Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Client kann GPO Computerrichtlinien nicht ziehen

Frage Microsoft Windows Netzwerk

Mitglied: alex-tech

alex-tech (Level 1) - Jetzt verbinden

16.07.2013, aktualisiert 09:57 Uhr, 11461 Aufrufe, 27 Kommentare

Guten Tag,

ich habe einen Client im Netz der die Computerrichtlinien nicht ziehen will. (Die Benutzerrichtlinien werden ohne Probleme übernommen.) Das Problem hat der Rechner schon seit Monaten, es ist nur erst jetzt aufgefallen.


Fehlermeldung:

C:\Users\Administrator>gpupdate /force
Die Richtlinie wird aktualisiert...

Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\XXX\SysVol\XXX\Policies\{AC2A3FC1-7DFF-4C5A-8A80-CD37C070F8D3}\gpt.ini"
von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtli
nieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben is
t. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der
folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).

c) Der DFS-Client (Distributed File System) wurde deaktiviert.

Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder fahren Sie den Befehl "
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
bnisse zuzugreifen.


gpresult:

Komponentenstatus
Komponentenname Status Letzter Prozess am
Gruppenrichtlinieninfrastruktur Gescheitert
Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.

Wir haben drei DCs im Netz. Da andere Clients keine Probleme haben habe ich da erstmal einen Fehler ausgeschlossen. Replikation habe ich getestet. Namensauflösung in alle Richtungen funktioniert auch.
Die o.g. Policy gibt es und funktioniert auch auf anderen Clients. (Schmeiß ich die Policy raus erscheint da die nächste.)

Kennt jemand das Problem? Was hat es mit der Sicherheitsgefahr auf sich?

Vielen Dank für eure Unterstützung.

Schönen Tag.
27 Antworten
Mitglied: tukuluk
16.07.2013 um 10:24 Uhr
Hi,

hast du schon versucht den Client mal aus der Domäne raus und wieder rein zu nehmen?
Hilft bei so manchen komischen Fehlern....

Gruß
Bitte warten ..
Mitglied: alex-tech
16.07.2013 um 10:29 Uhr
Ja, habe ich. Aus der Domäne genommen und Computerkonto gelöscht. Dann wieder rein. Hat nichts gebracht.
Bitte warten ..
Mitglied: Robobob
16.07.2013 um 10:47 Uhr
Hallo,

hast du den Client in der Zeit wo das Problem vorherrscht mal neuinstalliert?
Einfach interessehalber.
Bitte warten ..
Mitglied: alex-tech
16.07.2013 um 11:14 Uhr
Ich wüsste nicht. Das ganze ist aufgefallen, weil es ein Rechteproblem mit einem Benutzerkonto gab nachdem der Benutzer das Passwort geändert hatte. Ich habe mir dann die Logs angeschaut und bemerkt, dass die Fehler verdächtig nahe seit dem Zeitpunkt auftauchen, seit der Benutzer das letzte mal sein Passwort geändert haben muss.

Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin angemeldet.
Bitte warten ..
Mitglied: Robobob
16.07.2013 um 11:18 Uhr
Zitat von alex-tech:

Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin
angemeldet.

Das es sich um Computerrichtlinien handelt habe ich schon herausgelesen ;)

Ich kann hier persönlich auch keinen Zusammenhang zwischen einer Passwortänderung und einem GPO-Problem herstellen.

Mal anders:

Was für eine Serverumgebung?
Was für ein Client-System?
Unterscheidet sich das Clientsystem von den anderen in deiner Firma?
Bitte warten ..
Mitglied: alex-tech
16.07.2013 um 11:31 Uhr
3 DCs mit Windows 2008 R2 in zwei Subnetzen. (Wobei die DCs aus den Netzen direkt erreichbar sind.)
Der Client ist Win7 x64. Eigentlich eine Standardinstallation wie jeder andere Client auch.
Bitte warten ..
Mitglied: MartinBinder
16.07.2013 um 11:59 Uhr
Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du verwendest).
Bitte warten ..
Mitglied: alex-tech
16.07.2013 um 12:13 Uhr
Kannst du das bitte näher ausführen? Ich habe bereits neue GPOs angelegt und vorhandene geändert um zu sehen ob diese zwischen den DCs repliziert werden. Dies hat auch funktioniert. Der Fehler taucht ja auch nur auf einem Client auf.

Aber ich habe in den Eventlogs des DC tatsächlich eine interessante Meldung gefunden:

DCOM konnte mit dem Computer "Problem Client" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Bitte warten ..
Mitglied: templier
16.07.2013, aktualisiert um 13:12 Uhr
Zitat von MartinBinder:
Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du
verwendest).
Das würde ich jetzt auch mal vermuten - Ich hatte auch mal einen TS wo das so war und ähnliche Meldungen gekommen sind. Und das Sysvol auf diesem TS auf einmal weit über 1GB(!) Volumen aufwies. Ich denke auch, das dort etwas verbogen ist, da er ja offenbar grundsätzlich GPO´s zu ziehen scheint aber dann dabei auf die Nase fällt. Hast Du mal die Grösse des Sysvols des "Problem-Clients" mit einem vergleichbaren Client verglichen?

Viele Grüsse
Ralph
Bitte warten ..
Mitglied: alex-tech
16.07.2013 um 14:49 Uhr
DC1 - 456 MB - 2306 Dateien
DC2 - 455 MB - 2289 Dateien
DC3 - 456 MB - 2306 Dateien

also scheint da doch was an der Replication zu hängen?

