Zum Inhalt wechseln


Foto

Fehler bei der Verarbeitung der Gruppenrichtlinien


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 Knight96

Knight96

    Newbie

  • 5 Beiträge

 

Geschrieben 09. Januar 2009 - 08:58

Hallo Gemeinde,

ich bin ziemlich frustiert. Ich habe zum ersten Mal eine neue Domäne unter Windows 2008 installiert;bekomme jedoch immer wieder die gleiche Fehlermeldung.

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".

unter "Details" steht dann:

- System

- Provider

[ Name] Microsoft-Windows-GroupPolicy
[ Guid] {aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}

EventID 1006

Version 0

Level 2

Task 0

Opcode 1

Keywords 0x8000000000000000

- TimeCreated

[ SystemTime] 2009-01-09T08:30:08.118Z

EventRecordID 58862

- Correlation

[ ActivityID] {96A0F7B3-6725-46BE-BBAA-059B14BAF20B}

- Execution

[ ProcessID] 304
[ ThreadID] 9412

Channel System

Computer dc.xxxxx

- Security

[ UserID] S-1-5-21-884389277-3093622033-4105056014-500


- EventData

SupportInfo1 1
SupportInfo2 4934
ProcessingMode 1
ProcessingTimeInMilliseconds 6021
ErrorCode 81
ErrorDescription Server heruntergefahren
DCName


Recherche im Internet hat nicht viel ergeben.
Nutzer können sich ganz normal im Netz anmelden.

Vielleicht hat jemand von euch eine Idee,wo ich konkret suchen muß.

Wie gesagt, es ist meine erste Installation von Windowes 2008.


Vielen Dank im voraus.

#2 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 10. Januar 2009 - 14:13

Moin,

ist das der einzige DC? Wie viele Computer gehören der Domäne sonst noch an?

DNS läuft ordentlich und ist korrekt konfiguriert? Irgendwelche anderen Fehlermeldungen drumrum?

Gruß, Nils

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 Jim di Griz

Jim di Griz

    Board Veteran

  • 832 Beiträge

 

Geschrieben 10. Januar 2009 - 15:34

Ist der DC Name im Eventlog wirklich leer oder hast du das entfernt?
Wurden die clients schon in die Domäne aufgenommen bevor der Fehler auftrat?
welches ergenis hat ping Computername/ ping computername.domäne?
ergebnis von nslookup?

#4 Landschaftsgest

Landschaftsgest

    Member

  • 239 Beiträge

 

Geschrieben 10. Januar 2009 - 19:30

Und eine Frage fehlt noch:

Wieviele Netzwerkkarten hat der DC und wie sind diese konfiguriert? (Multihomed DC?)
Alles wird gut

Landschaftsgestalter

#5 Knight96

Knight96

    Newbie

  • 5 Beiträge

 

Geschrieben 11. Januar 2009 - 20:12

erstmal vielen Dank,das Ihr mir bei der Problemlösung helfen wollt.

@NilsK: es ist der einzigste DC;zum Netzwerk gehören noch eine Firewall (Untangle);ein Fileserver auf Windows 2008 und 15 Arbeitsplatzcomputer
Ob DNS richtig konfiguriert ist glaube ich im Moment selbst nicht mehr;habe die Installation laut Windows 2008 Server Handbuch gemacht.
Andere Fehlermeldungen bekomme ich nicht:

@Jim di Griz: Den DC Namen im Eventlog habe ich entfernt ;-)
Der Fehler war schon vor Aufnahmer der Clients vorhanden.
ein Ping Computername und Ping Computername.domäne gibt ein ::1: zurück
Nslookup gibt als Standardserver den Namen des Servers zurück und seine korrekte IP-Adresse.

@Landschaftsgest: es sind 2 physikalische Netzwerkkarten vorhanden,jedoch eine wurde von mir deaktiviert.
Die Einträge in der Netzwerkkarte habe ich manuell vorgenommen;Einträge für DNS und WINS habe ich mit der lokalen IP konfiguriert.


Übrigens: ein dcdiag gibt nur den o.g. Fehlermeldung aus;alle anderen Tests werden mit bestanden ausgegeben.

#6 Jim di Griz

Jim di Griz

    Board Veteran

  • 832 Beiträge

 

Geschrieben 11. Januar 2009 - 22:03

hi,

erste anlaufstelle sollte immer EventID.Net - Troubleshooting information for Windows event logs sein :)


Mihai Andrei (Last update 11/30/2008):
As per Microsoft: "This problem occurs because the version number of the KRBTGT account increases when you perform an authoritative restoration. The KRBTGT account is a service account that is used by the Kerberos Key Distribution Center (KDC) service". See M939820 for a hotfix applicable to Microsoft Windows Server 2003.

von:

Windows Event ID 1006 from Microsoft-Windows-GroupPolicy

könnte das passen?

#7 Knight96

Knight96

    Newbie

  • 5 Beiträge

 

Geschrieben 12. Januar 2009 - 04:29

@Jim di Griz: Kann das denn auch auf Windows 2008 Server zutreffen?

#8 Jim di Griz

Jim di Griz

    Board Veteran

  • 832 Beiträge

 

Geschrieben 12. Januar 2009 - 07:57

moin,
ich würde es zumindest nicht ausschliessen wollen und es ist ein hint wie es weitergehen koennte.

gab es denn einen authoritative restore?
hast du noch etwas anderes herausgefunden?

auf den knowledgebase seiten wird das ganze nochmal erlaeutert:

"1055-1645-Ereignis: 40961 Windows Server 2008 auf neuen Domäne-Controllern oder Fehlermeldung 1925 1006: wenn Sie ein Remotedesktopverbindung versuchen, ist in Windows Vista für Authentifizierung Keine Autorität erreichbar

da ist es dann ein 2008 server.

