Nach zerschossener Sysvol keine Funktion der Gruppenrichtlinien mehr

[Mike272 10]

Hallo,

 

ich habe bei einem Kunden folgendes Problem:

 

Umgebung:

 

Der Primary Domain Controller Win 2003 Server Schema Update auf 31.

2 andere Domain Controller Win 2003 Schema 31.

 

Heut in der Nacht wurden mehrere HP ( HP Server = PDC) Updates gemacht.

Nach dem Neustart hat eigentlich alles wunderbar geklappt.

 

Der Versuch einer Replizierung des AD auf die anderen Server schlug leider fehl. Die Sysvol blieb dadurch weiterhin ohne Freigabe. Sämtliche User an den Clients hatten mich dann gleich gerufen, praktisch ging garnix mehr.

Ich hab den Ordner Sysvol zuvor noch weggesichert.

Ich habe die Sysvol und so auch die Funktion des Servers soweit wieder herstellen können. D4 Eintrag (Authoritative Restore)

 

Die User können wieder ganz normal arbeiten.

Die einzige Sache die jetzt nicht mehr funktioniert ist die GPO.

 

Ich wollte mit dcgpofix /ignoreschema die Gruppenrichtlinien wiederherstellen, aber leider ohne Erfolg. Ergebnis: Warnung: Die EFS Zertifikate im Gruppenrichtlinienobjekt Default Domain Policy konnten nich neu erstellt werden.

 

Ich weiß einfach nicht mehr weiter.

 

Sorry noch vergessen, auf dem PDC läuft auch ein Exchange 2003.

 

Hat irgendjemand eine Idee?

Das Problem ist, daß nun die Scripts in Netlogon nicht abgearbeitet werden.

Auch hab ich mir die Domain Policy angesehen, da Fehlen sehr viele Einträge.

 

Bitte um Eure Hilfe.

 

 

Ciao

 

Mike272

[Mike272 10]

Hat denn keiner eine Idee?

 

Bin komplett am verzweifeln.

 

Bitte um Hilfe.

 

Ciao

 

Mike272

[NorbertFe 1.835]

Wenn es so dringend ist, musst du wohl jemanden einkaufen, der dir weiterhelfen kann.

 

bye

Norbert

[Mike272 10]

Hallo,

 

sorry, ich wollte hier niemanden irgendwie drängen.

 

Aber ich hänge total fest und bin mit meinem Latein am Ende.

 

Ciao

 

Mike272

[Sunny61 773]

sorry, ich wollte hier niemanden irgendwie drängen.

 

Tust Du aber.

 

Aber ich hänge total fest und bin mit meinem Latein am Ende.

 

Es gibt genügend IT-Dienstleister, die in einem solchen Fall recht schnell helfen können. Hier im Forum machen das alle freiwillig.

[Mike272 10]

Hi,

 

OK. Sorry.

 

Ciao

 

Mike272

[olc 18]

Hi,

 

mit dem DCGPOFIX hast Du vermutlich mehr kaputt gemacht, als es gebracht hat. Das Tool ist aus den Windows 2000 Support Tools, 11 Jahre in der Vergangenheit.

 

Quick and dirty könntest Du eine Testdomäne hochziehen, also einfach in einer Testumgebung einen Windows Server 2003 (R2) Server aufsetzen, dort dann noch falls notwendig Exchangeprep (forest und domain prep) durchführen, die Default Gruppenrichtlinien dort exportieren und in der Produktionsumgebung importieren. Mit einigen kleineren Anpassungen sollte das dann wieder hinkommen, es sei denn, Du hast in den Standardrichtinlien Änderungen vorgenommen.

 

Falls dies der Fall ist, mußt Du Deine hoffentlich vorhandenen Backups bemühen, die Einstellungen zurück zu bekommen. Dabei ist zu beachten, daß Du bei einem SYSTEMSTATE Backup den Container "CN=Policies,CN=System,DC=domain,DC=tld" autorativ plus das SYSVOL autorativ wiederherstellen mußt.

 

Oder, wenn Du es hast, ein GPMC Backup, was meine präferierte Variante wäre.

 

Ansonsten haben es die Kollegen schon mehrfach geschrieben: Bevor Du hier tagelang mit halbgaren Lösungen die Produktionsumgebung gefährdest, schalte schnellstmöglich einen Dienstleister ein, der es behebt. Sonst machst Du es vielleicht nur noch schlimmer.

