch nicht, da wurde sich explizit mit ISDN Modem (!) via RAS ins Firmennetz verbunden. Das heisst die User hatten im Aussendienst ohne Netzwerk gearbeitet, wodurch sich die Anmeldung mit lokalem gespeichertem Profil nicht wesentlich verlängert hatte.
Dass Problem ist ja, daß lokale Benutzer nicht über eine zentrale Paketverwaltung administriert werden können (Updates, neue Software, Patches etc.).
ciao
Lothar
60730
60730 15.11.2011 um 17:15:58 Uhr
Goto Top
moin,

ich nehm mir mal ein paar Zeilen, und hoff du findest den Zusammenhang ..
Ja, alles. Spielt aber alles für die Anmeldung keine Rolle.
  • Aber für den späteren Einsatz schon.
Eben.
Richtig: Liegen auf den DCs. Da ich diese aber schonmal deaktiviert habe, kann ich sie als Ursache ausschließen.
  • Ja und was kannst du noch ausschliessen? - "Das ein Weg, den du hast - die einfache zentrale Verwaltung der Loginscripte abzufackeln" - eben bei diesen Kisten eh nicht funktioniert.
Und du da eh eine Eigene Nummer machen mußt.

Das sind ja ganz andere Themenbereiche. Die sind natürlich auch zu berücksichtigen und berücksichtigt, aber haben bei dem Problem keine Beteiligung.
  • Nein - das gehört alles zum für und wieder dazu. Immer dran denken:
Ein Schlag ein Schrei und alles ist vorbei und auf die Bühne rollt ein halbes Ei..
Was ist die Moral von der Geschicht? Halbe Eier rollen nicht


Nur wenn man's einmal macht. Nicht, wenn man die grundsätzliche Lösung für ein grundsätzliches Problem haben will.
  • Die gibt es nicht - nochmal - "meine" Aussendienstler haben Kisten, die ich genau 2* im Jahr sehe -- außer wenn die nen Schuss haben und per Kurier hier eintrudeln, die stecke ich garantiert nicht mit nem Domainaccount zum Kunden...

In einer anderen Umgebung/Domäne ist's übrigens das gleiche, habe ich inzwischen schonmal gegengeprüft.
  • Erzähl mir was neues face-wink
Ich muß das Thema jetzt aber erstmal auf Eis legen, da niemand für die nun umfangreich werdende Bearbeitung zahlen will.
  • Auch gut, obwohl wir ja alle "gratis" beraten.
Ich hatte halt gehofft, daß es doch ein bekannteres Problem ist, immerhin ja auch oft googlebar - nur die Lösungsideen sind immer keine.

Danke an die, die sich die Mühe gemacht haben!

Gruß, Harald
Danke fürs Danke und gruß zurück
hm7user
hm7user 18.11.2011 um 18:24:10 Uhr
Goto Top
Hallo TimoBeil!

* Die gibt es nicht - nochmal - "meine" Aussendienstler haben Kisten, die ich genau 2* im Jahr sehe -- außer wenn
die nen Schuss haben und per Kurier hier eintrudeln, die stecke ich garantiert nicht mit nem Domainaccount zum Kunden...

"Meine" User kommen ja durch VPN immer wieder an die Domäne, sind also oft in Kontakt.
Allerdings auch erst nach Anmeldung (weil ja VPN-Software auf Notebook), so muß man sehen, wie man ab und zu mal ein gpupdate unterbringt.


> Ich muß das Thema jetzt aber erstmal auf Eis legen, da niemand für die nun umfangreich werdende Bearbeitung zahlen
will.
  • Auch gut, obwohl wir ja alle "gratis" beraten.

Ich ja in Foren auch öfter mal. Und ich hoffte ja, daß das was einfaches ist, was Leute kennen, ohne lange zu raten. Sowas, was man mal mit 2 Min. Aufwand sagen kann, und was mir nur noch nie begegnet ist.

Im Grunde wollte ich auch hören, ob andere das Problem auch haben, und es was "normales" ist, oder ein Bug (ich tippe ja nach wie vor auf Bug).

