Windows Server 2003 - RAID-Festplattensystem - Festplatten laufen ständig - User bemängeln Performance im Netz
Die Anwender in unserer Firma (ca. 30 User) beschweren sich seit einiger Zeit über "lahmes Netzwerk". Zunächst schob ich das Problem auf die Tatsache, dass wir Roaming Profiles einsetzen und sich alle morgens zwischen 7.00 - 7.30 Uhr anmelden. Leider beschränkt sich der Performance-Einbruch aber nicht (mehr) auf diese Zeit.
2 x Server 2003 (Standard Edition), Windows XP Clients (SP2), HP-Raid-System *) in beiden Servern. Einer als Fileserver, einer als Kommunikationsserver.
Der Fileserver rödelt ständig auf den Festplatten herum, der Kommun.-Server hat mehr oder minder langeweile. Teilweise ist an der Konsole des FS schon zu merken, dass der ausgelastet ist (langsam). Die Prozessse bringen mich aber nicht weiter - demnach stirbt der vor Langeweile...
Netzwerkauslastung ist gleichbleibend unspektakulär (1Gig-Bit Netzwerk), weit unterhalb von 12 %. Daher frage ich mich: Was bitteschön machen die Festplatten da?
Versuche bisher
- Virenscanner abgeschaltet, Festplatten beobachtet - kein Unterschied
- Windows-Shadow-Copy-Dienst deaktiviert - kein Unterscheid
- Replikationen und Spiegelungen (Server 1 spiegelt auf 2) auf nachts gesetzt und testweise deaktiviert
Nun: Ich bin etwas ratlos ...
*) RAID-5
2 x Server 2003 (Standard Edition), Windows XP Clients (SP2), HP-Raid-System *) in beiden Servern. Einer als Fileserver, einer als Kommunikationsserver.
Der Fileserver rödelt ständig auf den Festplatten herum, der Kommun.-Server hat mehr oder minder langeweile. Teilweise ist an der Konsole des FS schon zu merken, dass der ausgelastet ist (langsam). Die Prozessse bringen mich aber nicht weiter - demnach stirbt der vor Langeweile...
Netzwerkauslastung ist gleichbleibend unspektakulär (1Gig-Bit Netzwerk), weit unterhalb von 12 %. Daher frage ich mich: Was bitteschön machen die Festplatten da?
Versuche bisher
- Virenscanner abgeschaltet, Festplatten beobachtet - kein Unterschied
- Windows-Shadow-Copy-Dienst deaktiviert - kein Unterscheid
- Replikationen und Spiegelungen (Server 1 spiegelt auf 2) auf nachts gesetzt und testweise deaktiviert
Nun: Ich bin etwas ratlos ...
*) RAID-5
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162452
Url: https://administrator.de/contentid/162452
Ausgedruckt am: 13.11.2024 um 12:11 Uhr
24 Kommentare
Neuester Kommentar
Moin,
Ich auch ..... weil: da fehlen noch ein paar unspektakuläre Infos:
- "HP-RAID-System" ist eine ganz tolle Definition; was denn: 0,1,5,10 oder, oder, oder?
- XP mit SP2 ist mehr als "outdatet", wie wärs mit SP3?
- Was steckt an RAM in der Kiste Fileserver?
Ohne jetzt genau zu wissen, was ist, möchte ich mal behaupten: das kann nicht sein. Festplatten laufen nicht "just for fun", sondern nur auf Anforderung. Also hät irgendein Prozeß diese auf Trab. Was sagt denn das RAID-Utility? Ist alles noch im grünen Bereich oder verabschiedet sich da eine Platte und das System versucht zu retten, was zu retten ist?
Gruß J chem
Ich bin etwas ratlos ...
Ich auch ..... weil: da fehlen noch ein paar unspektakuläre Infos:
- "HP-RAID-System" ist eine ganz tolle Definition; was denn: 0,1,5,10 oder, oder, oder?
- XP mit SP2 ist mehr als "outdatet", wie wärs mit SP3?
- Was steckt an RAM in der Kiste Fileserver?
Teilweise ist an der Konsole des FS schon zu merken, dass der ausgelastet ist (langsam). Die Prozessse bringen mich aber nicht weiter - demnach stirbt der vor Langeweile...
