Hoppa till innehåll

  • Logga in via Facebook Logga in via Twitter Logga in via Windows Live Log In with LinkedIn Log In with Google      Logga in   
  • Registrera dig nu!

Windows 2008 R2 bekymmer, mycket lång inloggningstid hjälp


  • Please log in to reply
5 svar i denna tråden

#1 Oliver76

Oliver76

  • 10 inlägg

Skriven 27 November 2017 - 08:32

Hej alla proffs,

Jag har nyligen hamnat hos en kund som innehar en Windows 2008 R2 SP1 standard med för många serverroller.

På servern ligger följande:
Filserver
DNS/DHCP
Print
Microsoft Exchange 2010 med SP1 3 med exchange databaser
Samt en röra med Grupp policies som jag rensat upp bland.

Problemet följer som så att när AD administratören skall logga in via console så hänger den sig på "Applying Group Policy Registry policy.." och har alltid varit så. Man får vänta ibland upp till 2-3 timmar innan man kommer in i denna server. Kan man på något sätt snabba upp eller lösa detta utan att det påverkar det dagliga arbetet för användarna?
Hur löser jag detta på bästa sätt?

När ovan problem är löst kan man göra enligt nedan:
Vågar man installera Service pack 2 för Windows 2008 R2 först?
Vågar man därefter installera service pack 3 för Microsoft Exchange 2010?
I vilken ordning skall man börja? Jag har aldrig sett en sådan här miljö sedan Small Business.  

Tack på förhand,

#2 monsta

monsta

  • 218 inlägg

Skriven 28 November 2017 - 08:50

Halloj!

Inte helt ovanligt scenario må du tro.

Du behöver lägga fram en åtgärdsplan för kunden. Högst prio, enligt mig, är att flytta mailen antingen till O365 eller till egen server samt att du sätter upp en ny DC och flyttar FSMO till denna.

Gällande inloggningen så hade jag i GPMC satt deny apply för admin på den/de GPO:er som bråkar med inloggningstiden för att komma runt problemet.

//monsta

#3 NiclasEriksson

NiclasEriksson

  • 726 inlägg

Skriven 05 December 2017 - 16:37

Se till att GPO's inte slår på domain admins..  om det inte är så att "nån dum sate" har ställt in allt i Default Domain Policy vilket tyvärr är alldeles för vanligt..  Se till att alla GPO's länkas till det OU där användarna/PC's ligger, inte i rooten.
Om du inte kan flytta mail till  O365 så sätt upp en ny server med 2016, in med Hyper-V. Skapa en VM med DC roll, flytta alla fsmo dit. Den kan också vara DHCP o Fil/Print utan större problem. Skapa ytterligare en VM och installera Exchange i samma organisation och gör en mailbox migrering till nya. Sen avinstallerar du exch 2010, flyttar filsarea, dhcp scope, printköer, demotar den gamla DC'n, stänger ner den gamla servern.
Men första steget är att ordna upp OU struktur / GPO's.

#4 Oliver76

Oliver76

  • 10 inlägg

Skriven 16 December 2017 - 14:13

hej alla IT kompisar =).

