7
Gruppenrichtlinien werden von den Clients nicht übernommen Win 2008 Win 7
Ich habe folgendes Problem:
Ich habe auf einer ESXi 4.1 Umgebung 2 Windows Server 2008 und 2 Windows 7 Clients virtualisiert.
Die Clients übernehmen die Richtlinien nicht vom Server.
-Die Berechtigungen sind nach meinem Wissen korrekt gesetzt(Leseberechtigungen für die entsprechende Gruppe& "Richtlinie umsetzen")
-Der DNS kann Hostnamen und IP's im Netzwerk korrekt auflösen.(IPV4 Konfigurationen)
-Im Sysvol Ordner sind die Richtlinien korrekt vorhanden.
!! DAS TOOL "DCDIAG" wurde ausgeführt und es wurden alle Tests bestanden !!
Wenn ich beim Client "gpupdate /force" mache kommt folgende Fehlermeldung:
"Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details"."
Unter Details steht:
Protokollname: System
Quelle: Microsoft-Windows-GroupPolicy
Datum: 28.03.2011 11:52:31
Ereignis-ID: 1006
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: UELS-SO\unt1
Computer: Client01.UELS-SO.LOCAL
Beschreibung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1006</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2011-03-28T09:52:31.034152700Z" />
<EventRecordID>3051</EventRecordID>
<Correlation ActivityID="{FCB770E4-883C-455F-8DAA-29BBD58DBBB4}" />
<Execution ProcessID="904" ThreadID="2468" />
<Channel>System</Channel>
<Computer>Client01.UELS-SO.LOCAL</Computer>
<Security UserID="S-1-5-21-1013304850-1557607228-2636381236-1126" />
</System>
<EventData>
<Data Name="SupportInfo1">1</Data>
<Data Name="SupportInfo2">5012</Data>
<Data Name="ProcessingMode">0</Data>
<Data Name="ProcessingTimeInMilliseconds">1125</Data>
<Data Name="ErrorCode">49</Data>
<Data Name="ErrorDescription">Ungültige Anmeldeinformationen</Data>
<Data Name="DCName">
</Data>
</EventData>
</Event>
Im DFSR LOG steht folgendes:
Die DFS-Replikation kann aufgrund eines Kommunikationsfehlers keine Replikation mit Partner "server01" für Replikationsgruppe "Domani System Volume" ausführen. Weitere Informationen: Fehler 1825(Fehler im Sicherheitspaket) Es trat ein Fehler mit dieser Fehler-ID auf: Ereignis-ID: 5002
Ich habe bereits im Internet recherchiert, jedoch keine brauchbaren Hilfestellungen gefunden.
Haben Sie eine Idee woran es liegen könnte ?
Freundliche Grüsse / Hilferufend
Bernd
"Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details"."
Unter Details steht:
Protokollname: System
Quelle: Microsoft-Windows-GroupPolicy
Datum: 28.03.2011 11:52:31
Ereignis-ID: 1006
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: UELS-SO\unt1
Computer: Client01.UELS-SO.LOCAL
Beschreibung:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1006</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2011-03-28T09:52:31.034152700Z" />
<EventRecordID>3051</EventRecordID>
<Correlation ActivityID="{FCB770E4-883C-455F-8DAA-29BBD58DBBB4}" />
<Execution ProcessID="904" ThreadID="2468" />
<Channel>System</Channel>
<Computer>Client01.UELS-SO.LOCAL</Computer>
<Security UserID="S-1-5-21-1013304850-1557607228-2636381236-1126" />
</System>
<EventData>
<Data Name="SupportInfo1">1</Data>
<Data Name="SupportInfo2">5012</Data>
<Data Name="ProcessingMode">0</Data>
<Data Name="ProcessingTimeInMilliseconds">1125</Data>
<Data Name="ErrorCode">49</Data>
<Data Name="ErrorDescription">Ungültige Anmeldeinformationen</Data>
<Data Name="DCName">
</Data>
</EventData>
</Event>
Im DFSR LOG steht folgendes:
Die DFS-Replikation kann aufgrund eines Kommunikationsfehlers keine Replikation mit Partner "server01" für Replikationsgruppe "Domani System Volume" ausführen. Weitere Informationen: Fehler 1825(Fehler im Sicherheitspaket) Es trat ein Fehler mit dieser Fehler-ID auf: Ereignis-ID: 5002
Ich habe bereits im Internet recherchiert, jedoch keine brauchbaren Hilfestellungen gefunden.