Ohne jetzt genau zu wissen, was ist, möchte ich mal behaupten: das kann nicht sein. Festplatten laufen nicht "just for fun", sondern nur auf Anforderung. Also hät irgendein Prozeß diese auf Trab. Was sagt denn das RAID-Utility? Ist alles noch im grünen Bereich oder verabschiedet sich da eine Platte und das System versucht zu retten, was zu retten ist?
Gruß J chem
Und - wie ist das Befinden des Servers heute ?
War ein paar Tage "out of order"...
Die Leistungsüberwachung findest du in der Verwaltung. Einfach starten und die ersten drei Werte geben dir auch den ersten Anhaltspunkt. Prozessorzeit, Warteschlangenlänge und Seiten/S sind Basisindikatoren, die dir bei der Fehlersuche helfen.
Der Wert für Seiten/S sollte unter 20 Seiten/s bleiben. Alles, was drüber ist deutet auf ein Problem mit dem Arbeitsspeicher hin.
Sitze hier gerade bei einem Kunden und habe ein ähnlich gelagertes Problem. In meinem Fall gehe ich davon aus, dass die Sicherungssoftware schuld ist. Arcserve 11.5 hat einen Bug, der das Festplattensystem mit temporären Dateien flutet.
Damit will ich andeuten, dass das aus wirklich allen möglichen Ecken kommen kann. Soltest du also Arcserve 11.5 im Einsatz haben, dann schaue nach, ob du Zugriff auf das Rootverzeichnis des Servers hast ;)
Gruß
Hubert
War ein paar Tage "out of order"...
Die Leistungsüberwachung findest du in der Verwaltung. Einfach starten und die ersten drei Werte geben dir auch den ersten Anhaltspunkt. Prozessorzeit, Warteschlangenlänge und Seiten/S sind Basisindikatoren, die dir bei der Fehlersuche helfen.
Der Wert für Seiten/S sollte unter 20 Seiten/s bleiben. Alles, was drüber ist deutet auf ein Problem mit dem Arbeitsspeicher hin.
Sitze hier gerade bei einem Kunden und habe ein ähnlich gelagertes Problem. In meinem Fall gehe ich davon aus, dass die Sicherungssoftware schuld ist. Arcserve 11.5 hat einen Bug, der das Festplattensystem mit temporären Dateien flutet.
Damit will ich andeuten, dass das aus wirklich allen möglichen Ecken kommen kann. Soltest du also Arcserve 11.5 im Einsatz haben, dann schaue nach, ob du Zugriff auf das Rootverzeichnis des Servers hast ;)
Gruß
Hubert
Moin,
"Verzeichnisse ausschließen" läuft unter einer Gruppenrichtlinie für den Benutzer. Siehe Per GPO Verzeichnisse aus dem Benutzerprofil ausschließen.
"Profilgröße berschränken" steht in derselebn Ecke (GPO Benutzer).
"Eigene Dateien" sollten auch per GPO auf ein Server-Laufwerk umgebogen werden, so daß nichts mehr lokal liegt.
Ohne jetzt genau zu wissen (Dokumentation?), was der IT-Profi da "verbrochen" hat, ist es relativ schwierig, hier irgendwas zur Sachlage beizutragen. Warum jetzt "Eigene Dateien", wenn sie nicht mehr in "C:\Dokumente und Einstellungen\&username%" liegen, dorthin wieder zurückgeschrieben werden und dann generell am alten Platz gelöscht werden, ist nur nachvollziehbar, wenn man weiß, welche Änderungen an den Policies gemacht wurden. Also entweder in die Doku schauen, den Ex-Spezi fragen oder über die Ochsentour sich die Verzeichnisse und die darauf angewendeten Policies ansehen.
Gruß J chem
"Verzeichnisse ausschließen" läuft unter einer Gruppenrichtlinie für den Benutzer. Siehe Per GPO Verzeichnisse aus dem Benutzerprofil ausschließen.
"Profilgröße berschränken" steht in derselebn Ecke (GPO Benutzer).
"Eigene Dateien" sollten auch per GPO auf ein Server-Laufwerk umgebogen werden, so daß nichts mehr lokal liegt.
