Jump to content
Sign in to follow this  
mfdoom

GPOs funktionieren nicht - war: lustige Konfiguration...

Recommended Posts

Hallo liebes Forum,

 

ich habe eine lustige Serverkonfiguration hier bei der ich etwas Hilfe benötige.

 

Ich habe hier 8 Domänencontroller - 2 davon mit 2K Server, der Rest 2003 Server.

 

Insgesamt habe ich 7 Standorte wobei 6 Standorte sich ausserhalb befinden und per MPLS hier ins Netz kommen (und andersum^^).

 

Im ersten Standort stehen 2 Domänencontroller (beide 2K Server) wovon der 1. der Betriebsmaster ist (die Domäne läuft im sog. gemischten Modus) der 2. ist Mitgliedsserver.

 

Das Problem ist nun dass ich von einem 2003er Server aus mit dem GPMC-Tool GPOs erstellt habe. Diese Gruppenrichtlinien funktionieren leider (lt. Ereignislog an den Clients und auf den Servern) nicht.

 

Ich habe mit den Servertools von 2003 mal repadmin /kcc für jeden DC augeführt - Ergebnis i.O.

 

Mit dem ADRM (der Replication Monitor) habe ich herausgefunden dass nicht alle GPOs repliziert worden sind (nämlich die die ich kürzlich engepflegt habe).

 

so sieht dass dann aus:

 

"GPOName","meine neue GPO is cool"
"GPOGuid","{039BB08A-3A6F-4543-B4FD-738860841B1C}"
"GPOVer",131072
"GPOSysVer",-1

 

-1 steht in diesem Fall für ERROR

 

Ach ja, vielleicht noch was Wichtiges: Die ADM Vorlage (custom) habe ich auf ein Netzlaufwerk kopiert und dann über die GPMC importiert - das sollte ja eigentlich keine Probleme machen.

 

wenn ich auf dem Betriebsmaster dcdiag ausführe passiert ditte:

 

Starting test: MachineAccount
   * BETRIEBSMASTER is not trusted for account delegation

 

das konnte ich mit /FixMachineAccount bereinigen...

 

Leider sind da noch ein paar andere Dinge die nicht glücklich sind bei der Ausgabe von dcdiag (auf jedem der Server ausser auf dem Betriebsmaster), und zwar:

 

Starting test: frsevent

There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.

 

Wie kann ich sicherstellen dass dit SYSVOL richtig repliziere?

 

Hängt das evtl. mit anderen "Miskonfigurationen" meinerseits zusammen..?

 

Ich poste gerne noch mehr Info falls benötigt.

 

 

 

Ansonsten ein schönes WE :)

Share this post


Link to post

hmm - noch forste ich im netz - habe schon einiges probiert.

 

Eine Frage habe ich aber:

 

Unter welchem Sicherheitskontext wird das GPO unter Sysvol geshared?

 

Habe hier unterschiedliche Berechtigungen, z.B.:

 

Domänen-Admins oder Domänenadministratoren oder Domänencontroller...

 

 

welcher Sicherheitskontext sollte auf jeden Fall funktionieren?

 

Mir ist auch anhand des ganz hervorragenden Tools ADRM aufgefallen dass alle nicht funktionierenden GPOs die gleiche Version (DS und SYSVOL) haben, das hier ist ein Beispiel

 

Name der GPO

Group Policy Object GUID: {039BB08A-3A6F-4543-B4FD-738860841B1C}

Group Policy Object Version in the DS: 131072

Group Policy Object Version in SYSVOL: 131072

 

Weiss jemand was dazu?

 

 

Grüsse

Share this post


Link to post

ich habe mal den Thread-titel geändert, der alte war doch recht nichtssagend...

 

dankeschön - so bekomme ich bestimmt 1 zilliarde hits

Share this post


Link to post

Hi,

nichtssagende Titel wie "Hilfe, dringend" oder "lustige Konfig.." ignorier ich tatsächlcih prinzpiell

 

zu deinen Fragen:

sysvol bzw. Filereplication überwachst du am besten mit dem reskit tool "sonar". Wenn die Filereplication verhaut ist, such in der technet nach "FRS" "sysvol" "burflags" . Da gibts einen Artikel, die Filereplication wieder neu zu initialisieren

 

Bei Policies muss die Version im Sysvol und in der DS gleich sein.