Planen som ni nämner har jag redan tänkt på men efter att sett mängder av fel i denna Windows 2008 R2 event viewer loggar mm kan jag inte ta steget vidare förrän "skiten" mår bra =). Jag har lyckats rensa upp en hel del i Default Domain Policy Samt i Default Domain Controllers policy och flyttat ner dessa GPO till korrekta OU. Jag har fått ner 2-3 timmars domän administratörs inloggning till 1 h och 10 min. Servern försöker fortfarande "applya" Printer GPO som jag inte kan hitta någonstans och jag vet inte varför. Det jag hittat är allt från konsumentskrivare mm drivers på denna server både i register, samt under SYSVOL policies som inte finns i GPO verktyget. Jag har fått ned inloggningstiden efter att jag avinstallerat print serverrollen och flyttat den helt till annan server. Jag har dock upptäckt mängder av fel i både register i form av gamla trasiga printer drivers som även dessa är borttagna sedan flera år. Jag har även kört ett verktyg som jag installerat som kommer från Microsoft Windows 2003 rescource kit(ja ni läste rätt 2003 resource kit är tydligen enligt Microsoft supporten godkänd även för Windows 2008 R2) Med hjälp av detta verktyg kunde jag testa de policies som ligger med GUID namn under SYSVOL vad de verkligen heter och om de mår bra eller inte. Default Domain Policy mår bra enligt verktyget, men Default Domain Controller Policy får jag hela tiden resultatet som: No policies vilket skrämmer mig lite. Innebär att inget läses från den eller vad gäller? Den enda policy som slår på domain admins i nuläget är Default Domain Policy/fungerar samt Default Domain Controllers Policy(verkar inte fungera bra). Det finns inga policies uttöver dessa 2 huvud policies som slår på Domain admins i nuläget. Dessa 2 är dessutom korrekt rensade men Default Domain Controllers Policy har varit skum sedan dag 1. Är det någon här som skulle kunna skicka över en Default Domain Controller Policy för en Windows 2008 R2 mer korrekt default inställningar? behöver något att jämföra med. I värsta fall slänger jag upp en labbmiljö men vill gärna spara lite tid. Återkom gärna med andra förslag. Beträffande mail kommer det bli Exchange 2016 pga mycket hög sekretess, tro mig hade jag fått bestämma hade allt hamnat i Azure och i office 365 =). Första steget som ni nämner är jag nästan klar med =). Jag tackar verkligen för alla tips och råd jag fått =).

#5 peterj

peterj

  • 3377 inlägg

Skriven 17 December 2017 - 03:53

Lite of topic on office 365 först.
Jag hör det ofta vi måste ha mailen hemma för vi har så mycket hemligt i mailen. Det är till 90% bull shit. Det är under 10 % av alla företag som har saker som är hemliga och är dom så hemliga så skall dom
1 inte ligga i mail.
2 då skall dom ha en RMS server också plus andra skydds saker ut över det.
Faktum är det är mindre chans att mail blir hackade på t.ex. o365 än den blir det hos dom.

Men till ditt problem.. Jag hade nog satt upp en ny DC och flytta fsmo till den om du har möjlighet så ser om Domain inlog eller server som ger så lång tid så har du rädda undan AD.  och sedan flytta ut tjänst för tjänst från den burken.

Du har ett stort problem det är en ganska stor risk att lägga på exchange service pack som den är nu. Men å andra sida så måste du det för kunna migrera till exchange 2016.

#6 Delarium

Delarium

  • 328 inlägg

Skriven 09 January 2018 - 14:35

Visa inläggpeterj på 17 December 2017 - 03:53 sade:

Lite of topic on office 365 först.
Jag hör det ofta vi måste ha mailen hemma för vi har så mycket hemligt i mailen. Det är till 90% bull shit. Det är under 10 % av alla företag som har saker som är hemliga och är dom så hemliga så skall dom
1 inte ligga i mail.
2 då skall dom ha en RMS server också plus andra skydds saker ut över det.
Faktum är det är mindre chans att mail blir hackade på t.ex. o365 än den blir det hos dom.

Men till ditt problem.. Jag hade nog satt upp en ny DC och flytta fsmo till den om du har möjlighet så ser om Domain inlog eller server som ger så lång tid så har du rädda undan AD.  och sedan flytta ut tjänst för tjänst från den burken.

Du har ett stort problem det är en ganska stor risk att lägga på exchange service pack som den är nu. Men å andra sida så måste du det för kunna migrera till exchange 2016.

+1

Samt att det går utmärkt att aktivera MFA på Office365, om man är orolig att någons lösenord skulle komma på vift.

Slår också ett slag för att försöka migrera mailen till ny on-premlösning på annan burk, alt flytta det till Office365. Beroende på behov och krav, konfigurera upp ADFS alt synca lösenorden upp till Office365.
MVH
Andreas Johansson
MSMCP, CCNA1




0 användare läser denna tråd

0 medlemmar, 0 gäster, 0 anonyma medlemmar