Ohne jetzt genau zu wissen (Dokumentation?), was der IT-Profi da "verbrochen" hat, ist es relativ schwierig, hier irgendwas zur Sachlage beizutragen. Warum jetzt "Eigene Dateien", wenn sie nicht mehr in "C:\Dokumente und Einstellungen\&username%" liegen, dorthin wieder zurückgeschrieben werden und dann generell am alten Platz gelöscht werden, ist nur nachvollziehbar, wenn man weiß, welche Änderungen an den Policies gemacht wurden. Also entweder in die Doku schauen, den Ex-Spezi fragen oder über die Ochsentour sich die Verzeichnisse und die darauf angewendeten Policies ansehen.
Gruß J chem
Moin
Die Kurve für Seiten/S wäre schon interessant. Wenn die sich bei 100 einpegelt, bedeutet das nur, dass sie definitiv zu hoch ist. 1. kann man die Darstellung anpassen 2. interessiert in erster Linie der Wert, der am unteren Bildschirmrand deer Leistungsüberwachuing dargestellt wird.
Wenn der Wert konstant zu hoch ist, dann ist das auf jeden Fall ein Ansatzpunkt für die weitere Suche.
Gruß
Hubert
Die Kurve für Seiten/S wäre schon interessant. Wenn die sich bei 100 einpegelt, bedeutet das nur, dass sie definitiv zu hoch ist. 1. kann man die Darstellung anpassen 2. interessiert in erster Linie der Wert, der am unteren Bildschirmrand deer Leistungsüberwachuing dargestellt wird.
Wenn der Wert konstant zu hoch ist, dann ist das auf jeden Fall ein Ansatzpunkt für die weitere Suche.
Gruß
Hubert
Moin,
fangen wir von hinten an: sinnvollerweise schließt man "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp" aus. Das bedeutet, diese Verzeichnisse werden beim An- bzw. Abmelden nicht von/auf dem Server geladen/gespeichert. Warum auch, oder schlurrst Du Deinen Papierkorb aus dem Büro abends mit nach Hause und bringst ihn am nächsten Morgen wieder mit ins Büro?
Sinn und Zweck eines servergespeicherten Profils ist der, daß sich jeder User an jedem Rechner anmelden kann, da sein Benutzerprofil ja zentral gespeichert ist und nicht auf dem lokalen Client. Lokal liegt übrigens immer eine Kopie des Benutzerprofils und das wird auch nicht beim Abmelden gelöscht. Neuer User an einem Client bedeutet immer auch das Anlegen eines neuen Profils auf dem lokalen Rechner. Wenn sich fünf User einen Rechner "teilen", hast Du auch fünf Userprofile auf der Kiste.
Bei uns hat jeder User ein serverbasiertes Verzeichnis "Eigene Dateien" ( der Link "Eigene Dateien" auf dem PC ist umgebogen auf das Netzlaufwerk), in dem alle für die "Aufgabenerfülllung notwendigen" Dokumente abgelegt werden. Diese Verzeichnisse werden auch täglich mitgesichert. Raucht jetzt der PC ab, ist das kein Problem, da die Nutzdaten ja auf dem Server liegen und nicht lokal. Was der User dann lokal auf der Platte speichert, unterliegt voll und ganz seiner Verantwortung. Hat sich die Kiste irgendwas "gefangen", wird sie platt gemacht, ein Image kommt drauf und der Betrieb geht relativ störungsfrei weiter. Alles andere macht auch wenig Sinn, oder willst Du von allen Beteiligten die einzelnen Konfigurationen pflegen?
"Profil nicht wissentlich zumüllen" ist relativ. Allein schon eine blöde Java-Installation müllt per default-Einstellung das Profil derart zu, daß es nicht mehr schön ist. Sogar einige Anwendungsprogramme (Blackberry von RIM z.Bsp) gehen da ziemlich freizügig mit dem Platz um. Bei uns haben die User max. 30 MB Platz im Benutzerprofil, und die Auslastung liegt so bei 50% bis 60%. Es hat auch einige Zeit gekostet, bis der "Lernerfolg" da war, und die User nicht mal eben drei Videos auf dem Desktop abgelegt haben, "weil man so schneller drankommt". Aber irgendwann ist auch durch, das "Desktop" nicht der bevorzugte Ort für die Speicherung der Arbeitsergebnisse ist.
