Fehler bei Verarbeitung der Gruppenrichtlinie

Mitglied: Halbgott

Halbgott (Level 1)

15.04.2016 um 10:10 Uhr, 12122 Aufrufe, 6 Kommentare

Hallo zusammen,

ich habe heute einen Fehler bemerkt. Und zwar werden bei unseren Benutzern die Gruppenrichtlinien nicht mehr richtig angewendet. Folgende Fehlermeldung entsteht bei einem gpupdate /force:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.

2 Dinge habe ich jetzt schon herausgefunden.
1.) Diese Datei -> "{FF519A46-781B-406A-AD77-63DC8A99C8B8}" gibt es gar nicht.
2.) Ich habe dcdiag /test:dns auf unserem DNS-Server ausgeführt und bekam folgende Fehlermeldung:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Administrator.domainname>dcdiag /test:dns

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SrvDC2
        • Identifizierte AD-Gesamtstruktur.
        Sammeln der Ausgangsinformationen abgeschlossen.

        Erforderliche Anfangstests werden ausgeführt.

        Server wird getestet: Standardname-des-ersten-Standorts\SRVDC2
        Starting test: Connectivity
        ......................... SRVDC2 hat den Test Connectivity bestanden.

        Primärtests werden ausgeführt.

        Server wird getestet: Standardname-des-ersten-Standorts\SRVDC2

        Starting test: DNS

        DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige
        Minuten...
        ......................... SRVDC2 hat den Test DNS bestanden.

        Partitionstests werden ausgeführt auf: ForestDnsZones

        Partitionstests werden ausgeführt auf: DomainDnsZones

        Partitionstests werden ausgeführt auf: Schema

        Partitionstests werden ausgeführt auf: Configuration

        Partitionstests werden ausgeführt auf: domainname

        Unternehmenstests werden ausgeführt auf: domainname.de
        Starting test: DNS
        Testergebnisse für Domänencontroller:

        Domänencontroller: SrvDC2.domainname.de
        Domäne: domainname.de


        TEST: Delegations (Del)
        Fehler: DNS-Server: serverdc.domainname. IP: //serverdc ist ein alter DNS-Server, der nicht mehr aktiv ist
        <Nicht verfügbar> [Missing glue A record]

        Zusammenfassung der DNS-Testergebnisse:

        Auth. Bas. Weiterl. Entf. Dyn.
        RReg. Erw.
        _________________________________________________________________
        Domäne: domainname.de
        SrvDC2 PASS PASS PASS FAIL PASS PASS n/a

        ......................... domainname.de hat den Test DNS
        nicht bestanden.


        Habt ihr eine Idee, was ich tun könnte? Habe schon einiges gegoogelt und auch schon dieses Forum hier durchstöbert. Ich finde nur nichts, was mir hilft das Problem zu lösen.
6 Kommentare
Mitglied: emeriks
LÖSUNG 15.04.2016, aktualisiert um 10:20 Uhr
Hi,
sind da mehr als 1 DC in dieser Domäne?
Falls ja, existiert diese Datei auf min. einen dieser DC? Falls auch ja: Hier ist offensichtlich die Replikation des SYSVOL gestört. Hängt jetzt davon ab, ob das noch über NtFrs oder bereits über DFS-R repliziert wird. Als Workaround könntest Du erstmal das betreffende GPO-Verzeichnis
\\domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}
manuell auf alle anderen DC kopieren.
Damit können die Clients & Benutzer erstmal wieder ihre GPO aktualisieren.
Anschließend kümmerst Du Dich um das Replikationsproblem.

Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.

E.

Edit:
Starting test: DNS
Testergebnisse für Domänencontroller:

Domänencontroller: SrvDC2.domainname.de
Domäne: domainname.de

TEST: Delegations (Del)
Fehler: DNS-Server: serverdc.domainname. IP: //serverdc ist ein alter DNS-Server, der nicht mehr aktiv ist
<Nicht verfügbar> [Missing glue A record]
Das ist "nur" ein DNS-Problem. Hast Du mehrere DNS-Server und nutzen verschiedene DC verschiedene dieser DNS-Server?
Mitglied: Halbgott
15.04.2016 um 10:40 Uhr
vielen Dank für deine Ideen.

Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.

Zitat von @emeriks:
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.

Kannst du mir sagen, wie ich die GPO identifizieren kann?

Zitat von @emeriks:
Das ist "nur" ein DNS-Problem. Hast Du mehrere DNS-Server und nutzen verschiedene DC verschiedene dieser DNS-Server?

