Jump to content

GPO werden abgelehnt - "Zugriff nicht möglich"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe ein blödes Problem mit der DFS-Replikation und deren Nebenwirkungen.

 

Zu einer Server 2012-Domäne (dc01) wurde ein weiterer DC Server 2008 R2 als DC (dc02) hinzugefügt. Das Domänen-Funktionslevel war zuvor bereits nur "Windows Server 2008 R2", es muss also bereits ein Server 2008 R2 mal ein DC gewesen sein.

 

Nach Hinzufügen des weiteren DC fiel mir auf, dass der SYSVOL-Ordner nicht repliziert worden war. Weiterhin fehlten auf dem 2. DC die Freigaben SYSVOL und NETLOGON. Die Freigaben erstellte ich daraufhin manuell und verglich die Freigabe- und NTFS-Rechte mit denen von DC 1 und setzte diese dann.

Die Replikation klappte erneut nicht, das DFSR-Log auf dc01 zeigte diesen Fehler an:

 

The DFS Replication service stopped replication on volume C:. This occurs when a DFSR JET database is not shut down cleanly and Auto Recovery is disabled. To resolve this issue, back up the files in the affected replicated folders, and then use the ResumeReplication WMI method to resume replication.
 
Additional Information:
Volume: C:
GUID: <GUID>
 
Recovery Steps
1. Back up the files in all replicated folders on the volume. Failure to do so may result in data loss due to unexpected conflict resolution during the recovery of the replicated folders.
2. To resume the replication for this volume, use the WMI method ResumeReplication of the DfsrVolumeConfig class. For example, from an elevated command prompt, type the following command:
wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="<GUID>" call ResumeReplication
 

Die Recover Steps führte ich auf dc01 durch und das komplette SYSVOL wird seitdem repliziert, neue Objekte (Dateien, GPOs), die im SYSVOL erstellt werden, werden sofort auf dc02 repliziert und umgekehrt funktioniert es auch.

 

Neu erstellte GPOs können aber leider nicht verarbeitet werden, gpresult wirft diesen Fehler aus:

 

Abgelehnte Gruppenrichtlinienobjekte
Name    Verknüpfungsstandort    Grund: abgelehnt

{FF3901CA-2A82-426A-B5AE-987F2DF10ABE}    domain.lan    Zugriff nicht möglich
{9F98B128-F6E9-428E-976C-558ED3267BA0}    domain.lan    Zugriff nicht möglich

Dabei ist es egal, ob ich das neue GPO direkt im Domänenstamm oder an einer OU erzeuge und verknüpfe. Dass anstelle des GPO-Namens nur die ID ermittelt werden kann weist wahrscheinlich darauf hin, dass der aktuelle User wahrscheinlich kein Recht hat, im NTFS auf die Elemente unterhalb des GPO-Odners zugreifen zu dürfen. Durch Sicherheitsfilterung hat nur die Gruppe "Home-LW" das Recht, das GPO lesen und anwenden zu dürfen, das Bild zeigt, dass das Recht auch eigentlich funktioniert. Es macht auch keinen Unterschied, ob das Objekt nun auf dc01 oder auf dc02 erstelle und repliziere, der Fehler beibt bestehen.

 

dcdiag führt für beide DCs diesen Fehler auf, der aber passt, da ich das Problem gestern Nachmittag erst behob, alle anderen Checks sind ok:

 

Starting test: DFSREvent
         Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
         SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge
         haben.

Seit gestern Nachmittag sind keine neuen Events für DFSR mehr aufgetreten.

 

repadmin /syncall bzw. /showreps meint, dass alles erfolgreich sei.

 

Ich bin mit meinem Latein gerade etwas am Ende und weiß nicht recht, wo ich da noch ansetzen kann bei der Fehlersuche. Ich bin kurz davor, den dc02 wieder zu deinstallieren. Was übersah ich evtl.?

Danke vorab.

 

 

post-53509-0-94604000-1492691908_thumb.png

Link zu diesem Kommentar

Die Freigaben erstellte ich daraufhin manuell und verglich die Freigabe- und NTFS-Rechte mit denen von DC 1 und setzte diese dann.

Das war noch nie eine gute Idee - besser den Fehler identifizieren und beheben, der zum Fehlschlagen der Replikation führt.

 

Durch Sicherheitsfilterung hat nur die Gruppe "Home-LW" das Recht, das GPO lesen und anwenden zu dürfen

Willkommen in der Welt nach MS16-072 :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...