Laufen die Profile "über", so bekommt der Benutzer eine entsprechende Meldung und in einem Fenster werden ihm die Dateien angezeigt, die für den "Überlauf" verantwortlich sind. Da er sich in dem Zustand nicht ordnungsgemäß abmelden kann, muß er tätig werden. Sind diese daten systembedingt, ist es Aufgabe des Admins, für die Problemlösung zu sorgen. Sind die Probleme hausgemacht, muß der User zur Löschtaste greifen oder die Dateien an einem anderen Ort speichern. Zugegeben, da brauchts wieder eine zeitlang ein dickes Fell, aber dann ist Ruhe.
Gruß J chem
fangen wir von hinten an: sinnvollerweise schließt man "Lokale Einstellungen; Temporary Internet Files; Verlauf; Temp" aus. Das bedeutet, diese Verzeichnisse werden beim An- bzw. Abmelden nicht von/auf dem Server geladen/gespeichert. Warum auch, oder schlurrst Du Deinen Papierkorb aus dem Büro abends mit nach Hause und bringst ihn am nächsten Morgen wieder mit ins Büro?
Sinn und Zweck eines servergespeicherten Profils ist der, daß sich jeder User an jedem Rechner anmelden kann, da sein Benutzerprofil ja zentral gespeichert ist und nicht auf dem lokalen Client. Lokal liegt übrigens immer eine Kopie des Benutzerprofils und das wird auch nicht beim Abmelden gelöscht. Neuer User an einem Client bedeutet immer auch das Anlegen eines neuen Profils auf dem lokalen Rechner. Wenn sich fünf User einen Rechner "teilen", hast Du auch fünf Userprofile auf der Kiste.
Bei uns hat jeder User ein serverbasiertes Verzeichnis "Eigene Dateien" ( der Link "Eigene Dateien" auf dem PC ist umgebogen auf das Netzlaufwerk), in dem alle für die "Aufgabenerfülllung notwendigen" Dokumente abgelegt werden. Diese Verzeichnisse werden auch täglich mitgesichert. Raucht jetzt der PC ab, ist das kein Problem, da die Nutzdaten ja auf dem Server liegen und nicht lokal. Was der User dann lokal auf der Platte speichert, unterliegt voll und ganz seiner Verantwortung. Hat sich die Kiste irgendwas "gefangen", wird sie platt gemacht, ein Image kommt drauf und der Betrieb geht relativ störungsfrei weiter. Alles andere macht auch wenig Sinn, oder willst Du von allen Beteiligten die einzelnen Konfigurationen pflegen?
"Profil nicht wissentlich zumüllen" ist relativ. Allein schon eine blöde Java-Installation müllt per default-Einstellung das Profil derart zu, daß es nicht mehr schön ist. Sogar einige Anwendungsprogramme (Blackberry von RIM z.Bsp) gehen da ziemlich freizügig mit dem Platz um. Bei uns haben die User max. 30 MB Platz im Benutzerprofil, und die Auslastung liegt so bei 50% bis 60%. Es hat auch einige Zeit gekostet, bis der "Lernerfolg" da war, und die User nicht mal eben drei Videos auf dem Desktop abgelegt haben, "weil man so schneller drankommt". Aber irgendwann ist auch durch, das "Desktop" nicht der bevorzugte Ort für die Speicherung der Arbeitsergebnisse ist.
Laufen die Profile "über", so bekommt der Benutzer eine entsprechende Meldung und in einem Fenster werden ihm die Dateien angezeigt, die für den "Überlauf" verantwortlich sind. Da er sich in dem Zustand nicht ordnungsgemäß abmelden kann, muß er tätig werden. Sind diese daten systembedingt, ist es Aufgabe des Admins, für die Problemlösung zu sorgen. Sind die Probleme hausgemacht, muß der User zur Löschtaste greifen oder die Dateien an einem anderen Ort speichern. Zugegeben, da brauchts wieder eine zeitlang ein dickes Fell, aber dann ist Ruhe.
Gruß J chem
Nabend
Da wird nichts gelöscht. Schaue mal auf dem Computer nach und du wirst normalerweise sauber für alle Benutzer einen Proilordner finden
Das das kompletter Unsinn war, hast du ja selber erkannt ;)
Ob das nun wirklich dein Problem löst, wage ich mal zu bezweifeln. Melden sich den ganzen Tag über andauernd die Leute an und ab ? Zu Zeiten, wo sich wahrscheinlich niemand gerade anmeldet hast du ja wohl auch Probleme. ABer es ist sicher auf jeden Fall sinnvoll, in die Profile Ordnung zu bringen.
