6
Windows Domäne Anmeldung nach Benutzer wechseln mit Fehlern
Moin,
nach langer Zeit haben wir bei uns einen Windows Server stehen mit einer Domäne für ca. 35 Clients.
Bisher läuft es relativ gut mit ein paar kleinen Problemchen bei denen ich gerade nicht weiter komme. Ich hoffe da könnt ihr helfen.
Wir haben einige PCs die fest für gewisse Personen reserviert sind und nur von denen genutzt werden. Dort ist alles OK.
Allerdings haben wir auch "freie" Rechner bei denen sich die AD User einfach anmelden können. Hier taucht immer wieder das gleiche Problem auf:
Entweder wenn man auf Benutzer wechseln gegangen ist, kommt die Meldung: "Fehler bei der Anmeldung mit dem Benutzerprofildienst" Dies geht meist mit einem Neustart weg und ist eher selten der Fall. Ein viel größeres Problem ist, dass wenn die Nutzer sich anmelden die Netzwerk-Laufwerke nicht vorhanden sind. Also sie sind zu sehen aber mit einem roten X und dann der Meldung: Zugriff nicht möglich, keine Verbindung.
Wie ist unser System aufgebaut:
Server: Windows Server 2016 Standard, Clients: Windows 7 Pro (vereinzelt) sonst Windows 10 (Pro)
Ein Windows Server als Domäne mit den Netzlaufwerken GPO usw.
Auf das Netzwerk verbinden sich unsere Zweigstellen via VPN. Die VPN wird für das ganze Netzwerk der Zweigstelle errichtet und nicht auf den PCs selbst.
Ansonsten laufen nicht viele andere Dienste. LDAP, SQL und ein Webserver in einer Linux VM.
Die Domäne und AD dient nur zur Benutzer Authentifizierung. Keine Server gespeicherten Profile oder ähnliches.
Was ich schon probiert habe:
Zunächst hatte ich an ein DNS Problem gedacht: Denn die Laufwerke werden via "\\[SERVERNAME]\[FREIGABE]" vergeben. Über diese war das Laufwerk nicht zu erreichen. Aber wenn ich die IP des Servers direkt in den Explorer eingegeben habe klappte es problemlos. Also habe ich erstmal angefangen die die Sekundären DNS in den Netzwerkeinstellungen zu entfernen. Leider half dies nichts.
Ebenfalls habe ich per GPO eingestellt, dass immer auf das Netzwerk gewartet werden soll und den Time out für die GPO bei der Anmeldung hochgesetzt (5 min.)
Leider keine Wirkung bisher.
Die IP des Servers als Freigabe zu verwenden ist für mich keine (gute) Option da dieser mehrere IP Adressen hat und ich je nach Zweigstelle die GPOs anpassen müsste. Dies wäre etwas zu viel des guten finde ich. Daher hoffe, jemand hier hat einen entschiedenen Einfall wie man dem Problem noch nachgehen soll. Wie gesagt, ich habe das Gefühl es liegt am "Benutzer wechseln".
Ich danke euch!
nach langer Zeit haben wir bei uns einen Windows Server stehen mit einer Domäne für ca. 35 Clients.
Bisher läuft es relativ gut mit ein paar kleinen Problemchen bei denen ich gerade nicht weiter komme. Ich hoffe da könnt ihr helfen.
Wir haben einige PCs die fest für gewisse Personen reserviert sind und nur von denen genutzt werden. Dort ist alles OK.
Allerdings haben wir auch "freie" Rechner bei denen sich die AD User einfach anmelden können. Hier taucht immer wieder das gleiche Problem auf:
Entweder wenn man auf Benutzer wechseln gegangen ist, kommt die Meldung: "Fehler bei der Anmeldung mit dem Benutzerprofildienst" Dies geht meist mit einem Neustart weg und ist eher selten der Fall. Ein viel größeres Problem ist, dass wenn die Nutzer sich anmelden die Netzwerk-Laufwerke nicht vorhanden sind. Also sie sind zu sehen aber mit einem roten X und dann der Meldung: Zugriff nicht möglich, keine Verbindung.