Wenn ich aber trotz Forensuche nun noch 20h weitere Analyse machen soll, möchte ich das ungern gratis tun. (Für meine bisherige Recherche gab's auch nix.)


Nebenbei: Forenhilfe zu geben, ist aber auch echt schwierig. Meist wollen _völlig_ Ahnungslose Schritt-für-Schritt-Anleitungen gratis gemacht bekommen (da habe ich dann keine Lust), oder die Dinge sind so komplex, daß man sich da nicht mehr hobbymäßig mit befassen kann.


Grüße,
Harald
60730
60730 18.11.2011 um 19:45:15 Uhr
Goto Top
Salve,

(ich tippe ja nach wie vor auf Bug).

Nein, das ist wirklich ein Feature... Denk dran, der Rechner weiß er gehoert zur Domain und wenn der ein Netz findet und dann den DC nicht sofort und wuerde dann aufgeben, dann - was glaubst du - waere dann los face-wink

Sind das immer die identischen Kisten?

gpupdate ist doch via vpn kein Ding...

Zu den "fiesen" Tricks...

VPN Tunnel beim Systemstart aufbauen
per Devcon die Netzwerkkarten deaktivieren und später wieder aktivieren.

Ich vermute, du hast ne Ahnung, warum ich damit erst "jetzt" rausrücke und das ich das mit dem rausrücken auch nur unter Vorbehalt mache.
1 finde ich nicht toll
2 hab ich nur mal Theoretisch gemacht, nie im praktischen Einsatz
  • beides ist IMHO bei Kisten, auf die physikalisch der hanne und der Bambel dran können eher nicht wirklich....

Gruß
clSchak
clSchak 20.11.2011 um 23:05:30 Uhr
Goto Top
eine andere Lösung ist auch interessant, sofern der User vorher Internet hat http://www.microsoft.com/germany/forefront/edgesecurity/unified-access- ...

Ich habe mir das letztes Jahr auf der Cebit angeschaut und auch schon ein paar Webcasts dazu angesehen, der Client verbindet sich beim Systemstart via IPSec/SSL mit der Domäne (sofern Internet vorhanden) und zieht dann sogar angepasste GPO's zum Systemstart - so muss der Nutzer garnicht mehr selbst irgendwas machen sondern nur noch den Rechner starten und er hat bei bestehender Internetverbindung direkt Zugriff auf das Netzwerk.

Wir stehen momentan vor der Herausforderung "viele" Außendienstmitarbeiter so einfach wie möglich einzubinden da unsere GL wohl einige Vertriebsbüros (in halb Europa) im nächsten Jahr plant und man dafür nicht immer eine teure Standort-Vernetzung haben möchte.
hm7user
hm7user 26.11.2011 um 19:14:24 Uhr
Goto Top
Bestimmt interessant. Werde ich mir auf jeden Fall mal anschauen. (Möglicherweise dann aber zu Microsoft-lastig und mit typischem Problem des Vendor-Lock-In behaftet, in Zusammenhang mit überteuerten Lizenzen und deren kostspieliger Verwaltung.)

Andere VPN-Lösungen ermöglichen ja auch eine Verbindung vor Anmeldung. Das ist also so besonders nicht. Und auch bei Varianten nach Anmeldung könnte man das gpupdate automatisieren (wenn man will). (Ok, die Alternativen können auch überteuert sein.)


Ein etwas ungutes Gefühl habe ich zusätzlich dabei, Windows-Geräte direkt am Internet zu betreiben.


Problematisch ist die Tatsache, daß "Internet" alleine nicht reicht, denn vielerorts ist das kastriert oder zu langsam. Darauf ist nicht leicht zu reagieren - und für den Normalo-Anwender ist all das schwierig einzuschätzen, denn der versteht schon gar nicht den Unterschied zwischen Internet und Kastraten-Internet.

Der Teufel, der gegen Benutzerfreundlichkeit und -Akzeptanz arbeitet, steckt im Detail.


Gruß, Harald