Windows Server 2012 R2 Probleme bei Anmeldung Server arbeitet plötzlich extrem verzögert

[Ben1804]

Guten Morgen liebe CB-Community,

Aktuell komme ich selbst mit meinem Freund Google nicht mehr weiter.
Daher hoffe ich, dass ihr mir vielleicht weiterhelfen könnt.

Seit 2 Tagen reagiert der Server bei der Anmeldung nicht mehr bzw. extrem verzögert.

Booten tut der Server ganz normal, aber nach dem Sperrbildschirm (STRG+ALT+ENTF), sehe ich lediglich den blauen Anmeldebildschirm und kann dabei die Maus bewegen. Erst nach etwa 10-15min fragt er mich nach meinem Passwort.

Anschließend funktioniert der Server eigentlich in einer relativ normalen Geschwindigkeit, nur im Bereich der Zertifikate arbeitet er ebenfalls mit hoher Verzögerung (30min für ein Klick)


Habt ihr eventuell eine Idee, woran es liegen könnte?
Ich habe zuvor eigentlich "nur" an den Gruppenrichtlinien gearbeitet. (Verhalten beim Entfernen der Smartcard)


Hier die technischen Eckdaten (Server):

OS: Windows Server 2012R2 (64 Bit)

Modell: Server PER730

CPU: Intel(R) Xenon(R) CPU E5-2640 v4 @2.40GHz

RAM: 64GB

Zudem ist er:
Domain-Controller
Sub-CA
Im Netzwerk sind etwa 5-10 Clienten angemeldet.



Vielen Dank im Voraus!

Gruß
Bene

 

[BFF]

Schon das Ereignisprotokoll angesehen ob den Serverling was stoert?

Du hast sichergestellt, dass die Aenderungen der GPO nicht auf dem Server wirken?

BFF

 

[Lawnmower]

Passiert das auch wenn keine Netzwerk Verbindung beim Client vorhanden ist? Also so wie man eben mit einem Notebooks ohne Netz unterwegs ist.

 

[Ben1804]

Servus BFF,

ich habe ein neues Gruppenrichtlinienobjekt erstellt und eine Einstellung vorgenommen. (s. Bild)

Anschließend habe ich es mit einer Gruppe verknüpft. (Domäne -> Abteilung -> Gruppe)

Wie kann ich aktuell überprüfen, ob sich die Einstellungen auf den Server auswirken?

@
Lawnmower

Die Clients selbst haben keine Probleme mit der Anmeldung und können problemlos auf alle Laufwerke zugreifen, die sich auf dem Server befinden.

Sobald ich einen Client von der Workstation trenne, kann ich mich nicht mehr anmelden, da alles über da AD läuft.

 

[deinDadseinFrau]

Ist ein Virenscanner installiert? Also abgesehen vom Windows Defender. Wenn ja, würde ich den als erstes testweise komplett deinstallieren.

 

[Ben1804]

@deinDadseinFrau

Nein, ein zusätzlicher Scanner ist nicht aktiv.


Das Ergebnisprotokoll meldet:

Ergebnis-ID 36:
Der Zeitdienst hat die Systemzeit für 86400 Sekunden nicht synchronisiert, weil keiner der Zeitdienstanbieter einen verwendbaren Zeitstempel bereitgestellt hat. Der Zeitdienst aktualisiert die lokale Systemzeit nur dann, wenn die Synchronisierung mit einer Zeitquelle möglich ist. Wenn das lokale System als Zeitserver für Clients konfiguriert ist, beendet es die Ankündigung als Zeitquelle für Clients. Der Zeitdienst versucht weiter, die Zeit mit den Zeitquellen zu synchronisieren. Überprüfen Sie, ob das Systemereignisprotokoll andere W32time-Ereignisse enthält, um weitere Details zu erhalten. Führen Sie "w32tm /resync" aus, um eine sofortige Zeitsynchronisierung zu erzwingen.


Ergebnis-ID 32:
Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) wird ein Zertifikat ohne erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für das KDC verwendet. Dies kann bei Gerätezertifikatanmeldungen und Smartcardanmeldungen von Geräten ohne Domänenzugehörigkeit zu Authentifizierungsfehlern führen. Die Registrierung eines KDC-Zertifikats mit KDC-EKU (Kerberos-Authentifizierungsvorlage) ist erforderlich, um diese Warnung zu beseitigen.


Ergebnis-ID 6000:
Der Winlogon-Benachrichtigungsabonnent <SessionEnv> war nicht verfügbar, um das Benachrichtigungsereignis zu verarbeiten.

 

[BFF]

Und der Server ist nicht Mitglied der Gruppe?
Von "gpresult" hast Du schon gehoert?

Administrative CMD, dann

GPRESULT /R /SCOPE COMPUTER

BFF

 

[Ben1804]

Meine erstellte Richtlinie habe ich Smartcard genannt und taucht nicht auf.

