alex-tech
Goto Top

Client kann GPO Computerrichtlinien nicht ziehen

Guten Tag,

ich habe einen Client im Netz der die Computerrichtlinien nicht ziehen will. (Die Benutzerrichtlinien werden ohne Probleme übernommen.) Das Problem hat der Rechner schon seit Monaten, es ist nur erst jetzt aufgefallen.


Fehlermeldung:

C:\Users\Administrator>gpupdate /force
Die Richtlinie wird aktualisiert...

Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\XXX\SysVol\XXX\Policies\{AC2A3FC1-7DFF-4C5A-8A80-CD37C070F8D3}\gpt.ini"
von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtli
nieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben is
t. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der
folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).

c) Der DFS-Client (Distributed File System) wurde deaktiviert.

Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder fahren Sie den Befehl "
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
bnisse zuzugreifen.


gpresult:

Komponentenstatus
Komponentenname Status Letzter Prozess am
Gruppenrichtlinieninfrastruktur Gescheitert
Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.


Wir haben drei DCs im Netz. Da andere Clients keine Probleme haben habe ich da erstmal einen Fehler ausgeschlossen. Replikation habe ich getestet. Namensauflösung in alle Richtungen funktioniert auch.
Die o.g. Policy gibt es und funktioniert auch auf anderen Clients. (Schmeiß ich die Policy raus erscheint da die nächste.)

Kennt jemand das Problem? Was hat es mit der Sicherheitsgefahr auf sich?

Vielen Dank für eure Unterstützung.

Schönen Tag.

Content-Key: 211600

Url: https://administrator.de/contentid/211600

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: tukuluk
tukuluk 16.07.2013 um 10:24:35 Uhr
Goto Top
Hi,

hast du schon versucht den Client mal aus der Domäne raus und wieder rein zu nehmen?
Hilft bei so manchen komischen Fehlern....

Gruß
Mitglied: alex-tech
alex-tech 16.07.2013 um 10:29:45 Uhr
Goto Top
Ja, habe ich. Aus der Domäne genommen und Computerkonto gelöscht. Dann wieder rein. Hat nichts gebracht.
Mitglied: Robobob
Robobob 16.07.2013 um 10:47:49 Uhr
Goto Top
Hallo,

hast du den Client in der Zeit wo das Problem vorherrscht mal neuinstalliert?
Einfach interessehalber.
Mitglied: alex-tech
alex-tech 16.07.2013 um 11:14:08 Uhr
Goto Top
Ich wüsste nicht. Das ganze ist aufgefallen, weil es ein Rechteproblem mit einem Benutzerkonto gab nachdem der Benutzer das Passwort geändert hatte. Ich habe mir dann die Logs angeschaut und bemerkt, dass die Fehler verdächtig nahe seit dem Zeitpunkt auftauchen, seit der Benutzer das letzte mal sein Passwort geändert haben muss.

Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin angemeldet.
Mitglied: Robobob
Robobob 16.07.2013 um 11:18:18 Uhr
Goto Top
Zitat von @alex-tech:

Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin
angemeldet.

Das es sich um Computerrichtlinien handelt habe ich schon herausgelesen ;)

Ich kann hier persönlich auch keinen Zusammenhang zwischen einer Passwortänderung und einem GPO-Problem herstellen.

Mal anders:

Was für eine Serverumgebung?
Was für ein Client-System?
Unterscheidet sich das Clientsystem von den anderen in deiner Firma?
Mitglied: alex-tech
alex-tech 16.07.2013 um 11:31:31 Uhr
Goto Top
3 DCs mit Windows 2008 R2 in zwei Subnetzen. (Wobei die DCs aus den Netzen direkt erreichbar sind.)
Der Client ist Win7 x64. Eigentlich eine Standardinstallation wie jeder andere Client auch.
Mitglied: MartinBinder
MartinBinder 16.07.2013 um 11:59:43 Uhr
Goto Top
Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du verwendest).
Mitglied: alex-tech
alex-tech 16.07.2013 um 12:13:30 Uhr
Goto Top
Kannst du das bitte näher ausführen? Ich habe bereits neue GPOs angelegt und vorhandene geändert um zu sehen ob diese zwischen den DCs repliziert werden. Dies hat auch funktioniert. Der Fehler taucht ja auch nur auf einem Client auf.

Aber ich habe in den Eventlogs des DC tatsächlich eine interessante Meldung gefunden:

DCOM konnte mit dem Computer "Problem Client" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Mitglied: templier
templier 16.07.2013 aktualisiert um 13:12:41 Uhr
Goto Top
Zitat von @MartinBinder:
Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du
verwendest).
Das würde ich jetzt auch mal vermuten - Ich hatte auch mal einen TS wo das so war und ähnliche Meldungen gekommen sind. Und das Sysvol auf diesem TS auf einmal weit über 1GB(!) Volumen aufwies. Ich denke auch, das dort etwas verbogen ist, da er ja offenbar grundsätzlich GPO´s zu ziehen scheint aber dann dabei auf die Nase fällt. Hast Du mal die Grösse des Sysvols des "Problem-Clients" mit einem vergleichbaren Client verglichen?

Viele Grüsse
Ralph
Mitglied: alex-tech
alex-tech 16.07.2013 um 14:49:28 Uhr
Goto Top
DC1 - 456 MB - 2306 Dateien
DC2 - 455 MB - 2289 Dateien
DC3 - 456 MB - 2306 Dateien

also scheint da doch was an der Replication zu hängen?

