S. Hardy

Mal mit was simplen versucht wie den Abgesicherten Modus? Hilft manchmal wunder.... Versuchs mal... Da kannste dann ma versuchen an den lokalen Sicherheitsrichtlinien Einblick zu bekommen!!

This problem occurs because the Group Policy engine in Windows XP Professional and Windows Server 2003 does not have read permissions to the gPLink and gPOptions attributes of the parent OUs. See M909260 to solve this problem. Hast du dir das von Microsoft schon mal angeschaut? Hier der richtige link zu dem M909260: cout << "Platzhalter für Link (der kommt Morgen)" << endl;

Ja so wurde es damals beim Projekt gefordert und dann besteht der Kunde auch drauf! Und ja mein Problem ist damit noch immer nicht gelöst!

Sorry wollte nicht 2 Stunden schreiben. Ich gelobe besserung!

Wenn er kein DNS mehr spielen soll dann kannste Ihn getrost löschen... Is aber nicht relevant! Sieh nach ob der Server einen A und einen Ptr Eintrag im 1. Server hat. Ebenso nachsehen solltest du ob er im AD Benutzer & Comps noch unter Domaincontroller steht oder bereits in der Liste Computer! Dann bitte nochmal posten! Danke.

Ich weiß es nicht 100% ig.... aber: Mainboard ca. 50-80 Watt CPU nochmal 50-80 Watt Laufwerke und Platten ca. 20-35 Watt Lüfter je nach dem zwischen 7,5 - 12 Watt ggf. noch Monitor mit dran dann nochmal gute 150 Watt Jetzt kannste Rechnen! (bitte um Verbesserung falls etwas nicht stimmen sollte)

Warren Anacoura (Last update 12/9/2004): Our XP Clients started showing up these errors in the Application Log after we installed Service Pack 2. There is a corresponding warning EventID 40961 from source LsaSrv in the System log. The problem seems to be related to the background group policy refresh failing if the user has locked the workstation. Setting group policy to prevent lock workstation corrects the problem but a better fix seems to be uninstalling the Client for Microsoft Networks from the NIC, reinstalling it, and rebooting. Jahan Ghaemi (Last update 11/24/2004): I saw this error in my class after one of my students was working on renaming his domain controller. I fixed the problem by running DCGPOFIX on the Win2k3 server followed by a reboot. See the link to “Dcgpofix” for details on this command. Daniel Conlon (Last update 10/5/2003): After upgrading from Win2k to Win2k3 I found I was getting this error every 5 minutes in event log along with error 1053. To solve it I had set the following attributes in the Default Domain Controller Policy: 1. Network Access: Let Everyone permissions apply to anonymous users = "Enabled". 2. Network Access: Shares that can be accessed anonymously -> Add SYSVOL to the list. This is because the servers are trying to access the SYSVOL share as LocalSystem which by default does not have access to network resources. John Poff (Last update 8/28/2003): On Windows 2003 I received this error when I disabled TCP/IP NetBios help service. Apparently this has changed since Windows 2000. You can no longer disable this service and have access to Group Policy Objects. Sean Wallbridge In the past, I was configuring Domain Controller's in a Windows 2000 domain to have the Distributed File System Services stopped and set to manual until such time as they were needed. This was a recommendation based on services that could be stopped according to Microsoft from some time ago to bring machines to a "only what is required state". We disabled DFS worldwide with Windows 2000, NT and Win98 clients with no issues incurred by this. However, after a while I discovered I was having all sorts of Group Policy application errors on my Windows XP workstation in my Windows 2000 domain. Looks like Windows XP speaks quite a bit differently to AD and wants/needs more information (and expects it from DFS shares - \\<domain>.<name>). In fact, from my XP machine, I tried connecting to my domain share (\\<domain>.<name>) and I was told access was denied yet it was available from Win2k machines (event ids 1030 and 1058). So, if you have Windows XP clients or just plain aren't worried about someone cranking up DFS and screwing something up somewhere, plan on leaving DFS enabled again. Also, while working through this I discovered that besides the already cool "Resultant Set of Policy" MMC snap-in in Windows XP, there is also a "GPUPDATE" command in Windows XP which, when used with the /force switch, will blast computer policy settings to your Windows XP machine immediately. Tom Holland As per Microsoft: "This behavior may occur if both of the following conditions are true: Your Windows XP-based computer is a member of a domain. -and- The Microsoft Distributed File System (DFS) client is turned off (disabled). NOTE: The \\Active Directory Domain Name\Sysvol share is a special share that requires the DFS client to make a connection." See M314494.