Wie bekomme ich die wieder synchron? Wenn ich per Hand die Replication anstoße erhalte ich keinen Fehler o.ä.

Danke für eure Hilfe!
Bitte warten ..
Mitglied: alex-tech
16.07.2013 um 14:56 Uhr
Wo finde ich denn die Sysvol auf dem Client?
Bitte warten ..
Mitglied: templier
16.07.2013 um 15:08 Uhr
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.

Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden sollen.

Liebe Grüsse
Ralph
Bitte warten ..
Mitglied: Robobob
16.07.2013 um 15:11 Uhr
Zitat von templier:
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.

Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden
sollen.

Liebe Grüsse
Ralph

Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?

Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Bitte warten ..
Mitglied: templier
16.07.2013 um 15:18 Uhr
Zitat von Robobob:
Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?

Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Das war ja auch nicht "bissig" gemeint - Da er aber Zugriff auf die DC´s hat, würde ich schon mal vermuten das er SysAdmin ist.
Bitte warten ..
Mitglied: Robobob
16.07.2013 um 15:20 Uhr
Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Bitte warten ..
Mitglied: MartinBinder
16.07.2013 um 15:25 Uhr
Jein... Defekte Sysvol-Replikation ist die einzige "gängige" Ursache für diese Fehlermeldung.
Bitte warten ..
Mitglied: templier
16.07.2013 um 15:25 Uhr
Zitat von Robobob:
Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja nicht die anderen Clients.
Bitte warten ..
Mitglied: MartinBinder
16.07.2013 um 15:25 Uhr
Hättest wohl werden sollen )
Sysvol gibt's nur auf DCs, nicht auf Clients...
Bitte warten ..
Mitglied: Robobob
16.07.2013, aktualisiert um 15:28 Uhr
Zitat von templier:
> Zitat von Robobob:
> ----
> Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
> Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja
nicht die anderen Clients.

Das ist natürlich sinnvoll. Ich war jetzt der Meinung das möglicherweise auf den DCs etwas nicht stimmt.
Manchmal gibts Sachen die gibts garnicht.

Die Clients greifen doch auf das SysVol auf dem DC zu mehr nicht?
Bitte warten ..
Mitglied: templier
16.07.2013 um 15:29 Uhr
Zitat von MartinBinder:
Hättest wohl werden sollen )
Sysvol gibt's nur auf DCs, nicht auf Clients...
*lach* Vielleicht ja Aber wo bitte schön speichern Clients dann ihre AD-Spezifischen einstellungen (GPO´s, etc) ab, wenn nicht im SysVol?
Bitte warten ..
Mitglied: Robobob
16.07.2013 um 15:31 Uhr
Aber bevor wir uns nun hier verstricken:

Müsste sich der TO nochmal melden und sagen ob er den Post von MartinBinder mal gecheckt hat.
Bitte warten ..
Mitglied: alex-tech
16.07.2013 um 15:39 Uhr
Also die Herren: Ich suche in der Tat immer noch nach dem Sysvol auf meinen Clients. Auch Google sagt nicht viel dazu.
Auf dem DC liegt der Ordner (wie mir sogar schon vorher bekannt war ) auf C:\Windows\Sysvol\sysvol\

Übrigens wird hier DFSR eingesetzt. NTFRS war mir bisher nicht bekannt
@martin: Danke für die Links.


P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem DC "rumfuhrwerken"
Bitte warten ..
Mitglied: templier
16.07.2013 um 15:42 Uhr
Zitat von alex-tech:
P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem
DC "rumfuhrwerken"
*lach* Du sollst ja auch nicht Bäcker werden, sondern ich Schuster bleib bei Deinen Leisten: Und Ralphi sollte bei seinen Terminalservern und Citrix bleiben

Viele Grüsse und viel Erfolg
Ralph
Bitte warten ..
Mitglied: MartinBinder
16.07.2013 um 16:45 Uhr
Dann prüfe die DFSR Eventlogs auf Replikationsprobleme. Und wenn Du da "irgendwas" findest, dann steht meistens die Lösungsanelitung schon im Event. Ansonsten hilft der 2. Link von mir weiter.
Bitte warten ..
Mitglied: Robobob
17.07.2013 um 08:02 Uhr
Und vergiss bitte nicht, uns über den Verlauf bzw. die Lösung zu informieren.

Danke
Bitte warten ..
Mitglied: nightwishler
14.08.2014 um 11:37 Uhr
PS: man kann das verhalten verifizieren indem man nachguckt auf welchem DC sich der fehlerhafte Client anmeldet.
auf dem Problem Client cmd.exe als admin öffnen --> "w32tm /query /source" (fragt den "aktuellen ZeitGeber" ab)
wenn auf allen Problem Clients der gleiche DC genannt wird ist dieser DC nicht mehr Synchron im sysvol Ordner (kann man ja dann leicht über die Ordner Eigenschaften vergleichen

im DFSR Event Log ist dann vermutlich auch der Eintrag 2213 zu finden
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
RDP File per GPO auf Thin Client Desktop erstellen (10)

Frage von sayohh zum Thema Windows Server ...

Microsoft
Domain-Client: lokaler User soll ebenfalls domain gpo nutzen (1)

Frage von thomasreischer zum Thema Microsoft ...

Windows Server
Änderung eines Registryeintrages per GPO (8)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...