Haben Sie eine Idee woran es liegen könnte ?
Freundliche Grüsse / Hilferufend
Bernd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 163478
Url: https://administrator.de/contentid/163478
Printed on: April 19, 2024 at 16:04 o'clock
7 Comments
Latest comment
Hallo Hilferufender Bernd 
Kontrollier mal Datum und Uhrzeit, das kann manchmal zu Problemen führen.
Weiters würd ich die Clients nochmal aus der Domaine nehmen, die Computerkonten in der AD löschen und wieder neu in die Domaine hängen.
Hast du den Server schon mal neu durchgestartet?
Viel Glück
J.D.
Kontrollier mal Datum und Uhrzeit, das kann manchmal zu Problemen führen.
Weiters würd ich die Clients nochmal aus der Domaine nehmen, die Computerkonten in der AD löschen und wieder neu in die Domaine hängen.
Hast du den Server schon mal neu durchgestartet?
Viel Glück
J.D.
Hallo J.D.
Vielen Dank für deine Antwort
Die Uhrzeit stimmt bei den Clients, sowie auch bei den Server überein.
Ich habe einen neuen Client in die Domäne eingebunden und auch da: dassselbe Problem.
Server wurde schon mehrmals neugestartet.
Vom Aufbau her sieht es so aus:
Domäne.Local
Default Domain Policy(deaktiviert)
--> OU1
--> Richtlinie 1(verknüpft mit OU1/loopbackmodus aktiviert)
-->OU2
--> Richtlinie 2(verknüpft mit OU2/loopbackmodus aktiviert)
Bei den Sicherheitsfiltern sind die Computer und die Gruppen(welche mit diesen Computer arbeiten) eingetragen.
Vielen Dank für deine Antwort
Die Uhrzeit stimmt bei den Clients, sowie auch bei den Server überein.
Ich habe einen neuen Client in die Domäne eingebunden und auch da: dassselbe Problem.
Server wurde schon mehrmals neugestartet.
Vom Aufbau her sieht es so aus:
Domäne.Local
Default Domain Policy(deaktiviert)
--> OU1
--> Richtlinie 1(verknüpft mit OU1/loopbackmodus aktiviert)
-->OU2
--> Richtlinie 2(verknüpft mit OU2/loopbackmodus aktiviert)
Bei den Sicherheitsfiltern sind die Computer und die Gruppen(welche mit diesen Computer arbeiten) eingetragen.
Hast du schon versucht vom Client aus via UNC-Pfad auf Sysvol zuzugreifen und ob du bis zu der gewünschten GPO vordringen kannst? Kommt hier auch schon eine Fehlermeldung?
Lässt einschränken ob "nur" die Computereinstellungen oder nur die Benutzereinstellungen von den GPO´s nicht gezogen werden können? Mal abwechselnd deaktivieren.
LG
Lässt einschränken ob "nur" die Computereinstellungen oder nur die Benutzereinstellungen von den GPO´s nicht gezogen werden können? Mal abwechselnd deaktivieren.
LG
Ja, beim UNC "\\Server01\policies" oder "\\Server02\policies" Pfad kommt eine Felermeldung! Die Freigabe ist aber gesetzt und Berechtigungen sind für "Authentifizierter User" und "Jeder" auf "lesen/ausführen" gesetzt
Fehlermeldung: "Fehlermeldung: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer"
Vom Server kann man per unc \\servername\sysvol darauf zugreifen....
Client für Microsoftnetzwerke ist aktiviert...
mit "net share" wird die Freigabe angezeigt.
Fehlermeldung: "Fehlermeldung: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer"
Vom Server kann man per unc \\servername\sysvol darauf zugreifen....
Client für Microsoftnetzwerke ist aktiviert...
mit "net share" wird die Freigabe angezeigt.
Hast du mal die Sicherheitsberechtigungen kontrolliert?