Ionut Marin (Last update 5/21/2005): See M842804 for a hotfix applicable to Microsoft Windows 2000 and Microsoft Windows Server 2003. As per Microsoft: "This behavior occurs if the SMB signing settings for the Workstation service and for the Server service contradict each other. When you configure the domain controller in this way, the Workstation service on the domain controller cannot connect to the domain controller's Sysvol share. Therefore, you cannot start Group Policy snap-ins. Also, if SMB signing policies are set by the default domain controller security policy, the problem affects all the domain controllers on the network. Therefore, Group Policy replication in the Active Directory directory service will fail, and you will not be able to edit Group Policy to undo these settings". See M839499 to fix this problem. As per Microsoft: "This issue may occur if you have account names that use non-ASCII characters, such as ö and é. Windows 2000 Server and Windows Server 2003 do not distinguish between non-ASCII and ASCII characters in account names. Windows NT 4.0 distinguishes between ASCII and non-ASCII characters in account names. For example, in a Windows NT 4.0-based domain, you can use Administrator and Administratör as separate account names. However, in Active Directory, both Administrator and Administratör effectively have the same logon credentials. This scenario causes the conflict". See M883271 for details on this issue. From a newsgroup post: "I connected to the Sysvol share as the current user (non- administrator), and noticed that I could get into "mydomain" directory, but when I tried to get into Policies I received "Access Denied". All of the share/file permissions were correct, allowing this user to get to the share and to traverse/read the files within it. I tracked it down to the fact that I was not allowing read access for Authenticated Users, Everyone, Domain Users, and/or the users Group from the root (C:) to the SYSVOL directory. Once I allowed Everyone, or Authenticated Users, or Domain Users read permissions to from C: -> WINNT -> SYSVOL the users were then able to receive the GPO’s". From a newsgroup post: "Here is what you should do to get rid of this error and of Event ID 1058 on Windows Server 2003. Edit the hosts file on each domain controller. Put in the IP address for your domain controller (the local IP address should be first in the list), and then next to the IP address do not put the host name, but put the name of the domain. Then list the IP address for each domain controller in your domain, on the same hosts file (with the domain name next to it). In other words, your hosts file should look like this (if you have just two domain controllers): <IP 1> yourdomainname.com <IP 2> yourdomainname.com Where <IP 1> = the IP address of the local domain controller for this hosts file. Where <IP 2> = the IP address of your other domain controller. yourdomainname.com = the name of your domain The list would be reversed (as far as IP address) on the hosts file on the other domain controller. Yes, you need a hosts file on each domain controller". Also check M290647, M832215, M834649, M886516, M887303, M887421, M888943, and MSW2KDB for more details on this event. Anonymous (Last update 3/23/2005): This happened when I was prompted to change my password, and did, but I stayed logged on to a remote Windows 2003 server with my old credentials. The server locked after the timeout and I left it that way for a couple days. The error stopped when I logged off and logged back on with the new password.