Ja, ich habe 2 DNS-Server im Einsatz und 2 DC. Auf jedem DC ist auch die DNS Rolle installiert und eingerichtet.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.

Ich habe die Replikation jetzt händisch ausgeführt und herausgefunden, dass tatsächlich 2 Elemente gefehlt haben. Leider aber nicht das, welches ich suche.
Mitglied: GuentherH
LÖSUNG 15.04.2016 um 10:49 Uhr
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.

Aus dem Nirwana kommt der Eintrag aber nicht ;-) face-wink Also noch einmal in den DNS Einstellungen nachsehen, da ist er mit Sicherheit noch vorhanden.

Zuerst DCDIAG Fehler beheben, dann mit Replmon überprüfen bis die Replikation sauber läuft und dann erst um die Gruppenrichtlinie kümmern.

LG Günther
Mitglied: emeriks
LÖSUNG 15.04.2016 um 12:13 Uhr
Kannst du mir sagen, wie ich die GPO identifizieren kann?
Du hast doch 2 DC. Damit fällt dieser Punkt weg.
Hast Du diesen Pfad auf beiden DC überprüft? Hat einer von beiden die betreffenden Dateien?
--> Domänen-FQDN durch DC-FQDN ersetzen
\\dc1.domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}
\\dc2.domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}

Ich habe die Replikation jetzt händisch ausgeführt und herausgefunden, dass tatsächlich 2 Elemente gefehlt haben. Leider aber nicht das, welches ich suche.
Es geht nicht um die Domänen-Replikation sondern um die SYSVOL-Replikation. Läuft diese über NtFrs oder über DFS-R?

Ja, ich habe 2 DNS-Server im Einsatz und 2 DC. Auf jedem DC ist auch die DNS Rolle installiert und eingerichtet.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.
Welche Zonen hast Du?
Welche Namensserver sind dort eingetragen?
Sind alle Zonen auf beiden DNS-Server vorhanden? (Replikate)
Sind das AD-integrierte Zonen?
Mitglied: Halbgott
29.04.2016 um 10:09 Uhr
Sorry, dass ich jetzt erst antworte.

Hab die fehlerhaften Gruppenrichtlinien gefunden/gelöscht und das gpupdate läuft wieder. Ebenso habe ich die fehlerhafte Konfiguration im DNS-Server gefunden. Der alte Server war als Host einer Delegierung für eine Nebenstelle eingerichtet. Diese Konfiguration war gar nicht mehr zeitgemäß und wurde einfach vergessen bei einer Umstellung zu löschen.
Daher erstmal vielen Dank für die Hilfe zur Lösung des Problems.

Das sekundäre Problem, dass die SYSVOL-Replikation nicht klappt, scheint wohl weiter zu bestehen. Ich habe bei Server1 aktuell wieder 111 Elemente in \\server1\SYSVOL\DOMÄNE\Policies und 110 in \\server2\SYSVOL\DOMÄNE\Policies.



Welche Zonen hast Du?
eine Zone für die Domäne in den Forward-Lookupzonen
4 Zonen in den Reverse-Loopupzonen, weil wir auch 4 IP-Adressbereiche haben.

Welche Namensserver sind dort eingetragen?
Nur die beiden Domaincontroller/DNS-Server

Sind alle Zonen auf beiden DNS-Server vorhanden? (Replikate)
Ja

Sind das AD-integrierte Zonen?
Darüber kann ich keine Aussage treffen, weil ich nicht weiß, was du damit meinst :/

Ich dachte immer, dass die Replikation sowieso automatisch funktioniert, sobald beide Server Domaincontroller sind.
Mitglied: emeriks
29.04.2016, aktualisiert um 14:35 Uhr
Darüber kann ich keine Aussage treffen, weil ich nicht weiß, was du damit meinst :/
Der Typ der Zonen.

Ich dachte immer, dass die Replikation sowieso automatisch funktioniert, sobald beide Server Domaincontroller sind.
"Sowieso" und "automatisch" sind Admins Tod.
Und: Replikation der Domäne und Replikation des Sysvol sind zwei unabhängige Paar Schuhe. Die Replikation des Sysvol greift zwar auf Informationen im AD zurück, läuft aber sonst vollkommen unabhängig von diesem.

Hängt jetzt davon ab, ob das noch über NtFrs oder bereits über DFS-R repliziert wird.
Dies hatte ich schon mal in den Raum gestellt.