GPOs funktionieren nicht - war: lustige Konfiguration...

[mfdoom]

Hallo liebes Forum,

ich habe eine lustige Serverkonfiguration hier bei der ich etwas Hilfe benötige.

Ich habe hier 8 Domänencontroller - 2 davon mit 2K Server, der Rest 2003 Server.

Insgesamt habe ich 7 Standorte wobei 6 Standorte sich ausserhalb befinden und per MPLS hier ins Netz kommen (und andersum^^).

Im ersten Standort stehen 2 Domänencontroller (beide 2K Server) wovon der 1. der Betriebsmaster ist (die Domäne läuft im sog. gemischten Modus) der 2. ist Mitgliedsserver.

Das Problem ist nun dass ich von einem 2003er Server aus mit dem GPMC-Tool GPOs erstellt habe. Diese Gruppenrichtlinien funktionieren leider (lt. Ereignislog an den Clients und auf den Servern) nicht.

Ich habe mit den Servertools von 2003 mal repadmin /kcc für jeden DC augeführt - Ergebnis i.O.

Mit dem ADRM (der Replication Monitor) habe ich herausgefunden dass nicht alle GPOs repliziert worden sind (nämlich die die ich kürzlich engepflegt habe).

so sieht dass dann aus:

Code:

"GPOName","meine neue GPO is cool"
"GPOGuid","{039BB08A-3A6F-4543-B4FD-738860841B1C}"
"GPOVer",131072
"GPOSysVer",-1

-1 steht in diesem Fall für ERROR

Ach ja, vielleicht noch was Wichtiges: Die ADM Vorlage (custom) habe ich auf ein Netzlaufwerk kopiert und dann über die GPMC importiert - das sollte ja eigentlich keine Probleme machen.

wenn ich auf dem Betriebsmaster dcdiag ausführe passiert ditte:

Code:

 Starting test: MachineAccount
    * BETRIEBSMASTER is not trusted for account delegation

das konnte ich mit /FixMachineAccount bereinigen...

Leider sind da noch ein paar andere Dinge die nicht glücklich sind bei der Ausgabe von dcdiag (auf jedem der Server ausser auf dem Betriebsmaster), und zwar:

Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.

Wie kann ich sicherstellen dass dit SYSVOL richtig repliziere?

Hängt das evtl. mit anderen "Miskonfigurationen" meinerseits zusammen..?

Ich poste gerne noch mehr Info falls benötigt.



Ansonsten ein schönes WE

[mfdoom]

hmm - noch forste ich im netz - habe schon einiges probiert.

Eine Frage habe ich aber:

Unter welchem Sicherheitskontext wird das GPO unter Sysvol geshared?

Habe hier unterschiedliche Berechtigungen, z.B.:

Domänen-Admins oder Domänenadministratoren oder Domänencontroller...


welcher Sicherheitskontext sollte auf jeden Fall funktionieren?

Mir ist auch anhand des ganz hervorragenden Tools ADRM aufgefallen dass alle nicht funktionierenden GPOs die gleiche Version (DS und SYSVOL) haben, das hier ist ein Beispiel

Name der GPO Group Policy Object GUID: {039BB08A-3A6F-4543-B4FD-738860841B1C} Group Policy Object Version in the DS: 131072 Group Policy Object Version in SYSVOL: 131072

Weiss jemand was dazu?


Grüsse

[Lian]

Hallo,

ich habe mal den Thread-titel geändert, der alte war doch recht nichtssagend...

