Jump to content

Gruppenrichtlinie funktioniert nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich versuche mich gerade an meinen ersten Gruppenrichtlinien.

Und zwar schaut es momentan noch so aus, das es nur eine "Default Domain Controllers Policy" und eine "Terminal Server Policy" gibt. Die Benutzer und Computerkonten liegen alle unter "User" bzw "Computers". Also, steckt noch alles in den Kinderschuhen.

Falls es zur Eingrenzung des Problems hilft:

 

Es handelt sich um ein Unternehmen mit 2 Betriebsstätten. Die beiden Betriebsstätten sind mit einer Standleitung verbunden. Insgesamt gibt es 3 Win2k3 DCs, und für jede Betriebsstätte einen DNS-Server. Auf den Clients ist je nach Betriebsstätte der passende DNS-Server eingestellt. Es handelt um XP sowie Win2k Clients. Die Gruüüenrichtlinie soll den Clients den passenden WSUS-Server vermitteln. Es gibt also auch an beiden Orten einen WSUS-Server.

 

Ich habe nun Ou's nach folgenden Schema erstellt:

 

Betriebssätte1

Server

Clients -> Abteilungen

Benutzer -> Abteilungen

 

Das gleiche nochmals für die andere Betriebsstätte.

 

So, die Computerkonten habe ich nun in die passenden Abteilungen verschoben. Danach eine GPO erstellt, die Einstellungen für den WSUS-Server vorgenommen und mit der Ou "Clients" verknüpft. Auf den Clients wollte ich nun mit "gpupdate /force" die Richtlinie ziehen. Nur leider passiert nix. Ich habe dann mal mit dem Richtlinienergebnissatz die Computer untersucht. Auch hier wird meine Richtlinie nicht angewendet. Wenn ich auf den Clients "gpresult" eingebe, wird mir zwar angezeigt in welchen Ou's der Computer liegt, aber nirgendwo wird meine Richtlinie erwähnt. Ich scheine also einen grundsätzlichen Fehler zu machen. Ist wahrscheinlich nur eine Kleinigkeit, aber ich komme nicht drauf. Hat jemand einen Tipp für mich?

 

Gruß

1982

Link to comment

Hallo Olc,

 

ich verstehe deine Frage leider nicht so ganz. Meinst du wenn ich mir mit der Gpmc die Richtlinie anschaue? Wenn ich sie mir darüber angeschaut habe, sah alles korrekt aus. In der Rechtlinie konnte man sehen das die Domain Policy und die Wsus Policy aufgeführt waren. Die Berechtigungen habe ich bei den Standardeinstellungen gelassen, da dort auch "Authentifizierte Benutzer" aufgeführt waren.

Was ich noch ausprobiert habe, war die Replizierung der DC's zusätzlich manuell anzuwerfen. Was soweit auch geklappt hat, nur leider griff die Gruppenrichtlinie dennoch nicht. :(

 

Gruß

1982

Link to comment

Die Computer-GPO ist auf eine OU verlinkt, in der drunter oder drin auch wirklich Computer Objekte abgelegt sind? Ein RSOP.MSC auf einem XP-Client zeigt an, welche GPOs übernommen wurden. Schau dich auch mal in der GPO-FAQ um: FAQ-GPO und die ersten Schritte vielleicht auch: Erste Schritte zum Erstellen einer Gruppenrichtlinie

 

DNS kannst Du wirklich ausschließen? Zeig doch mal ein ipconfig /all von einem Client und vom Server aus dem Standort des betroffenen Clients.

 

Du hast die Standorte auch im AD angelegt?

Link to comment

Hallo,

 

ich glaube es gerät hier einiges durcheinander. Ohne strukturierte Informationen kommt man sogut wie nie weiter...

 

ich verstehe deine Frage leider nicht so ganz.

 

Meine Frage zielte in die Richtung, ob die Änderung tatsächlich schon auf dem anderen DC angekommen ist. Da Du schriebst, daß Du die Replikation abgewartet hast (aber nicht geschrieben hast "wie"), wollte ich das über diesen "Umweg" herausfinden. Soll heißen: Ist das neu angelegte Gruppenrichtlinienobjekt tatsächlich schon auf dem Remote DC vorhanden (in der AD Datenbank als auch im SYSVOL)?

 

Bevor Du weitermachst würde ich das in jedem Fall erst einmal überprüfen.

 

Davon einmal abgesehen gehe ich davon aus, daß wir auch wirklich über eine Domäne sprechen (nur um sicher zu gehen). Sunny61 hat weiterhin eine korrekte Frage gestellt: Arbeitest Du mit Sites, sind die Subnetze korrekt angelegt und die DCs für die Site korrekt im DNS registriert? Ich gehe im Grunde davon aus da Du geschrieben hast, daß alle anderen Richtlinien da sind - aber besser einmal zuviel nachgefragt als einmal zu wenig...

 

Gruß olc

Link to comment

Hallo,

 

vielen Dank erstmal für eure Antworten.

