dankon7goo 10 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Ich bekomme hier seit einiger Zeit Fehlermeldungen am Server, es scheint, dass hier einiges Falsch läuft; wir haben einen Server2k (2000Std-Server) Alle FSMO, DNS AD-Int., GC und zwei neue S2K3 (2003 R2 Enterp) DNS AD-Int., GC allesamt statische IPs und mit gegenseitigen Verweisen über kreuz unter DNS lief Bislang alles sauber, doch dann habe ich versucht nach den *** Anleitungen die Firewall auf den Server2003 Servern so zu konfigurieren, dass man sie nicht ganz abschalten muss... (ports konfiguriert etc., Registryeinträge nach MS-Paper... Was ich da tat war in diesem Thread beschrieben: ) Nun hat das mit der Firewall nicht funktioniert, und ich habe kurzerhand die Portzuweisungen (die befanden sich unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters) wieder entfernt... Nun tritt seit dem das Problem 1000 Userenv auf. Alle 5 Minuten. Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1000 Datum: 31.03.2008 Zeit: 13:08:32 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SERVER2K Beschreibung: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts kann nicht zugegriffen werden. Die Datei muss im Pfad <> vorhanden sein. (). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. gefolgt von: Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1000 Datum: 31.03.2008 Zeit: 13:08:32 Benutzer: NT-AUTORITÄT\SYSTEM Computer: SERVER2K Beschreibung: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert. Scheint ein Problem mit der gpt.ini zu sein, ich habe mal verglichen: Der FSMO Inhaber, Server2k hat in seiner SYSVOL eine Version der GPT.INI vom Tag der Änderung an der Firewall - da sollte aber eigtl nix geändert werden. die beiden R2-Server haben in ihrem SYSVOL noch die alte (intakte?) vom letzten Jahr, die sie sich vor ein Paar Wochen einmal vom Server2k repliziert hatten Jedenfalls sind die GPT.ini in beiden Fällen 1kb groß. Auch ist mir aufgefallen,dass beim Netdiag auf den beiden R2-servern moniert wird, dass Einträge im DNS fehlen, aber ich vermute das ist auch eine Folge der Änderung an der GPT.ini=? DCPROMO läuft auf allen drei Servern Fehlerfrei! Nun meine Fragen: Lohnt es sich bei dem derzeitig etwas vergurkten Setting, die GPT.ini mit einem Microsofttool auf Werkeinstellungen zurückzusetzen ( "Windows 2000 Default Group Policy Restore Tool", ist auf gruppenrichtlinien.de dokumentiert)? Langfristig soll der Server2k eh raus! Etwas wirr, ich weiß, aber ich hoffe ihr habt Anregungen! Mir ist nicht so klar, welchen Weg ich nun beschreiten muss/ soll? Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Lohnt es sich bei dem derzeitig etwas vergurkten Setting, die GPT.ini mit einem Microsofttool auf Werkeinstellungen zurückzusetzen ( "Windows 2000 Default Group Policy Restore Tool", ist auf gruppenrichtlinien.de dokumentiert)? Langfristig soll der Server2k eh raus! Etwas wirr, ich weiß, aber ich hoffe ihr habt Anregungen! Mir ist nicht so klar, welchen Weg ich nun beschreiten muss/ soll? Dein Problem ist nicht die gpt.ini. :) Sondern eher ein verkorkst konfiguriertes SMB Signing. Stell mal nach Best Practise ein: SMB Signing - Einstellungen für: Kommunikation digital signieren Bye Norbert Zitieren Link zu diesem Kommentar
dankon7goo 10 Geschrieben 1. April 2008 Autor Melden Teilen Geschrieben 1. April 2008 Danke, ich denke deine Vermutung ist nicht richtig: wir haben hier keine prä-2k Clients,alles XP und 2000 Clients. Ich vermute, vielmehr dass die Änderungen an der GPT.INI irgendwie nicht funktioniern. In welchem Zusammenhang stehen die SRV-Einträge zur GPT.INI? Weil ich habe festgestellt, dass SRV Einträge fehlen seitdem (es fehlt bspw: unter DNS-ForwardLookupZones/_msdcs/dc/_tcp jeweils die zweite hälfte der SRV Records... Der eine Server hat einen SRV Eintrag Kerberos, der andere einen LDAP. Aber außer dem Server2k hat keiner BEIDE, also Kerberos und LDAP). Ist das jetzt ein DNS-Problem oder eins mit der GPT.INI`? ... mir sind die Wechselwirkungen leider noch nicht so klar! Viele Grüße und Danke Zitieren Link zu diesem Kommentar
