24
Windows Server 2003 - RAID-Festplattensystem - Festplatten laufen ständig - User bemängeln Performance im Netz
Die Anwender in unserer Firma (ca. 30 User) beschweren sich seit einiger Zeit über "lahmes Netzwerk". Zunächst schob ich das Problem auf die Tatsache, dass wir Roaming Profiles einsetzen und sich alle morgens zwischen 7.00 - 7.30 Uhr anmelden. Leider beschränkt sich der Performance-Einbruch aber nicht (mehr) auf diese Zeit.
2 x Server 2003 (Standard Edition), Windows XP Clients (SP2), HP-Raid-System *) in beiden Servern. Einer als Fileserver, einer als Kommunikationsserver.
Der Fileserver rödelt ständig auf den Festplatten herum, der Kommun.-Server hat mehr oder minder langeweile. Teilweise ist an der Konsole des FS schon zu merken, dass der ausgelastet ist (langsam). Die Prozessse bringen mich aber nicht weiter - demnach stirbt der vor Langeweile...
Netzwerkauslastung ist gleichbleibend unspektakulär (1Gig-Bit Netzwerk), weit unterhalb von 12 %. Daher frage ich mich: Was bitteschön machen die Festplatten da?
Versuche bisher
- Virenscanner abgeschaltet, Festplatten beobachtet - kein Unterschied
- Windows-Shadow-Copy-Dienst deaktiviert - kein Unterscheid
- Replikationen und Spiegelungen (Server 1 spiegelt auf 2) auf nachts gesetzt und testweise deaktiviert
Nun: Ich bin etwas ratlos ...
*) RAID-5
2 x Server 2003 (Standard Edition), Windows XP Clients (SP2), HP-Raid-System *) in beiden Servern. Einer als Fileserver, einer als Kommunikationsserver.
Der Fileserver rödelt ständig auf den Festplatten herum, der Kommun.-Server hat mehr oder minder langeweile. Teilweise ist an der Konsole des FS schon zu merken, dass der ausgelastet ist (langsam). Die Prozessse bringen mich aber nicht weiter - demnach stirbt der vor Langeweile...
Netzwerkauslastung ist gleichbleibend unspektakulär (1Gig-Bit Netzwerk), weit unterhalb von 12 %. Daher frage ich mich: Was bitteschön machen die Festplatten da?
Versuche bisher
- Virenscanner abgeschaltet, Festplatten beobachtet - kein Unterschied
- Windows-Shadow-Copy-Dienst deaktiviert - kein Unterscheid
- Replikationen und Spiegelungen (Server 1 spiegelt auf 2) auf nachts gesetzt und testweise deaktiviert
Nun: Ich bin etwas ratlos ...
*) RAID-5
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162452
Url: https://administrator.de/contentid/162452
Ausgedruckt am: 13.11.2024 um 12:11 Uhr
24 Kommentare
Neuester Kommentar
Hallo ChrPeter,
versuch doch mal mit Sysinternals Process Explorer und DiskMon von Microsoft zu analysieren was genau da vor sich geht.
- Johannes Matjeschk
versuch doch mal mit Sysinternals Process Explorer und DiskMon von Microsoft zu analysieren was genau da vor sich geht.
- Johannes Matjeschk
Moin,
kann alles mögliche sein...
Poste doch mal ein paar Hardwaredetails vom Controller und den Platten
Gruß
Icedg
kann alles mögliche sein...
Poste doch mal ein paar Hardwaredetails vom Controller und den Platten
Gruß
Icedg
Moin,
Ich auch ..... weil: da fehlen noch ein paar unspektakuläre Infos:
- "HP-RAID-System" ist eine ganz tolle Definition; was denn: 0,1,5,10 oder, oder, oder?
- XP mit SP2 ist mehr als "outdatet", wie wärs mit SP3?
- Was steckt an RAM in der Kiste Fileserver?
Ohne jetzt genau zu wissen, was ist, möchte ich mal behaupten: das kann nicht sein. Festplatten laufen nicht "just for fun", sondern nur auf Anforderung. Also hät irgendein Prozeß diese auf Trab. Was sagt denn das RAID-Utility? Ist alles noch im grünen Bereich oder verabschiedet sich da eine Platte und das System versucht zu retten, was zu retten ist?
Gruß J
chem
Ich bin etwas ratlos ...
Ich auch ..... weil: da fehlen noch ein paar unspektakuläre Infos:
- "HP-RAID-System" ist eine ganz tolle Definition; was denn: 0,1,5,10 oder, oder, oder?
- XP mit SP2 ist mehr als "outdatet", wie wärs mit SP3?
- Was steckt an RAM in der Kiste Fileserver?
Teilweise ist an der Konsole des FS schon zu merken, dass der ausgelastet ist (langsam). Die Prozessse bringen mich aber nicht weiter - demnach stirbt der vor Langeweile...
Ohne jetzt genau zu wissen, was ist, möchte ich mal behaupten: das kann nicht sein. Festplatten laufen nicht "just for fun", sondern nur auf Anforderung. Also hät irgendein Prozeß diese auf Trab. Was sagt denn das RAID-Utility? Ist alles noch im grünen Bereich oder verabschiedet sich da eine Platte und das System versucht zu retten, was zu retten ist?
Gruß J
chem
Moin
Eine wichtige Sache hast du noch nicht gemacht: Überwache den Server mit der Leistungsüberwachung. Für Probleme wie Deines wurde das Tool gemacht...
Gruß
Hubert
Eine wichtige Sache hast du noch nicht gemacht: Überwache den Server mit der Leistungsüberwachung. Für Probleme wie Deines wurde das Tool gemacht...
Gruß
Hubert
@hubertn: Okay - das erscheint mir vernünftig. Ich hatte mir das Tool auch schonmal angesehen, verstehe aber nicht, wie das funktioniert. Offenbar muß man diese Überwachung ja erst einmal "in Gang" setzen, richtig? Wo muß ich da gucken?
@Jochem: Hmm... als sich das letzte Mal eine Platte verabschiedete, wurde mir das (durch einen rote LED am Server) gemeldet. Aber ich werde nochmal einen Blick ins Utility werfen. Peinlich: Auf Anhieb finde ich das nicht ... hier versucht nämlich jemand, Admin zu "spielen", der nie dazu ausgebildet wurde. Nebenamtlich, versteht sich ... *seufz*. Daber danke für den Tip - ich gehe der Sache mal nach.
Und - wie ist das Befinden des Servers heute ?
War ein paar Tage "out of order"...
Die Leistungsüberwachung findest du in der Verwaltung. Einfach starten und die ersten drei Werte geben dir auch den ersten Anhaltspunkt. Prozessorzeit, Warteschlangenlänge und Seiten/S sind Basisindikatoren, die dir bei der Fehlersuche helfen.
Der Wert für Seiten/S sollte unter 20 Seiten/s bleiben. Alles, was drüber ist deutet auf ein Problem mit dem Arbeitsspeicher hin.
Sitze hier gerade bei einem Kunden und habe ein ähnlich gelagertes Problem. In meinem Fall gehe ich davon aus, dass die Sicherungssoftware schuld ist. Arcserve 11.5 hat einen Bug, der das Festplattensystem mit temporären Dateien flutet.
Damit will ich andeuten, dass das aus wirklich allen möglichen Ecken kommen kann. Soltest du also Arcserve 11.5 im Einsatz haben, dann schaue nach, ob du Zugriff auf das Rootverzeichnis des Servers hast ;)
Gruß
Hubert
War ein paar Tage "out of order"...
Die Leistungsüberwachung findest du in der Verwaltung. Einfach starten und die ersten drei Werte geben dir auch den ersten Anhaltspunkt. Prozessorzeit, Warteschlangenlänge und Seiten/S sind Basisindikatoren, die dir bei der Fehlersuche helfen.
Der Wert für Seiten/S sollte unter 20 Seiten/s bleiben. Alles, was drüber ist deutet auf ein Problem mit dem Arbeitsspeicher hin.
