Gruppenrichtlinien / Active Directory

[kkkap 1]

Ich erstelle eine neue Gruppenrichtlinie und möchte diese Bearbeiten.

Beim Bearbeiten erstelle ich in einer OU eine Gruppe (Eingeschränkte Gruppen) in die ich Benutzer auswählen möchte. Jedoch beim Einfügen bzw. OK Klicken kommt eine Fehlermeldung:

das objekt (Benutzername) kann aufgrund des folgenden fehlers nicht verarbeitet werden:

die angegebene domäne ist nicht vorhanden, oder es konnte keine verbindung hergestellt werden

 

PS: Die Replikationen funktionieren

 

DNS Servet unbearbeitet, DHCP nicht aktiviert.

W2012

 

[Daniel -MSFT- 129]

Poste mal ipconfig /all als Tesxtausgabe vom Server und von Client.

[kkkap 1]

Vielen Dank für Ihr Bemühen

 

Gruppenlinienverwaltung wird lokal ausgeführt nicht über RPC

 

für was brauchen sie die Client IP?

 

Server 2012: (VMWARE Workstation)

Hierbei geht es um Testumgebungen

 

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DC
   Primäres DNS-Suffix . . . . . . . : kaplan1.de
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : kaplan1.de

Ethernet-Adapter vEthernet (Neuer virtueller Switch):

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ether
   Physische Adresse . . . . . . . . : 00-0C-29-30-2C-14
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.69.100(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{F7EC51F5-6E56-4210-AF30-98F55D580C85}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #6
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
PS C:\Users\Administrator>

 

Client (läuft auf Hyper V)

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DC
   Primäres DNS-Suffix . . . . . . . : kaplan1.de
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : kaplan1.de

Ethernet-Adapter vEthernet (Neuer virtueller Switch):

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ether
   Physische Adresse . . . . . . . . : 00-0C-29-30-2C-14
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.69.100(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{F7EC51F5-6E56-4210-AF30-98F55D580C85}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #6
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
PS C:\Users\Administrator>

 

ping v. core auf server1 funktioniert.

Server Core (VMWare Workstation)

C:\Users\Administrator.KAPLAN1>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : Core
   Primäres DNS-Suffix . . . . . . . : kaplan1.de
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : kaplan1.de

Ethernet-Adapter Ethernet0:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Gigabit-Netzwerkverbindung Intel® 82574
L
   Physische Adresse . . . . . . . . : 00-0C-29-AF-FA-A4
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::e1c8:3e38:4575:a85e%12(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.69.101(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.69.1
   DHCPv6-IAID . . . . . . . . . . . : 301993001
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-9A-38-31-00-0C-29-AF-FA-A4

   DNS-Server  . . . . . . . . . . . : ::1
                                       192.168.69.100
                                       127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{CB5036DF-123C-4E9D-956D-DEB2E64E5D65}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

C:\Users\Administrator.KAPLAN1>

 

Auf Server Core (2012) Firewall abgeschaltet, ping funktioniert ebenfalls

bearbeitet 22. September 2014 von kkkap

[Daniel -MSFT- 129]

Due Gruppenlinienverwaltung wird Wo genau lokal ausgeführt?

Ist der Server Core auch DC?

Trag mal ne allein Servern und Clients von dem Testnetz 192.168.69.100 als DNS-Server allein ein (keinen anderen). Geht es jetzt?

Die AD-Domäne wird im DNS AD-integriert gespeichert und sichere, dynamische Updates sind erlaubt?

[daabm 1.187]

Die ipconfig vom Client ist falsch - das ist das gleiche wie bei DC...

[kkkap 1]

Die IP vom Client ist nicht wirklich falsch(192.168.69.105). Ich habe wohl die selbe IP-Config Ausgabe v. Server DC eingefügt.

Der DC und Core sind DomänenController.

Gruppenrichtlinienverwaltung wird direkt auf dem Domänencontroller DC 192.168.69.100 ausgeführt.

 

Sorry aber das habe ich nicht genau verstanden was sie damit meinen:

Trag mal ne allein Servern und Clients von dem Testnetz 192.168.69.100 als DNS-Server allein ein (keinen anderen). Geht es jetzt?

Die AD-Domäne wird im DNS AD-integriert gespeichert und sichere, dynamische Updates sind erlaubt?     

 

Kann das davon kommen:

Zeitüberschreitung bei der Namensauflösung für den Namen sls.update.microsoft.com, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

 

Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.

bearbeitet 22. September 2014 von kkkap

[Daniel -MSFT- 129]

Trag auf dem DC und dem Server Core in den Eigenschaften des TCP/IP-Protokolls auf der Netzwerkkarte jeweils nur den DC als DNS-Server ein. Nicht mit der 127.0.0.1, sondern die 192.168.69.100 - sonst sind das Inseln. Wie sollen die sich initial finden? Siehe dazu auch http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

bearbeitet 22. September 2014 von Daniel -MSFT-

[kkkap 1]

Das hatte ich schon geändert jedoch führt das nicht wirklich zum Erfolg. Wenn ich in den Richtlinien Eingeschränkte Gruppe hinzufüge, dann geht das auch. Wenn ich noch Mitglieder zu dieser Gruppe hinzufügen möchte, kann ich die User auswählen jedoch wenn ich dann mit OK abschließen möchte, gibt es das besagte Fehlermeldung. Danach auf OK drücken geht aber die Richtlinien ziehen nicht.

