EclipseX

Ja das hat es auch bei uns gelöst. cmd im Systemkontext öffnen (Admin reicht nicht) psexec.exe -s -i cmd.exe und in der neuen cdm: rundll32.exe keymgr.dll krshowkeymgr Ich habe den Fehler gemacht die CMD nicht im Systemkontext zu öffnen und dann ist der markierte Eintrag "ad.ihre-domain.de" nicht sich sichtbar und dachte das hier der Fehler nicht liegt. Hier ist dann der Lokale Admin drinnen gewesen welcher sich auch nicht an der Domäne anmelden kann (Deswegen kamen auch die Fehler im Event Log mit Benutzername Passwort Falsch in meinem ersten Beitrag.) Einfach den Eintrag rausgelöscht, neustart ,gpupdate /force und die GPO werden wieder korrekt gezogen. Wie der Eintrag da reingekommen ist bleibt allerdings ein Rätsel welches wir noch versuchen auf den Grund zu gehen. Für zukünftige Admins, die auch vor dem Problem stehen, hier damit die Lösung. Vielen Dank an euch für die Hilfe. Hat zwar gefühlt eine Ewigkeit gedauert das Problem zu finden, aber durfte doch einiges neues von Windows und Domänezugriffe lernen ;) Gruß EclipseX

Soo ein paar Projekte später (und viel zu viel Zeit die schon wieder vorbei ist) konnte ich mich heute wieder dem Problem widmen. ich hab mal mit "get-content auf den pfad mit der GPO die fehlschlägt gemacht: PS C:\Users\mcflym> get-content "\\ad.XXXX.XX\SysVol\ad.XXXX.XX\Policies\{C8F39FFF-E6A3-4D86-A9EA-F5F804B8659E}\gpt.ini" [General] Version=4 displayName=Neues Gruppenrichtlinienobjekt Das gleiche Ergebnis habe ich wenn ich das ganze im Systemkontext ausführe. Ich habe aber dadurch noch etwas gefunden mit den gespeicherten Anmeldeinformationen mittels "rundll32 keymgr.dll,KRShowKeyMgr" und habe das auf dem Rechner ausgeführt. Ergebnis: nur ein Eintrag mit: "virtualapp/didlogical". Den zu löschen hilft leider nicht weiter Das was da drinnen steht wirkt irgendwie wie eine andere Ansicht zu den "Anmeldeinformationen" in der Systemsteuerung Auf anderen Hinweisen und weil mich das mit dem Computerobjekt nicht in ruhe gelassen hat, habe ich den Rechner aus der Domain genommen, Hostname gewechselt und nochmal gejoint damit der komplett neu ist (altes Objekt selbstverständlich gelöscht). Das Problem ist immer noch womit ich das Computerobjekt als Quelle rausfallen.

Danke mal an alle die sich hier an dem Problem mit den Kopf zerbrechen. ich wäre sonst schon längst an meine Grenzen gestoßen. Das Benutzerkonto funktioniert ohne Probleme. Hab das auch schon mit meine Admin Konto und meinem normalen Konto versucht mich anzumelden. Die Konten funktionieren auch auf anderen Rechnern ohne Probleme. Es scheint das Computerkonto kaputt zu sein. bei dem Befehl bekomme ich das hier: Auf meinem eigenen Rechner mit funktionierenden AD-Sync kommt das gleiche Ergebnis Das wäre mein letzter Weg, mir wäre aber lieber rauszubekommen was den Fehler auslöst und wie er behoben werden kann, da ich schon drei Rechner mit dem Problem habe. Wenn es nur bei den drei bleibt und ich wüsste wie ich das verhindern kann würde ich auch in den sauren Apfel beißen und sagen einmal Frischzellkur und fertig, aber ich habe angst, dass ich nachher immer mehr Rechner neu installieren kann (und wenn dummerweise der vom Chef einmal mit dabei ist...)