Sitze hier gerade bei einem Kunden und habe ein ähnlich gelagertes Problem. In meinem Fall gehe ich davon aus, dass die Sicherungssoftware schuld ist. Arcserve 11.5 hat einen Bug, der das Festplattensystem mit temporären Dateien flutet.
Damit will ich andeuten, dass das aus wirklich allen möglichen Ecken kommen kann. Soltest du also Arcserve 11.5 im Einsatz haben, dann schaue nach, ob du Zugriff auf das Rootverzeichnis des Servers hast ;)
Gruß
Hubert
Und - wie ist das Befinden des Servers heute ?
Zwischenzeitlich schien mal "Ruhe" auf den Platten im RAID-5 zu sein. Grundlos wie mir schien (okay, ich weiss, dass es sowas nicht gibt *g*). Die Beschwerden häufen sich aber wieder - die User bemängeln wieder die schlechte, grottige Performance. Die "Lämpchen" an den Platten blinken nicht, sondern sind quasi auf Dauer-ON mit flackernden Unterbrechungen... schlimm!
Ich habe Deinen Rat befolgt - die Leistungsüberwachung läuft. Wenn ich das Tool richtig versehe, kann ich in der grafischen Übersicht sehen, was die Auswertung aktuell ergibt. Leider sagen mir die Werte fast garnichts. Ich weiß noch nicht, wie ich hier ein Screenshot hochlade .. daher mal meine Zustandsbeschreibung in Textform:
Seiten/S (blaue Linie): Fast DURCHGÄNGIG bei 100 (ganz oben!) und gelegentliche "Spitzen nach unten" ... was genau ist denn hier mit "Seiten" gemeint??
durchschn. Warteschlagen des Datenträgers (grün): spielt sich ebenfalls im oberen bereich ab, aber mit starken Schwankungen nach unten ... geht in den "Spitzen" bis 24 runter
Prozessorzeit (rot): Die einzige "Kurve", die mal aussieht, wie ne Aktienkurve ... verhält sich also umgekehrt zu den anderen Werten, dümelt bei 10/20/30 rum und hat auch Max-Ausschläge. Laienhaft gesagt: Die einzige Kurzve, die plausibel wirkt ...
Die Leistungsüberwachung findest du in der Verwaltung. Einfach starten und die ersten drei Werte geben dir auch den ersten
Anhaltspunkt. Prozessorzeit, Warteschlangenlänge und Seiten/S sind Basisindikatoren, die dir bei der Fehlersuche helfen.
Der Wert für Seiten/S sollte unter 20 Seiten/s bleiben. Alles, was drüber ist deutet auf ein Problem mit dem
Arbeitsspeicher hin.
Anhaltspunkt. Prozessorzeit, Warteschlangenlänge und Seiten/S sind Basisindikatoren, die dir bei der Fehlersuche helfen.
Der Wert für Seiten/S sollte unter 20 Seiten/s bleiben. Alles, was drüber ist deutet auf ein Problem mit dem
Arbeitsspeicher hin.
Dann verstehe ich entweder die "Kurve" nicht, oder wir haben hier hinsichtlich des Speichers "japanische Verhältnisse". Was kann man tun, um dem genauer nachzugehen?
Soltest du also Arcserve 11.5 im Einsatz haben...
Nee - unser EDV-Dienstleister hat uns damals HP Storage verkauft. Leider stellte sich hinterher heraus, dass die nicht in der Lage waren, uns zu schulen. Ich versuche seither, mich da selbst durchzufriemeln. Mittlerweile schließe ich aber die Replikation, die das Ding permament macht, als Fehlerursache aus. Grund: Ich hab's mal auf PAUSE gestellt und es trat keine Verbesserung meines Problems ein ...
==> Sollte ich dem Problem auf der Spur sein??
Stand heute (21.03.2011): Ich habe unseren Virenscanner auf das Wochenende verlegt. Aktuell ist damit das beständige Pumpen der Festplatten im RAID-5 Verbund auch vorüber. Leistungsprotokoll sieht gut aus. Dennoch beschwert man sich beim Hochfahren über das lahme Starten der Rechner am Morgen.
Ich begründe das mit "Roaming Profiles" und der Tageszeit: Zwischen 7 und 8 Uhr melden sich halt die meisten Leute hier an.und wir arbeiten mit servergespeicherten Profilen. Insbesondere die User mit Internet-Nutzung beschweren sich über die sehr verlangsamten Hochfahrzeiten des Rechners. Und zwar an jedem Rechner, an dem sie sich mit ihrem Profil anmelden. Diese haben aber auch die "dicksten" Profile.
Frage: Könnte das Abstellen der servergespeicherten Profile was bringen? Wenn ja, wie stelle ich sicher, dass das letzte servergespeicherte Profil zum lokalen Profil wird? Wenn ich ab morgen jeden nämlich mit leeren Profilen starten lasse ("Herzlich Willkommen bei Windows XP...") gibt es hier eine (berechtigte) Revolution. Hat jemand sonst ne Idee?
Ich begründe das mit "Roaming Profiles" und der Tageszeit: Zwischen 7 und 8 Uhr melden sich halt die meisten Leute hier an.und wir arbeiten mit servergespeicherten Profilen. Insbesondere die User mit Internet-Nutzung beschweren sich über die sehr verlangsamten Hochfahrzeiten des Rechners. Und zwar an jedem Rechner, an dem sie sich mit ihrem Profil anmelden. Diese haben aber auch die "dicksten" Profile.
Frage: Könnte das Abstellen der servergespeicherten Profile was bringen? Wenn ja, wie stelle ich sicher, dass das letzte servergespeicherte Profil zum lokalen Profil wird? Wenn ich ab morgen jeden nämlich mit leeren Profilen starten lasse ("Herzlich Willkommen bei Windows XP...") gibt es hier eine (berechtigte) Revolution. Hat jemand sonst ne Idee?
Moin,
- hast Du bei den servergespeicherten Profilen der User bestimmte Verzeichnisse ausgeschlossen?
- sind die Profilgrössen beschränkt (Stichwort "Quota")?
- habt ihr irgendwelche Restriktionen, daß "Eigene Dateien" grundsätzlich nicht lokal gespeichert werden, sondern ins Netz gehören?
Gruß J chem
- hast Du bei den servergespeicherten Profilen der User bestimmte Verzeichnisse ausgeschlossen?
- sind die Profilgrössen beschränkt (Stichwort "Quota")?
- habt ihr irgendwelche Restriktionen, daß "Eigene Dateien" grundsätzlich nicht lokal gespeichert werden, sondern ins Netz gehören?
Gruß J
chem
Verzeichnisse ausschließen - das geht?
Würde ich nämlich gerne ... wo finde ich die Einstellung im ADS?
Profilgrößenbeschränkung ... wir haben die User-Home-Verzeichnisse beschränkt. Ich würde das gerne auch mit den Profilen machen ... aber: Was passiert, wenn ich das jetzt "rückwirkend" einstelle? Fliegt da was raus? Wenn ja, was? Mit Fehlermeldungen könne die Meisten hier nicht umgehen ...
Restriktionen auf "Eigene Dateien" - das hat der IT-Profi, der die Anlage aufgesetzt hat vor vielen Jahren vermutlich getan. Ich hatte bei mir nämlich mal EIGENE DATEIEN auf C:\temp zum Testen verschoben und die wurden (zu meinem Erstaunen) dann ins Profil genommen und nach dem Abmelden auch erstmal vom lokalen C: gelöscht...
Wenn Du mir sagst, wo ich die Punkte im ADS finde, wäre das super!
Würde ich nämlich gerne ... wo finde ich die Einstellung im ADS?
Profilgrößenbeschränkung ... wir haben die User-Home-Verzeichnisse beschränkt. Ich würde das gerne auch mit den Profilen machen ... aber: Was passiert, wenn ich das jetzt "rückwirkend" einstelle? Fliegt da was raus? Wenn ja, was? Mit Fehlermeldungen könne die Meisten hier nicht umgehen ...
Restriktionen auf "Eigene Dateien" - das hat der IT-Profi, der die Anlage aufgesetzt hat vor vielen Jahren vermutlich getan. Ich hatte bei mir nämlich mal EIGENE DATEIEN auf C:\temp zum Testen verschoben und die wurden (zu meinem Erstaunen) dann ins Profil genommen und nach dem Abmelden auch erstmal vom lokalen C: gelöscht...