Vielleicht kannst damit was anfangen!?!?! ;) Event ID: 1030 Source Userenv Type Error Description Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine. English please! This information is only available to subscribers. An example of "English please" is available here. Things to understand What is the Group Policy? What is the role of Userenv? Comments Adrian Grigorof (Last update 5/30/2004): As per M810907 (applicable to Windows XP) this may occur in conjunction with Event id 1058 and it is a confirmed (known) problem with XP. A hotfix is available. This event is also reported in many instances of upgrades from Windows NT or Windows 2000 to Windows 2003 Server. Some other recommendations in regards to this (from newsgroup posts) is to verify that: - DFS service on all DCs is started and set to "Automatic" - there are no FRS issues - (if there are, toubleshoot those first) - TCP/IP Netbios Helper service is started and set to "Automatic" - the "Everyone" has the "bypass traverse checking" user right on the default domain controller policy - the antivirus (if installed) is not scanning the sysvol or subfolders, if so, exclude it - consider that the error description in event id 1058 ("network path not found" or "access denied") is caused by different problems and have different solutions. Other posts from Microsoft engineer suggest that if a domain controller is multi-homed (more than 1 network card) they may experience this problem (note that "network card" could mean a physical or a virtual one - i.e. VMWare or VPN virtual adapters). The posts also indicate that the Client for Microsoft Networks and the File and Printer Sharing services have to be bound to the network adapter. See also M307900 on updating Windows 2000 Group Policy for Windows XP. In some other conditions (upgrading to Windows 2003 Server), the 1030 event appears together with event id 1097 from Userenv. From a newsgroup post by a Microsoft engineer: "What is happening is that the TCP/IP Netbios Helper Service is trying to start before the KDC starts upon reboot. It corrects itself. You can safely ignore it. I am trying to get these errors suppressed in a later service pack or hotfix. You can track this running subsequent userenv and netlogon logs. See M221833 and M109626." If this occurs in conjunction with event id 1058 you can work around this issue by using the Dfsutil.exe file - see M830676. Mihai Andrei (Last update 11/10/2005): This problem occurs when network address translation (NAT) prevents LDAP requests from reaching services on the domain server. See M908370 to solve this problem. This problem occurs because the Group Policy engine in Windows XP Professional and Windows Server 2003 does not have read permissions to the gPLink and gPOptions attributes of the parent OUs. See M909260 to solve this problem. David Cain (Last update 10/18/2005): We encountered this event at approximately 2 hour intervals on one of our Windows 2003 Domain Controllers. At the same time as the 1030 event was generated, a corresponding Event 40960 and 40961 from source LsaSrv was generated in the System Log. Additionally, at the same point in time, an Event 675 entry in the Security Log was generated by the same user whose credentials appeared on the 1030 Event. By checking the Client Address on the security event we traced the issue to a disconnected Remote Desktop session on that Domain Controller. Resetting the disconnected session cleared the issue.

Man bist du kleinlich *rofl* :D Jetzt ließ schon *grins*

BESSER???? :D :cool: :D

Ach noch ein Tip von mir in diesem Falle: Schau nicht nur nach offensichtlichen Vererbungen sondern auch nach "Erzwungen" bzw. ohne GPMC "kein Vorrang". Trotz deaktivierter Vererbung einer Sub-OU wird eine GPO einer übergeordneten OU bei der Option "Erzwungen" bzw. "kein Vorrang" durchgedrückt! Darauf bitte achten!

Ich bin mir da jetzt nicht so sicher, aber ich vermute daß weil der SERVER ODER XP CLIENT ?!?!, weis zwar nicht genau um was es sich jetzt handelt, denkt das immer der gleiche Benutzer auf das Laufwerk zugreift, nur maximal 3 gleichzeitige Verbindungen von 1 User zulässig sind!!! Versuche mal einen 2. Benutzer am "SERVER" anzulegen und dann müsstesn 6 gleichzeitige Zugriffe funktionieren! Kannst ja weiterhin bei allen Clients mit dem 1. User arbeiten, nur die Netzlaufwerke denen gibst du beim Verbinden einen anderen Usernamen und Passwort mit! Soll heißen wenn du ein Netzlaufwerk verbindest mußt du doch bzw. kannst du doch ein Benutzer und ein Passwort eingeben. Hier gibst du bei 3 Clientrechnern den Benutzer z.B. "Administrator1" an und bei den anderen 2 Clientrechnern gibst du den Neu angelegten Benutzer z.B. "Administrator2" an! Am Windows (in diesem Falle wohl gemerkt lokal) können sich alle 5 Clients wie bisher mit dem gleichen Namen anmelden! (an einer Domäne würde dies schief gehen, daher denke ich das du in einer Arbeitsgruppe hantierst!?!?!) Ich hoffe ich konnte dir helfen! Bitte laß es mich wissen ob es funktionierte! .

