Jump to content

AD Probleme, Sysvol, GPO ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Eckdaten:

 

1 W2K PDC

1 W2K DC

ca 80 Clients WinXP

 

Situation

Sysvol Share ist leer auf beiden Servern

 

 

PDC: alle 5 minuten

 

EventID 1000 (Userenv) - NT-AUTORITÄT\SYSTEM

Auf die Datei gpt.ini des Gruppenrichtlinienobjekts kann nicht zugegriffen werden. Die Datei muss im Pfad <> vorhanden sein. (). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

 

EventID 1000 (Userenv) - NT-AUTORITÄT\SYSTEM

Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert.

 

DCdiag:

Starting test: frssysvol

There are errors after the SYSVOL has been shared.

The SYSVOL can prevent the AD from starting.

Netdiag:

unauffällig, keine Einträge

 

DC: alle 5 minuten

Event ID 1202 - Scecli

Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

 

Um die besten Lösungen zur Behebung dieses Problems zu erhalten, melden Sie mit einem Nicht-Administratorkonto an und durchsuchen Sie die englische Knowledge Base unter Microsoft Help and Support nach "Troubleshooting 1202 events".

Ein Benutzerkonto konnte in einem oder mehreren Gruppenrichtlinienobjekten nicht in eine SID aufgelöst werden. Dieser Fehler wurde möglicherweise durch ein falsch geschriebenes oder gelöschtes Benutzerkonto, bzw. ein nicht verfügbares Konto, das in den Gruppenrichtlinienobjektzweigen "Benutzerrechte" oder "Eingeschränkte Gruppen" referenziert ist, verursacht. Zur Behebung dieses Problems wenden Sie sich an einen Administrator und führen Sie folgende Schritte aus:

 

1. Identifizieren Sie Konten, für die keine SID aufgelöst werden konnte. Geben Sie dazu folgendes ein: FIND /I "nicht gefunden" %SYSTEMROOT%\Security\Logs\winlogon.log

Die Ausgabe des FIND-Befehls enthält jeweils den problematischen Kontonamen.

Beispiel: JoergFrey wurde nicht gefunden.

In diesem Fall konnte die SID für den Benutzernamen "JoergFrey" nicht ermittelt werden. Dies kann vor allem dann geschehen, wenn das Konto gelöscht oder umbenannt wurde, oder wenn es unterschiedlich geschrieben wird (z.B. JoergFrei).

 

2.Identifizieren Sie alle Gruppenrichtlinienobjekte, die einen nicht aufgelösten Kontonamen enthalten.

Geben Sie in der Eingabeaufforderung folgendes ein FIND /I "JoergFrey" %SYSTEMROOT%\Security\templates\policies\gpt*.*

Die Ausgabe des FIND-Befehls ähnelt der Folgenden:

---------- GPT00000.DOM

---------- GPT00001.DOM

SeRemoteShutdownPrivilege=JoergFrey

Dies indiziert, dass von allen Gruppenrichtlinienobjekten, die auf den Computer angewendet wurden, nur eins das nicht aufgelöste Konto enthält. Speziell das zwischengespeicherten Gruppenrichtlinienobjekt GPT00001.DOM.

Im nächsten Schritt wird der Anzeigename des Gruppenrichtlinienobjekts ermittelt.

[...]

Link zu diesem Kommentar

und EventID 1003 - SceSRV

 

Die Richtlinienänderung von LSA/SAM kann nicht im Richtlinienspeicher gespeichert werden. Error 4312 to save policy change for account S-1-5-21-854245398-1482476501-725345543-1605 in the default GPOs. For more debugging information, please look security\logs\scepol.log under Windows root.

 

DCDiag:

Starting test: systemlog

An Error Event occured. EventID: 0xC0001B61

Time Generated: 05/03/2009 16:27:46

(Event String could not be retrieved)

An Error Event occured. EventID: 0xC0001B61

Time Generated: 05/03/2009 16:27:50

(Event String could not be retrieved)

An Error Event occured. EventID: 0xC0001B61

Time Generated: 05/03/2009 16:27:50

(Event String could not be retrieved)

An Error Event occured. EventID: 0xC0001B61

Time Generated: 05/03/2009 16:27:50

(Event String could not be retrieved)

......................... ERRKSRTS failed test systemlog

 

Netdiag: ist unauffällig

 

Ich hoffe jemand hier hat eine Idee, wie ich sowas kassiert habe, und einen Lösungsansatz...

 

Ich habe auf dem DC versucht die s

Surfy

Link zu diesem Kommentar

//Edit:

 

Folge ich den Anweisungen,

 

FIND /I "nicht gefunden" %SYSTEMROOT%\Security\Logs\winlogon.log

 

Erscheint da mehrfach "Hauptbenutzer" Den finde ich im System auch nicht mehr, gelöscht..

 

FIND /I "Hauptbenutzer" %SYSTEMROOT%\Security\templates\policies\gpt*.*

 

führt dann zu:

 

------ C:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.INF

 

via MMC Gruppenrichtlinien finde ich aber keine Settings, die auf Hauptbenutzer gesetzt sind.. Bin mir auch sicher, dass der hauptbenutzer schon länger gelöscht wurde *grübel*

 

Wer weis rat?

Link zu diesem Kommentar

Die Settings zu den Signaturen ist auf beiden Servern auch in der Registry korrekt eingetragen.. Den Gruppenrichtlinieneditor kann ich auf beiden Servern ausführen..

 

 

Neu sieht die Situation so aus:

 

PDC:

Warning - EventID 1202: Die sicherheitsrichtlinien wurden mit Warnungen übertragen 0x543

alle 5 minuten einen Eintrag

 

sonstige Symptome: ASP Pages lassen sich nicht aufrufen, ISS Error 500

 

DC: zwei Einträge alle 5 min im Anwendungsprotokoll

Error: EventID 1000, Auf die Datei gpt.ini kann nicht zugegriffen werden

und

Error: EventID 1000, die Abfrage der Liste der Gruppenlinienobjekte ist fehlgeschlagen

Link zu diesem Kommentar

Nachträgliches Feedback:

 

Die Lösung war, die Default-Domain Policy neu zu erstellen, mit der Recreatedefpol.exe

 

Info und Download: Download details: Windows 2000 Default Policy Restore Tool

 

Witzigerweise hatte ich keine typischen symptome, da ich via Gruppenrichtlinien änderungen verschicken konnte...

 

Den Eintrag "ASP Pages lassen sich nicht aufrufen, ISS Error 500" kam davon, dass der IUSR_Servername User nicht berechtigt war, Batchprozesse zu starten (Gruppenrichtlinie)

 

Problem gelöst :-) Vielen Dank für die Hilfe!

 

Surfy

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...