Wenn Du mir sagst, wo ich die Punkte im ADS finde, wäre das super!
Moin,
"Verzeichnisse ausschließen" läuft unter einer Gruppenrichtlinie für den Benutzer. Siehe Per GPO Verzeichnisse aus dem Benutzerprofil ausschließen.
"Profilgröße berschränken" steht in derselebn Ecke (GPO Benutzer).
"Eigene Dateien" sollten auch per GPO auf ein Server-Laufwerk umgebogen werden, so daß nichts mehr lokal liegt.
Ohne jetzt genau zu wissen (Dokumentation?), was der IT-Profi da "verbrochen" hat, ist es relativ schwierig, hier irgendwas zur Sachlage beizutragen. Warum jetzt "Eigene Dateien", wenn sie nicht mehr in "C:\Dokumente und Einstellungen\&username%" liegen, dorthin wieder zurückgeschrieben werden und dann generell am alten Platz gelöscht werden, ist nur nachvollziehbar, wenn man weiß, welche Änderungen an den Policies gemacht wurden. Also entweder in die Doku schauen, den Ex-Spezi fragen oder über die Ochsentour sich die Verzeichnisse und die darauf angewendeten Policies ansehen.
Gruß J chem
"Verzeichnisse ausschließen" läuft unter einer Gruppenrichtlinie für den Benutzer. Siehe Per GPO Verzeichnisse aus dem Benutzerprofil ausschließen.
"Profilgröße berschränken" steht in derselebn Ecke (GPO Benutzer).
"Eigene Dateien" sollten auch per GPO auf ein Server-Laufwerk umgebogen werden, so daß nichts mehr lokal liegt.
Ohne jetzt genau zu wissen (Dokumentation?), was der IT-Profi da "verbrochen" hat, ist es relativ schwierig, hier irgendwas zur Sachlage beizutragen. Warum jetzt "Eigene Dateien", wenn sie nicht mehr in "C:\Dokumente und Einstellungen\&username%" liegen, dorthin wieder zurückgeschrieben werden und dann generell am alten Platz gelöscht werden, ist nur nachvollziehbar, wenn man weiß, welche Änderungen an den Policies gemacht wurden. Also entweder in die Doku schauen, den Ex-Spezi fragen oder über die Ochsentour sich die Verzeichnisse und die darauf angewendeten Policies ansehen.
Gruß J
chem
Moin
Die Kurve für Seiten/S wäre schon interessant. Wenn die sich bei 100 einpegelt, bedeutet das nur, dass sie definitiv zu hoch ist. 1. kann man die Darstellung anpassen 2. interessiert in erster Linie der Wert, der am unteren Bildschirmrand deer Leistungsüberwachuing dargestellt wird.
Wenn der Wert konstant zu hoch ist, dann ist das auf jeden Fall ein Ansatzpunkt für die weitere Suche.
Gruß
Hubert
Die Kurve für Seiten/S wäre schon interessant. Wenn die sich bei 100 einpegelt, bedeutet das nur, dass sie definitiv zu hoch ist. 1. kann man die Darstellung anpassen 2. interessiert in erster Linie der Wert, der am unteren Bildschirmrand deer Leistungsüberwachuing dargestellt wird.
Wenn der Wert konstant zu hoch ist, dann ist das auf jeden Fall ein Ansatzpunkt für die weitere Suche.
Gruß
Hubert
Ich habe RoamingProfiles immer so verstanden: Alles, was unter Eigene Dateien (und diverse andere Stelle, ich weiß...) steht, wird abends bei Abmelden brav zurück auf den Server unter \\server\profiles$\username geschrieben. Anschließend von der Platte gelöscht. Beim morgendlichen Anmelden (egal, von welchem Rechner) werden diese wieder auf die Platte geschrieben, weil von dort (schneller) gearbeitet wird.
Man könnte wohl auch das Löschen abstellen - aber dann blieben bei uns schonmal verwaiste Verzeichnisse übrig und ein zweites mit .001 (dann .002 .003 .004 usw.) wurde beim Anmelden angelegt. Das Microsoft Tool "User Profile Hive Cleanup Service" schafft da (meistens ... nicht immer!) Abhilfe. Das läuft bei uns seit Jahren.
Als ich irgendwann mal auf die glorreiche Idee kam, den Ordner "Eigene Dateien" etc. auf C:\temp zu verlagern (weil ich DACHTE, es würde dann vom abendlichen Speichern ausgenommen), bin ich damit gründlich auf die Nase gefallen. Denn dann zieht Windows die Dateien nach wie vor - nun allerdings auf c:\temp.
Dem Hinweis von JocheM gehe ich mal nach - Profilgröße beschränken. Frage/Angst: Die Größe können die User nicht abschätzen, da sie das Profil in der Regel selbst nicht wissentlich zumüllen. Der Hinweis: "Zu voll" wäre da also nicht hilfreich und liese nur bei mir wieder das Telefon heißlaufen ... Aber ich schaue mir das an.
Man könnte wohl auch das Löschen abstellen - aber dann blieben bei uns schonmal verwaiste Verzeichnisse übrig und ein zweites mit .001 (dann .002 .003 .004 usw.) wurde beim Anmelden angelegt. Das Microsoft Tool "User Profile Hive Cleanup Service" schafft da (meistens ... nicht immer!) Abhilfe. Das läuft bei uns seit Jahren.
Als ich irgendwann mal auf die glorreiche Idee kam, den Ordner "Eigene Dateien" etc. auf C:\temp zu verlagern (weil ich DACHTE, es würde dann vom abendlichen Speichern ausgenommen), bin ich damit gründlich auf die Nase gefallen. Denn dann zieht Windows die Dateien nach wie vor - nun allerdings auf c:\temp.
Dem Hinweis von JocheM gehe ich mal nach - Profilgröße beschränken. Frage/Angst: Die Größe können die User nicht abschätzen, da sie das Profil in der Regel selbst nicht wissentlich zumüllen. Der Hinweis: "Zu voll" wäre da also nicht hilfreich und liese nur bei mir wieder das Telefon heißlaufen ... Aber ich schaue mir das an.
"Eigene Dateien" sollten auch per GPO auf ein Server-Laufwerk umgebogen werden, so daß nichts mehr lokal liegt.
Ich dachte, der Sinn, die Eigenen Dateien und sonstigen Einstellungen, die diverse Anwendungen dort hinterlegen, wäre: Lokal laufen sie flotter als auf dem Serverlaufwerk. Würde ich mir hierdurch nicht eher noch mehr Stress machen?
"Verzeichnisse ausschließen" läuft unter einer Gruppenrichtlinie für den Benutzer
Welche Verzeichnisse schließt man sinnvollerweise denn aus und - wie?
Moin,
fangen wir von hinten an: sinnvollerweise schließt man "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp" aus. Das bedeutet, diese Verzeichnisse werden beim An- bzw. Abmelden nicht von/auf dem Server geladen/gespeichert. Warum auch, oder schlurrst Du Deinen Papierkorb aus dem Büro abends mit nach Hause und bringst ihn am nächsten Morgen wieder mit ins Büro?
Sinn und Zweck eines servergespeicherten Profils ist der, daß sich jeder User an jedem Rechner anmelden kann, da sein Benutzerprofil ja zentral gespeichert ist und nicht auf dem lokalen Client. Lokal liegt übrigens immer eine Kopie des Benutzerprofils und das wird auch nicht beim Abmelden gelöscht. Neuer User an einem Client bedeutet immer auch das Anlegen eines neuen Profils auf dem lokalen Rechner. Wenn sich fünf User einen Rechner "teilen", hast Du auch fünf Userprofile auf der Kiste.