Zuerst solltest du also mal kontrollieren, was in den Profilen den Speicherplatz ausmacht. Schon mit Windows 2000 hat Microsoft in den Richtlinien der Domäne festgelegt, dass bestimmte Ordner aus dem servergespeicherten Profil ausgeschlossen werden. Unter anderem auch der Ordner "Temporaray Internet Files" oder auch "Lokale Einstellungen". An solchen Ordnern sollte es also eigentlich nicht liegen. Es sei denn, da hat jemand an einer Richtlinie gschraubt, von der man erst mal die Fínger lassen sollte. Bevor du das nicht weißt, musst du dir um die weitere Konfiguration eigentlich keine Gedanken machen.
Zur Frage der Netzwerkbelastung bei umgeleiteten Eigenen Dateien stellt sich die Frage eigentlich nicht. Wenn du die Daten im Profil hast und sie alle andauernd hin und her kopierst, dann muss das doch zu einer wesentlich höheren Netzwerkauslastung führen.
In Anbetracht der Tatsache, dass du gerade ein etwas dringenderes Problem hast, würde ich die Sache mit den Profilen ganz sicher anders angehen. Warum startest du nich einfach mal einen "Versuchsballon" und deaktivierst die servergespeicherten Profile? Die Kollegen werden wohl mal für ein oder zwei Tage klarkommen, wenn sie sich mal nicht an jedem PC mit einem aktuellen Profil anmelden können. Schaue dann, on der Server zur Ruhe kommt.
Gruß
Hubert
Ich habe RoamingProfiles immer so verstanden: (....)
Man könnte wohl auch das Löschen abstellen - aber dann blieben bei uns schonmal verwaiste Verzeichnisse übrig
Man könnte wohl auch das Löschen abstellen - aber dann blieben bei uns schonmal verwaiste Verzeichnisse übrig
Da wird nichts gelöscht. Schaue mal auf dem Computer nach und du wirst normalerweise sauber für alle Benutzer einen Proilordner finden
Als ich irgendwann mal auf die glorreiche Idee kam, den Ordner "Eigene Dateien" etc. auf C:\temp zu verlagern
Das das kompletter Unsinn war, hast du ja selber erkannt ;)
Ob das nun wirklich dein Problem löst, wage ich mal zu bezweifeln. Melden sich den ganzen Tag über andauernd die Leute an und ab ? Zu Zeiten, wo sich wahrscheinlich niemand gerade anmeldet hast du ja wohl auch Probleme. ABer es ist sicher auf jeden Fall sinnvoll, in die Profile Ordnung zu bringen.
Zuerst solltest du also mal kontrollieren, was in den Profilen den Speicherplatz ausmacht. Schon mit Windows 2000 hat Microsoft in den Richtlinien der Domäne festgelegt, dass bestimmte Ordner aus dem servergespeicherten Profil ausgeschlossen werden. Unter anderem auch der Ordner "Temporaray Internet Files" oder auch "Lokale Einstellungen". An solchen Ordnern sollte es also eigentlich nicht liegen. Es sei denn, da hat jemand an einer Richtlinie gschraubt, von der man erst mal die Fínger lassen sollte. Bevor du das nicht weißt, musst du dir um die weitere Konfiguration eigentlich keine Gedanken machen.
Zur Frage der Netzwerkbelastung bei umgeleiteten Eigenen Dateien stellt sich die Frage eigentlich nicht. Wenn du die Daten im Profil hast und sie alle andauernd hin und her kopierst, dann muss das doch zu einer wesentlich höheren Netzwerkauslastung führen.
In Anbetracht der Tatsache, dass du gerade ein etwas dringenderes Problem hast, würde ich die Sache mit den Profilen ganz sicher anders angehen. Warum startest du nich einfach mal einen "Versuchsballon" und deaktivierst die servergespeicherten Profile? Die Kollegen werden wohl mal für ein oder zwei Tage klarkommen, wenn sie sich mal nicht an jedem PC mit einem aktuellen Profil anmelden können. Schaue dann, on der Server zur Ruhe kommt.