Wie ist unser System aufgebaut:
Server: Windows Server 2016 Standard, Clients: Windows 7 Pro (vereinzelt) sonst Windows 10 (Pro)
Ein Windows Server als Domäne mit den Netzlaufwerken GPO usw.
Auf das Netzwerk verbinden sich unsere Zweigstellen via VPN. Die VPN wird für das ganze Netzwerk der Zweigstelle errichtet und nicht auf den PCs selbst.
Ansonsten laufen nicht viele andere Dienste. LDAP, SQL und ein Webserver in einer Linux VM.
Die Domäne und AD dient nur zur Benutzer Authentifizierung. Keine Server gespeicherten Profile oder ähnliches.
Was ich schon probiert habe:
Zunächst hatte ich an ein DNS Problem gedacht: Denn die Laufwerke werden via "\\[SERVERNAME]\[FREIGABE]" vergeben. Über diese war das Laufwerk nicht zu erreichen. Aber wenn ich die IP des Servers direkt in den Explorer eingegeben habe klappte es problemlos. Also habe ich erstmal angefangen die die Sekundären DNS in den Netzwerkeinstellungen zu entfernen. Leider half dies nichts.
Ebenfalls habe ich per GPO eingestellt, dass immer auf das Netzwerk gewartet werden soll und den Time out für die GPO bei der Anmeldung hochgesetzt (5 min.)
Leider keine Wirkung bisher.
Die IP des Servers als Freigabe zu verwenden ist für mich keine (gute) Option da dieser mehrere IP Adressen hat und ich je nach Zweigstelle die GPOs anpassen müsste. Dies wäre etwas zu viel des guten finde ich. Daher hoffe, jemand hier hat einen entschiedenen Einfall wie man dem Problem noch nachgehen soll. Wie gesagt, ich habe das Gefühl es liegt am "Benutzer wechseln".
Ich danke euch!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 345535
Url: https://administrator.de/contentid/345535
Printed on: April 26, 2024 at 22:04 o'clock
6 Comments
Latest comment
Hallo,
Passiert das auch, wenn ein Benutzer sich abmeldet und dann sich ein anderer Benutzer anmeldet?
Ist das wirklich nur bei den PC so, wo die Benutzer sich nicht abmelden sondern Benutzer wechseln verwenden?
Deine PC kennen den Kurznamen des Servers nicht. Meinst Du mit diesem Server :
den Domaenencontroller? Und der ist auch als DNS bei den PC eingetragen?
???
BFF
Entweder wenn man auf Benutzer wechseln gegangen ist, kommt die Meldung: "Fehler bei der Anmeldung mit dem Benutzerprofildienst" Dies geht meist mit einem Neustart weg und ist eher selten der Fall.
Passiert das auch, wenn ein Benutzer sich abmeldet und dann sich ein anderer Benutzer anmeldet?
Ein viel größeres Problem ist, dass wenn die Nutzer sich anmelden die Netzwerk-Laufwerke nicht vorhanden sind. Also sie sind zu sehen aber mit einem roten X und dann der Meldung: Zugriff nicht möglich, keine Verbindung.
Ist das wirklich nur bei den PC so, wo die Benutzer sich nicht abmelden sondern Benutzer wechseln verwenden?
Zunächst hatte ich an ein DNS Problem gedacht: Denn die Laufwerke werden via "\\[SERVERNAME]\[FREIGABE]" vergeben. Über diese war das Laufwerk nicht zu erreichen. Aber wenn ich die IP des Servers direkt in den Explorer eingegeben habe klappte es problemlos. Also habe ich erstmal angefangen die die Sekundären DNS in den Netzwerkeinstellungen zu entfernen. Leider half dies nichts.
Deine PC kennen den Kurznamen des Servers nicht. Meinst Du mit diesem Server :
Ein Windows Server als Domäne mit den Netzlaufwerken GPO usw.
den Domaenencontroller? Und der ist auch als DNS bei den PC eingetragen?