Bei uns hat jeder User ein serverbasiertes Verzeichnis "Eigene Dateien" ( der Link "Eigene Dateien" auf dem PC ist umgebogen auf das Netzlaufwerk), in dem alle für die "Aufgabenerfülllung notwendigen" Dokumente abgelegt werden. Diese Verzeichnisse werden auch täglich mitgesichert. Raucht jetzt der PC ab, ist das kein Problem, da die Nutzdaten ja auf dem Server liegen und nicht lokal. Was der User dann lokal auf der Platte speichert, unterliegt voll und ganz seiner Verantwortung. Hat sich die Kiste irgendwas "gefangen", wird sie platt gemacht, ein Image kommt drauf und der Betrieb geht relativ störungsfrei weiter. Alles andere macht auch wenig Sinn, oder willst Du von allen Beteiligten die einzelnen Konfigurationen pflegen?
"Profil nicht wissentlich zumüllen" ist relativ. Allein schon eine blöde Java-Installation müllt per default-Einstellung das Profil derart zu, daß es nicht mehr schön ist. Sogar einige Anwendungsprogramme (Blackberry von RIM z.Bsp) gehen da ziemlich freizügig mit dem Platz um. Bei uns haben die User max. 30 MB Platz im Benutzerprofil, und die Auslastung liegt so bei 50% bis 60%. Es hat auch einige Zeit gekostet, bis der "Lernerfolg" da war, und die User nicht mal eben drei Videos auf dem Desktop abgelegt haben, "weil man so schneller drankommt". Aber irgendwann ist auch durch, das "Desktop" nicht der bevorzugte Ort für die Speicherung der Arbeitsergebnisse ist.
Laufen die Profile "über", so bekommt der Benutzer eine entsprechende Meldung und in einem Fenster werden ihm die Dateien angezeigt, die für den "Überlauf" verantwortlich sind. Da er sich in dem Zustand nicht ordnungsgemäß abmelden kann, muß er tätig werden. Sind diese daten systembedingt, ist es Aufgabe des Admins, für die Problemlösung zu sorgen. Sind die Probleme hausgemacht, muß der User zur Löschtaste greifen oder die Dateien an einem anderen Ort speichern. Zugegeben, da brauchts wieder eine zeitlang ein dickes Fell, aber dann ist Ruhe.
Gruß J chem
fangen wir von hinten an: sinnvollerweise schließt man "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp" aus. Das bedeutet, diese Verzeichnisse werden beim An- bzw. Abmelden nicht von/auf dem Server geladen/gespeichert. Warum auch, oder schlurrst Du Deinen Papierkorb aus dem Büro abends mit nach Hause und bringst ihn am nächsten Morgen wieder mit ins Büro?
Sinn und Zweck eines servergespeicherten Profils ist der, daß sich jeder User an jedem Rechner anmelden kann, da sein Benutzerprofil ja zentral gespeichert ist und nicht auf dem lokalen Client. Lokal liegt übrigens immer eine Kopie des Benutzerprofils und das wird auch nicht beim Abmelden gelöscht. Neuer User an einem Client bedeutet immer auch das Anlegen eines neuen Profils auf dem lokalen Rechner. Wenn sich fünf User einen Rechner "teilen", hast Du auch fünf Userprofile auf der Kiste.
Bei uns hat jeder User ein serverbasiertes Verzeichnis "Eigene Dateien" ( der Link "Eigene Dateien" auf dem PC ist umgebogen auf das Netzlaufwerk), in dem alle für die "Aufgabenerfülllung notwendigen" Dokumente abgelegt werden. Diese Verzeichnisse werden auch täglich mitgesichert. Raucht jetzt der PC ab, ist das kein Problem, da die Nutzdaten ja auf dem Server liegen und nicht lokal. Was der User dann lokal auf der Platte speichert, unterliegt voll und ganz seiner Verantwortung. Hat sich die Kiste irgendwas "gefangen", wird sie platt gemacht, ein Image kommt drauf und der Betrieb geht relativ störungsfrei weiter. Alles andere macht auch wenig Sinn, oder willst Du von allen Beteiligten die einzelnen Konfigurationen pflegen?
"Profil nicht wissentlich zumüllen" ist relativ. Allein schon eine blöde Java-Installation müllt per default-Einstellung das Profil derart zu, daß es nicht mehr schön ist. Sogar einige Anwendungsprogramme (Blackberry von RIM z.Bsp) gehen da ziemlich freizügig mit dem Platz um. Bei uns haben die User max. 30 MB Platz im Benutzerprofil, und die Auslastung liegt so bei 50% bis 60%. Es hat auch einige Zeit gekostet, bis der "Lernerfolg" da war, und die User nicht mal eben drei Videos auf dem Desktop abgelegt haben, "weil man so schneller drankommt". Aber irgendwann ist auch durch, das "Desktop" nicht der bevorzugte Ort für die Speicherung der Arbeitsergebnisse ist.
Laufen die Profile "über", so bekommt der Benutzer eine entsprechende Meldung und in einem Fenster werden ihm die Dateien angezeigt, die für den "Überlauf" verantwortlich sind. Da er sich in dem Zustand nicht ordnungsgemäß abmelden kann, muß er tätig werden. Sind diese daten systembedingt, ist es Aufgabe des Admins, für die Problemlösung zu sorgen. Sind die Probleme hausgemacht, muß der User zur Löschtaste greifen oder die Dateien an einem anderen Ort speichern. Zugegeben, da brauchts wieder eine zeitlang ein dickes Fell, aber dann ist Ruhe.
Gruß J
chem
Guten Abend,
erstmal herzlichen Dank für die ausführliche Erklärung - das hilft mir extrem weiter!!! Ich werde auch zu verschiedenen Punkten noch was fragen oder anmerken ... in unserem Netz herrschen "behördenbedingt" Restriktionen, die man sich kaum vorstellen kann. Der User kann nicht mal einen Rechtsklick auf dem Desktop machen. Das ist einerseits super, da die nix verstellen können. Wenn Du denen aber mal helfen mußt, bleibt Dir in ungünstigen Konstellationen nichts weiter übrig, als die in eine andere Policy-Gruppe zu ziehen, das Problem zu lösen und sie wieder zurückzuschieben, für die eingeschränkten Rechte. Ich sag da nur: Profile in Outlook 2000.
Aber bevor ich wieder zu weit aushole ;) hier meine konkrete Frage:
Das Speichern der temp-Intern.-Dateien ist denke ich unser Haupt-Problem. Unter "eigene Dateien" speichert kaum einer was (das machen dann schon die installierten Anwendungen mit ihren Settings...), die nutzten gemappte Laufwerke direkt auf dem Server. Jeder Abteilung für sich mit einzelnen Rechten.
Wenn ich nun, wie Du empfiehlst, "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp" ausschließen will - was genau tippe ich da im ADS in die Policy rein? Dort ist die Rede vom "relativen Pfad zum Benutzerpfad". Sorry, wenn ich blöd bin, aber für mich fängt da die Frage schon an, ob ich mit einem Backslash beginnen MUSS, DARF oder KANN. Da hier ja offenbar alle Eingaben akzeptiert werden, will ich nicht wissen, was das Ergebnis ist, wenn ich mich da vertippe. Oder kann ich das vorher testen? Also - was kommt korrekt rein ins Feld, wenn ich o. g. Bereiche ausklammern will?
Ein letztes für heute: Was passiert, wenn ich das morgen in der Policy eintrage ... und die User sich übermorgen so anmelden. Könnte es sein, daß ich DANN schon ein dickes Fell brauche, weil da irgend etwas schieflaufen könnte? ("Bei mir ist auf einmal .... weg!!!").
Viele Dank für Deine bisherige
... und hoffentlich weitere ...
Hilfe
(C)
erstmal herzlichen Dank für die ausführliche Erklärung - das hilft mir extrem weiter!!! Ich werde auch zu verschiedenen Punkten noch was fragen oder anmerken ... in unserem Netz herrschen "behördenbedingt" Restriktionen, die man sich kaum vorstellen kann. Der User kann nicht mal einen Rechtsklick auf dem Desktop machen. Das ist einerseits super, da die nix verstellen können. Wenn Du denen aber mal helfen mußt, bleibt Dir in ungünstigen Konstellationen nichts weiter übrig, als die in eine andere Policy-Gruppe zu ziehen, das Problem zu lösen und sie wieder zurückzuschieben, für die eingeschränkten Rechte. Ich sag da nur: Profile in Outlook 2000.
