Gruppenrichtlinienfehler - kann nicht öffnen

[JeffRoc 10]

bringt seit dem ich die GPMC mal installiert hab immer o.g. Meldung - woran kann das liegen ******

Wenn ich die GPMC dann deinstalliere gibts über den üblichen Weg ebenfalls diese Probleme

[lefg 276]

Was ist GPMC? Der Gruppenrichtlinieneditor?

 

Ich benutze Active Directory Benutzer und Computer, Eigenschaften der Domäne, Gruppenrichtlinien.

[JeffRoc 10]

Das Problem sieht wie folgt aus, wenn ich auf eine GPO klicke - siehe Anhang..

 

Die GPMC ist die Gruppenrichtlinienverwaltung -> korrekt.

[Operator 10]

Leider ist der Anhang noch nicht freigeschaltet.

 

@lefg: Das ist aber ne Bildungs- bzw. Administratorlücke :) GPMC ist die GroupPolicyManagementConsole von Microsoft. Macht einiges einfacher was GPOs betrifft. Z.B. kannst Du damit Reports über die Einstellungen generieren und einzelne Richtlinien sichern und wiederherstellen. Ist zwar ursprünglich nur für Windows Server 2003 entwickelt worden, aber nach einer Änderung im Lizenzabkommen darf es auch für Windows 2000 Domänen verwendet werden.

Voraussetzungen sind: Active Directory Domäne (klar!), Windows XP und .NET-Framework.

 

@JeffRoc: Kannst Du via Explorer auf \\domain.de\sysvol\domain.de zugreifen?

Was liefert ein nslookup auf deinen Domänennamen?

Alle DC's verfügbar?

DNS Konfiguration auf deinem Client richtig? Es sollten z.B. keine weiteren DNS-Server eingetragen sein, als die, die die Domäne betreffen.

 

Gruß

Andre

[lefg 276]

GPMC ist die GroupPolicyManagementConsole von Microsoft. Macht einiges einfacher was GPOs betrifft. Z.B. kannst Du damit Reports über die Einstellungen generieren und einzelne Richtlinien sichern und wiederherstellen. Ist zwar ursprünglich nur für Windows Server 2003 entwickelt worden, aber nach einer Änderung im Lizenzabkommen darf es auch für Windows 2000 Domänen verwendet werden.

Voraussetzungen sind: Active Directory Domäne (klar!), Windows XP und .NET-Framework.

Ich danke für das Schliessen der Lücke. :) Den S2k3 habe ich noch nicht Einsatz, nur im Versuch; keine Schulung, kein Buch. :D

Ich hatte GPMC vorhin am S2k probiert und wurde abgewiesen. Der S2k3 war schon ausgeschaltet.

[JeffRoc 10]

ein nslookup bringt auf die Domain folgendes:

 

> domain.intern
Server:  [192.168.0.1]
Address:  192.168.0.1

Name:    domain.intern
Addresses:  192.168.0.1, 192.168.3.254

 

Die 192.168.3.254 ist die 2. NIC welche ein Beinchen in ein anderes Subnetz hat, welches aber unberührt ist/sein soll vom AD!! Musste zuvor auch den Server in nslookup auf die interne 192.168.0.1 stellen (stand vorher auf die 192.168.3.254)?!?!?!?

 

Wenn ich in den Explorer folgendes:

\\domain.intern\sysvol\domain.intern

eingebe, kann er nix finden ;(

 

aber auch ein ping lokal vom server auf den eigenen Hostname verweist auf die 192.168.3.254 - so wie es nicht sein soll!!!!

[JeffRoc 10]

KOMISCH KOMISCH..

 

hab herausgefunden, woran es liegt, aber es ist keine Betriebs-Lösung!

Wie fast immer macht auch dieser DC Probleme mit 2 NICs!

Ich habe den DNS korrekt konfiguriert - alle Bindungen auf die irrelevante NIC gelöscht, so dass NS Eintrage nur auf der 192.168.0.1 beantwortet werden können.

Auf der NIC mit der 192.168.3.254 habe ich "Datei- und Druckerfreigabe" deaktiviert und das ist auch das Problem! Denn ohne dieses Protokoll auf dieser NIC ist über "\\domain.intern\SYSVOL\domain.intern" nichts zu finden - gebe ich den DC, sprich "\\dc\SYSVOL\domain.intern" ein, zeigt er alles einwandfrei an. Echt komisch.

Weiß jemand warum er seine Bindung über die 192.168.3.254 hat und nicht mit der 192.168.0.1 arbeitet???

 

Danke für eure Hilfe - aber leider ist das Problem noch nicht gelöst *grrrr*

[lefg 276]

In #1 wurde von einem Problem mit GPMC berichtet, in #7 um geht es um etwas anderes.

