Gdy system Windows ma bardzo dużą liczbę lokalnych kont użytkowników, widok Rublon Prompt może pojawiać się ze znacznym opóźnieniem podczas lokalnego logowania do systemu Windows lub połączenia RDP. W systemach z kilkoma tysiącami lokalnych kont użytkowników opóźnienie logowania może wydłużyć się nawet do kilku minut. W takich przypadkach opóźnienie może rosnąć niewspółmiernie wraz ze wzrostem liczby lokalnych kont użytkowników.
Dlaczego tak się dzieje?
To zachowanie jest powodowane przez system Windows, a nie przez samo rozwiązanie Rublon MFA.
Nasza analiza wykazała, że wydajność logowania w systemie Windows pogarsza się, gdy na komputerze przechowywana jest bardzo duża liczba lokalnych kont użytkowników. Opóźnienie występuje, zanim użytkownik dotrze do etapu uwierzytelniania wieloskładnikowego Rublon MFA. W międzyczasie użytkownik może widzieć jedynie rozmyte tło logowania Windows bez elementów interaktywnych. Po upływie opóźnienia wyświetlany jest standardowy widok logowania Windows, a użytkownik może wprowadzić swoje hasło.
Wyjaśnia to również, dlaczego ten sam problem występuje niezależnie od tego, czy użytkownik ma ustawiony status Active czy Bypass w rozwiązaniu Rublon MFA: opóźnienie wpływa na pierwszy czynnik logowania w systemie Windows i nie jest zależne od jakiejkolwiek polityki rozwiązania Rublon MFA. Widok Rublon Prompt pojawia się później tylko dlatego, że jest częścią ogólnego procesu logowania w systemie Windows.
Firma Microsoft opisuje zasady Interactive logon: Don’t display last signed-in. System Windows obsługuje również zasadę ukrywającą punkty wejścia funkcji Fast User Switching. W naszych testach włączenie tych ustawień systemu Windows usunęło opóźnienie.
Jak rozwiązać ten problem?
Uwaga: Przed zastosowaniem opisanej poniżej zmiany rejestru DontDisplayLastUserName zwróć uwagę, że nie jest ona konieczna we wszystkich systemach Windows Server, ponieważ na wystąpienie spowolnienia wpływa również to, czy zainstalowano rolę Remote Desktop Session Host. Podczas dogłębnej analizy tego problemu analitycy firmy Rublon zidentyfikowali powiązanie między funkcją IsActiveSessionCountLimited() a ustawieniem DontDisplayLastUserName w logice systemu Windows odpowiedzialnej za enumerację lokalnych użytkowników SAM, która jest bezpośrednią przyczyną tego opóźnienia. Zgodnie z dokumentacją firmy Microsoft funkcja IsActiveSessionCountLimited() zwraca w systemie Windows Server wartość false tylko wtedy, gdy zainstalowana jest rola Remote Desktop Session Host. W praktyce oznacza to, że zmiana rejestru DontDisplayLastUserName nie jest konieczna na serwerach, na których rola Remote Desktop Session Host jest już zainstalowana.
Na serwerze, którego dotyczy problem, otwórz Rejestr systemu Windows i ustaw następującą wartość:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName = 1
W naszym środowisku testowym ta zmiana wystarczyła do rozwiązania problemu.
Jeśli opóźnienie nadal występuje, ustaw również:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\HideFastUserSwitching = 1
Po zastosowaniu tych zmian ponowne uruchomienie systemu nie jest wymagane.
Co robią te ustawienia?
Ustawienie wartości DontDisplayLastUserName na 1 odpowiada zasadzie zabezpieczeń systemu Windows, która nakazuje systemowi Windows nie wyświetlać ostatnio zalogowanego użytkownika na ekranie logowania.
Ustawienie wartości HideFastUserSwitching na 1 ukrywa punkty wejścia funkcji Fast User Switching. To ustawienie ma znaczenie w innym scenariuszu niż w głównym opóźnieniu logowania. Jeśli sesja użytkownika jest nadal aktywna, na przykład po wybraniu opcji Zablokuj zamiast Wyloguj, opóźnienie nie występuje, ponieważ sesja nie została zamknięta. W takim przypadku użytkownik może normalnie zalogować się ponownie do istniejącej sesji. Jednak wybranie przycisku Przełącz użytkownika powoduje, że system Windows ładuje widok przełączania użytkowników, co może powodować opóźnienia na systemach z dużą liczbą lokalnych kont użytkowników.
Czy jest to problem z rozwiązaniem Rublon MFA?
Nie. Jest to problem z wydajnością logowania lokalnymi kontami w systemie Windows, a nie problem z rozwiązaniem Rublon MFA.
Opóźnienie wpływa na proces logowania w systemie Windows jeszcze przed wyświetleniem etapu Rublon MFA. Nawet po usunięciu konektora Rublon MFA dla Windows, system Windows nadal będzie doświadczać tego samego opóźnienia na systemach z nietypowo dużą liczbą lokalnych kont. Fakt, że rozwiązaniem jest zmiana ustawień Rejestru systemu Windows, a nie zmiana konfiguracji rozwiązania Rublon MFA, wyraźnie wskazuje, że przyczyna leży po stronie systemu Windows.
Dodatkowa rekomendacja
Jeśli musisz zarządzać bardzo dużą liczbą użytkowników, wykorzystanie usługi Active Directory jest na ogół lepszym rozwiązaniem niż przechowywanie tysięcy lokalnych kont na jednym komputerze.
Przydatne linki
Rublon MFA dla Windows Logon & RDP - Dokumentacja
Dlaczego widok Rublon Prompt nie pojawia się na systemie Windows?
Jak przyspieszyć ładowanie widoku Rublon Prompt podczas logowania do systemu Windows i usługi RDP?
Interactive logon: Don’t display last signed-in - Microsoft
Web Sign-In defeats the Fast User Switching policy - Microsoft
Czy ten artykuł był pomocny?
To wspaniale!
Dziękujemy za opinię
Przepraszamy, że nie udało nam się pomóc!
Dziękujemy za opinię
Wysłano opinię
Doceniamy Twój wysiłek i postaramy się naprawić artykuł