Aber bevor ich wieder zu weit aushole ;) hier meine konkrete Frage:
Das Speichern der temp-Intern.-Dateien ist denke ich unser Haupt-Problem. Unter "eigene Dateien" speichert kaum einer was (das machen dann schon die installierten Anwendungen mit ihren Settings...), die nutzten gemappte Laufwerke direkt auf dem Server. Jeder Abteilung für sich mit einzelnen Rechten.
Wenn ich nun, wie Du empfiehlst, "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp" ausschließen will - was genau tippe ich da im ADS in die Policy rein? Dort ist die Rede vom "relativen Pfad zum Benutzerpfad". Sorry, wenn ich blöd bin, aber für mich fängt da die Frage schon an, ob ich mit einem Backslash beginnen MUSS, DARF oder KANN. Da hier ja offenbar alle Eingaben akzeptiert werden, will ich nicht wissen, was das Ergebnis ist, wenn ich mich da vertippe. Oder kann ich das vorher testen? Also - was kommt korrekt rein ins Feld, wenn ich o. g. Bereiche ausklammern will?
Ein letztes für heute: Was passiert, wenn ich das morgen in der Policy eintrage ... und die User sich übermorgen so anmelden. Könnte es sein, daß ich DANN schon ein dickes Fell brauche, weil da irgend etwas schieflaufen könnte? ("Bei mir ist auf einmal .... weg!!!").
Viele Dank für Deine bisherige
... und hoffentlich weitere ...
Hilfe
(C)
Nabend
Da wird nichts gelöscht. Schaue mal auf dem Computer nach und du wirst normalerweise sauber für alle Benutzer einen Proilordner finden
Das das kompletter Unsinn war, hast du ja selber erkannt ;)
Ob das nun wirklich dein Problem löst, wage ich mal zu bezweifeln. Melden sich den ganzen Tag über andauernd die Leute an und ab ? Zu Zeiten, wo sich wahrscheinlich niemand gerade anmeldet hast du ja wohl auch Probleme. ABer es ist sicher auf jeden Fall sinnvoll, in die Profile Ordnung zu bringen.
Zuerst solltest du also mal kontrollieren, was in den Profilen den Speicherplatz ausmacht. Schon mit Windows 2000 hat Microsoft in den Richtlinien der Domäne festgelegt, dass bestimmte Ordner aus dem servergespeicherten Profil ausgeschlossen werden. Unter anderem auch der Ordner "Temporaray Internet Files" oder auch "Lokale Einstellungen". An solchen Ordnern sollte es also eigentlich nicht liegen. Es sei denn, da hat jemand an einer Richtlinie gschraubt, von der man erst mal die Fínger lassen sollte. Bevor du das nicht weißt, musst du dir um die weitere Konfiguration eigentlich keine Gedanken machen.
Zur Frage der Netzwerkbelastung bei umgeleiteten Eigenen Dateien stellt sich die Frage eigentlich nicht. Wenn du die Daten im Profil hast und sie alle andauernd hin und her kopierst, dann muss das doch zu einer wesentlich höheren Netzwerkauslastung führen.
In Anbetracht der Tatsache, dass du gerade ein etwas dringenderes Problem hast, würde ich die Sache mit den Profilen ganz sicher anders angehen. Warum startest du nich einfach mal einen "Versuchsballon" und deaktivierst die servergespeicherten Profile? Die Kollegen werden wohl mal für ein oder zwei Tage klarkommen, wenn sie sich mal nicht an jedem PC mit einem aktuellen Profil anmelden können. Schaue dann, on der Server zur Ruhe kommt.
Gruß
Hubert
Ich habe RoamingProfiles immer so verstanden: (....)
Man könnte wohl auch das Löschen abstellen - aber dann blieben bei uns schonmal verwaiste Verzeichnisse übrig
Man könnte wohl auch das Löschen abstellen - aber dann blieben bei uns schonmal verwaiste Verzeichnisse übrig
Da wird nichts gelöscht. Schaue mal auf dem Computer nach und du wirst normalerweise sauber für alle Benutzer einen Proilordner finden
Als ich irgendwann mal auf die glorreiche Idee kam, den Ordner "Eigene Dateien" etc. auf C:\temp zu verlagern
Das das kompletter Unsinn war, hast du ja selber erkannt ;)
Ob das nun wirklich dein Problem löst, wage ich mal zu bezweifeln. Melden sich den ganzen Tag über andauernd die Leute an und ab ? Zu Zeiten, wo sich wahrscheinlich niemand gerade anmeldet hast du ja wohl auch Probleme. ABer es ist sicher auf jeden Fall sinnvoll, in die Profile Ordnung zu bringen.
Zuerst solltest du also mal kontrollieren, was in den Profilen den Speicherplatz ausmacht. Schon mit Windows 2000 hat Microsoft in den Richtlinien der Domäne festgelegt, dass bestimmte Ordner aus dem servergespeicherten Profil ausgeschlossen werden. Unter anderem auch der Ordner "Temporaray Internet Files" oder auch "Lokale Einstellungen". An solchen Ordnern sollte es also eigentlich nicht liegen. Es sei denn, da hat jemand an einer Richtlinie gschraubt, von der man erst mal die Fínger lassen sollte. Bevor du das nicht weißt, musst du dir um die weitere Konfiguration eigentlich keine Gedanken machen.
Zur Frage der Netzwerkbelastung bei umgeleiteten Eigenen Dateien stellt sich die Frage eigentlich nicht. Wenn du die Daten im Profil hast und sie alle andauernd hin und her kopierst, dann muss das doch zu einer wesentlich höheren Netzwerkauslastung führen.
In Anbetracht der Tatsache, dass du gerade ein etwas dringenderes Problem hast, würde ich die Sache mit den Profilen ganz sicher anders angehen. Warum startest du nich einfach mal einen "Versuchsballon" und deaktivierst die servergespeicherten Profile? Die Kollegen werden wohl mal für ein oder zwei Tage klarkommen, wenn sie sich mal nicht an jedem PC mit einem aktuellen Profil anmelden können. Schaue dann, on der Server zur Ruhe kommt.
Gruß
Hubert
achja und...
die Werte, die der Systemmonitor ausgeworfen hat, bist du hier bislang schuldig geblieben.
Meiner bescheidenen Meinung nach, sehe ich da eher den Ansatz, als in den Profilen...
die Werte, die der Systemmonitor ausgeworfen hat, bist du hier bislang schuldig geblieben.
Meiner bescheidenen Meinung nach, sehe ich da eher den Ansatz, als in den Profilen...
Hallo und guten Morgen,
Ja und Nein. Es gibt eine Einstellung, die besagt, dass die Profile nach dem Abmelden schön sauber gelöscht werden. Auch das hat wieder Datenschutzgründe, da uns verboten ist, ggf. personenbezogene Daten auf den Festplatten zu hinterlassen. Manchmal funktioniert das auch - leider fiel mir das auf, als ich ohne Anmeldung per \\Computername\c$ mir schnell mal Daten da holen wollte, dass das Verzeichnis nicht existierte. Nach der Anmeldung waren die Verzeichnisse da - sie lagen halt im Profil. Es gibt aber auch User, bei denen das Löschen nicht geht. Bei einigen wird dann munter ein Profil nach dem anderen (auch für den gleichen User!) angelegt - die lauten dann Username.001, Username.002 und so weiter.
Aber ich habe verstanden: Dort im Profil Daten zu hinterlegen, die über normale Settings von Anwendungsprogrammen hinausgehen, ist Quatsch. Und das möchte ich abstellen. Was genau muß ich nun eintragen in dem ADS-Punkt "Ausschließen"? Ich will folgendes raus haben: "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp.
Glaub mir, das werden sie nicht ... wenn ich die Profile rausnehme, sind die Drucker weg und diverse andere Dinge, an die sonst keiner mehr drankommt. Siehe bisherige Posts: Minimale Rechte, nicht einmal Rechtsklick auf Desktop oder abgespeckte Systemsteuerung sind möglich.