In der GPMC gibt es ein skript "searchorphanedGPOs" oder so ähnlich. Lass das mal laufen

 

cu

blub

Share this post


Link to post

Das ist die Ausgabe des Scripts mit dem Namen "FindOrphanedGPOsInSYSVOL.wsf"

sowie der Option:

/domain:meine.domäne

 

Policies Not In AD But Located in:
 \\local\sysvol\local\policies

{210DFB81-2E20-414C-9686-C9D04A583ECF}_NTFRS_0614473a
{50EF0EB5-15C2-41B9-B410-2890FBC2790D}
{84DC4219-B16D-4676-9812-A93406E7464A}
{945DCD42-4343-4287-9609-E09A859E2D48}
{AC7927C2-589D-4BF4-9504-2FB108C98FDB}
{D9F670A0-123D-438D-841D-08947509A535}
{E48C4F96-E80D-49FA-9B55-E77CE33ABA81}
{E48C4F96-E80D-49FA-9B55-E77CE33ABA81}_NTFRS_0049d5cb
{E64F10B9-166C-466A-91F0-9F78E3D8DC43}

Total Orphaned GPO's: 9

 

Als nächstes werde ich die Filereplikation neu initialisieren mithilfe des "sonar" Tools vom ResKit 2003 Server.

 

:)

 

Grüsse aus dem warmen Berlin :p

Share this post


Link to post

Hallo

 

Ich habe echt das Gefuehl, dass da wesentlich mehr verbockt ist als die NTFRS Replication und das SYSVOL. Wie sieht es mit dem Grundlegen DNS Einstellungen etc. aus. So wie ich das verstehe ist das ein AD Branch Office aehnliches Gebilde - zwar in einem Forest aber mit Sites. Da ist DNS das A+O. Wie sieht es aus mit netdiag/fix und/oder dcdiag /fix sowie einem möglichen brofmon (ist ein scripted Tool zwar fuer Branchoffices) duerfte aber da auch helfen. Evtl. auch replmon um unvollstaendige Replications zu finden.

 

 

Wusste nicht, dass wir Hitcounters sammlen, dachte immer Problemlösungen :-)

 

 

Gruss,

 

Matthias

Share this post


Link to post

Hi,

 

also ein netdiag auf dem Betriebsmaster war allesamt positiv, bis auf (ja ich weiss) ditte:

 

DNS test . . . . . . . . . . . . . : Passed
   [WARNING] The DNS host name 'mein_server_mit_underlines' valid only on Windows 2000 DNS Servers. [DNS_ERROR_NON_RFC_NAME]
   PASS - All the DNS entries for DC are registered on DNS server '10.0.0.101' and other DCs also have some of the names registered.
   PASS - All the DNS entries for DC are registered on DNS server '10.0.0.5' and other DCs also have some of the names registered.

 

ein dcdiag (ohne /v) auf dem gleichen Server ergab folgendes:

 

Starting test: frssysvol
  Error: No record of File Replication System, SYSVOL started.
  The Active Directory may be prevented from starting.

 

der rest war i.O.

 

Die Fehler bleiben jedoch trotz /fix option.

 

Den Replication Monitor habe ich eh laufen (Fehlermeldungen siehe oben).

 

Grüsse aus Berlin

 

 

Liebe Grüsse

Share this post


Link to post

Hallo Forum,

 

nachdem ich aus dem ResKit 2003 das "gpotool ausgeführt habe bekomme ich u.A. folgende Fehlermeldung:

 

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Error: betriebsmaster.meine.domäne - mitgliedsserver A sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver B sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver C sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver D sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver E sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver F sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver G sysvol mismatch

 

Da es ja Probleme zwischen der Replikation der DCs allgemein besteht habe ich nun eine Frage:

 

Wie kann ich die Replikation von den DC automatisch steuern lassen - oder wieder zurück auf den Standard setzen? Bzw. wie konfiguriere ich die Replikation der Domänen richtig unter Berücksichtigung meiner Leitungen?

 

Ich denke dass ist das Einzige Problem was ich habe.

 

Ich habe weiterhin herausgefunden dass es einen Fehler auf dem Betriebsmaster gibt:

 

Der Dateireplikationsdienst hat ermittelt, dass der Replikatssatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet. 

 

Ich habe den Anweisungen entsprechend gehandelt und den Dienst "ntfrs" neugestartet. Mal sehen was als nächstes passiert.

Gruss

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...