Gruß
Hubert
Moin,
wenn Du bereits nach den Pfaden fragst, hast Du die passende GPO schon gefunden. Ist diese denn auch aktiv? Bei den Eigenschaften gibt es die drei Aktionsbuttons "Nicht konfiguriert", "Aktiviert" und "Deaktiviert". Standard-Einstellung ist "Nicht konfiguriert"!
Ich hab hier einen W2K8-Server und vorher war ein W2K-Server da. Bei W2K mussten die Verzeichnisse noch explizit angegeben werden, laut Hilfe muß das beim W2K8 nicht mehr gemacht werden. Evtl. sind die Verzeichnisse beim W2K3 ebenfalls schon standardmäßig eingetragen.
Die Verzeichnisse unterhalb von %username% sollten dann ohne Backslash angegeben werden; bei W2K waren die Verzeichnise auch nur namentlich aufgelistet, ohne vorangestellten Backslash. Und auch die Hilfe listet die Verzeichnisse so auf.
121 MB Profilgröße *LOL*, jetzt weißt Du warum ich diese restriktive Größenbeschränkung gesetzt habe. Du brauchst nur vier fünf User zu haben, die derartige "Dateien" nutzen, schon steht Dein Netz morgens beim Anmelden.
Wenn auf den Clients immer wieder Profile der Art Username.001, Username.002 etc. angelegt werden, stimmt etwas mit den Profileinstellungen auf dem Server nicht. Ich würde bei den user die Profile mal neu anlegen , also Benutzerprofil auf dem Server umbenennen und alle Benutzerprofile.nnn auf dem Client löschen. Beim nächsten Anmelden bastelt das System aus dem "Default User" und dem "All Users" ein neues Benutzerprofil (OK, alle "persönlichen" Einstellungen sind dann weg, aber die richtest Du ja nicht jeden Tag neu ein. Evtl mal über Logon-Scripte und allgemeine Einstellungen nachgedacht?)
Nur mal aus reiner Neugier: In welcher Art von "Hochsicherheitstrakt" ist Deine Behörde angesiedelt? Wenn ich lese "da uns verboten ist, ggf. personenbezogene Daten auf den Festplatten zu hinterlassen" frage ich mich, mit welchen überaus geheimen, personenbezogenen Daten arbeitest Du da? Nutzdaten haben auf der lokalen Festplatte nichts zu suchen, dafür sind Netzwerklaufwerke da. Wenn dann trotzdem jemand meint, daß er Daten lokal speichern muß, kann er das in seinem Profil machen oder eben auch sonstwo auf der Platte. Nur deswegen jedesmal dass Profil beim Abmelden löschen und beim Anmelden wieder erstellen lassen, das macht in meinen Augen keinen Sinn und ist servertechnisch gesehen eher kontraproduktiv. Nicht nur das An- und Abmelden zieht sich, auch die Belastung der Platten steigt unnötigerweise.
Ich sehe die "personenebezogenen Daten" als Fremddaten, also Daten von Behördenfremden. Die Daten der eigenen MitarbeiterInnen sind auf den PCs aufgrund der Profile ja gegenseitig geschützt, also kann UserA nicht sehen, was UserB in seinem Profil stehen hat. Insoweit macht diese Paranoia für mich keinen Sinn. Aber vielleicht sehe ich das aus einer falschen Perspektive. Wenn Dir eine Antwort hier zu heikel ist, kann ich das verstehen. Ich arbeite auch in einer "Behörde", nur vermutlich sehr viel kleiner als bei Dir.
BTW: Du sprichst von "Roaming Profiles". Sind die Profile der User .USR oder .MAN Profile? Ich will hoffen, es sind .MAN.
Gruß J chem
wenn Du bereits nach den Pfaden fragst, hast Du die passende GPO schon gefunden. Ist diese denn auch aktiv? Bei den Eigenschaften gibt es die drei Aktionsbuttons "Nicht konfiguriert", "Aktiviert" und "Deaktiviert". Standard-Einstellung ist "Nicht konfiguriert"!
Ich hab hier einen W2K8-Server und vorher war ein W2K-Server da. Bei W2K mussten die Verzeichnisse noch explizit angegeben werden, laut Hilfe muß das beim W2K8 nicht mehr gemacht werden. Evtl. sind die Verzeichnisse beim W2K3 ebenfalls schon standardmäßig eingetragen.