 

Was ist denn nun das eigentliche Problem?

[Operator 10]

Hi All,

 

@lefg: Das hängt alles zusammen :) Damit die GPMC arbeiten kann, müssen die Richtlinien ja irgendwo abgerufen werden. Und diese liegen nun mal auf den Domaincontrollern. Da fließen viele Dienste zusammen: DFS, Serverdienst, Datei-Druckerfreigabe, DNS... :)

 

@JeffRoc: Ich kann mir schon denken woran das liegt :) Und wie fast immer liegt das an DC's, die multi-homed sind, sprich 2 NICs haben.

 

Dein Client löst zum Lesen der GPOs den Domainnamen auf: domain.local

Dein DNS antwortet standardmäßig mit allen IP-Adressen, die er hat.

Wenn Du die 2. Adresse nicht erreichen kannst (fehlendes Routing etc.) dann bekommst Du natürlich keine Verbindung.

 

Wenn Du die 2. Karte für deine Domäne nicht brauchst, solltest Du diese aus allen Active-Directory Sachen raushalten.

 

2 wichtige Dienste, die dafür sorgen, daß deine IP-Einträge immer vorhanden sind, sind folgende: Anmeldedienst und DNS-Server.

Diesen beiden Diensten musst Du jetzt beibringen, daß sie nicht mehr alle IP-Adressen beim Start neu registrieren. Dann bist Du zwar dafür verantwortlich bei Änderungen diese von Hand vorzunehmen, aber so oft passiert das ja nicht.

 

Zuerst mal 2 Registry-Keys, die Du setzen solltest:

 

Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters legst Du den Wert PublishAddresses an (REG_SZ), der nur die vom Client aus erreichbare IP-Adresse enthält, also 192.168.0.1

Unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters legst Du den Wert RegisterDnsARecords an (REG_DWORD) und verpasst ihm den Wert 0.

 

Mit den beiden Keys deaktivierst Du beim DNS das Registrieren der unnötigen IP-Adresse und beim Anmelde-Dienst die komplette Erstellung der Einträge.

 

Jetzt musst Du noch im DNS-Server ausschau halten nach "veralteten Einträgen". D.h. alle Einträge (A, SRV, PTR) die noch auf die 192.168.3er IP-Adresse verweisen löscht Du jetzt.

An dieser Stelle kannst Du nun den DNS-Server Dienst und den Anmeldedienst neustarten und solltest prüfen, ob die Einträge auch wirklich nicht neu erstellt worden sind.

 

Ein Ping vom Client auf die Domain sollte jetzt nur noch die eine richtige Adresse liefern.

Wenn dort noch alte Adressen auftauchen hilft oft ein: ipconfig /flushdns

 

Dann kannst Du noch nachprüfen, ob der DFS-Client auf dem Client gestartet ist, da dieser für den Zugriff auf \\domain.local\sysvol\domain.local\ nötig ist.

 

An dieser Stelle sollte der Zugriff auf deine Richtlinien wieder ohne Probleme funktionieren.

Es sei denn ich hab irgendwas vergessen ;) Aber dann poste noch mal...

 

Referenzen:

http://support.microsoft.com/default.aspx?scid=kb;en-us;275554&sd=tech

http://support.microsoft.com/default.aspx?scid=kb;en-us;246804

 

Gruß und noch n schönes Wochenende

Andre

[lefg 276]

Also wieder einmal Multi-homed.

 

Das war eine gute Beleuchtung. :)

 

Danke

Edgar

[JeffRoc 10]

@ lefg

von einem problem ins nächste - Du hast recht, dass die Problemschilderung sich zum Ende hin geändert hat, aber das war leider der Stolperpfad ;)

 

@ Operator

 

echt Klasse, wie Du das hier alles geschildert hast! Ein dickes Lob für Deine Mühe, die Dinge sachlich zu erklären und es verständlich zu machen.

Ich werde es gleich morgen testen - heute habe ich frei ;)

Wenn es dann noch Probleme geben sollte (denke und hoffe nicht, weil ich Deiner Beschreibung völlig zustimme) melde ich mich...

 

an dieser Stelle nochmals ein dickes Lob an alle die geholfen haben - und dieses Board ist echt Klasse ;)

[Operator 10]

@JeffRoc: Danke für die Blumen. Das motiviert natürlich sich hier ins Zeug zu legen und auch mal weiter auszuholen statt nur auf Links zu verweisen :)

Berichte mal wie's gelaufen ist und ob noch Probleme aufgetreten sind.

 

Darfst mich ansonsten auch gern auf anderen Kommunikationswegen kontaktieren ;)

So dann genieß Du noch mal deinen freien Tag. Ich werds auch tun...

 

Gruß

Andre