Gruppenrichtlinienfehler - kann nicht öffnen

[JeffRoc]

bringt seit dem ich die GPMC mal installiert hab immer o.g. Meldung - woran kann das liegen ******
Wenn ich die GPMC dann deinstalliere gibts über den üblichen Weg ebenfalls diese Probleme

[lefg]

Was ist GPMC? Der Gruppenrichtlinieneditor?

Ich benutze Active Directory Benutzer und Computer, Eigenschaften der Domäne, Gruppenrichtlinien.

[JeffRoc]

Das Problem sieht wie folgt aus, wenn ich auf eine GPO klicke - siehe Anhang..

Die GPMC ist die Gruppenrichtlinienverwaltung -> korrekt.

[Operator]

Leider ist der Anhang noch nicht freigeschaltet.

@lefg: Das ist aber ne Bildungs- bzw. Administratorlücke GPMC ist die GroupPolicyManagementConsole von Microsoft. Macht einiges einfacher was GPOs betrifft. Z.B. kannst Du damit Reports über die Einstellungen generieren und einzelne Richtlinien sichern und wiederherstellen. Ist zwar ursprünglich nur für Windows Server 2003 entwickelt worden, aber nach einer Änderung im Lizenzabkommen darf es auch für Windows 2000 Domänen verwendet werden.
Voraussetzungen sind: Active Directory Domäne (klar!), Windows XP und .NET-Framework.

@JeffRoc: Kannst Du via Explorer auf \\domain.de\sysvol\domain.de zugreifen?
Was liefert ein nslookup auf deinen Domänennamen?
Alle DC's verfügbar?
DNS Konfiguration auf deinem Client richtig? Es sollten z.B. keine weiteren DNS-Server eingetragen sein, als die, die die Domäne betreffen.

Gruß
Andre

[lefg]

Zitat von Operator GPMC ist die GroupPolicyManagementConsole von Microsoft. Macht einiges einfacher was GPOs betrifft. Z.B. kannst Du damit Reports über die Einstellungen generieren und einzelne Richtlinien sichern und wiederherstellen. Ist zwar ursprünglich nur für Windows Server 2003 entwickelt worden, aber nach einer Änderung im Lizenzabkommen darf es auch für Windows 2000 Domänen verwendet werden. Voraussetzungen sind: Active Directory Domäne (klar!), Windows XP und .NET-Framework.

Ich danke für das Schliessen der Lücke. Den S2k3 habe ich noch nicht Einsatz, nur im Versuch; keine Schulung, kein Buch.
Ich hatte GPMC vorhin am S2k probiert und wurde abgewiesen. Der S2k3 war schon ausgeschaltet.

[JeffRoc]

ein nslookup bringt auf die Domain folgendes:

Code:

> domain.intern
Server:  [192.168.0.1]
Address:  192.168.0.1

Name:    domain.intern
Addresses:  192.168.0.1, 192.168.3.254

Die 192.168.3.254 ist die 2. NIC welche ein Beinchen in ein anderes Subnetz hat, welches aber unberührt ist/sein soll vom AD!! Musste zuvor auch den Server in nslookup auf die interne 192.168.0.1 stellen (stand vorher auf die 192.168.3.254)?!?!?!?

Wenn ich in den Explorer folgendes:
\\domain.intern\sysvol\domain.intern
eingebe, kann er nix finden ;(

aber auch ein ping lokal vom server auf den eigenen Hostname verweist auf die 192.168.3.254 - so wie es nicht sein soll!!!!

[JeffRoc]

KOMISCH KOMISCH..

hab herausgefunden, woran es liegt, aber es ist keine Betriebs-Lösung!
Wie fast immer macht auch dieser DC Probleme mit 2 NICs!
Ich habe den DNS korrekt konfiguriert - alle Bindungen auf die irrelevante NIC gelöscht, so dass NS Eintrage nur auf der 192.168.0.1 beantwortet werden können.
Auf der NIC mit der 192.168.3.254 habe ich "Datei- und Druckerfreigabe" deaktiviert und das ist auch das Problem! Denn ohne dieses Protokoll auf dieser NIC ist über "\\domain.intern\SYSVOL\domain.intern" nichts zu finden - gebe ich den DC, sprich "\\dc\SYSVOL\domain.intern" ein, zeigt er alles einwandfrei an. Echt komisch.
Weiß jemand warum er seine Bindung über die 192.168.3.254 hat und nicht mit der 192.168.0.1 arbeitet???

