Domäne - Benutzerprofile / Roamingprofiles Fehler

[Fab]

Hallo,

ich habe eine Frage zum Thema Romaingprofiles. Ich habe heute zwei Notebooks in eine Windows Domäne Ebene 2016 gehängt. Und dort mich mit zwei Benutzer angemeldet. Die Benutzer haben unter "Profile" eine Netzwerkpfad - Eintrag für das Profil. Auf diesen Pfad wurde auch für das Profil ein %Benutzername%.V6 Ordner erstellt. Soweit auch alles gut.

Mit Netzwerk ist mir schon mal die Fehlermeldung "Sie wurden mit einer lokalen Kopie ihres Profils angemeldet" angezeigt. Beim nächsten Anmelden keine Fehler mehr.

Da es Notebooks sind sollen diese wohl auch mal hin und wieder ohne Netz daheim per VPN verwendet werden. Hab ich ausprobiert die Anmeldung hat funktioniert. Wieder die Fehlermeldung von oben aber okay, war auch kein Netz dran. Dann wieder zurück ans Netz. Zwei Anmeldungen lang den Fehler dann wieder keinen.

Was mir aufgefallen ist das bei der Windows Pro 1906 gar kein "warten auf Benutzerprofildienst" kommt, wie ich das von anderen kennen.
Die Profile liegen auf eine NAS auf SSD speicher.

Was könnte ich falsch gemacht haben. Oder was kann ich noch an GPOs drücken um die Fehlermeldung nicht mehr zu bekommen oder zu unterdrücken.

 

[BFF]

Wenn mit einem lokalem Profil angemeldet wird, ist meist der Server mit dem Profil nicht oder nicht rechtzeitig erreichbar.

Manchmal hilft da in den GPO die Einstellung "Auf das Netzwerkk warten".
Wenn wieder eine "lokale" Anmeldung passiert, pruef mal ob Du den DC und den NAS per Namen aufloesen/pingen kannst.

Achja. Der NAS darf in den Ruhemodus gehen?

 

[forceafn]

Was sagt die Ereignisanzeige? Lässt sich das nas sauber per DNS auflösen? Ist das NAS in der Domäne? Passen die Rechte im Roamingverzeichniss? Ist der DC ereichbar? Nutz Du den DNS vom DC?

 

[BFF]

Die Rechte duerften passen @forceafn sonst wuerde es immer nicht gehen.

 

[forceafn]

Die Rechte duerften passen @forceafn sonst wuerde es immer nicht gehen.

Auch wieder wahr.

 

[Fab]

Wenn mit einem lokalem Profil angemeldet wird, ist meist der Server mit dem Profil nicht oder nicht rechtzeitig erreichbar.

Manchmal hilft da in den GPO die Einstellung "Auf das Netzwerkk warten".
Wenn wieder eine "lokale" Anmeldung passiert, pruef mal ob Du den DC und den NAS per Namen aufloesen/pingen kannst.

Achja. Der NAS darf in den Ruhemodus gehen?

-Die GPO auf Netzwerk warten ist drin
-DAS NAS ist ne RackStation und läuft 24/7 in Serverraum ohne Standbye
-Ping und Auflösung war kein Problem der PC hängt an einem Giga Port, das NAS ist mit LAG Angebunden 2x1G
-Rechte habe ich für die Freigabe nach Anleitung für Roaming Profiles gebaut. Das passt auch.
-NAS ist auch in der Domäne und kann auch super mit dem DC reden


Er macht ja auch nur das er sagt "Anmeldung mit lokaler Kopie" wenn man dann 2 mal neugestartet hat ist man wieder Syncron. Dann steht auch unter "Benutzerprofile - Romaing Profil / Romaing Profil". Wenn er den Fehler wirft steht "Romaing Profil / Lokales Profil" und dann ändert sich das wieder. Das Profil wird aber auch in der ProfilList nicht als .bak angezeigt oder markiert. Dort findet man auch sauber den Verweis auf den Netzwerkpfad und den Lokalen Pfad des Profils.