[mfdoom]

ich habe mal den Thread-titel geändert, der alte war doch recht nichtssagend...

dankeschön - so bekomme ich bestimmt 1 zilliarde hits

[blub]

Hi,
nichtssagende Titel wie "Hilfe, dringend" oder "lustige Konfig.." ignorier ich tatsächlcih prinzpiell

zu deinen Fragen:
sysvol bzw. Filereplication überwachst du am besten mit dem reskit tool "sonar". Wenn die Filereplication verhaut ist, such in der technet nach "FRS" "sysvol" "burflags" . Da gibts einen Artikel, die Filereplication wieder neu zu initialisieren

Bei Policies muss die Version im Sysvol und in der DS gleich sein.
In der GPMC gibt es ein skript "searchorphanedGPOs" oder so ähnlich. Lass das mal laufen

cu
blub

[Lian]

Zitat von mfdoom dankeschön - so bekomme ich bestimmt 1 zilliarde hits

Den Sarkasmus kannst Du Dir sparen

Zu den Titeln: https://www.mcseboard.de/rules.php#nr10

[mfdoom]

Das ist die Ausgabe des Scripts mit dem Namen "FindOrphanedGPOsInSYSVOL.wsf"
sowie der Option:

Code:

/domain:meine.domäne

Code:

Policies Not In AD But Located in:
  \\local\sysvol\local\policies

 {210DFB81-2E20-414C-9686-C9D04A583ECF}_NTFRS_0614473a
 {50EF0EB5-15C2-41B9-B410-2890FBC2790D}
 {84DC4219-B16D-4676-9812-A93406E7464A}
 {945DCD42-4343-4287-9609-E09A859E2D48}
 {AC7927C2-589D-4BF4-9504-2FB108C98FDB}
 {D9F670A0-123D-438D-841D-08947509A535}
 {E48C4F96-E80D-49FA-9B55-E77CE33ABA81}
 {E48C4F96-E80D-49FA-9B55-E77CE33ABA81}_NTFRS_0049d5cb
 {E64F10B9-166C-466A-91F0-9F78E3D8DC43}

Total Orphaned GPO's: 9

Als nächstes werde ich die Filereplikation neu initialisieren mithilfe des "sonar" Tools vom ResKit 2003 Server.



Grüsse aus dem warmen Berlin

[mfdoom]

Zitat von Lian Den Sarkasmus kannst Du Dir sparen Zu den Titeln: https://www.mcseboard.de/rules.php?#nr10

^^ na komm - uns is auch warm

willste ne Cola?


Liebe Grüsse

[gysinma1]

Hallo

Ich habe echt das Gefuehl, dass da wesentlich mehr verbockt ist als die NTFRS Replication und das SYSVOL. Wie sieht es mit dem Grundlegen DNS Einstellungen etc. aus. So wie ich das verstehe ist das ein AD Branch Office aehnliches Gebilde - zwar in einem Forest aber mit Sites. Da ist DNS das A+O. Wie sieht es aus mit netdiag/fix und/oder dcdiag /fix sowie einem möglichen brofmon (ist ein scripted Tool zwar fuer Branchoffices) duerfte aber da auch helfen. Evtl. auch replmon um unvollstaendige Replications zu finden.


Wusste nicht, dass wir Hitcounters sammlen, dachte immer Problemlösungen :-)


Gruss,

Matthias

[mfdoom]

Hi,

also ein netdiag auf dem Betriebsmaster war allesamt positiv, bis auf (ja ich weiss) ditte:

Code:

DNS test . . . . . . . . . . . . . : Passed
    [WARNING] The DNS host name 'mein_server_mit_underlines' valid only on Windows 2000 DNS Servers. [DNS_ERROR_NON_RFC_NAME]
    PASS - All the DNS entries for DC are registered on DNS server '10.0.0.101' and other DCs also have some of the names registered.
    PASS - All the DNS entries for DC are registered on DNS server '10.0.0.5' and other DCs also have some of the names registered.

ein dcdiag (ohne /v) auf dem gleichen Server ergab folgendes:

Code:

Starting test: frssysvol
   Error: No record of File Replication System, SYSVOL started.
   The Active Directory may be prevented from starting.

der rest war i.O.

Die Fehler bleiben jedoch trotz /fix option.

Den Replication Monitor habe ich eh laufen (Fehlermeldungen siehe oben).

Grüsse aus Berlin


Liebe Grüsse