Jump to content

AD SPNs komplett verwirrt / GPO Sync defekt


Go to solution Solved by FT-Felix,

Recommended Posts

Fehlt zufällig die Gruppe der "Authentifizierten User" bei der GPO unter Sicherheitsfilterung? Hat die Gruppe, falls vorhanden auch das Recht die Richtlinie zu übernehmen unter dem Reiter Delegierung (Button Erweitert unten rechts anklicken)?

 

Grüsse

 

Gulp

Edited by Gulp
  • Like 1
Link to post

Hi Felix,

Nachdem was ich nun mitlesen durfte würde ich auch auf ein Berechtigungsproblem tippen. 

 

=> Vergleiche die Delegation der bereits vorhandenen und der neuen GPO

=> Prüfe die Mitgliedschaften eines Standard Users ggf. fällt dir hier was auf

 

Beste Grüße

  • Like 1
Link to post

Das große GPO neu zusammenbauen würde gut eine Stunde dauern.

Mit DCGPOFIX habe ich die beiden Default Richtlinien zurückgesetzt. Diese werden jetzt auch wieder korrekt übernommen.

Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte.

 

Die Gruppe "Authentifizierte Benuter" ist vorhanden. Das Recht "Gruppenrichtlinie übernehmen" steht auf "Zulassen".

Die Einstellungen im Reiter "Delegation" stimmen zwischen den alten und neuen GPOs überein.

Die Gruppenmitgliedschaften aller User sind in Ordnung.

 

Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen.

 

Bei den Events, die ein Fehler sind, bleibt noch übrig:

- Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.

- Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden.

- Automatic registration failed. Failed to lookup the registration service information from Active Directory. Exit code: Unknown HResult Error code: 0x801c001d.

- Automatic registration failed at join phase. Exit code: Unknown HResult Error code: 0x801c001d

- Application Error: Name des fehlerhaften Moduls: GPOAdmin.dll

 

Link to post
vor 7 Stunden schrieb FT-Felix:

Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen.

Hast Du denn im Computerkonto den Reiter Bitlocker Wiederherstellung? Du hast das AD vorbereitet und die nötigen Features installiert? Schau diesen Artikel dazu an: https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

Edited by Sunny61
  • Like 1
Link to post
vor 2 Stunden schrieb Sunny61:

Hast Du denn im Computerkonto den Reiter Bitlocker Wiederherstellung? Du hast das AD vorbereitet und die nötigen Features installiert?

Ja, es ist alles dafür vorhanden. Es hat ja früher auch alles funktioniert. Sämtliche nötigen Features und Verwaltungstools sind vorhanden.

Link to post

Das riecht schwer nach Problemen mit DNS, der Zuordnung der Clients zum AD, einem nicht konsistenten AD oder allem zusammen ......

 

Geht dcdiag auf dem DC, wenn ja was kommt dabei raus?

 

An der Stelle wäre es fahrlässig nicht auf einen Dienstleister hinzuweisen, der vor Ort hinzugezogen werden sollte und sich mit AD/DC Troubleshooting auskennen sollte.

 

Grüsse

 

Gulp

Edited by Gulp
Link to post

CDIAG zeigt folgende relevante Meldungen:

- Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

- Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/CONTROLLER3.domain.tld; WSMAN/CONTROLLER3.

- Zeitüberschreitung bei der Namensauflösung für den Namen _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

Beide dieser DNS Einträge sind aber vorhanden - SRV Einträge die auch auf den korrekten DC verweisen. Beide SPNs sind ebenfalls vorhanden.

 

Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt.

Die beiden nicht mehr existierenden DCs sind aus dem DNS auch komplett entfernt.

Link to post

Naja, ohne Grunde listet DCDIAG solche Fehler ja nicht auf, wenn auch die Einträge vorhanden sind, heisst das nicht im Umkehrschluss, dass diese auch von allen Beteiligten verwendet werden (können) ........

 

Da sollte in der Tat aus meiner Sicht ein kompetenter Dienstleister vor Ort mit in die Fehleranalyse einsteigen, das dürfte den Rahmen des Support den wir hier übers Forum leisten können überschreiten.

 

Grüsse

 

Gulp

Edited by Gulp
Link to post

Moin,

 

vor 1 Stunde schrieb FT-Felix:

Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt.

diese Information solltest du gleich geben. Bei der ersten Erwähnung klang es, als würde das grundsätzlich nicht funktionieren. Hier ist das Problem also sehr wahrscheinlich bei dem einen Client bzw. dem einen Computerkonto zu suchen, nicht allgemein. Insbesondere den Verdacht, das AD sei irgendwie inkonsistent, können wir getrost begraben (oder zumindest in den Warteraum schieben - es ist ausgesprochen unwahrscheinlich).

 

vor 12 Stunden schrieb FT-Felix:

Das große GPO neu zusammenbauen würde gut eine Stunde dauern.

Und, hast du die Stunde jetzt investiert? 

 

Gruß, Nils

 

Edited by NilsK
Link to post
vor 6 Stunden schrieb NilsK:

Und, hast du die Stunde jetzt investiert? 

 

vor 19 Stunden schrieb FT-Felix:

Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte.

Irgendetwas hat diese GPO dazu gebracht wieder normal zu funktionieren.

 

vor 5 Stunden schrieb Gulp:

zieht denn ein neu aufgesetzter Client die GPO korrekt

Ja, tut er. Und die Richtlinien funktionieren auch alle. BL-Backup auch. Es scheint als wäre es ein Problem bei diesem einen Client. Das kann ich auch einfach ignorieren, da sämtliche BitLocker Keys ohnehin auch anderwertig außerhalb der Infrastruktur gesichert sind.

 

Eigentlich bleiben nur noch die 3 Fehlermeldungen aus DCDIAG übrig. Funktionseinschränkungen sind mir derzeit keine mehr bekannt.

Link to post

Es gibt Fehlersituationen bei der GPO-Verarbeitung, in denen keinerlei GPOs mehr verarbeitet werden. Aber Du hast jetzt so viel experimentiert, daß das vermutlich nicht mehr nachzuvollziehen ist. Die DCDIAG-Fehler bei DNS finde ich mindestens eigenartig - AD-integriertes DNS? Wenn ja, was steht denn so im DNS für diese Einträge?

(Spoiler: nslookup -type=SRV _ldap._tcp.dc._msdcs.domain.tld)

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...