Wie bekomme ich die wieder synchron? Wenn ich per Hand die Replication anstoße erhalte ich keinen Fehler o.ä.

Danke für eure Hilfe!
Mitglied: alex-tech
alex-tech 16.07.2013 um 14:56:06 Uhr
Goto Top
Wo finde ich denn die Sysvol auf dem Client?
Mitglied: templier
templier 16.07.2013 um 15:08:58 Uhr
Goto Top
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.

Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden sollen.

Liebe Grüsse
Ralph
Mitglied: Robobob
Robobob 16.07.2013 um 15:11:57 Uhr
Goto Top
Zitat von @templier:
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.

Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden
sollen.

Liebe Grüsse
Ralph

Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?

Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Mitglied: templier
templier 16.07.2013 um 15:18:10 Uhr
Goto Top
Zitat von @Robobob:
Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?

Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Das war ja auch nicht "bissig" gemeint - Da er aber Zugriff auf die DC´s hat, würde ich schon mal vermuten das er SysAdmin ist.
Mitglied: MartinBinder
MartinBinder 16.07.2013 um 15:18:25 Uhr
Goto Top
Mitglied: Robobob
Robobob 16.07.2013 um 15:20:46 Uhr
Goto Top
Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Mitglied: MartinBinder
MartinBinder 16.07.2013 um 15:25:08 Uhr
Goto Top
Jein... Defekte Sysvol-Replikation ist die einzige "gängige" Ursache für diese Fehlermeldung.
Mitglied: templier
templier 16.07.2013 um 15:25:16 Uhr
Goto Top
Zitat von @Robobob:
Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja nicht die anderen Clients.
Mitglied: MartinBinder
MartinBinder 16.07.2013 um 15:25:54 Uhr
Goto Top
Hättest wohl werden sollen face-smile)
Sysvol gibt's nur auf DCs, nicht auf Clients...
Mitglied: Robobob
Robobob 16.07.2013 aktualisiert um 15:28:34 Uhr
Goto Top
Zitat von @templier:
> Zitat von @Robobob:
> ----
> Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
> Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja
nicht die anderen Clients.

Das ist natürlich sinnvoll. Ich war jetzt der Meinung das möglicherweise auf den DCs etwas nicht stimmt.
Manchmal gibts Sachen die gibts garnicht.

Die Clients greifen doch auf das SysVol auf dem DC zu mehr nicht?
Mitglied: templier
templier 16.07.2013 um 15:29:00 Uhr
Goto Top
Zitat von @MartinBinder:
Hättest wohl werden sollen face-smile)
Sysvol gibt's nur auf DCs, nicht auf Clients...
*lach* Vielleicht ja face-wink Aber wo bitte schön speichern Clients dann ihre AD-Spezifischen einstellungen (GPO´s, etc) ab, wenn nicht im SysVol?
Mitglied: Robobob
Robobob 16.07.2013 um 15:31:58 Uhr
Goto Top
Aber bevor wir uns nun hier verstricken:

Müsste sich der TO nochmal melden und sagen ob er den Post von MartinBinder mal gecheckt hat.
Mitglied: alex-tech
alex-tech 16.07.2013 um 15:39:00 Uhr
Goto Top
Also die Herren: Ich suche in der Tat immer noch nach dem Sysvol auf meinen Clients. Auch Google sagt nicht viel dazu.
Auf dem DC liegt der Ordner (wie mir sogar schon vorher bekannt war face-wink) auf C:\Windows\Sysvol\sysvol\

Übrigens wird hier DFSR eingesetzt. NTFRS war mir bisher nicht bekannt
@Martin: Danke für die Links.


P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem DC "rumfuhrwerken" face-wink
Mitglied: templier
templier 16.07.2013 um 15:42:31 Uhr
Goto Top
Zitat von @alex-tech:
P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem
DC "rumfuhrwerken" face-wink
*lach* Du sollst ja auch nicht Bäcker werden, sondern ich face-wink Schuster bleib bei Deinen Leisten: Und Ralphi sollte bei seinen Terminalservern und Citrix bleiben face-wink

Viele Grüsse und viel Erfolg
Ralph
Mitglied: MartinBinder
MartinBinder 16.07.2013 um 16:45:40 Uhr
Goto Top
Dann prüfe die DFSR Eventlogs auf Replikationsprobleme. Und wenn Du da "irgendwas" findest, dann steht meistens die Lösungsanelitung schon im Event. Ansonsten hilft der 2. Link von mir weiter.
Mitglied: Robobob
Robobob 17.07.2013 um 08:02:45 Uhr
Goto Top
Und vergiss bitte nicht, uns über den Verlauf bzw. die Lösung zu informieren.

Danke
Mitglied: neueradmuser
neueradmuser 14.08.2014 um 11:37:48 Uhr
Goto Top
PS: man kann das verhalten verifizieren indem man nachguckt auf welchem DC sich der fehlerhafte Client anmeldet.
auf dem Problem Client cmd.exe als admin öffnen --> "w32tm /query /source" (fragt den "aktuellen ZeitGeber" ab)
wenn auf allen Problem Clients der gleiche DC genannt wird ist dieser DC nicht mehr Synchron im sysvol Ordner (kann man ja dann leicht über die Ordner Eigenschaften vergleichen

im DFSR Event Log ist dann vermutlich auch der Eintrag 2213 zu finden