Das mit der Replizierung war so gemeint, das ich zum Beispiel die Replizierung über „Active Directory Standorte und Dienste“ für jeden DC manuell angeworfen habe. Anschließend habe ich mich dann mit jedem DC verbunden und kontrolliert ob ich die Gruppenrichtlinie in der AD-Datenbank sehen kann. Ebenso kontrollierte ich ob die Benutzer in der richtigen OU waren. Das war auch der Fall, jedoch habe ich nicht nachgeschaut, ob die Richtlinien auch im SYSVOL sind. Und das sind sie leider nicht. Bzw. auf einem DC nicht. Und an diesem DC haben sich meine Testclients Authentifiziert. Ich versuch das noch mal zusammenzufassen

 

DC1 und DC2 in Betriebsstätte1

DC3 in Betriebsstätte2

 

Lege ich eine GPO auf dem DC1 oder DC2 an, funktioniert diese wunderbar (sorry, habe ich erst heute festgestellt), jedoch nur in Betriebsstätte1. In der GPMC wird die Richtlinie zwar auch auf dem DC3 angezeigt, im SYSVOL ist sie aber nicht vorhanden.

 

Ein Neustart des NtFrs-Dienstes auf dem DC3 blieb erfolglos. Jedoch wird unmittelbar nach dem Starten des Dienstes der "Fehler 13568" "Quelle NtFrs" im Ereignisprotokoll des DC3 abgelegt. In dieser Fehlermeldung wird nun als Lösungsvorschlag das aktivieren des "Journal Wrap Automatic Restore" angegeben.

 

Wenn ich es richtig verstanden habe, wird ja dann das „Journal“?? gelöscht und dann neu von einem anderen DC gezogen. Wenn der DC das nun löscht und dann aus irgendwelchen Gründen keine Verbindung zum anderen DC zustande bekommt, was passiert denn dann?

 

Die Replizierung von neuen Benutzern, Computerkonten oder OU's auf den DCs funktioniert also, lediglich die Dateireplikation auf dem DC3 scheint nicht zu klappen.

 

Gruß und nochmals Danke für eure Hilfe

1982

Link to comment

Hallo,

 

damit kommen wir der Sache doch schon näher. :)

 

Ein Journal Wrap kann aus verschiedenen Gründen auftreten, im Grunde wäre jetzt erst einmal Ursachenforschung angesagt.

 

Troubleshooting journal_wrap errors on Sysvol and DFS replica sets

Troubleshooting File Replication Service

 

Seit wann werden denn die Fehlermeldungen geloggt?

 

Die Quick and Dirty Lösung ist zwar ein Restore des SYSVOLs auf dem Remote DC (Stichwort D2 / D4). Aber das macht erst Sinn, nachdem Du die Ursache für den Journal Wrap gefunden hast.

 

Using the BurFlags registry key to reinitialize File Replication Service replica sets

 

Gruß olc

Link to comment

Hallo,

 

ich habe mich heute nochmal ein bisschen mit meinem Problem auseinandergesetzt.

Leider bin ich zu keinem Ergebnis gekommen. Ich habe mir Eure Links durchgelesen und auch schrittweise ausprobiert.

Mit NET SHARE, LINKD etc. Das sieht soweit alles in Ordnung aus. Nun bleibt ja noch der SYSVOL Restore mit D2 und D4. Was ich jetzt nicht ganz verstehe, muss ich tatsächlich auch D4 anwenden? Die anderen beiden DCs funktionieren ja. Reicht es nicht wenn ich auf dem fehlerhaften DC ein D2 anwenden und die anderen beiden so laufen lasse?

Zu Deiner Frage, wie lange die Fehlermeldungen schon geloggt werden, etwas über ein Jahr :shock:

Da in dem Unternehmen noch nie mit Gruppenrichtlinien gearbeitet worden ist, sondern immer nur mal ein User angelegt wurde, ist es entweder nie aufgefallen oder man hat es ignoriert, weil mein keine Störungen bemerkt hatte :confused:

 

Gruß

1982

Link to comment

Hallo,

 

ich wollte euch mal auf dem Laufenden halten. Vielleicht hilft es ja

nochmal jemanden. Ich habe jetzt nur ein D2 auf dem fehlerhaften DC ausgeführt.

Seid dem läuft es wieder problemlos. Egal auf welchem DC ich eine GPO

erstelle, sie wird wieder an alle DCs (AD-Datenbank und auch im SYSVOL) repliziert.

Danke nochmals für eure hilfe.

 

Viele Grüße

Link to comment

Hi 1982,

 

entschuldige - ich hatte Deine letzte Antwort übersehen...

 

Es ist vollkommen richtig, was Du gemacht hast. In Deinem Fall reicht ein D2. Ich hatte den Artikel verlinkt, da dort auf die Ursachen und auf beide Wiederherstellungsverfahren eingegangen wird.

 

Schön, daß es wieder in Ordnung ist.

 

Viele Grüße

olc

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...