Da wird nichts gelöscht. Schaue mal auf dem Computer nach und du wirst normalerweise sauber für alle Benutzer einen Proilordner finden
Ja und Nein. Es gibt eine Einstellung, die besagt, dass die Profile nach dem Abmelden schön sauber gelöscht werden. Auch das hat wieder Datenschutzgründe, da uns verboten ist, ggf. personenbezogene Daten auf den Festplatten zu hinterlassen. Manchmal funktioniert das auch - leider fiel mir das auf, als ich ohne Anmeldung per \\Computername\c$ mir schnell mal Daten da holen wollte, dass das Verzeichnis nicht existierte. Nach der Anmeldung waren die Verzeichnisse da - sie lagen halt im Profil. Es gibt aber auch User, bei denen das Löschen nicht geht. Bei einigen wird dann munter ein Profil nach dem anderen (auch für den gleichen User!) angelegt - die lauten dann Username.001, Username.002 und so weiter.
Aber ich habe verstanden: Dort im Profil Daten zu hinterlegen, die über normale Settings von Anwendungsprogrammen hinausgehen, ist Quatsch. Und das möchte ich abstellen. Was genau muß ich nun eintragen in dem ADS-Punkt "Ausschließen"? Ich will folgendes raus haben: "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp.
Die Kollegen werden wohl mal für ein oder zwei Tage klarkommen, wenn sie sich mal nicht an jedem PC mit einem aktuellen Profil anmelden können
Glaub mir, das werden sie nicht ... wenn ich die Profile rausnehme, sind die Drucker weg und diverse andere Dinge, an die sonst keiner mehr drankommt. Siehe bisherige Posts: Minimale Rechte, nicht einmal Rechtsklick auf Desktop oder abgespeckte Systemsteuerung sind möglich.
Zitat von @Hubert.N:
achja und...
die Werte, die der Systemmonitor ausgeworfen hat, bist du hier bislang schuldig geblieben.
Meiner bescheidenen Meinung nach, sehe ich da eher den Ansatz, als in den Profilen...
achja und...
die Werte, die der Systemmonitor ausgeworfen hat, bist du hier bislang schuldig geblieben.
Meiner bescheidenen Meinung nach, sehe ich da eher den Ansatz, als in den Profilen...
Das Problem hat sich relativiert: Ich habe festgestellt, dass der Virenscanner - der bisher ab 2.00 Uhr morgens jeden Freitag (wer das damals so entschieden hat....?!) startet. Da wir heute wesentlich mehr Daten drauf haben als zum Zeitpunkt der Installation, dauerte das immer länger - zuletzt teilweise bis 10.30 Uhr. Da der Virenscanner nicht zu sehen war, habe ich es über einen Erledigt-Vermerk im Ereignisprotokoll bemerkt. Nun läuft er am Wochenende. Wohl gemerkt: Ein Real-Time-Scan ist dauernd im Einsatz. Hier ging es um den Bestands-Scan.
Seither ist Ruhe auf den Platten. Allerdings ist diese Ruhe gestern morgen plötzlich beendet gewesen, als sich etwa 5 User mehr oder minder gleichzeitig angemeldet haben. Längster Anmelde (Profil-Zieh)-Vorganges: 12 Minunten. Das Profil dieses Kollegen beinhaltete dann allerdings beim näheren Betrachten unter anderem eine Video-Datei von einigen MB. Gesamtgröße des Profils: 121 MB.
Ich glaube daher weiterhin an die Profile als zusätzliche Ursache. Auch aus einem anderen Grund:
Der betroffene 12-Minuten-Kollege brach dann natürlich mutig seinen Hochfahrprozess mit OFF-Schalter ab. Und ich wundere mich, warum auf seinem Rechner dann 2 Profile mit Tagesdatum waren... Nachdem ich da aufgeräumt hatte, fuhr der Rechner auch wesentlich (!!!) schneller hoch. Heute morgen erreichte mich seine Mail: "Es ist wieder alles beim Alten...". Das wird Tagesaufgabe für morgen werden, fürchte ich ...
Ach ja ... unser System wurde 2005 installiert. Das, was wir eingespart habe, habe ich an Nerven gelassen, fürchte ich
Moin,
wenn Du bereits nach den Pfaden fragst, hast Du die passende GPO schon gefunden. Ist diese denn auch aktiv? Bei den Eigenschaften gibt es die drei Aktionsbuttons "Nicht konfiguriert", "Aktiviert" und "Deaktiviert". Standard-Einstellung ist "Nicht konfiguriert"!
Ich hab hier einen W2K8-Server und vorher war ein W2K-Server da. Bei W2K mussten die Verzeichnisse noch explizit angegeben werden, laut Hilfe muß das beim W2K8 nicht mehr gemacht werden. Evtl. sind die Verzeichnisse beim W2K3 ebenfalls schon standardmäßig eingetragen.
Die Verzeichnisse unterhalb von %username% sollten dann ohne Backslash angegeben werden; bei W2K waren die Verzeichnise auch nur namentlich aufgelistet, ohne vorangestellten Backslash. Und auch die Hilfe listet die Verzeichnisse so auf.
121 MB Profilgröße *LOL*, jetzt weißt Du warum ich diese restriktive Größenbeschränkung gesetzt habe. Du brauchst nur vier fünf User zu haben, die derartige "Dateien" nutzen, schon steht Dein Netz morgens beim Anmelden.
Wenn auf den Clients immer wieder Profile der Art Username.001, Username.002 etc. angelegt werden, stimmt etwas mit den Profileinstellungen auf dem Server nicht. Ich würde bei den user die Profile mal neu anlegen , also Benutzerprofil auf dem Server umbenennen und alle Benutzerprofile.nnn auf dem Client löschen. Beim nächsten Anmelden bastelt das System aus dem "Default User" und dem "All Users" ein neues Benutzerprofil (OK, alle "persönlichen" Einstellungen sind dann weg, aber die richtest Du ja nicht jeden Tag neu ein. Evtl mal über Logon-Scripte und allgemeine Einstellungen nachgedacht?)
Nur mal aus reiner Neugier: In welcher Art von "Hochsicherheitstrakt" ist Deine Behörde angesiedelt? Wenn ich lese "da uns verboten ist, ggf. personenbezogene Daten auf den Festplatten zu hinterlassen" frage ich mich, mit welchen überaus geheimen, personenbezogenen Daten arbeitest Du da? Nutzdaten haben auf der lokalen Festplatte nichts zu suchen, dafür sind Netzwerklaufwerke da. Wenn dann trotzdem jemand meint, daß er Daten lokal speichern muß, kann er das in seinem Profil machen oder eben auch sonstwo auf der Platte. Nur deswegen jedesmal dass Profil beim Abmelden löschen und beim Anmelden wieder erstellen lassen, das macht in meinen Augen keinen Sinn und ist servertechnisch gesehen eher kontraproduktiv. Nicht nur das An- und Abmelden zieht sich, auch die Belastung der Platten steigt unnötigerweise.
Ich sehe die "personenebezogenen Daten" als Fremddaten, also Daten von Behördenfremden. Die Daten der eigenen MitarbeiterInnen sind auf den PCs aufgrund der Profile ja gegenseitig geschützt, also kann UserA nicht sehen, was UserB in seinem Profil stehen hat. Insoweit macht diese Paranoia für mich keinen Sinn. Aber vielleicht sehe ich das aus einer falschen Perspektive. Wenn Dir eine Antwort hier zu heikel ist, kann ich das verstehen. Ich arbeite auch in einer "Behörde", nur vermutlich sehr viel kleiner als bei Dir.
BTW: Du sprichst von "Roaming Profiles". Sind die Profile der User .USR oder .MAN Profile? Ich will hoffen, es sind .MAN.
Gruß J chem
wenn Du bereits nach den Pfaden fragst, hast Du die passende GPO schon gefunden. Ist diese denn auch aktiv? Bei den Eigenschaften gibt es die drei Aktionsbuttons "Nicht konfiguriert", "Aktiviert" und "Deaktiviert". Standard-Einstellung ist "Nicht konfiguriert"!
