keine sicherheitsrichtlinie, kein anmeldeserver, keine replikation

[Icebird]

moin

meine lösung von hier (dcdiag meldet fehler bei DsGetDC) lief bis heute morgen dann war es wieder soweit 'nix ging mehr' . aber der reihe nach.

ich habe also diesen w2k server (SRV-01.DOM.INT) mit sp2, er ist als dc mit ad konfiguriert. der dns läuft perfekt ich kann interne wie externe namen (z.b. pc.dom.int, www.name.de) auflösen (ping, nslookup). das system lief ca. 1 jahr ohne probleme. ich bekomme meldungen von dcdiag das der fsmo test fehlgeschlagen ist und das ereignissprotokoll meldet fehler bei ntfrs, ntds, scecli und userenv. ich kann weder die sicherheitsrichtlinie für domänen noch für domänencontroller öffnen meldung 'sie verfügen nicht über ausreichende rechte' / 'das system kann den angegebenen pfad nicht finden', die lokale richtlinie lässt sich problemlos öffnen. es fehlen sowohl die sysvol als auch die netlogon freigabe. die user (w2k pro sp2 pc's) werden angemeldet haben aber keinen zugriff auf freigaben (logisch weil kein anmeldeserver in der domäne gefunden).

meine bisherigen versuche zum thema und das durchlesen von ca. 1000000 posts zum thema hier bei ms eventid und wie sie alle heissen haben mich leider nicht viel weitergebracht. das einzige was funktioniert hat war unter
'HK\LM\SYSTEM\CCM\Services\NetLogon\Parameters\SysvolReady' auf '1' zu setzen. nach dieser aktion sind die shares 'netlogon' / 'sysvol' wieder da. die user können arbeiten und in dcdiag werden alle tests als 'passed' angezeigt wenn auch beim test frssysvol folgendes kommt:

Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... SRV-01 passed test frssysvolysvol

allerdings bleiben die fehler im protokoll (scecli, ntds, ntfrs) und die sicherheitsrichtlinien lassen sich auch nicht öffnen.
mein sysvol verzeichniss sieht so aus:

Verzeichnis von R:\winnt\sysvol\sysvol
01.02.2002 18:38 <JUNCTION> DOM.INT
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT
24.07.2003 11:55 <DIR> Policies
23.07.2003 21:06 <DIR> SCRIPTS
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies
24.07.2003 11:59 <DIR> {9A1B5FE5-5123-4A33-B25A-4697897ED3F6}
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}
24.07.2003 11:59 <DIR> Adm
24.07.2003 11:55 22 GPT.INI
24.07.2003 11:59 <DIR> Machine
24.07.2003 11:55 <DIR> User
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Adm
08.05.2001 14:00 36.404 conf.adm
08.05.2001 14:00 257.040 inetres.adm
08.05.2001 14:00 837.524 system.adm
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine
24.07.2003 11:59 <DIR> Applications
24.07.2003 11:59 <DIR> Microsoft
24.07.2003 11:59 <DIR> Scripts
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Applications
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Microsoft
24.07.2003 11:59 <DIR> Windows NT
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Microsoft\Windows NT
24.07.2003 11:59 <DIR> SecEdit
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Microsoft\Windows NT\SecEdit
24.07.2003 11:59 142 GptTmpl.inf
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Scripts
24.07.2003 11:59 <DIR> Shutdown
24.07.2003 11:59 <DIR> Startup
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Scripts\Shutdown
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Scripts\Startup
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\User
Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\SCRIPTS

so und nu seid ihr dran (hoffe ich doch) denn ich weiss nicht was noch ich machen soll. ich denke das hauptproblem ist die nicht vorhandene richtlinie die alles andere blockiert aber wie bekomme ich die wieder hin ohne eine neuinstallation???.

gruß michael

[grizzly999]

Hast ja ganz nett was aufgelistet, aber wo bitte sind die Richtlinien
{3irgendwas irgendwas} = Default Domain Policy und
und
{6irgendwas irgendwas} = Default Domain Controllers Policy

Keine Bandsicherung?

grizzly999

[Icebird]

moin grizzly

ich hab mir gedacht wenn schon info dann richtig, und nach über 10 jahren troubleshooting würde ich nie auf die idee kommen aussagen wie 'geht nicht' oder 'da stand ne fehlermeldung' von mir zu geben , ich habe mir auch nochmal die meldungen im ereignissprotokoll durchgesehen und wenn ich das richtig verstehe fehlt der ordner {31B2F340-016D-11D2-945F-00C04FB984F9} (siehe scecli) unter sysvol. die frage ist nun wie lege ich den an und was muss da drin sein???? (nein ich habe kein backup zur hand).