Ich hätte so gerne so gehabt das man sich auch Netzlos mit seiner Kopie am Notebook anmelden kann ohne das es zu größeren Fehlern kommt.

Ich mach das auch nicht zum ersten mal, dennoch bin ich verwirrt bzw. kann mir den Fehler so nicht erklären. Mit Windows 7 davor ging das an den Notebooks immer ohne diese Meldung.

ICh weiß das SSD schnell sind aber Windows 10 müsste doch zumindesten 3 sek "Warte auf Benutzerprofil-Dienst" von sich geben. Es sind zwar alles erst neue Profile mit 65 oder 250 MB.

 

[forceafn]

Schon mal mit rsop.msc geschaut, ob die GPOs auch übernommen werden? Hast Du für die GPO einen Centralstore erstellt und die aktuellen Richtlinien von 1909 reinkopiert?

 

[xexex]

Ich mach das auch nicht zum ersten mal, dennoch bin ich verwirrt bzw. kann mir den Fehler so nicht erklären.

Hilft jetzt nicht wirklich bei deinem Problem aber lass es dir schlichtweg gesagt sein, Roaming Profiles sind bei Microsoft absolut tot.

Seit Windows 2000, wo man noch perfekt aus einem Profil ein "Default" Profil erstellen konnte und es allen Benutzern zuteilen konnte, wurde die Funktionalität mit jeder Version beschnitten und schlechter. Der nächste große Schlag erfolgte dann mit Windows 8, wo das ganze Appsystem komplett an den Profilen vorbei entwickelt wurde.

Mit Windows 10 ist man nun bei welcher Version der Profile angelangt?

Dafür führt das Betriebssystem eine weitere Version der Benutzerprofile ein. Nach Windows 7 (v2), 8 (v3) und 8.1 (v4) langt Windows 10 nun bei v5 an. Mit Build 14279 erhöhte Microsoft die Version der Profile sogar auf 6. Das bedeutet wie bei vergangenen Upgrades, dass bei einer Anmeldung an Windows 10 kein existierendes Profil vom Server geladen wird, wenn es zuvor mit Windows 7 oder 8.x angelegt wurde.

Jedes mal ging bei dem Versionssprung vieles oder alles verloren und seit einer halben Ewigkeit kommen noch Programme wie iTunes, Chrome, Edge, Teams usw. hinzu die fröhlich vor sich her die Profile als Programmpfade missbrauchen und die ursprüngliche Funktionalität davon zerstören.

Ich kann an dieser Stelle nur sagen, lass die Finger davon, es macht keinen Sinn weiter ein totes Pferd zu reiten. Um Daten zwischen den Geräten zu synchronisieren, waren Profile noch nie gedacht und Einstellungen synchronisiert man besser mit einem Cloudkonto, wenn man den überhaupt die Einstellungen zwischen teils komplett unterschiedlichen Geräten synchronisieren möchte.

Die abschließende Frage an dich wäre dann auch, was möchtest du mit deiner Lösung überhaupt erreichen?

 

[BFF]

Da es Notebooks sind sollen diese wohl auch mal hin und wieder ohne Netz daheim per VPN verwendet werden.

Sind die Dinger richtig herunter gefahren oder einfach nur zugeklappt worden?
Weil wenn nur zugeklappt kann ich mir vorstellen, dass die nach Aufklappen und Anmelden noch garkeine richtige Verbindung zum Netzwerk (oder noch im Heimnetz / VPN sind) und deshalb das mit dem lokalen Profil kommt.

 

[Fab]

Schon mal mit rsop.msc geschaut, ob die GPOs auch übernommen werden? Hast Du für die GPO einen Centralstore erstellt und die aktuellen Richtlinien von 1909 reinkopiert?