Ich hab hier einen W2K8-Server und vorher war ein W2K-Server da. Bei W2K mussten die Verzeichnisse noch explizit angegeben werden, laut Hilfe muß das beim W2K8 nicht mehr gemacht werden. Evtl. sind die Verzeichnisse beim W2K3 ebenfalls schon standardmäßig eingetragen.
Die Verzeichnisse unterhalb von %username% sollten dann ohne Backslash angegeben werden; bei W2K waren die Verzeichnise auch nur namentlich aufgelistet, ohne vorangestellten Backslash. Und auch die Hilfe listet die Verzeichnisse so auf.
121 MB Profilgröße *LOL*, jetzt weißt Du warum ich diese restriktive Größenbeschränkung gesetzt habe. Du brauchst nur vier fünf User zu haben, die derartige "Dateien" nutzen, schon steht Dein Netz morgens beim Anmelden.
Wenn auf den Clients immer wieder Profile der Art Username.001, Username.002 etc. angelegt werden, stimmt etwas mit den Profileinstellungen auf dem Server nicht. Ich würde bei den user die Profile mal neu anlegen , also Benutzerprofil auf dem Server umbenennen und alle Benutzerprofile.nnn auf dem Client löschen. Beim nächsten Anmelden bastelt das System aus dem "Default User" und dem "All Users" ein neues Benutzerprofil (OK, alle "persönlichen" Einstellungen sind dann weg, aber die richtest Du ja nicht jeden Tag neu ein. Evtl mal über Logon-Scripte und allgemeine Einstellungen nachgedacht?)
Nur mal aus reiner Neugier: In welcher Art von "Hochsicherheitstrakt" ist Deine Behörde angesiedelt? Wenn ich lese "da uns verboten ist, ggf. personenbezogene Daten auf den Festplatten zu hinterlassen" frage ich mich, mit welchen überaus geheimen, personenbezogenen Daten arbeitest Du da? Nutzdaten haben auf der lokalen Festplatte nichts zu suchen, dafür sind Netzwerklaufwerke da. Wenn dann trotzdem jemand meint, daß er Daten lokal speichern muß, kann er das in seinem Profil machen oder eben auch sonstwo auf der Platte. Nur deswegen jedesmal dass Profil beim Abmelden löschen und beim Anmelden wieder erstellen lassen, das macht in meinen Augen keinen Sinn und ist servertechnisch gesehen eher kontraproduktiv. Nicht nur das An- und Abmelden zieht sich, auch die Belastung der Platten steigt unnötigerweise.
Ich sehe die "personenebezogenen Daten" als Fremddaten, also Daten von Behördenfremden. Die Daten der eigenen MitarbeiterInnen sind auf den PCs aufgrund der Profile ja gegenseitig geschützt, also kann UserA nicht sehen, was UserB in seinem Profil stehen hat. Insoweit macht diese Paranoia für mich keinen Sinn. Aber vielleicht sehe ich das aus einer falschen Perspektive. Wenn Dir eine Antwort hier zu heikel ist, kann ich das verstehen. Ich arbeite auch in einer "Behörde", nur vermutlich sehr viel kleiner als bei Dir.
BTW: Du sprichst von "Roaming Profiles". Sind die Profile der User .USR oder .MAN Profile? Ich will hoffen, es sind .MAN.
Gruß J
chem
Moin,
so - bin aus dem Urlaub zurück. Heute morgen wieder Panik: Ein Anwender konnte eine Stunde nicht arbeiten, weil der PC so lange hochfuhrt... Also herzlich willkommen zurück in der Realität...
Aktueller Stand:
- Virenscanner kommt dem laufenden Serverbetrieb nicht mehr in die Quere - läuft jetzt komplett außerhalb der Dienstzeiten
- dennoch morgens erhebliche Verzögerungen, während denen die Server-Disk-Lampen nicht mehr flackern, sondern LEUCHTEN
- ich zweifle immer mehr an der Sinnhaftigkeit von Roaming Profiles ... nur leider stecken wir in dem Thema schon viel zu tief drin
- nächstes Jahr bekommen wir eine neue EDV-Anlage (ich bastel hier nicht mehr viel rum jetzt)
@Jochem: danke für die Ausführungen. Ich habe natüüürlich ;) die GPO schon gefunden. Wir haben viele davon - der "Installateur" von damals hat das so eingereichtet, dass es eine für das Unternehmen gibt, eine für Nicht-internet-Berechtigte und eine für Internetberechtigte. Da wird bei uns noch unterschieden. Die Internet-Jungs sind am lahmsten. Macht Sinn. Und natürlich ist die Eigenschaft vorerst nicht konfiguriert. Das mache ich erst, wenn ich das irgendwo in einer Testpolicy ordentlich zum Laufen gebracht habe - ist ja klar. Ich muß nur GENAU wissen, was ich da reinklimpern soll. Das Feld erwartet eine reine Eingabe per Tastatur ... Vorgaben sind dort keine. Kann ich hier Screenshots posten?
Mein Plan:
- ich will die Profile kleiner kriegen
- Profil-Restriktionen machen nur Sinn, wenn ich es schaffe, den User intellektuell in die Lage zu versetzen, im Falle einer Profilgrößen-Meldung auszuschalten...
- ggf. könnte ich mir auch vorstellen, von den Roaming Profiles weg zu gehen ... aber
Warum ich nicht von den RP weg "kann":
- Settings wären alle weg: Es sind nicht nur die Druckereinrichtungen (die kann man ja auch per Script einbinden), sondern dort z. B. auch die Schachtzuordnungen da. Das Gäbe 30 x Handarbeit und viel Gemecker, wenn das auf einmal morgens alles falsch druckt (Briefe nicht mehr auf Logo-Papier etc.). Ich habe leider keine 60 Hände.
- Usereinstellungen werden für Briefe verwendet (Benutzererinstellungen von Word z. B. als Feld in der Unterschrift etc.) - die wären beim Löschen der Profiles weg.
- manche User wechseln schonmal auf einen freien anderen Arbeitsplatz -PC
- wir haben Azubis, die teilw. an allen freien Plätzen mal arbeiten müssen
Aber: Ich will mal in Ruhe überdenken, was das im einzelnen noch alles ist. Login-Scripte haben wir ja ohnehin im Einsatz - die müsste man dafür ggf. ja nur etwas aufbohren. Ob ich allerdinsg die Schachtzuordnungen für die Drucker (Standard = xxx - Schacht usw.) so hinkriege, weiß ich nicht.
Gegenfrage @Jochem: (Du hast es sicher schon geahnt): Was ist USR und was ist MAN? Und wie stell ich das ein? *hilfe*
(C)
Nachtrag 08.03.2011: Ich habe bei meiner Google-Suche einen Artikel gefunden, in dem ein Experte ganz genau beschreibt, wie man einen Teil des Profils in einen Netzwerkordner verlagert. Wunderbar - das werde ich gleich nächste Woche testen und mich hier wieder melden. Dennoch - die Frage bleibt: Was sind USR bzw. MAN Profile?
so - bin aus dem Urlaub zurück. Heute morgen wieder Panik: Ein Anwender konnte eine Stunde nicht arbeiten, weil der PC so lange hochfuhrt... Also herzlich willkommen zurück in der Realität...
Aktueller Stand:
- Virenscanner kommt dem laufenden Serverbetrieb nicht mehr in die Quere - läuft jetzt komplett außerhalb der Dienstzeiten
- dennoch morgens erhebliche Verzögerungen, während denen die Server-Disk-Lampen nicht mehr flackern, sondern LEUCHTEN
- ich zweifle immer mehr an der Sinnhaftigkeit von Roaming Profiles ... nur leider stecken wir in dem Thema schon viel zu tief drin
- nächstes Jahr bekommen wir eine neue EDV-Anlage (ich bastel hier nicht mehr viel rum jetzt)
@Jochem: danke für die Ausführungen. Ich habe natüüürlich ;) die GPO schon gefunden. Wir haben viele davon - der "Installateur" von damals hat das so eingereichtet, dass es eine für das Unternehmen gibt, eine für Nicht-internet-Berechtigte und eine für Internetberechtigte. Da wird bei uns noch unterschieden. Die Internet-Jungs sind am lahmsten. Macht Sinn. Und natürlich ist die Eigenschaft vorerst nicht konfiguriert. Das mache ich erst, wenn ich das irgendwo in einer Testpolicy ordentlich zum Laufen gebracht habe - ist ja klar. Ich muß nur GENAU wissen, was ich da reinklimpern soll. Das Feld erwartet eine reine Eingabe per Tastatur ... Vorgaben sind dort keine. Kann ich hier Screenshots posten?