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
Windows_Security_Essential
Lock-Screen
Windows_Update
Default Domain Controllers Policy
Default Domain Policy
Zertifikate automatisch registrieren

Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
----------------------------------------------------------------------
Richtlinien der lokalen Gruppe
Filterung: Nicht angewendet (Leer)

Ergänzung (2. Oktober 2019)

Doch die Gruppe befindet sich auf dem Server. Perdon

-> eine im AD neu erstellte Gruppe

 

[deinDadseinFrau]

Ist bei der Netzwekschnittstelle als DNS die lokale IP des DC hinterlegt? Für mich klingt es so nach Timeout.

 

[Lawnmower]

Ah so - das Problem ist nur beim Server Login - habs falsch gelesen und gedacht das wäre bei den Clients auch so.
Und Einstellungen rückgängig machen und gucken ob es dann wieder OK ist geht nicht?

 

[Ben1804]

Ist bei der Netzwekschnittstelle als DNS die lokale IP des DC hinterlegt? Für mich klingt es so nach Timeout.

genau, ist die selbe IP

Und Einstellungen rückgängig machen und gucken ob es dann wieder OK ist geht nicht?

Was kann ich problemlos zurücksetzen, da keine Daten der letzten Tage verloren gehen sollten?

Ergänzung (2. Oktober 2019)

Zusätzlich verstehe ich nicht, wieso die gewünschte Richtlinie nur auf einem Client funktioniert...

Ich kann mich mit dem gewünschten Konto (Kein Admin) an jedem Laptop in der Domäne per Smartcard anmelden, aber die Einstellung, dass der Benutzer beim Entfernen der Karte automatisch abgemeldet wird, funktioniert nur an einem Client.

 

[BFF]

Dann kennt nur dieser eine Client die von Dir erstellte Richtlinie.

Mach sicher, dass die anderen Clients im Einzugsgebiet der Richtlinie sind und schon klappt das.

So nebenbei. Das ist jetzt ein Netzwerk bei Dir zu Hause, ja?

BFF

 

[Ben1804]

Mahlzeit BFF,

das komische ist, dass ich nur eine Verknüpfung gelegt habe und die ist für alle Mitarbeiter. Trotzdem erkennt nur ein Laptop die Richtlinie an.

Tatsächlich arbeite ich an bzw. in einer Produktivumgebung und das bereitet mir natürlich Bauchschmerzen. Aktuell gibt es aber keine Alternative oder die Option einen Experten ins Haus zu holen, daher bin ich über jede Idee äußerst dankbar.

Ich habe nun nochmal alle Gruppenrichtlinien versucht auf Standard zu stellen und habe alle selbsterstellen GPO gelöscht.

ich bekomme das EVENT-6006 im Server-Manager angezeigt.
Dazu habe ich folgendes im Internet gefunden. (Passt perfekt zu meinem Problem)

Allerdings behebt der Tipp nicht das Anmeldeproblem.
(10min blauer Bildschirm mit weißem Mauszeiger)

Fehlerbeschreibung
Nach der Installation des Betriebssystemes Windows Server 2008 R2, einiger wichtiger Programmwerkzeuge (Prozess Explorer, NotePad++) und der Aufnahme in unserer Domäne wurde der TMG eingerichtet. Doch nach dem ersten Reboot kam das böse Erwachen. Nach Eingabe er Anmeldeinformationen dauerte benötigte der Server etwa 10 Minuten bis letztendlich der Desktop angezeigt wurde – davor blauer Bildschirm mit weißem Mauszeiger.

Im Anwendungsereignisprotokoll fand ich die beiden folgenden Warnungen 6005 und 6006 der Quelle Winlogon:




Hier der Link zum Blog:

https://bent-blog.de/anmeldung-dauert-extrem-lange-fehler-6005-und-6006-quelle-winlogon/

 

[Ben1804]

Guten Morgen Freunde,

kann das Problem nun besser eingrenzen.

Das Problem tritt nur auf, wenn ich auf dem Server den Dienst Smartcard (SCardSvr) auf manuell oder automatisch stelle.

Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen können. Falls dieser Dienst deaktiviert wird, können die von diesem Dienst explizit abhängigen Dienste nicht gestartet werden.

Allerdings brauche ich diesen Dienst,um auf dem Server neue Karten beschreiben zu können.
Leider wird aktuell nur dort das Registrierungs-Agent-Zertifikat erkannt.


Habt ihr eine Idee, wie ich neue Karten beschreiben könnte und warum der Server bei aktiven Dienst eine Art Timeout bekommt.

Vielen Dank,
Bene

Ergänzung (9. Oktober 2019)

 

[Ben1804]

Guten Morgen zusammen,

ich wollte nur sagen, dass ich es jetzt geschafft habe.

Das Problem tritt weiterhin auf, wenn ich den Smartcard-Dienst auf dem Server aktiviere.
Aus diesem Grund habe ich die Zertifikate exportiert und über eine Zusatzsoftware auf die Karten geschrieben.

Ich habe ein neues GPO verknüpft und auf jedem Clienten die Dienste manuell aktiviert. Nun funktioniert die Anmeldung außerhalb der Domäne und die automatische Abmeldung beim Abziehen der Karten.

Vielen Dank für eure Hilfe,
Bene

Ergänzung (10. Oktober 2019)

-closed-