Welche .AMDX müsste man denn in einen aktuellen Windows Server 2019 noch nach ziehen?

Ergänzung (25. April 2020)

Sind die Dinger richtig herunter gefahren oder einfach nur zugeklappt worden?
Weil wenn nur zugeklappt kann ich mir vorstellen, dass die nach Aufklappen und Anmelden noch garkeine richtige Verbindung zum Netzwerk (oder noch im Heimnetz / VPN sind) und deshalb das mit dem lokalen Profil kommt.

Herruntergefahren -> Notebook aus der Dock genommen damit es nichts mehr hat an Netz. WLAN gibts keins. Hochgefahren angemeldet.

Die abschließende Frage an dich wäre dann auch, was möchtest du mit deiner Lösung überhaupt erreichen?

Das die Benutzer auch mal den PC wechseln können und ihr Profil bekommen. Vor allem wenn sich Halbtags stellen einen PC teilen. Was wäre den der aktuelle gültige weg für eine Windows Umgebung ?

 

[BFF]

Schau nach den "Administrative Templates (.admx) for Windows 10 November 2019 Update (1909)"
Zentralen Speicherplatz dafuer hast Du?
https://support.microsoft.com/en-us...the-central-store-for-group-policy-administra

BFF

Ergänzung (25. April 2020)

Warte mal.

Herruntergefahren -> Notebook aus der Dock genommen damit es nichts mehr hat an Netz. WLAN gibts keins. Hochgefahren angemeldet.

Es wird sich angemeldet ohne Netz? Warum fragst Du hier uberhaupt?

 

[xexex]

Das die Benutzer auch mal den PC wechseln können und ihr Profil bekommen. Vor allem wenn sich Halbtags stellen einen PC teilen. Was wäre den der aktuelle gültige weg für eine Windows Umgebung ?

Terminal Server aufsetzen, die Benutzer drauf arbeiten lassen, Notebooks zu "dummen" Zugriffsgeräten degradieren.

Von einem "gültigen" Weg kann man bei Microsoft schon seit Jahren nicht sprechen. Eigentlich sollten die "User Profile Disks" zumindest auf Terminal Servern die Profilgeschichte ersetzen, Probleme damit gibt es aber bis heute und auch Programme die mit diesen nicht korrekt funktionieren.

Der korrekte Weg? Wenn man bei Microsoft ein wenig in die Zukunft schaut, wäre es am einfachsten alle Clientgeräte ins Azure AD einzubinden, die Geräte darüber zu verwalten und die Einstellungen darüber synchronisieren zu lassen. Die "lokalen" Applikationen richtet man auf einem Terminal Server ein - ohne ausgelagerte Profile.

Natürlich kannst du auch bei den lokalen Anmeldungen bleiben, wenn du kein Office 365 oder ein Azure AD Abo hast, bleibt dir auch wenig anderes übrig. Aber wie schon erwähnt, mit servergespeicherten Profilen gibt es wie du schon selbst erkannt hast, eigentlich nur noch Ärger und das sage ich als jemand der das bald schon knapp 20 Jahre macht und immer drauf geschworen hat.

EDIT: Zudem darfst du eines nicht vergessen! Beim Einsatz von servergespeicherten Profilen ist zwingend angeraten auch die Ordnerumleitung zu verwenden, da sonst teils riesige Datenmengen hin und her kopiert werden müssten. An diesem Punkt fängt dann auch ein anderes Problem an, der dir bei Notebooks in die Quere kommt wenn die mit nach Hause mitgenommen werden.

Je nach dem wie die Geräte konfiguriert werden, hast du dann riesige Mengen an Daten, die vom Home Office ins Büro hin und her geschoben werden und jede Menge Probleme und Fehler die mit Offlinedateien zusammenhängen. Die Konzepte von "früher" gehen leider schon lange nicht mehr auf, unter anderem deshalb weil von Microsoft alles nur noch in Richtung Cloud optimiert wird.