Die Domäne und AD dient nur zur Benutzer Authentifizierung.
???
BFF
Entweder wenn man auf Benutzer wechseln gegangen ist, kommt die Meldung: "Fehler bei der Anmeldung mit dem Benutzerprofildienst" Dies geht meist mit einem Neustart weg und ist eher selten der Fall.
Passiert das auch, wenn ein Benutzer sich abmeldet und dann sich ein anderer Benutzer anmeldet?
Soweit mir zugetragen wurde ja. Leider ist es fast immer so, dass wenn ich da ankomme alles funktioniert.
Ein viel größeres Problem ist, dass wenn die Nutzer sich anmelden die Netzwerk-Laufwerke nicht vorhanden sind. Also sie sind zu sehen aber mit einem roten X und dann der Meldung: Zugriff nicht möglich, keine Verbindung.
Ist das wirklich nur bei den PC so, wo die Benutzer sich nicht abmelden sondern Benutzer wechseln verwenden?
Oft gehe ich auch davon aus, dass die Benutzer selbst dem Rechner keine Zeit geben. Manchmal wird geklickt sobald die Maus da ist, dann geht das nicht sofort und schon ein Fall eröffnet. Aber ich habe es selber schon gesehen dass die sich anmelden, dann abwarten und die Laufwerke stehen nicht zur Verfügung. Der Rechner daneben hat aber keine Probleme mit dem selben Konto. Dann ein Neustart und es geht.
Zunächst hatte ich an ein DNS Problem gedacht: Denn die Laufwerke werden via "\\[SERVERNAME]\[FREIGABE]" vergeben. Über diese war das Laufwerk nicht zu erreichen. Aber wenn ich die IP des Servers direkt in den Explorer eingegeben habe klappte es problemlos. Also habe ich erstmal angefangen die die Sekundären DNS in den Netzwerkeinstellungen zu entfernen. Leider half dies nichts.
Deine PC kennen den Kurznamen des Servers nicht. Meinst Du mit diesem Server :
Verstehe hier leider deine Aussage nicht richtig. Könnte an der Uhrzeit liegen. Mein Gedanke war, da ich einen Sekundären DNS Server drin hatte (der lokale Router am Standort) dass dieser genutzt wird weil die Verbindung zum Server zu lange gedauert hat und der den Server nicht "kennt".
Ein Windows Server als Domäne mit den Netzlaufwerken GPO usw.
den Domaenencontroller? Und der ist auch als DNS bei den PC eingetragen?
Ja Windows Server 2016 als Domaenencontroller, Speicher für die Netzlaufwerke, usw. Jeder PC hat eine statische IP mit Gateway auf dem lokalen Router und als P-DNS den DC.
Die Domäne und AD dient nur zur Benutzer Authentifizierung.
???
Wollte damit nur zum Ausdruck bringen, dass keine Server gespeicherten Profile, Terminal-Server, Remote usw. vorhanden sind /verwendet werden.
Danke dir schon mal für deine Antwort.
Moin,
was mich etwas stutzig macht ist folgende Aussage:
Das erkläre mal bitte genauer.
Hast du etwa im Hauptstandort EINEN File-Server stehen, welcher MEHRERE IP-Adressen hat und der die Daten für alle Nebenstandorte bereitstellt?
Das könnte mitunter dein Problem sein.
Mal angenommen, der Server hat die IPs (warum auch immer!?):
Zum Nebenstandort wird nur die IP 192.168.10.10 geroutet, dein Client am Nebenstandort erhält aber aufgrund der DNS-Auflösung die 192.168.20.10, dann kann der ja gar nicht mit dem Server kommunizieren, da er die IP/ das Netz gar nicht erreichen kann....
Gib dem Server daher nur eine IP-Adresse und route dieses in alle erforderlichen anderen Netze....
Gruß
em-pie
was mich etwas stutzig macht ist folgende Aussage:
[...]
Die IP des Servers als Freigabe zu verwenden ist für mich keine (gute) Option da dieser mehrere IP Adressen hat und ich je nach Zweigstelle die GPOs anpassen müsste. Dies wäre etwas zu viel des guten finde ich.