jiminio 10 Geschrieben 1. April 2008 Melden Teilen Geschrieben 1. April 2008 Wie sieht es mit der Replikation denn sonst so aus,.... werden andere Informationen sauber im AD repliziert...???? Stichwort: replmon hasta pronto jiminio Zitieren Link zu diesem Kommentar
dankon7goo 10 Geschrieben 2. April 2008 Autor Melden Teilen Geschrieben 2. April 2008 replmon keine Fehlermeldungen, alles im Lot repadmin /showreps /verbose auch alles i.O. Auf den R2 Servern moniert Netdiag, dass die DNS-Einträge nicht richtig auf den jeweils anderen Servern eingetragen sind, liegt wohl an den unvollständigen SRV-Einträgen die ich im Post erwähnt habe. Weil ich habe festgestellt, dass SRV Einträge fehlen seitdem (es fehlt bspw: unter DNS-ForwardLookupZones/_msdcs/dc/_tcp jeweils die zweite hälfte der SRV Records... Der eine Server hat einen SRV Eintrag Kerberos, der andere einen LDAP. Aber außer dem Server2k hat keiner der neuen R2-Server BEIDE, also Kerberos und LDAP). Ist das jetzt ein DNS-Problem oder eins mit der GPT.INI`? Ich werde mich heute versuchen einmal etwas in die Thematik Gruppenrichtlinien einzulesen. Ich vermute fast es wird wieder auf einen DCPromo /forceremoval auf den beiden R2-Servern führen, und dann wieder alles neu... Oder könnte das Übertragen der FSMO-Rollen in so einem Zustand funktionieren? Wenn jemand noch Ideen hat: THX Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 2. April 2008 Melden Teilen Geschrieben 2. April 2008 Danke, ich denke deine Vermutung ist nicht richtig: wir haben hier keine prä-2k Clients,alles XP und 2000 Clients. Und? Auch mit denen kannst du Probleme mit SMB Signing bekommen. Ich vermute, vielmehr dass die Änderungen an der GPT.INI irgendwie nicht funktioniern. Wir können hier viel vermuten, aber das wird dir nicht weiterhelfen. Mein Tipp bleibt obiges, bis du es ausschliessen kannst. Bye Norbert Zitieren Link zu diesem Kommentar
rf900r 10 Geschrieben 2. April 2008 Melden Teilen Geschrieben 2. April 2008 ich denke deine Vermutung ist nicht richtig: Ich denke sie ist es ... 400 postings des Link mit nahezu 100% Trefferquote geben der Statistik einfach recht. Tschö Zitieren Link zu diesem Kommentar
dankon7goo 10 Geschrieben 2. April 2008 Autor Melden Teilen Geschrieben 2. April 2008 Hallo, vielen Dank mal wieder für die rege Beteiligung die man hier erhält, ich gestehe: ich habe den Thread nur oberflächlich durchsehen, und ich habe mich noch nie mit dem SMB Signing beschäftigt. Nun bin ich aber aufgeweckt und werde mich auch noch einmal eingehend mit dem Thema auseinandersetzen, Schreibe dann noch mal hier, vielen Dank also fürs erste! Tschö mit ö Zitieren Link zu diesem Kommentar
dankon7goo 10 Geschrieben 4. April 2008 Autor Melden Teilen Geschrieben 4. April 2008 Hallo, klappt inzwischen alles wieder, seit einem Neustart gestern nachmittag ist die kryptische Fehlermeldung verschwunden. Ich habe gar nichts geändert, (war gestern gar nicht auf der Arbeit^^), und die DNS SRV Einträge sind auch wieder korrekt/ Vollständig. Wie gesagt, ich hab da meine eigenen Theorien, ich hätte als nächstes DNS de/ und wieder installiert. Aber Ihr kennt das ja: jeder Admin hat immer seine ganz eigenen Vermutungen über sein verflickschustertes System^^ Aber das Best Practice auf ServerKnowhow (s. Link Norbert Fe, Danke!) konnte ich ergo gar nicht ausprobieren. Vielen Dank! Mission completed (wobei ich da mal vorsichtig bin. So richtig glaube ich das erst in einer Woche!) Viele Grüße- und schönes WE Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.