Mein Plan:
- ich will die Profile kleiner kriegen
- Profil-Restriktionen machen nur Sinn, wenn ich es schaffe, den User intellektuell in die Lage zu versetzen, im Falle einer Profilgrößen-Meldung auszuschalten...
- ggf. könnte ich mir auch vorstellen, von den Roaming Profiles weg zu gehen ... aber
Warum ich nicht von den RP weg "kann":
- Settings wären alle weg: Es sind nicht nur die Druckereinrichtungen (die kann man ja auch per Script einbinden), sondern dort z. B. auch die Schachtzuordnungen da. Das Gäbe 30 x Handarbeit und viel Gemecker, wenn das auf einmal morgens alles falsch druckt (Briefe nicht mehr auf Logo-Papier etc.). Ich habe leider keine 60 Hände.
- Usereinstellungen werden für Briefe verwendet (Benutzererinstellungen von Word z. B. als Feld in der Unterschrift etc.) - die wären beim Löschen der Profiles weg.
- manche User wechseln schonmal auf einen freien anderen Arbeitsplatz -PC
- wir haben Azubis, die teilw. an allen freien Plätzen mal arbeiten müssen
Aber: Ich will mal in Ruhe überdenken, was das im einzelnen noch alles ist. Login-Scripte haben wir ja ohnehin im Einsatz - die müsste man dafür ggf. ja nur etwas aufbohren. Ob ich allerdinsg die Schachtzuordnungen für die Drucker (Standard = xxx - Schacht usw.) so hinkriege, weiß ich nicht.
Gegenfrage @Jochem: (Du hast es sicher schon geahnt): Was ist USR und was ist MAN? Und wie stell ich das ein? *hilfe*
(C)
Nachtrag 08.03.2011: Ich habe bei meiner Google-Suche einen Artikel gefunden, in dem ein Experte ganz genau beschreibt, wie man einen Teil des Profils in einen Netzwerkordner verlagert. Wunderbar - das werde ich gleich nächste Woche testen und mich hier wieder melden. Dennoch - die Frage bleibt: Was sind USR bzw. MAN Profile?
Moin,
so, auch ich hab meinen restlichen Jahresurlaub aus dem abgelaufenen Jahr jetzt hinter mir und auch der Schreibtisch sieht nach ein paar Tagen nicht mehr allzu unaufgeräumt aus.
Tja, .USR und .MAN, das ist hier die Frage, und da geht es schon los: mea culpa, denn das Ding heißt .DAT und nicht .USR.
Also wenn sich der User zum ersten Mal an einem Client in der Domäne anmeldet, bastelt das System aus dem "Default"-Profil und dem "All Users"-Profil und den Angeben aus dem AD ein User-Profil. Dies steht dann unter "Dokumente und Einstellungen - Username" und enthält u.a. eine Datei namens "ntuser.dat ". Beim Abmelden wird dieses Profil dann auf den Server ins Verzeichnis "Profiles" zurückgeschrieben. Bis zu diesem Zeitpunkt ist das Profil dann noch "editierbar", das heißt, Änderungen, die lokal vorgenommen werden (Ablegen einer Datei auf dem Deskzop z. Bsp.) werden immer auf den Server zurückgeschrieben.
Geht der Admin nun hin und benennt im Profiles-Ordner auf dem Server die "ntuser.dat" in dem jeweiligen User-Profil in "ntuser.man" um, sind beim nächsten Anmelden Änderungen am Profil nicht mehr möglich. Das bedeutet, daß eine Datei, welche heute auf dem Desktop abgelegt wurde, nur bis zum Abmelden dort verbleibt. Beim nächsten Anmelden ist sie auf dem Desktop nicht mehr vorhanden. Das funktioniett aber nur, wenn im lokalen User-Verzeichnis keine "ntuser.dat" mehr vorhanden ist. Existiert diese Datei noch, wird die .DAT vor der .MAN herangezogen und Du hast nichts gewonnen.
Grundsätzlich arbeitet der User mit einer lokalen Kopier des servergespeicherten Profils. Sofern in dem MANdatory-Profil des Users alle "lebenswichtigen" Einstellungen vorhanden sind, ist ein Zurückschreiben des Profils eigentlich nicht mehr notwendig. Dies bedingt natürlich andererseits, daß bei wechselnden Benutzer an einem Client mehrere Profile auf dem Client abgelegt werden und auch dort verbleiben. Da müßte dann, wenn so gewollt, Deine Löschroutine wieder zuschlagen.
Ich würde vorschlagen, Du baust Dir einen Test-Client mit einem madatory Profil, bei dem Du zunächst mal alle GPO-Restriktionen weglässt. dann sehen, was passiert und wo Du die Riegel vorschieben mußt. Und vor allem: Jede Änderung/Einstellung zumindest nachhalten und wenn sie erfolgreich war, dokumentieren. Sonst stehts Du in zwei Monaten wieder da, wo Du heute stehst.
Gruß J chem
so, auch ich hab meinen restlichen Jahresurlaub aus dem abgelaufenen Jahr jetzt hinter mir und auch der Schreibtisch sieht nach ein paar Tagen nicht mehr allzu unaufgeräumt aus.
Tja, .USR und .MAN, das ist hier die Frage, und da geht es schon los: mea culpa, denn das Ding heißt .DAT und nicht .USR.
Also wenn sich der User zum ersten Mal an einem Client in der Domäne anmeldet, bastelt das System aus dem "Default"-Profil und dem "All Users"-Profil und den Angeben aus dem AD ein User-Profil. Dies steht dann unter "Dokumente und Einstellungen - Username" und enthält u.a. eine Datei namens "ntuser.dat ". Beim Abmelden wird dieses Profil dann auf den Server ins Verzeichnis "Profiles" zurückgeschrieben. Bis zu diesem Zeitpunkt ist das Profil dann noch "editierbar", das heißt, Änderungen, die lokal vorgenommen werden (Ablegen einer Datei auf dem Deskzop z. Bsp.) werden immer auf den Server zurückgeschrieben.
Geht der Admin nun hin und benennt im Profiles-Ordner auf dem Server die "ntuser.dat" in dem jeweiligen User-Profil in "ntuser.man" um, sind beim nächsten Anmelden Änderungen am Profil nicht mehr möglich. Das bedeutet, daß eine Datei, welche heute auf dem Desktop abgelegt wurde, nur bis zum Abmelden dort verbleibt. Beim nächsten Anmelden ist sie auf dem Desktop nicht mehr vorhanden. Das funktioniett aber nur, wenn im lokalen User-Verzeichnis keine "ntuser.dat" mehr vorhanden ist. Existiert diese Datei noch, wird die .DAT vor der .MAN herangezogen und Du hast nichts gewonnen.
Grundsätzlich arbeitet der User mit einer lokalen Kopier des servergespeicherten Profils. Sofern in dem MANdatory-Profil des Users alle "lebenswichtigen" Einstellungen vorhanden sind, ist ein Zurückschreiben des Profils eigentlich nicht mehr notwendig. Dies bedingt natürlich andererseits, daß bei wechselnden Benutzer an einem Client mehrere Profile auf dem Client abgelegt werden und auch dort verbleiben. Da müßte dann, wenn so gewollt, Deine Löschroutine wieder zuschlagen.
Ich würde vorschlagen, Du baust Dir einen Test-Client mit einem madatory Profil, bei dem Du zunächst mal alle GPO-Restriktionen weglässt. dann sehen, was passiert und wo Du die Riegel vorschieben mußt. Und vor allem: Jede Änderung/Einstellung zumindest nachhalten und wenn sie erfolgreich war, dokumentieren. Sonst stehts Du in zwei Monaten wieder da, wo Du heute stehst.
Gruß J
chem