quelle:ntfrs id:13555
Der Dateireplikationsdienst befindet sich in einem Fehlerstadium. Es werden keine Dateien von oder zu einem oder allen Dateireplikatssätzen auf dem Computer repliziert bis die folgenden Wiederherstellungsmaßnahmen durchgeführt wurden:
----------------------------------------------------------------------------------------------------------------------
quelle:ntds general id:1126
Die Verbindung mit dem globalen Katalog konnte nicht erstellt werden.
----------------------------------------------------------------------------------------------------------------------
quelle: userenv id:1000
Die clientseitige Erweiterung "Security" der Gruppenrichtlinie empfing Flags (17) und hat einen Fehlerstatuscode (3) zurückgegeben.
----------------------------------------------------------------------------------------------------------------------
quelle:scecli id:1001
Die Sicherheitsrichtlinie kann nicht übermittelt werden. Auf die Vorlage kann nicht zugegriffen werden. Fehlercode = 3.
\\IBRAMAR.DE\sysvol\IBRAMAR.DE\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
----------------------------------------------------------------------------------------------------------------------

ich habe mal probiert den 3xxx anzulegen und den inhalt von 9xxx reinzukopieren. hat geklappt. nur für 6xxx habe ich leider keinen genauen namen. ich werde jetzt mal die alten backups durchsuchen........



gruß michael

[Icebird]

moin

so die meisten der oben beschriebenen probleme sind gelöst.

die fehlenden verzeichnisse im sysvol\policies ordner haben die namen:

{6AC1786C-016F-11D2-945F-00C04fB984F9} = sicherheitsrichtlinie für domänencontroler

{31B2F340-016D-11D2-945F-00C04FB984F9}= sicherheitsrichtlinie für domänen

am einfachsten ist es sich die beiden ordner von einem frisch aufgesetzten dc zu kopieren. danach kann man auch wieder die snapin's für sicherheit aufrufen. das muss man auch um im abschnitt 'lokale richtlinien' die benutzer:

IUSR_xxxx
IWAM_xxxx

gegen die aus der eigenen domäne auszutauschen. auch eine überprüfung der restlichen einstellungen kann nicht schaden eine liste mit den default's gibt es (in englisch) hier . mit diesen schritten sind die scecli und userenv meldungen aus der welt. in meinem fall bleibt allerdings noch das problem das ntrfs die meldung:
---------------------------------------------------------------------------------------------
Der Dateireplikationsdienst kann diesen Computer dem folgenden Replikatsatz nicht hinzufgen:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Mitgliedname des Replikatsatzes: "SERV-01"
Stammpfad des Replikatsatzes: "c:\winnt\sysvol\domain"
Replikatstagingverzeichnis: "c:\winnt\sysvol\staging\domain"
Pfad des Replikatarbeitsverzeichnisses: "r:\winnt\ntfrs\jet"
---------------------------------------------------------------------------------------------

bringt weil mein c: laufwerk dank metaframe ja nun r: heisst. leider merkt er sich den stammpfad nicht mit registry keys und bis jetzt konnte mir auch noch niemannd sagen wie ich ihn dazu bringe den wert von 'c:' nach 'r:' zu ändern.


gruß michael

[grizzly999]

Ich bin mir nicht sicher, aber vielleicht hilft dir dieser Artikel weiter?

grizzly999

[laurasan]

Hallo grizzly999,

welchen Artikel meinst Du ?


MfG

[grizzly999]

Upsala, habe ich wohl vergessen hinzuschreiben. Den hier meinte ich:
http://support.microsoft.com/default...b;en-us;221093

grizzly999

[Icebird]

moin moin


der artikel hilft leider nicht, aber trodzdem erstmal danke. ich habe (nach einigem suchen) das hier gefunden.

[Icebird]

moin

soweit sogut, das mit dem verschieben auf ein anderes laufwerk hat funktioniert. allerdings bekomme ich jetzt die meldung:

Ntfrs 13508

Der Dateireplikationsdienst konnte die Replikation von IBR-SQL nach IBR-COM fr r:\winnt\sysvol\domain mit DNS-Namen IBR-SQL.IBRAMAR.DE nicht aktivieren. Es wird ein neuer Versuch gestartet.
Mgliche Ursachen fr diese Warnung sind:

[1] Der DNS-Name IBR-SQL.IBRAMAR.DE von diesem Computer konnte nicht ausgewertet werden.
[2] Der Dateireplikationsdienst wird auf IBR-SQL.IBRAMAR.DE nicht ausgefhrt.
[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domnencontrollern repliziert. na egal das bekomme ich auch noch rausgefummelt.

Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die besttigt, dass die Verbindung hergestellt wurde. wurde.


also bei [1] bin ich sicher das ist es nicht. bei [2] auch der dienst läuft. mit [3] kann ich allerdings so garnix anfangen... wer topologieseirt hier wenn???? und wie mach ich das.


zusätzlich tut sich noch ein viel ärgeres problem auf. 2 der 7 workstation pc's in der domäne können sich 1. nicht lokal (an der workstation) anmelden (weder als administrator noch als benutzer) sondern nur an der domäne, und seit heute können sie auch nicht mehr den pc runterfahren. wenn sie 'start->beenden->herunterfahren ausführen', bekommen sie den anmeldebildschirm präsentiert. ich werd affig. weiß jemand was das wieder ist?.


gruß michael

[Jim di Griz]

ich fürchte es ist die entsetzliche Bestie vagabundierende undefinierte Gruppenrichtlinie.......
die Antwort ist ernstgemeint........ wenn Teile der GPO nicht repliziert (oder u.U. zum ersten Mal?) repliziert werden werden die wie es mir scheint teilweise angewendet...in den anderen Bereichen gilt dann die Lokale oder eine andere Richtline (nach der Hierarchie (Domain-OU-Lokal-??????)