Die IP des Servers als Freigabe zu verwenden ist für mich keine (gute) Option da dieser mehrere IP Adressen hat und ich je nach Zweigstelle die GPOs anpassen müsste. Dies wäre etwas zu viel des guten finde ich.
Das erkläre mal bitte genauer.
Hast du etwa im Hauptstandort EINEN File-Server stehen, welcher MEHRERE IP-Adressen hat und der die Daten für alle Nebenstandorte bereitstellt?
Das könnte mitunter dein Problem sein.
Mal angenommen, der Server hat die IPs (warum auch immer!?):
- 192.168.10.10/24
- 192.168.20.10/24
- 192.168.30.10/24
Zum Nebenstandort wird nur die IP 192.168.10.10 geroutet, dein Client am Nebenstandort erhält aber aufgrund der DNS-Auflösung die 192.168.20.10, dann kann der ja gar nicht mit dem Server kommunizieren, da er die IP/ das Netz gar nicht erreichen kann....
Gib dem Server daher nur eine IP-Adresse und route dieses in alle erforderlichen anderen Netze....
Gruß
em-pie
Danke für deine Antwort:
Der Host hat 2 Adressen:
1. 192.168.1.2/24
2. 192.168.2.2/24
Auf 1. geht ins Internet und hat den Gateway vorgegeben auf dem liegen auch alle Zweigstellen an sich.
Auf 2. geht das Lokale Netz des Hauses und die Clients dieses Hauses.
Also wenn es daran liegt, macht es auch sinn. Allerdings kann ich es aktuell nicht anders lösen da mir die Hardware fehlt.
Ich hätte auch erwartet, dass wenn eine anfrage über NIC 1 rein kommt er dann die IP von NIC 1 sendet. Somit auch die von NIC 2. Wenn das nicht der Fall ist, könnte dies das Problem sein, da hast du recht.
Über DNS Konfiguration lässt es sich nicht lösen?
Der Host hat 2 Adressen:
1. 192.168.1.2/24
2. 192.168.2.2/24
Auf 1. geht ins Internet und hat den Gateway vorgegeben auf dem liegen auch alle Zweigstellen an sich.
Auf 2. geht das Lokale Netz des Hauses und die Clients dieses Hauses.
Also wenn es daran liegt, macht es auch sinn. Allerdings kann ich es aktuell nicht anders lösen da mir die Hardware fehlt.
Ich hätte auch erwartet, dass wenn eine anfrage über NIC 1 rein kommt er dann die IP von NIC 1 sendet. Somit auch die von NIC 2. Wenn das nicht der Fall ist, könnte dies das Problem sein, da hast du recht.
Über DNS Konfiguration lässt es sich nicht lösen?
Zitat von @Kurt1990:
Danke für deine Antwort:
Der Host hat 2 Adressen:
1. 192.168.1.2/24
2. 192.168.2.2/24
Auf 1. geht ins Internet und hat den Gateway vorgegeben auf dem liegen auch alle Zweigstellen an sich.
Auf 2. geht das Lokale Netz des Hauses und die Clients dieses Hauses.
D.h. eure Clients haben gar kein Internet oder nutzen die etwa einen anderen Internetanschluss?Danke für deine Antwort:
Der Host hat 2 Adressen:
1. 192.168.1.2/24
2. 192.168.2.2/24
Auf 1. geht ins Internet und hat den Gateway vorgegeben auf dem liegen auch alle Zweigstellen an sich.
Auf 2. geht das Lokale Netz des Hauses und die Clients dieses Hauses.
Warum sonst solltet ihr den File-Server für den VPN/ WAN-Zugriff in einem anderen Netz betreiben, als in dem die Clients agieren?
Denn ein mithilfe von VLAN getrenntes Netz schließe ich aus, da der Filer ansonsten nur eine NIC hätte...
Also wenn es daran liegt, macht es auch sinn. Allerdings kann ich es aktuell nicht anders lösen da mir die Hardware fehlt.