@ bitworker Sicher ist deine Lösung schon einmal ein Schritt zur Verbesserung der Performance, nur irgendwie kann ich mir das dann mit der Zeit nicht vorstellen, daß nur zwischen 12.°° - 16.°° Uhr das Netz lamt! Gib mir mal bitte eine Rückantwort das es mit der Auslagerungsdatei funktioniert bzw. nicht funktioniert hat! Ich vermute daß da sicher noch irgend ein Dienst am Laufen ist der das Netz bzw. den Server auslastet. Noch ne Frage! Welches Sicherungsprogram verwendet ihr, und wann genau laufen die Sicherungen an? Bitte auch die Datenbankbereinigung also den Job mit dazu schreiben! Danke. Ach und die Schattenkopien kann ich mir nicht wirklich vorstellen da was ich weiß diese in Echtzeit gesichert werden.

Erst mal Danke für die Antworten!!! :p :p @ lefg 1. mit User meine ich natürlich Clients die da nichts verlohren haben in dem Netz! 2. mit Programme meine ich sowas wie VMWare oder Virtual Server (Software) 3. Habe den DHCP bereits jetzt zum 2. mal neu aufgezogen --> kein Erfolg 4. Konfiguriert ist: - Ein Bereich von 180 möglichen IP´s - 9 Reservierungen für Clients (welche alle als aktiv in der Lease-Liste stehen) - Lease Alter 30 Tage da keine häufige Änderung bzw. Besuche in der Gemeinde erwartet - der ganze Rest alles auf Standart Einstellungen! 5. Das Aufheben der Reservierungen bringt nichts da ja alle LEASES sowieso aktiv sind und diese Computer keine Anfragen an den DHCP mehr machen. Erst wenn die Lease abläuft. (also erst nach 15 Tagen das 1. mal) 6. Habe per Ethereal herausgefunden das die DHCP Discovers vom Server selber kommen und die Releases auch wieder der Server selber erhält! @ overload Ja dachte ich ja auch schon... habe den DHCP bereits komplett deinstalliert und neu aufgezogen. --> kein Erfolg. Ja alle 9 Clients mit den aktiven Leases haben bei "EINDEUTIGER KENNUNG" eine MAC Adresse stehen. Die Adressen von denen ich nicht weiß woher diese kommen, haben diese 26 stellige Kennung stehen welche Fortlaufend in 100er Schritten sporadisch auftauchen! Noch zur Information: Zuerst standen nur die 9 Adressen in der Lease Liste. Da bin ich bzw. der Admin Vor Ort über die Ereignisanzeige (WARNUNG) darauf gekommen, das der Bereich keine LEASES mehr vergeben kann da 100% in Use ist. Daraufhin bin ich auf dem Bereich per Rechtsklick auf Statistik anzeigen gegangen, und habe diese 100% in Use dort gesehen. (Es waren aber in der Lease Liste nur die 9 Adressen eingetragen! *komisch*) Dann bin ich erneut auf den Bereich per Rechtsklick und habe dort auf Abstimmen geklickt. Dann "Überprüfen" --> plötzlich kamen dort in dem kleinen Fenster die 171 anderen Adressen. Da habe ich dann 1 angeklickt und habe auf Abstimmen geklickt! Plötzlich waren dort alle 171 Adressen raus! Dann bin ich in der Lease Liste auf aktualisieren gegangen und plötzlich waren alle 180 Adressen in der Liste. erst so konnte ich diese unnötigen IP Adressen raus löschen! Nachdem ich dann alle IP Adressen gelöscht hatte kamen langsam nach einigen Tagen diese IP Adressen zurück! wieder nur über Abstimmen konnte ich diese in die Liste bringen und dort dann löschen! Es ist auch nur 1 Netzwerkkarte installiert und 1 ISDN Karte die die Gemeinde als Faxlösung verwendet! habe Sie kurzeitig deaktiviert, da ich vermutete das die diese IP Delivery´s hervorruft, aber Sie kamen immer noch. habe jetzt alle nicht benötigten IP Adressen einfach ausgeschlossen sodaß jetzt dieses tolle blaue Ausrufezeichen ständig vorhanden ist. (Ist auch klar, weil er keine IP Adressen mehr vergeben kann und den Admin somit warnt!)