Tags: Performance, Gruppenrichtlinien, Troubleshooting
Lange Anmeldezeiten sind nicht nur die Folge von leistungsschwachen Rechnern und überlasteten Netzwerken. Ursache können auch all die Prozeduren sein, die ein Client beim Anmelden in der Domäne abarbeiten muss. Dazu zählt auch die Anwendung von GPOs. Ein Whitepaper von SDM Software (PDF) beschreibt, wie man ein langsames Login aufgrund von GPOs vermeiden kann.
Auf den Zielrechnern sind die so genannten Client Side Extension (CSE) für die Durchsetzung der zentral definierten Gruppenrichtlinien zuständig. Sie laufen entweder als Vorder- oder als Hintergrund-Prozess und arbeiten wahlweise synchron oder asynchron.
Vordergrundprozess läuft normal asynchron
Die Ausführung im Vordergrund erfolgt nur beim Start von Windows und bei der Anmeldung von Benutzern, wogegen der Hintergrundprozess während einer User-Session in regelmäßigen Intervallen die Einstellungen aktualisiert. Letzterer kann aber nicht alle Richtlinien umsetzen.
Bei langen Anmeldezeiten hat man es also mit dem Vordergrund-Prozess zu tun, der standardmäßig asynchron abläuft. In diesem Fall blockieren die CSE den Rechner nicht, vielmehr sieht der Benutzer bereits den Anmeldedialog, während die Computerkonfiguration aktualisiert wird, und den Desktop, während die CSE die Benutzerkonfiguration laden.
Synchroner Modus bremst
Zu Wartezeiten kommt es also besonders dann, wenn die Anwendung der GPOs synchron erfolgt. Selbst wenn man diese Form der Ausführung nicht über die dafür zuständige Gruppenrichtlinie konfiguriert, können die CSE trotzdem selbständig in diesen Modus umschalten. Dies ist der Fall bei
- Installation von Software
- Ordnerumleitung
- Setzen von Disk Quotas
- Zuordnung von Netzlaufwerken über Group Policy Preferences
Das Umschalten in den synchronen Modus erfolgt allerdings nur dann, wenn die Einstellungen in den GPOs verändert wurden. Legt man Wert auf eine zügige Anwendung von Richtlinien, dann muss man also keineswegs auf Ordnerumleitungen oder sie Zuordnung von Netzlaufwerken verzichten.
Problematische Kombination mehrerer Einstellungen
Dafür sollte man mit Änderungen sparsam sein und darauf achten, welche Einstellungen man gemeinsam in ein GPO packt. Kombiniert man Einstellungen aus den administrativen Vorlagen etwa mit der Zuordnung von Netzlaufwerken, dann wird das gesamte GPO auf synchrone Ausführung umgeschaltet, wenn man irgendeine Einstellungen ändert. Das gilt auch dann, wenn die Drive Mappings gleich bleiben. Enthielte das GPO jedoch keine Zuordnung von Netzlaufwerken oder Ordnerumleitungen, dann würden Änderungen nicht den Wechsel in den synchronen Modus bewirken.
Scripts, WMI-Filter und ILT
Weitere mögliche Bremsklötze bei der Anwendung von GPOs sind:
- Scripts
- WMI-Filter
- Zielgruppenadressierung auf Elementebene
Scripts werden vor allem dann zum Problem, wenn sie sehr umfangreich oder gar fehlerhaft sind und bei der Ausführung hängen bleiben. Auch WMI-Filter in Gruppenrichtlinien sind nicht per se zu meiden, Bremser sind dem Whitepaper zufolge vor allem LDAP-Abfragen.
Auch die fein abgestuften Möglichkeiten, Group Policy Preferences auf bestimmte User oder Computer einzuschränken (Item Level Targeting, ILT), verzögern normalerweise den Logon-Prozess nicht nennenswert. Performance kosten auch hier Abfragen, die über das Netz an Domänen-Controller gerichtet werden, die etwa die Mitgliedschaft in OUs oder Sicherheitsgruppen betreffen.
Synchrone Ausführung über WANs verhindern
Die Anwendung von Gruppenrichtlinien erfordert zahlreiche Anfragen der Clients an den Domänen-Controller. Daher wirkt sich die synchrone Ausführung auf langsamen Netzwerken noch stärker auf die Dauer der Windows-Anmeldung aus.
Um lange Wartezeiten in solchen Umgebungen zu vermeiden, kann man die synchrone Abarbeitung von GPOs in langsamen Netzen verhindern. Zuständig dafür ist sowohl in der Computer- als auch in der Benutzerkonfiguration die Einstellung
Administrative Vorlagen => System => Gruppenrichtlinien => asynchrone Verarbeitung der Gruppenrichtlinie bei langsamen Netzwerkverbindungen
Die Anwendung von Einstellungen, die diesen blockierenden Modus erfordern, wird dann so lange aufgeschoben, bis der Rechner wieder über eine schnellere Verbindung mit dem DC kommunizieren kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Langsame Windows-Anmeldung: Ursachen finden mit VMware Logon Monitor
- GPO-Fehlersuche: Logging für Gruppenrichtlinien aktivieren
- Health Report erstellen für Local Administrator Password Solution (LAPS)
- PDF-Dokumente mit Windows Desktop Search durchsuchen
- Group Policy Analyzer 3.1: Support für deutsche ADML und Central Store