FAQ

Archiv

Sie sind sporadisch mit extrem lange Wartezeiten beim Verbindungsaufbau mit einem NetSupport Manager CLIENT konfrontiert.
Obwohl der Einsatz mit NetSupport Manager weiterhin reibungslos funktioniert, benötigen Sie für einen Verbindungsaufbau zu einem CLIENT Rechner mit eingeschalteter Benutzer-Authentifizierung mitunter mehrere Minuten.
Hierbei ist es egal, ob Sie sich über den Rechnername oder die IP-Adresse zum CLIENT Rechner verbinden.

Sollten Sie auf dem CLIENT Rechner die Anzeige von Benutzerdefinierbaren Texten im CLIENT Konfigurator eingestellt haben, so sehen Sie daran, dass die Verbindung direkt aufgebaut wird, jedoch die Benutzer-Authentifizierung unverhältnismässig lange dauert.

Ursache

Wenn in der Clientkonfiguration die NT-Authentifizierung ausgewählt ist, findet folgendes statt:

• Wenn ein Controlbenutzer sich mit einem Client verbindet, erscheint zunächst ein Eingabefenster für die Eingabe des Benutzernamens und Passwortes.
• Der eingegebene Benutzername und das zugehörige Passwort werden über die NetSupport Verbindung an den Client gesendet.
• Der NetSupport Client authentifiert den Benutzer. Wenn die Authentifizierung fehlschlägt, wird die Verbindung abgelehnt.
• Wenn die Authentifizierung erfolgreich verläuft, wird die Gruppenzugehörigkeit ausgelesen. Diese besteht aus einer Ansammlung von SID's.
• Zu jeder dieser SID's wird nacheinander der jeweils zugehörige Gruppenname abgefragt. Wenn die Gruppe mit der in der Clientkonfiguration definierten Gruppe übereinstimmt, wird die Verbindung zugelassen.
• Sobald alle Gruppennamen abgefragt wurden und keine Übereinstimmung gefunden wurde, wird die Verbindung abgelehnt.

Wenn in der Clientkonfiguration die AD-Authentifizierung ausgewählt ist, findet folgendes statt:

• NetSupport Manager sendet einen API Call zum Domänencontroler um den User bzw. die im Client spezifizierte Gruppe zu überprüfen.
• Es werden hierbei ausschließlich die im Client spezifizierten Gruppen nach der Mitgliedschaft des betreffenden Users abgefragt.
• Sollten sich jedoch innerhalb der im Client definierten Gruppe noch weitere Gruppen befinden, werden diese ebenfalls abgefragt.

Lösung

Die Erfahrung zeigt, das derartige Problem gerade in der Migrationsphase einer Domänenstruktur verstärkt auftreten können, z.B. während der Migration einer Windows NT Domäne in eine Windows 2000 / 2003 Domäne.

Wenn Sie sich z.B. mit einem CLIENT Rechner auf Windows NT4 verbinde, so nutzt der CLIENT32 Dienst seinen NT4 Ressourcedomänencontroller zur Authetifizierung.
Da dieser NT4 Ressourcedomänencontroller jedoch keine Active Directory-Gruppen und -Berechtigungen kennt, leitet der NT4 Ressourcedomänencontroller die Anfrage an den Active Directory Ressourcedomänencontroller der neuen Active Directory Domäne weiter, was schon mal einige Zeit dauern kann je nach Netzwerkverbindung.

Verbinden Sie sich z.B. mit einem CLIENT Rechner auf Windows XP, so nutzt der CLIENT32 Dienst zwar auch seinen NT4 Ressourcedomänencontroller zur Authentifizierung, frägt aber auch gleich den Active Directory Ressourcedomänencontroller der neuen Active Directory Domäne an, da der Windows XP Rechner Mitglied der Active Directory Domäne ist, was dann schon eine spürbare Zeitersparnis bedeutet kann.

Desweiteren haben Tests und Analysen ergeben, dass das Problem mit der langsamen Authentifizierung durch das Abfragen der Gruppen bzw. durch die Anzahl der Gruppen, in der ein Benutzer Mitglied ist, verursacht wird. Wenn der NetSupport Manager die Gruppenmitgliedschaften ausliest und die Auflistung der SID's erhält, wird die Liste der Reihe nach abgearbeitet. Es kann jedoch unter Umständen sein, dass eine übereinstimmende Gruppe z.B. erst an 100ster oder 200ster Stelle in dieser Liste steht.

Hinweis

Die erste Gruppe in dieser Liste ist jedoch immer die Primäre Gruppe.

Die Primäre Gruppe eines jeden Benutzers kann im "Active Directory-Benutzer- und Computer" Tool konfiguriert werden.
Wenn die Primäre Gruppe für alle NetSupport Manager Benutzer auf eine der in der Konfiguration definierten Gruppen gesetzt wird, wird diese Gruppe bei der Abfrage als erstes überprüft und die Verbindung wird bei Übereinstimmung sofort zugelassen.

Fazit

Sie können dieses Problem nicht mit oder durch NetSupport Manager lösen oder bearbeiten, da dieses Problem in der Verarbeitungsweise der jeweiligen Domänenstruktur begründet liegt.

Sobald die Migration zu Active Directory und Windows XP Clients abgeschlossen ist, empfehlen wir daher den Einsatz der Active Directory Authentifizierung, die in NetSupport Manager ab Version 9 verfügbar ist.