Sodale sry das ich mich erst so spät wieder melde. (Frisch aus dem Urlaub ^^) ich habe versucht die entsprechende GPO zu deaktivieren damit einfach die nächste greifen soll, Ergbnis war das dann die nächste GPO genauso hängt wie die erste. Die gpt.ini ist auch von den Rechnern aus sichtbar (bekomme die über den Explorer sofort angezeigt) Das hatte ich auch im verdacht aber wie kann ich das reparieren? weil spontan fällt mir nur ein aus der Domäne raus, Objekt löschen und wieder rein in die Domäne aber das hat leider auch nicht geholfen...

Danke für den Tipp. Ich habe das mal auf dem Problemrechner und auf einem Funktionierenden eingeschaltet um die Logs zu vergleichen und siehe da ich weiß zumindest wie die Regel heißt welche Probleme machen soll. Das Problem, es ist das Root-CA... Ich hab direkt auf beiden DCs nachgeschaut, auf beiden sind die Zertifikate identisch und haben auch das gleiche Ablaufdatum welches noch weit in der Zukunft liegt. Fehlerhafter Rechner Korrekter Rechner @testperson ich glaube, dass das verschieben dadurch schwierig wird, aber eigentlich müsste doch durch das entfernen aus der Domäne (inkl. Objekt entfernen) und wieder hinzufügen passiert sein oder?

Wir haben bisher keine Skripte verwendet. Ich habs auch nachkontrolliert aber es gibt keine Skripte die in dem Bereich ausgeführt werden. zu den anderen Punkten kommt er gar nicht. der gpupdate fällt ja schon beim lesen der gpt.ini auf die Nase und blockt dann.

@Update wir sind mittlerweile auf drei PCs gekommen die das Problem haben. bei alle drei ist im Event Log der Fehler mit dem "Benutzername oder Kennwort falsch" Das Auftreten hat auch kein System. Im Event Log ist bei dem ersten beiden Usern einmal Anfang und ende Januar aufgetreten, bei dem dritten im März. Alle drei sind auch in unterschiedlichen Abteilungen, haben also nichts direkt gemeinsam was ich jetzt so erkennen könnte.

Die Clients bekommen vom DHCP die IP-Adressen aus unserem Client-Netz zugewiesen und im DHCP stehen unsere beiden DNS drinnen (also der DC1 ->primär und der DC2 -> sekundär) Die Clients laufen überwiegend als LAN Geräte können aber auch übers WLAN arbeiten. Der DHCP ist für beide Fälle gleich nur der IP-Adressbereich außerdem die IP vergeben wird ist anders im WLAN

Hallo zusammen. Wir haben im Moment ein Problem das auch zwei Notebooks keine GPOs mehr aktualisiert werden. (einer mit Windows 10 und einer mit Windows 11. Ich habe hier die Infos von dem Windows 11 Rechner gepostet weil die vom Windows 10 gleich sind was Errorcode und zugegriffen Dateien/Pfade angeht) Am Notebook kommt bei "gpupdate /force" folgender Fehler: Wir haben schon versucht von dem entsprechenden Notebooks auf den DC zuzugreifen in den sysvol Ordner was ohne Probleme funktioniert. Anderes Benutzerkonto verhält sich gleich, und rejoin in die Domäne (Objekt im DC gelöscht und dann wieder gejoint) brachte auch keine Besserung. Wenn ich mich mit einem Konto anmelde was an dem Rechner noch nie angemeldet war kommt nachdem der Desktop geladen wurde "Windows konnte Sie nicht anmelden...,ein ab und wieder anmelden kann das Problem beheben,... etc." Den Anmeldespeicher in Windows hatte ich Verdachtsweise auch mal geleert aber das Ergebnis bleibt. Die Replikation scheint auch zu funktionieren da das Objekt vom Notebook abgeglichen wurde auf den DC2 und unsere anderen Rechner (egal ob Windows 10 oder 11) alle normal sich die Gruppenrichtlinie ziehen Ist ein ähnliches Problem wie bei dem Beitrag: Dieser endet leider ohne wirkliche Lösung :( Wir sind so langsam an verzweifeln woher das Problem kommt weil wir nicht sehen was da falsch läuft auf den zwei Rechnern. Danke schon mal im Voraus @edit: Der Ansatz unter C:\Windows\System32\GroupPolicy\Machine die Datei Registry.pol umzubenennen/löschen hab ich auch schon durch. Leider keine Lösung.