Diagnose langsamer Active Directory-Anmeldungen

9

Es fällt mir schwer, zeitweise langsame Anmeldungen auf Domänen-PCs zu diagnostizieren.

Einige Informationen zum Netzwerk mit diesem Problem:

  • Meine Domain umfasst 5 Websites, alle mit VPN-Verbindungen.
  • DCs sind eine Mischung aus 2003, 2008 und 2012. Die Domänenfunktionsebene ist 2003.
  • Clients sind meistens Windows 7 x64.
  • Wir verwenden Gruppenrichtlinien, einschließlich solcher, die WMI, Targeting auf Gruppeneinstellungsebene und GPP-Druckerbereitstellung verwenden.
  • Wir verwenden keine Roaming-Profile.

In den meisten Fällen funktionieren Anmeldungen für Personen, die das Gerät bereits verwendet haben, einwandfrei und schnell. Die erste Anmeldung an einem neuen Computer ist immer langsam, aber das wird erwartet.

Das Problem scheint hauptsächlich bei Laptops zu liegen. Wenn sie zu Hause mit einer Nicht-Domänen-Netzwerkverbindung verwendet oder an einen anderen Ort verschoben werden (immer noch in einem Domänennetzwerk, aber an einem anderen AD-Standort und ohne Kabel oder drahtlos), können Anmeldungen bis zu 3 Tage dauern Minuten von der Eingabe des Kennworts durch den Benutzer bis zur tatsächlichen Anzeige des Desktops. Unser Terminalserver erfährt auch zeitweise langsame Anmeldungen.

Leider ist es ein zeitweiliges Problem, und ich habe keinen zuverlässigen Weg gefunden, es zu reproduzieren. Mein Verdacht ist, dass es mit den Präferenzen der Gruppenrichtlinien zu tun hat, aber ich habe keinen wirklichen Beweis dafür. Ich habe einen Microsoft KB-Artikel gesehen, in dem bestimmte Arten von Targeting auf Elementebene für langsame Anmeldungen verantwortlich gemacht wurden, aber es gibt keine Anleitung, um festzustellen, ob dies tatsächlich die Ursache ist.

Mit welchen Protokollen und Tools kann ich herausfinden, was die langsamen Anmeldungen verursacht?

Welche Gruppenrichtlinieneinstellungen sollte ich verwenden oder nach Möglichkeit vermeiden, um Anmeldungen zu beschleunigen?

active-directory  login  diagnostic 
Gewähren
quelle
Sehen Sie sich die Protokolle auf den Client-Computern an. In den clientseitigen Protokollen sehen Sie normalerweise, was die Verlangsamung verursacht, z. B. Netzwerk-Timeouts.
HopelessN00b
Sind Ihre Websites und Subnetze in ADS & S eingerichtet?
Joeqwerty
Ich würde mit dcdiag / v / e beginnen und nach Fehlern
suchen
Ich würde repadmin überprüfen, um die Replikation zwischen DCs zu überprüfen. Mein Denken geht dahin, dass Kennwortänderungen nicht synchronisiert werden und der DC gezwungen wird, den Benutzer zu authentifizieren und dann den PDC abzufragen, um zu versuchen, das aktuellste Kennwort zu organisieren.
Tim Alexander
1
Dieser Link mag hilfreich sein, aber ich habe das Gefühl, dass Sie dagegen sind, ohne den Anschein zu haben, das Problem reproduzieren zu können. social.technet.microsoft.com/wiki/contents/articles/…
Tim Alexander

Antworten:

1

Grundsätzlich gehe ich in die gleiche Richtung wie Joeqwerty

Ich habe die Symptome erlebt, die Sie in einigen Unternehmen beschreiben. Nach meiner Erfahrung passiert es normalerweise, wenn es mehr als eine Site gibt. Eine Möglichkeit zur Behebung eines potenziellen Problems mit Websites und Diensten ist die folgende. Gehen Sie auf einem Computer, auf dem gerade eine langsame Anmeldung aufgetreten ist, zur Eingabeaufforderung und geben Sie echo% logonserver% ein. Wenn die Antwort kein Server am selben Standort wie der Laptop oder die Workstation ist, habe ich die Erfahrung gemacht, dass Subnetze nicht eingerichtet und zugewiesen werden die richtige Site in Active Directory-Sites und -Diensten.

Eine andere Möglichkeit zur Fehlerbehebung besteht darin, diese Protokolldatei auf Ihren Domänencontrollern% SystemRoot% \ debug \ netlogon.log anzuzeigen

Wenn Sie Einträge wie diesen sehen, muss das spezifische Subnetz in Sites und Dienste eingegeben und einem Site zugewiesen werden.
05/16 22:57:31 [4068] AD: NO_CLIENT_SITE: spezifischer Serverhostname 172.16.10.104

Microsoft-Workstations und Domänencontroller können sicherstellen, dass sie aufgrund von Websites und Diensten zur Authentifizierung und für Richtlinien auf die richtigen Domänencontroller zugreifen.

Wenn dies der Fall ist und zu einer Anpassung von Standorten und Diensten führt, beachten Sie bitte, dass die Replikation der Änderungen an / von Domänencontrollern einige Zeit dauern kann. Außerdem dauert es noch länger, bis die Endpunkt-Workstations die neuen Änderungen sehen. Die Standardreplikationszeit wird an Standorten und Diensten für 1 Stunde zwischen Domänencontrollern festgelegt. Abhängig von der geografischen Entfernung und Größe Ihrer AD-Gesamtstruktur stelle ich sie normalerweise auf etwa 15 Minuten ein.

es gibt keinen anderen Namen
quelle
0

Eine Antwort, die zu der Frage passen könnte, oder einfach eine Notiz für mich für später:

Bei einigen unserer Subnetze kam es zu extremen Verzögerungen bei der Anmeldung. Es stellte sich heraus, dass diesen Subnetzen Reverse-DNS-Zonen im AD-Server fehlten. Wir haben die umgekehrten Zonen hinzugefügt, AD hat automatisch PTR-Einträge hinzugefügt und seitdem keine Verzögerung mehr festgestellt. Kann auch Zufall sein.

Zachary Scott
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.