Die Verzeichnisse unterhalb von %username% sollten dann ohne Backslash angegeben werden; bei W2K waren die Verzeichnise auch nur namentlich aufgelistet, ohne vorangestellten Backslash. Und auch die Hilfe listet die Verzeichnisse so auf.
121 MB Profilgröße *LOL*, jetzt weißt Du warum ich diese restriktive Größenbeschränkung gesetzt habe. Du brauchst nur vier fünf User zu haben, die derartige "Dateien" nutzen, schon steht Dein Netz morgens beim Anmelden.
Wenn auf den Clients immer wieder Profile der Art Username.001, Username.002 etc. angelegt werden, stimmt etwas mit den Profileinstellungen auf dem Server nicht. Ich würde bei den user die Profile mal neu anlegen , also Benutzerprofil auf dem Server umbenennen und alle Benutzerprofile.nnn auf dem Client löschen. Beim nächsten Anmelden bastelt das System aus dem "Default User" und dem "All Users" ein neues Benutzerprofil (OK, alle "persönlichen" Einstellungen sind dann weg, aber die richtest Du ja nicht jeden Tag neu ein. Evtl mal über Logon-Scripte und allgemeine Einstellungen nachgedacht?)
Nur mal aus reiner Neugier: In welcher Art von "Hochsicherheitstrakt" ist Deine Behörde angesiedelt? Wenn ich lese "da uns verboten ist, ggf. personenbezogene Daten auf den Festplatten zu hinterlassen" frage ich mich, mit welchen überaus geheimen, personenbezogenen Daten arbeitest Du da? Nutzdaten haben auf der lokalen Festplatte nichts zu suchen, dafür sind Netzwerklaufwerke da. Wenn dann trotzdem jemand meint, daß er Daten lokal speichern muß, kann er das in seinem Profil machen oder eben auch sonstwo auf der Platte. Nur deswegen jedesmal dass Profil beim Abmelden löschen und beim Anmelden wieder erstellen lassen, das macht in meinen Augen keinen Sinn und ist servertechnisch gesehen eher kontraproduktiv. Nicht nur das An- und Abmelden zieht sich, auch die Belastung der Platten steigt unnötigerweise.
Ich sehe die "personenebezogenen Daten" als Fremddaten, also Daten von Behördenfremden. Die Daten der eigenen MitarbeiterInnen sind auf den PCs aufgrund der Profile ja gegenseitig geschützt, also kann UserA nicht sehen, was UserB in seinem Profil stehen hat. Insoweit macht diese Paranoia für mich keinen Sinn. Aber vielleicht sehe ich das aus einer falschen Perspektive. Wenn Dir eine Antwort hier zu heikel ist, kann ich das verstehen. Ich arbeite auch in einer "Behörde", nur vermutlich sehr viel kleiner als bei Dir.
BTW: Du sprichst von "Roaming Profiles". Sind die Profile der User .USR oder .MAN Profile? Ich will hoffen, es sind .MAN.
Gruß J chem
Moin,
so, auch ich hab meinen restlichen Jahresurlaub aus dem abgelaufenen Jahr jetzt hinter mir und auch der Schreibtisch sieht nach ein paar Tagen nicht mehr allzu unaufgeräumt aus.
Tja, .USR und .MAN, das ist hier die Frage, und da geht es schon los: mea culpa, denn das Ding heißt .DAT und nicht .USR.
Also wenn sich der User zum ersten Mal an einem Client in der Domäne anmeldet, bastelt das System aus dem "Default"-Profil und dem "All Users"-Profil und den Angeben aus dem AD ein User-Profil. Dies steht dann unter "Dokumente und Einstellungen - Username" und enthält u.a. eine Datei namens "ntuser.dat ". Beim Abmelden wird dieses Profil dann auf den Server ins Verzeichnis "Profiles" zurückgeschrieben. Bis zu diesem Zeitpunkt ist das Profil dann noch "editierbar", das heißt, Änderungen, die lokal vorgenommen werden (Ablegen einer Datei auf dem Deskzop z. Bsp.) werden immer auf den Server zurückgeschrieben.
