Jump to content

AD SPNs komplett verwirrt / GPO Sync defekt


Direkt zur Lösung Gelöst von FT-Felix,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Das große GPO neu zusammenbauen würde gut eine Stunde dauern.

Mit DCGPOFIX habe ich die beiden Default Richtlinien zurückgesetzt. Diese werden jetzt auch wieder korrekt übernommen.

Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte.

 

Die Gruppe "Authentifizierte Benuter" ist vorhanden. Das Recht "Gruppenrichtlinie übernehmen" steht auf "Zulassen".

Die Einstellungen im Reiter "Delegation" stimmen zwischen den alten und neuen GPOs überein.

Die Gruppenmitgliedschaften aller User sind in Ordnung.

 

Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen.

 

Bei den Events, die ein Fehler sind, bleibt noch übrig:

- Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.

- Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden.

- Automatic registration failed. Failed to lookup the registration service information from Active Directory. Exit code: Unknown HResult Error code: 0x801c001d.

- Automatic registration failed at join phase. Exit code: Unknown HResult Error code: 0x801c001d

- Application Error: Name des fehlerhaften Moduls: GPOAdmin.dll

 

Link zu diesem Kommentar
vor 7 Stunden schrieb FT-Felix:

Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen.

Hast Du denn im Computerkonto den Reiter Bitlocker Wiederherstellung? Du hast das AD vorbereitet und die nötigen Features installiert? Schau diesen Artikel dazu an: https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

bearbeitet von Sunny61
Link zu diesem Kommentar

Das riecht schwer nach Problemen mit DNS, der Zuordnung der Clients zum AD, einem nicht konsistenten AD oder allem zusammen ......

 

Geht dcdiag auf dem DC, wenn ja was kommt dabei raus?

 

An der Stelle wäre es fahrlässig nicht auf einen Dienstleister hinzuweisen, der vor Ort hinzugezogen werden sollte und sich mit AD/DC Troubleshooting auskennen sollte.

 

Grüsse

 

Gulp

bearbeitet von Gulp
Link zu diesem Kommentar

CDIAG zeigt folgende relevante Meldungen:

- Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

- Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/CONTROLLER3.domain.tld; WSMAN/CONTROLLER3.

- Zeitüberschreitung bei der Namensauflösung für den Namen _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

Beide dieser DNS Einträge sind aber vorhanden - SRV Einträge die auch auf den korrekten DC verweisen. Beide SPNs sind ebenfalls vorhanden.

 

Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt.

Die beiden nicht mehr existierenden DCs sind aus dem DNS auch komplett entfernt.

Link zu diesem Kommentar

Naja, ohne Grunde listet DCDIAG solche Fehler ja nicht auf, wenn auch die Einträge vorhanden sind, heisst das nicht im Umkehrschluss, dass diese auch von allen Beteiligten verwendet werden (können) ........

 

Da sollte in der Tat aus meiner Sicht ein kompetenter Dienstleister vor Ort mit in die Fehleranalyse einsteigen, das dürfte den Rahmen des Support den wir hier übers Forum leisten können überschreiten.

 

Grüsse

 

Gulp

bearbeitet von Gulp
Link zu diesem Kommentar

Moin,

 

vor 1 Stunde schrieb FT-Felix:

Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt.

diese Information solltest du gleich geben. Bei der ersten Erwähnung klang es, als würde das grundsätzlich nicht funktionieren. Hier ist das Problem also sehr wahrscheinlich bei dem einen Client bzw. dem einen Computerkonto zu suchen, nicht allgemein. Insbesondere den Verdacht, das AD sei irgendwie inkonsistent, können wir getrost begraben (oder zumindest in den Warteraum schieben - es ist ausgesprochen unwahrscheinlich).

 

vor 12 Stunden schrieb FT-Felix:

Das große GPO neu zusammenbauen würde gut eine Stunde dauern.

Und, hast du die Stunde jetzt investiert? 

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
vor 6 Stunden schrieb NilsK:

Und, hast du die Stunde jetzt investiert? 

 

vor 19 Stunden schrieb FT-Felix:

Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte.

Irgendetwas hat diese GPO dazu gebracht wieder normal zu funktionieren.

 

vor 5 Stunden schrieb Gulp:

zieht denn ein neu aufgesetzter Client die GPO korrekt

Ja, tut er. Und die Richtlinien funktionieren auch alle. BL-Backup auch. Es scheint als wäre es ein Problem bei diesem einen Client. Das kann ich auch einfach ignorieren, da sämtliche BitLocker Keys ohnehin auch anderwertig außerhalb der Infrastruktur gesichert sind.

 

Eigentlich bleiben nur noch die 3 Fehlermeldungen aus DCDIAG übrig. Funktionseinschränkungen sind mir derzeit keine mehr bekannt.

Link zu diesem Kommentar

Es gibt Fehlersituationen bei der GPO-Verarbeitung, in denen keinerlei GPOs mehr verarbeitet werden. Aber Du hast jetzt so viel experimentiert, daß das vermutlich nicht mehr nachzuvollziehen ist. Die DCDIAG-Fehler bei DNS finde ich mindestens eigenartig - AD-integriertes DNS? Wenn ja, was steht denn so im DNS für diese Einträge?

(Spoiler: nslookup -type=SRV _ldap._tcp.dc._msdcs.domain.tld)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...