Danke für eure Hilfe - aber leider ist das Problem noch nicht gelöst *grrrr*

[lefg]

In #1 wurde von einem Problem mit GPMC berichtet, in #7 um geht es um etwas anderes.

Was ist denn nun das eigentliche Problem?

[Operator]

Hi All,

@lefg: Das hängt alles zusammen Damit die GPMC arbeiten kann, müssen die Richtlinien ja irgendwo abgerufen werden. Und diese liegen nun mal auf den Domaincontrollern. Da fließen viele Dienste zusammen: DFS, Serverdienst, Datei-Druckerfreigabe, DNS...

@JeffRoc: Ich kann mir schon denken woran das liegt Und wie fast immer liegt das an DC's, die multi-homed sind, sprich 2 NICs haben.

Dein Client löst zum Lesen der GPOs den Domainnamen auf: domain.local
Dein DNS antwortet standardmäßig mit allen IP-Adressen, die er hat.
Wenn Du die 2. Adresse nicht erreichen kannst (fehlendes Routing etc.) dann bekommst Du natürlich keine Verbindung.

Wenn Du die 2. Karte für deine Domäne nicht brauchst, solltest Du diese aus allen Active-Directory Sachen raushalten.

2 wichtige Dienste, die dafür sorgen, daß deine IP-Einträge immer vorhanden sind, sind folgende: Anmeldedienst und DNS-Server.
Diesen beiden Diensten musst Du jetzt beibringen, daß sie nicht mehr alle IP-Adressen beim Start neu registrieren. Dann bist Du zwar dafür verantwortlich bei Änderungen diese von Hand vorzunehmen, aber so oft passiert das ja nicht.

Zuerst mal 2 Registry-Keys, die Du setzen solltest:

Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters legst Du den Wert PublishAddresses an (REG_SZ), der nur die vom Client aus erreichbare IP-Adresse enthält, also 192.168.0.1
Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters legst Du den Wert RegisterDnsARecords an (REG_DWORD) und verpasst ihm den Wert 0.

Mit den beiden Keys deaktivierst Du beim DNS das Registrieren der unnötigen IP-Adresse und beim Anmelde-Dienst die komplette Erstellung der Einträge.

Jetzt musst Du noch im DNS-Server ausschau halten nach "veralteten Einträgen". D.h. alle Einträge (A, SRV, PTR) die noch auf die 192.168.3er IP-Adresse verweisen löscht Du jetzt.
An dieser Stelle kannst Du nun den DNS-Server Dienst und den Anmeldedienst neustarten und solltest prüfen, ob die Einträge auch wirklich nicht neu erstellt worden sind.

Ein Ping vom Client auf die Domain sollte jetzt nur noch die eine richtige Adresse liefern.
Wenn dort noch alte Adressen auftauchen hilft oft ein: ipconfig /flushdns

Dann kannst Du noch nachprüfen, ob der DFS-Client auf dem Client gestartet ist, da dieser für den Zugriff auf \\domain.local\sysvol\domain.local\ nötig ist.

An dieser Stelle sollte der Zugriff auf deine Richtlinien wieder ohne Probleme funktionieren.
Es sei denn ich hab irgendwas vergessen Aber dann poste noch mal...

Referenzen:
http://support.microsoft.com/default...275554&sd=tech
http://support.microsoft.com/default...b;en-us;246804

Gruß und noch n schönes Wochenende
Andre

[lefg]

Also wieder einmal Multi-homed.

Das war eine gute Beleuchtung.

Danke
Edgar