Geht der Admin nun hin und benennt im Profiles-Ordner auf dem Server die "ntuser.dat" in dem jeweiligen User-Profil in "ntuser.man" um, sind beim nächsten Anmelden Änderungen am Profil nicht mehr möglich. Das bedeutet, daß eine Datei, welche heute auf dem Desktop abgelegt wurde, nur bis zum Abmelden dort verbleibt. Beim nächsten Anmelden ist sie auf dem Desktop nicht mehr vorhanden. Das funktioniett aber nur, wenn im lokalen User-Verzeichnis keine "ntuser.dat" mehr vorhanden ist. Existiert diese Datei noch, wird die .DAT vor der .MAN herangezogen und Du hast nichts gewonnen.
Grundsätzlich arbeitet der User mit einer lokalen Kopier des servergespeicherten Profils. Sofern in dem MANdatory-Profil des Users alle "lebenswichtigen" Einstellungen vorhanden sind, ist ein Zurückschreiben des Profils eigentlich nicht mehr notwendig. Dies bedingt natürlich andererseits, daß bei wechselnden Benutzer an einem Client mehrere Profile auf dem Client abgelegt werden und auch dort verbleiben. Da müßte dann, wenn so gewollt, Deine Löschroutine wieder zuschlagen.
Ich würde vorschlagen, Du baust Dir einen Test-Client mit einem madatory Profil, bei dem Du zunächst mal alle GPO-Restriktionen weglässt. dann sehen, was passiert und wo Du die Riegel vorschieben mußt. Und vor allem: Jede Änderung/Einstellung zumindest nachhalten und wenn sie erfolgreich war, dokumentieren. Sonst stehts Du in zwei Monaten wieder da, wo Du heute stehst.
Gruß J chem
so, auch ich hab meinen restlichen Jahresurlaub aus dem abgelaufenen Jahr jetzt hinter mir und auch der Schreibtisch sieht nach ein paar Tagen nicht mehr allzu unaufgeräumt aus.
Tja, .USR und .MAN, das ist hier die Frage, und da geht es schon los: mea culpa, denn das Ding heißt .DAT und nicht .USR.
Also wenn sich der User zum ersten Mal an einem Client in der Domäne anmeldet, bastelt das System aus dem "Default"-Profil und dem "All Users"-Profil und den Angeben aus dem AD ein User-Profil. Dies steht dann unter "Dokumente und Einstellungen - Username" und enthält u.a. eine Datei namens "ntuser.dat ". Beim Abmelden wird dieses Profil dann auf den Server ins Verzeichnis "Profiles" zurückgeschrieben. Bis zu diesem Zeitpunkt ist das Profil dann noch "editierbar", das heißt, Änderungen, die lokal vorgenommen werden (Ablegen einer Datei auf dem Deskzop z. Bsp.) werden immer auf den Server zurückgeschrieben.
Geht der Admin nun hin und benennt im Profiles-Ordner auf dem Server die "ntuser.dat" in dem jeweiligen User-Profil in "ntuser.man" um, sind beim nächsten Anmelden Änderungen am Profil nicht mehr möglich. Das bedeutet, daß eine Datei, welche heute auf dem Desktop abgelegt wurde, nur bis zum Abmelden dort verbleibt. Beim nächsten Anmelden ist sie auf dem Desktop nicht mehr vorhanden. Das funktioniett aber nur, wenn im lokalen User-Verzeichnis keine "ntuser.dat" mehr vorhanden ist. Existiert diese Datei noch, wird die .DAT vor der .MAN herangezogen und Du hast nichts gewonnen.
Grundsätzlich arbeitet der User mit einer lokalen Kopier des servergespeicherten Profils. Sofern in dem MANdatory-Profil des Users alle "lebenswichtigen" Einstellungen vorhanden sind, ist ein Zurückschreiben des Profils eigentlich nicht mehr notwendig. Dies bedingt natürlich andererseits, daß bei wechselnden Benutzer an einem Client mehrere Profile auf dem Client abgelegt werden und auch dort verbleiben. Da müßte dann, wenn so gewollt, Deine Löschroutine wieder zuschlagen.
Ich würde vorschlagen, Du baust Dir einen Test-Client mit einem madatory Profil, bei dem Du zunächst mal alle GPO-Restriktionen weglässt. dann sehen, was passiert und wo Du die Riegel vorschieben mußt. Und vor allem: Jede Änderung/Einstellung zumindest nachhalten und wenn sie erfolgreich war, dokumentieren. Sonst stehts Du in zwei Monaten wieder da, wo Du heute stehst.
Gruß J chem