 

Viele Grüße

olc

[NorbertFe 1.835]

Hi,

 

mit dem DCGPOFIX hast Du vermutlich mehr kaputt gemacht, als es gebracht hat. Das Tool ist aus den Windows 2000 Support Tools, 11 Jahre in der Vergangenheit.

 

Ähm nö, du meinst recreatedefpol.exe. ;)

Das hätte er gar nicht ausführen können, denn das prüft, ob der PDC Emulator auf Windows 2000 ausgeführt wird, und wenn nicht, dann kommt eine Fehlermeldung.

 

Ansonsten haben es die Kollegen schon mehrfach geschrieben: Bevor Du hier tagelang mit halbgaren Lösungen die Produktionsumgebung gefährdest, schalte schnellstmöglich einen Dienstleister ein, der es behebt. Sonst machst Du es vielleicht nur noch schlimmer.

 

 

Ack. ;)

 

Bye

Norbert

[olc 18]

Ähm nö, du meinst recreatedefpol.exe. ;)

Das hätte er gar nicht ausführen können, denn das prüft, ob der PDC Emulator auf Windows 2000 ausgeführt wird, und wenn nicht, dann kommt eine Fehlermeldung.

 

Ähm, doch - ich meine DCGPOFIX. :D :p

Hatte nur nicht mehr auf dem Schirm, daß es den Mist unter 2003 auch noch gab. :D

 

So oder so, Probleme damit sind vorprogrammiert (im Wortsinne): The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state

 

Ack. ;)

 

THX. ;)

[NorbertFe 1.835]

Ähm, doch - ich meine DCGPOFIX. :D :p

Hatte nur nicht mehr auf dem Schirm, daß es den Mist unter 2003 auch noch gab. :D

 

Ich denke das gibts nur unter 2003 und höher. ;)

 

So oder so, Probleme damit sind vorprogrammiert (im Wortsinne): The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state

 

Korrekt, und da der TO auch noch Exchange erwähnte, gibts noch etwas mehr Probleme. ;)

 

Bye

Norbert

[olc 18]

Korrekt, und da der TO auch noch Exchange erwähnte, gibts noch etwas mehr Probleme. ;)

 

...siehe dazu auch meine Anmerkungen zum Vorgehen oben. ;)

 

Ok, es sollte alles relevante gesagt sein. :)

 

Viele Grüße

olc

[Harry9911 10]

Hallo,

 

gibt doch da in der Registry einen Burflag zum sogenannten Reset, leider gerade nicht die Zeit alles zu lesen,

 

Bitte mal Googlen nach Burflag hatte das Prob auch und habe damit die ganze Domäne wieder zu den lebenden geholft, leider noch Reste gehabt zum händischen bereinigen aber es hat gehelft.

Danach wieder saubere GPO gehabt, Zugriffe lokal Adminlogins etc. alles ok.

 

Grüße

[olc 18]

Hi,

 

leider gerade nicht die Zeit alles zu lesen

 

Warum antwortest Du dann? Wenn Du die Zeit investiert hättest, hättest Du gesehen, daß das Thema oben schon vom TO besprochen wurde.

 

Viele Grüße

olc

[Harry9911 10]

Hallo,

 

eben nochmal überflogen, Burflag d6 such bitte danach und halte die an die Anweisung und bastele bloss nicht weiter rum. Wenn das nicht hilft wird es eng, hast du Reste aus Migrationen? Umzug w2k auf w2k3? Hat mir schon mal richtig Stress gemacht. Grüße

 

Ach ja, warum man antwortet, weil es einem bekannt vorkommt und man nicht immer alles komplett in Sekunden erfassen kann.... Aber trotzdem bleibe ich bei meiner Aussage und wo ein alter Exchange das AD aufbohrt, wird es immer lustig....;(

 

Aber deswegen es nicht probieren....Burflag D6 erzeugt eine leere Nullfassung der GPOs auf dem angeblichen Erstbestand des Sysvols.

Genauer kann ich es nicht sagen, uns hat es damals eine funktionierende Domäne erstellt.

Vorher hatten wir nur noch Zugriffe auf die Freigaben als Admin mit UNC Pfaden...

 

Grüße

[NorbertFe 1.835]

Deswegen hilft deine Aussage dem TO trotzdem nicht. ;) denn D4 hat er schon durch.

 

Bye

Norbert