Ich hätte auch erwartet, dass wenn eine anfrage über NIC 1 rein kommt er dann die IP von NIC 1 sendet. Somit auch die von NIC 2. Wenn das nicht der Fall ist, könnte dies das Problem sein, da hast du recht.
Über DNS Konfiguration lässt es sich nicht lösen?
Ich hätte auch erwartet, dass wenn eine anfrage über NIC 1 rein kommt er dann die IP von NIC 1 sendet. Somit auch die von NIC 2. Wenn das nicht der Fall ist, könnte dies das Problem sein, da hast du recht.
Über DNS Konfiguration lässt es sich nicht lösen?
Doch, schmeiß die IP 192.168.2.2 aus dem DNS raus, zumindest aus dem DNS-Server, aus dem sich die anderen Filalen bedienen. Wenn es aber dein DC ist... wird das nichts...
Was ergibt denn grundsätzlich ein
tracert -d [deinFileServer.company.local]?D.h. eure Clients haben gar kein Internet oder nutzen die etwa einen anderen Internetanschluss?
Warum sonst solltet ihr den File-Server für den VPN/ WAN-Zugriff in einem anderen Netz betreiben, als in dem die Clients agieren?
Denn ein mithilfe von VLAN getrenntes Netz schließe ich aus, da der Filer ansonsten nur eine NIC hätte...
Doch die Clients haben ihr eigenes Netzwerk und Internet. Wir haben insgesamt 10 Zweigstellen +Host Standort mit jeweils >= 4 Rechnern die sich aber auch vom Standort Unterscheiden.Warum sonst solltet ihr den File-Server für den VPN/ WAN-Zugriff in einem anderen Netz betreiben, als in dem die Clients agieren?
Denn ein mithilfe von VLAN getrenntes Netz schließe ich aus, da der Filer ansonsten nur eine NIC hätte...
Über die ganze Stadt verteilt befinden sich also Büros.
Ich habe es mal grob aufgezeichnet:
Alle sollen Laufwerkszugriffe haben und auf gewisse Dienste wie Lexware, SFirm, usw. zugreifen können was der Host bereitstellt.
Allerdings nur an einem Standort habe ich (bzw. die Mitarbeiter) diese großen Probleme. an der 192.168.4.0
Dies ist auch der größte Standort mit 8 Rechnern (von denen aber selten alle besetzt sind ~5 zur gleichen Zeit). Alle anderen Standorte haben keine Probleme oder sehr selten mal dass die Laufwerke nicht da sind.
Ich habe an dem Standort aber nichts anders gemacht als bei den anderen. Das VPN läuft super. Alle Standorte haben DSL 16k welche auch meist voll ankommen. Bei dem Problemfall sind es aktuell: 13MBit Down und 800kBit Up.
Der Server selbst ist mit 50Mbit Down und 10MBit Up angebunden.
Doch, schmeiß die IP 192.168.2.2 aus dem DNS raus, zumindest aus dem DNS-Server, aus dem sich die anderen Filalen bedienen. Wenn es aber dein DC ist... wird das nichts...
Was ergibt denn grundsätzlich ein
tracert -d [deinFileServer.company.local]?
> Ich mache das noch mal wenn der Fehler wieder auftritt und ich gerade dort bin. Dann schicke ich das. Kann es aber gerade leider nicht.
Ich kann die 192.168.2.2 nicht einfach entfernen das ist ja der DC.
Ich könnte vielleicht auch alles über die 192.168.2.0 legen, aber da hängt noch so ein Rattenschw-anz dran dass das für einen Test sehr aufwändig wäre. Zumal wenn das wirklich das Problem ist, verstehe ich nicht warum nur eine Zweigstelle so arge Probleme hat, alle anderen müssten diese Probleme dann ja auch häufiger haben.
Schöner wäre es auf jeden Fall beide zusammen zu legen. Das war schon mal mein Plan, aber die Zeit fehlt irgendwie, da ist noch so viel was eigentlich sein müsste.