Event ID 5 Source Kerberos

Dieser Fehler stand heute Morgen im Eventlog eines Servers.

Ereignistyp: Fehler
Ereignisquelle: Kerberos
Ereigniskategorie: Keine
Ereigniskennung: 5
Datum: 15.05.2009
Zeit: 09:28:14
Benutzer: Nicht zutreffend
Computer: SERVER01
Beschreibung:
Der Kerberos-Client hat einen KRB_AP_ERR_TKT_NYV-Fehler von Server “COMPUTERNAME$”
empfangen. Dies deutet darauf hin, dass das Ticket, das für den Server verwendet wurde,
noch nicht gültig ist (im Verhältnis zu der Serverzeit). Wenden Sie sich an den
Systemadministrator, und vergewissern Sie sich, dass die Client- mit der Serverzeit
synchronisiert ist, und dass der KDC im Bereich “DOMAIN.LOCAL” mit dem KDC
im Clientbereich synchronisiert ist.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.

Die Ursache für den Fehler ist ein Abgelaufenes Kerberos Ticket. Dies kann vorkommen wenn auf dem Client eine andere Systemzeit gesetzt ist als auf dem Server. In unserem Fall war es ein Zeitunterschied von ca. 15 Minuten. Wird die Systemzeit angepasst verschwindet der Fehler.

Extrem langsamer Logon Prozess unter Windows XP

Seit einiger Zeit haben wir in einem Netzwerk diverse Probleme mit Clients die bei der Anmeldung an der Domäne ca. 20 Minuten benötigen. Auf allen Clients ist Symantec Anti-Virus Corporate Edition 10 installiert. Dieser coole Virenscanner ist es auch der hier wahrscheinlich einen grossen Teil zum ewig langsamen Logon Prozess beiträgt. Der Virenscanner lädt sich während dem Logon neue Definitionen und macht einen vorkonfigurierten Quick-Scan. Resultat davon: ca. 15 Minuten bis das ding durch ist. Anschliessend an diesen Prozess werden dann die Sicherheitsrichtlinien angewandt, was dann nochmals ca. 5 Minuten in anspruch nimmt. Da die Sicherheitsrichtlinien per default alle 16 Stunden geprüft werden trifft dies dann so ca. auf jeden Neustart am Morgen zu. Die logische Folge: Alle Clients bleiben 24/7 Online. Bei 50 Clients nicht gerade wirtschaftlich.

Die Lösung für das Problem umfasst folgende zwei Anpassungen:
1. Deaktivieren des Startup Scans gemäss diesem Artikel in der Symantec KB. Da die Anleitung jedoch nicht sauber funktioniert, kann man direkt auf den verlinkten Registry Eintrag gehen, welchen man Hier laden kann. Dadurch wird per Registry Key der Startup Scan deaktiviert.
2. Man setze den Wert MaxNoGPOListChangesInterval Wert etwas hoch. Den Wert findet man in der Registry unter: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}] Der default Wert ist 960. Diese 960 Minuten definieren der Wert zwischen der Anwendung der Sicherheitsrichtlinien. Dieser Wert gilt nur wenn sich an den Sicherheitsrichtlinien nichts geändert hat. Setzt man den Wert nun auf einen höheren Wert (bis hex ffff oder dec 65535), wird dieses unnötige Update verzögert und tritt nur noch selten auf und nicht mehr bei jedem Neustart. Weitere Infos zum MaxNoGPOListChangesInterval gibts Hier.

Mit diesen zwei Anpassungen haben wir bei den Clients die Logon Zeit auf ca. 4-5 Minuten verkürzt.