 

[Fab]

Warte mal.



Es wird sich angemeldet ohne Netz? Warum fragst Du hier uberhaupt?

Weil das vorher unter Windows 7 kein Thema war. Ob Netz oder nicht man hat sich angemeldet ohne Netz hatte seine Profil hat sich mit seinen Laufwerken übers VPN verbunden und offline gearbeitet. Und wenn man das Notebook wieder am Netz hatte wurde das Profil beim nächsten Anmelden wieder zusammen geführt deswegen frage ich. Weiß nicht was an der möglichkeit des "offline romaing profiles" so schwer ist. Ging ja unter W7 auch.


Ich habe hier ein Notbook das ein eh. Kollege Konfiguriert hat, da funktioniert das auch ich kann micht offline ohne Netz mit meinem AD-Account anmelden ohne Meldungen oder fehler nur das der "Profil-Dienst" etwas länger am kreiseln ist bis er mich rein lässt. Und wenn ich im AD-Netz bin gehts auch. Nur ich kann Ihn nicht mehr Fragen weil er nicht mehr bei uns ist.

 

[BFF]

Ob Netz oder nicht man hat sich angemeldet ohne Netz hatte seine Profil hat sich mit seinen Laufwerken übers VPN verbunden und offline gearbeitet.

Das ist nicht offline. Spaetestens wenn die Verbindung zum Firmennetz per VPN besteht ist das wieder online.

Du hast aber recht, wenn Du sagst das eine Anmeldung mit Domaenendaten lokal moeglich sein muss. Ist es auch, wenn sich der Benutzer vorher einmal an der Domaene an diesem Geraet angemeldet hat und die Aufbewahrungsfrist nicht abgelaufen ist.

Was Du mal gegenpruefen kannst ist, ob die lokalen Benutzerdaten und dem jetzt verwendeten OS gespeichert bleiben auf den Geraeten. Und nimm die bei Euch eingestellten GPO auseinander. Da ist in letzter Zeit einiges veraendert worden zum Nachteile eventuell verwendeter Pro-Editionen. Sprich was unter z.B. 1709 noch funktionierte mit Pro geht nun nicht mehr so mit 1909 Pro sondern nur noch mit Enterprise.

 

[Fab]

Was Du mal gegenpruefen kannst ist, ob die lokalen Benutzerdaten und dem jetzt verwendeten OS gespeichert bleiben auf den Geraeten. Und nimm die bei Euch eingestellten GPO auseinander. Da ist in letzter Zeit einiges veraendert worden zum Nachteile eventuell verwendeter Pro-Editionen. Sprich was unter z.B. 1709 noch funktionierte mit Pro geht nun nicht mehr so mit 1909 Pro sondern nur noch mit Enterprise.

Also die Daten bleiben auf dem Rechner liegen, auch nach einem Reboot sehe ich unter C:\Users noch das Profil. Auch eine GPO sagt das es so gültig ist und die gültigkeit insgesammt liegt bei 120 Tagen.

Ich werde natürlich nochmal über die GPOs gehen und auch nochmal GPOs importieren da wohl wirklich nicht alles im Windows 2019 Server mit dabei ist.

Die Frage ist es ob es eine Art Working Around gibt das ich dieses Meldung in der Tasklist - Informationscenter unterdrücken kann. Denn deswegen werde ich Angerufen und gefragt obwohl ich weiß das ist nicht tagisch. Ich hab auch gestern festgestellt wenn ich die Fehlermeldung bekomme und dann 20 Minuten angemeldet bleibe als Benutzer ist es irgendwan Syncron. Mir kommt es vor als würde Windows den Benutzer rein lassen und dann den Sync noch abschließen. Die GPO auf "Netzwerk warten" ist gesetzt und das Netzwerktimeout für die GPO liegt bei 60sek. Ich mein bei Gigabit über SSD kriegt man viel auf 60sek übertragen. Auch die Notebooks haben SSDs.