#9 Knight96

Knight96

    Newbie

  • 5 Beiträge

 

Geschrieben 12. Januar 2009 - 13:06

Jim di Griz: Ich habe keine Authorative Restore gemacht.

Mittlerweile denke ich,das die Probleme durch eine fehlerhafte DNS-Installation verursacht werden.
ich habe gerade den Active-Directory Dienst mit allen abhängigen Systemdiensten neu gestartet;folgende Fehlermeldungen traten auf:

Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Ereignis-ID: 4013

Ausserdem wird im Systemprotokoll folgende Fehlermeldung ausgegeben:

ldap._tcp.gc._msdcs.server.local. 600 IN SRV 0 100 3268 DC1.server." auf folgendem DNS-Server ist ein Fehler aufgetreten:


IP-Adresse des DNS-Servers: ::
Verbindungsantwortcode (RCODE): 0
Zurückgegebener Statuscode: 0



Jedoch kann ich mir beide fehler absolut nicht erklären; im DNS-Server sinfd überall die IP-Adressen hinterlegt.

Wäre es nun besser,den Server neu aufzusetzen? Oder gibt es einen einfacheren Workaround, um die DNS-Probleme zu lösen?

#10 Jim di Griz

Jim di Griz

    Board Veteran

  • 832 Beiträge

 

Geschrieben 12. Januar 2009 - 13:54

ipconfig /registerdns evtl.

da es allerdings ein dc und server 2008 ist bin ich mir nicht ganz sicher, sind dateisystemrechte geändert worden?

der fehler könnte evtl. auftreten weil windows nicht nur den dc-namen und die ip-adresse benötigt für eine korrekte AD-DNS-Installation.
es muss z.b. ein eintrag mit der SID der Domäne existieren und die service locations (unter anderem auch für den Kerberos Server) muessen korrekt eingetragen sein.

da es nur ein dc ist liegt evtl.l ein problem bei der verarbeitung der lokalen dns datei vor, such doch mal in richtung "dns wiederherstellen netlogon.dns" (oder gugg ob service eintraege bestehen und ob sie komplett sind)

(oder setz den server neu auf, habe allerdings das gefühl das da beim erstaufsetzen schon etwas nicht stimmte, was sollte sich geändert haben?)

irgendwie passt das alles nicht, auf der einen seite wurden clients in die domäne gebracht, auf der anderen seite sagt die meldung das schon die erstinitialisierung des AD scheitert.

irgendwelche weiteren tätigkeiten nach domjoin der clients und vor dem fehler?

#11 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 12. Januar 2009 - 17:46

Hi,

vielleicht einmal ein Schuß ins Blaue:

ein Ping Computername und Ping Computername.domäne gibt ein ::1: zurück


IP-Adresse des DNS-Servers: ::


Bevor Du jetzt an irgend einer Stelle weitermachst, würde ich empfehlen, testweise IPv6 einmal auf allen beteiligten Windows Server 2008 Systemen zu deaktivieren (für den Moment reicht es, einfach den Haken in den TCP/IP Einstellungen wegzunehmen), solltest Du IPv6 nicht einsetzen.

Danach schau einmal auf den DNS Servern, ob IPv6 Adressen registriert sind. Wenn dort welche vorhanden sind und Du Dir sicher bist, daß Du IPv6 in Deinem Netz nicht nutzt, dann lösche diese und starte den NETLOGON Dienst auf den DCs einmal neu.

Danach prüfe einmal, ob sich das Fehlerbild bzw. insbesondere die o.g. Fehlermeldungen in irgend einer Weise von den alten unterscheiden.

Zu diesem zeitpunkt sollte natürlich sichergestellt sein, daß die IPv4 Adressen korrekt und ggf. richtig in den TCP/IP IPv4 Einstellungen als DNS Server etc. auf den Systemen vergeben sind. ;)
Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#12 Knight96

Knight96

    Newbie

  • 5 Beiträge

 

Geschrieben 13. Januar 2009 - 07:22

Bingo!!!

Der Tip von OLC hat mich auf die richtige Fährte gebracht. Es waren zwar keine IPV6 Adressen registriert,jedoch waren nach Aktivierung von IPV6 auf dem Adapter (obwohl ich IPV6 nicht einsetze) die Fehlermeldungen verschwunden. Ich denke,ich habe IPV6 nach dem Aufsetzen des DNS-Servers deaktiviert. Ich habe jedoch wirklich keine registrierten Adressen gefunden.

Allerdings gibt es nun ein neues Problem; im Systemprotokoll wird EventID 5774 (Quelle Netlogon) ausgegeben:

Bei der dynamischen Registrierung des DNS-Eintrags "_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.server. 600 IN SRV 0 100 389 DC1.server." auf folgendem DNS-Server ist ein Fehler aufgetreten:

IP-Adresse des DNS-Servers: ::
Verbindungsantwortcode (RCODE): 0
Zurückgegebener Statuscode: 0


Aber die IP-Adresse ist wirklich überall die lokale IP;ich finde keine "leeren" IP-Adressen.

Gibt es da noch einen Workaround;oder wäre es nun nicht besser,das System ganz neu aufzusetzen?

Ganz davon abgesehen möchte ich mich für die tatkräftige Unterstützung in diesem Forum bedanken.