Grundsätzlich ist es so, das der Client\Benutzer der sich die GPO ziehen soll Leserechte im jeweiligen Unterverzeichnis von SYSVOL\domain.local\Policies braucht.
Für mich schaut es also so aus, als ob bei der Zuweisung von Benutzern zu GPOs (Sicherheitsfiltern) irgendwo noch der Hund drinnen ist.
Möglicherweise hab die Clients zwar die Richtigen Berechtigungen auf die GPO aber nicht auf das übergeordnete Verzeichnis.
LG
Grundsätzlich ist es so, das der Client\Benutzer der sich die GPO ziehen soll Leserechte im jeweiligen Unterverzeichnis von SYSVOL\domain.local\Policies braucht.
Für mich schaut es also so aus, als ob bei der Zuweisung von Benutzern zu GPOs (Sicherheitsfiltern) irgendwo noch der Hund drinnen ist.
Möglicherweise hab die Clients zwar die Richtigen Berechtigungen auf die GPO aber nicht auf das übergeordnete Verzeichnis.
LG
Ja habe die Sicherheitsberechtigungen kontrolliert, die sind korrekt.
Sicherheitsfilter sind überall richtig gesetzt.
Habe gerade noch versucht die Policy auf einen neu eingebundenen WINDOWS XP Client zu übertragen - erfolglos
Ausserdem habe ich das merkwürdige Phänomen: Ich habe ein Freigabe"Test" auf dem XP Client erstellt.
Auf diese Habe ich mit dem User "Hans" Zugriff von client01 / client01 und server01
JEDOCH habe ich keinen ZUGRIFF von SERVER02 ??? ""Auf \\xpclient\test kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. ... Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden"
Jedoch habe ich vom Server02 mit dem user "Hans" Zugriff auf andere Freigaben? Was läuft da falsch Oo unter netzwerk wird "xpclient" auch gesehen.
Das Universum spielt gegen mich ^^
Gruss
Sicherheitsfilter sind überall richtig gesetzt.
Habe gerade noch versucht die Policy auf einen neu eingebundenen WINDOWS XP Client zu übertragen - erfolglos
Ausserdem habe ich das merkwürdige Phänomen: Ich habe ein Freigabe"Test" auf dem XP Client erstellt.
Auf diese Habe ich mit dem User "Hans" Zugriff von client01 / client01 und server01
JEDOCH habe ich keinen ZUGRIFF von SERVER02 ??? ""Auf \\xpclient\test kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. ... Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden"
Jedoch habe ich vom Server02 mit dem user "Hans" Zugriff auf andere Freigaben? Was läuft da falsch Oo unter netzwerk wird "xpclient" auch gesehen.
Das Universum spielt gegen mich ^^
Gruss
Ich habe das Problem gelöst:
Das Probem war folgendes:
Die ESXi Serverhatten eine andere Zeitkonfiguration als die virtuellen Server. Ich habe die Option aber nicht aktiviert, dass die ESXi den virtuellen Servern die Zeit mitgeben und trotzdem haben sie es getan.(auf den servern hat man die Zeitunterschiede aber nicht gesehen(unten rechts), erst als ich genaur nachschaute mit dem Befehl "net time" war es ersichtlich) Wahrscheinlich ein Bug von VMWARE..
Ich habe jetzt den ESXi denselben NTP Zeitserver angegeben wie ich den virtuellen Servern angegeben habe. Danach haben meine Clients die GPO wieder übernommen!
Das Probem war folgendes:
Die ESXi Serverhatten eine andere Zeitkonfiguration als die virtuellen Server. Ich habe die Option aber nicht aktiviert, dass die ESXi den virtuellen Servern die Zeit mitgeben und trotzdem haben sie es getan.(auf den servern hat man die Zeitunterschiede aber nicht gesehen(unten rechts), erst als ich genaur nachschaute mit dem Befehl "net time" war es ersichtlich) Wahrscheinlich ein Bug von VMWARE..
Ich habe jetzt den ESXi denselben NTP Zeitserver angegeben wie ich den virtuellen Servern angegeben habe. Danach haben meine Clients die GPO wieder übernommen!