[daabm 1.187]

Was genau bitte heißt "Mitglieder zu der Gruppe hinzufügen"??? Willst Du aus dem Object Picker der REstricted Groups erst eine Gruppe auswählen und der dann gleich noch Mitglieder hinzufügen? Eine vollständige (!!!) Vorgehensbeschreibung Deinerseits würde da sicher helfen - ggf per PSR...

[kkkap 1]

Hallo Martin,

 

ich bin die unten aufgeführte Schritte durchgegangen um die Mitglieder einer Gruppe per Gruppenrichtlinien festzuhalten.

Wenn du die Schritte durchließt, dann verstehst du mein Problem.

 

Gruppenmitgliedschaft per Gruppenrichtlinie verwalten

Die Gruppenmitgliedschaften lassen sich auch mit Gruppenrichtlinien steuern. Wenn Sie eine
Richtlinie Eingeschränkte Gruppen erstellen, können Sie die Mitgliedschaft für eine Gruppe
angeben und erzwingen, sodass niemand Mitglieder hinzufügen oder entfernen kann.
Um eine Richtlinie Eingeschränkte Gruppen zu erstellen, gehen Sie folgendermaßen vor:
1. Melden Sie sich beim Windows Server 2012-Server unter einem Konto mit Administra-
torrechten an. Das Fenster Server-Manager wird geöffnet.
2. Öffnen Sie die Konsole Gruppenrichtlinienverwaltung. Erstellen Sie ein neues Gruppen-
richtlinienobjekt und verknüpfen Sie es mit Ihrer Domäne.
3. Öffnen Sie das Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor und
gehen Sie zum Ordner Computerkonfiguration\Richtlinien\Windows-Einstellungen\
Sicherheitseinstellungen\Eingeschränkte Gruppen (siehe Abbildung 5.23).
Abbildung 5.23   Der Ordner Eingeschränkte Gruppen im Gruppenrichtlinienobjekt
4. Klicken Sie mit der rechten Maustaste auf den Ordner Eingeschränkte Gruppen und wäh-
len Sie im Kontextmenü Gruppe hinzufügen, um das Dialogfeld Gruppe hinzufügen zu
öffnen.
5. Geben Sie das hinzuzufügende Gruppenobjekt ein (oder suchen Sie es) und klicken Sie
auf OK. Die Gruppe erscheint im Ordner Eingeschränkte Gruppen und für die Richtlinie
wird ein Eigenschaftenblatt geöffnet (siehe Abbildung 5.24).
Prüfungsziel 5.3: Active Directory-Gruppen und Organisationseinheiten erstellen und verwalten
333
Abbildung 5.24   Das Eigenschaftenblatt für eine Richtlinie Eingeschränkte Gruppen
6. Klicken Sie auf eine oder beide Hinzufügen-Schaltflächen, um Objekte als Mitglieder der
Gruppe oder anderer Gruppen, zu der die Gruppe gehören soll, hinzuzufügen.
7. Klicken Sie auf OK.

 

genau jetzt kommt die Fehlermeldung was ich oben mehrmals beschrieben habe.

8. Schließen Sie die Konsolen Gruppenrichtlinienverwaltungs-Editor und Gruppenricht-
linienverwaltung.
Die Mitglieder, die Sie mit einer Richtlinie Eingeschränkte Gruppen für eine Gruppe
festgelegt haben, sind nun die einzigen Mitglieder, die in dieser Gruppe verbleiben dürfen.
Zwar hindert die Richtlinie Administratoren nicht daran, die Gruppenmitgliedschaft mit
anderen Tools zu modifizieren, doch wird die Gruppenmitgliedsliste durch die Richtlinie
überschrieben, sobald das System seine Gruppenrichtlinieneinstellungen aktualisiert.

[daabm 1.187]

Ein Screenshot (oder auch zwei oder drei) wären hilfreicher... Die Vorgehensweise kenne ich auswendig (MVP GPO), aber was genau da bei Dir wo drinsteht, sehe ich nicht...

[kkkap 1]

Hier ein Screenshop

[daabm 1.187]

Sehr unscharf... Aber egal. Ok, hast Du es mal mit "Erweitert" probiert?

 

Edit: Du willst hier einer Domänengruppe Mitglieder per RG hinzufügen??? Warum denn DAS? Ich hab das noch nie gemacht, aber IMHO geht das nur in GPOs, die auch auf Domänenebene verknüpft sind...

bearbeitet 27. September 2014 von daabm

[kkkap 1]

Hallo Martin,

 

habe ich über erweitern ausgewählt. Aber ist egal. Erst wenn ich im Buch DNS durchgehe werde ich das nochmals angehen. Die IP Adressen sind statisch. Daher fehlt eventuell ein Eintrag im DNS. Es sind ja ein paar DNS Meldungen im Ereignisanzeige.

 

Vielen Dank für deine Mühe.

[NorbertFe 1.815]

Ist aber doch irgendwie auch "sinnfrei" einer domänengruppe Mitglieder per rg zuzufügen. Das geht im ad doch viel einfacher und vor allem würde ich sagen auch nachvollziehbarer.