frm222
Goto Top

Benutzerrichtlinie kann über WLAN nicht aktualisiert werden

Hallo Zusammen,

ich habe ein kleines Problem mit unseren GPOs und WLAN.
Kurz zu unserer Umgebung.
Wir haben zwei DCs (Windows Server 2016) und bisher ausschließlich Windows 10 Clients.
Außerdem haben wir als Firewall eine Sophos UTM im Einsatz. Hierüber ist auch unser WLAN eingerichtet (also Sophos-APs und über VLANs internes und externes WLAN getrennt). Das interne WLAN ist so eingerichtet, dass es sich eigentlich nicht vom normalen LAN-Netzwerk unterscheidet.

Nun zu meinem Problem. Mir ist aufgefallen, dass bei einer Erstanmeldung eines Benutzers über WLAN die Benutzerrichtlinien nicht greifen. Wir haben hierüber z.B. auch die Laufwerkszuordnung geregelt, diese werden in diesem Fall aber nicht zugeordnet.
Wenn ich gpupdate mache kommt folgender Fehler:
gpupdate
(auch "gpupdate /force" bringt keine anderen Ergebnisse)

Wenn die Erstanmeldung über LAN stattfindet tritt diesese Problem nicht auf.

Folgende Sachen wurden bereits ausprobiert (im WLAN):
- auf dem Notebook sind die richtigen DNS-Server hinterlegt
- DCs sind beide pingbar
- der FQDN von beiden DCs lässt sich ohne Probleme auflösen
- der Sysvol-Ordner ist vom Notebook aus erreichbar
- Sysvol ist auch auf beiden DCs synchron
- auch sonst gibt es keine Auffälligkeiten bei der Replikation der DCs. Ein neu angelegter User o.ä. ist eigentlich direkt auch auf dem anderen DC verfügbar. Genauso verhält es sich auch mit den GPOs....
- folgende Meldungen kommen nach dem gpupdate in der Ereignisanzeige:
eventlog1

eventlog2

-> hier steht dann in der Ereignisanzeige (als Info), dass die Gruppenrichtlineneinstellungen für den Benutzer erfolgreich verarbeitet wurden, aber die GPO wurde trotzdem nicht richtig angwendet.

Ich weiß langsam nicht mehr so recht woran es noch liegen könnte, da ich auch im WLAN komplett auf die DCs zugreifen und auflösen kann. Zumal die Computerrichtlinie ja auch ohne Probleme funktioniert...

Hat hier vielleicht noch jemand einen Tipp für mich?

Vielen Dank schon mal für eure Unterstützung.

Content-ID: 1854739370

Url: https://administrator.de/forum/benutzerrichtlinie-kann-ueber-wlan-nicht-aktualisiert-werden-1854739370.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

Pjordorf
Pjordorf 07.02.2022 um 16:28:16 Uhr
Goto Top
Hallo,

Zitat von @FrM222:
(also Sophos-APs und über VLANs internes und externes WLAN getrennt). Das interne WLAN ist so eingerichtet, dass es sich eigentlich nicht vom normalen LAN-Netzwerk unterscheidet.
Was ist ein internes und ein externes WLAN? Worin unterscheiden die sich?
Ist dein FEhler nur mit den internen oder dem externen oder neide WLAN Typen?
Was passiert in den betroffenen GPOs, passen die nötigen Rechte usw?

Gruß,
Peter
FrM222
FrM222 07.02.2022 um 16:55:20 Uhr
Goto Top
Hallo Peter,

sorry dass ich mich nicht genauer ausgedrückt habe. Wir haben ein WLAN-Netz für Gäste und eins für interne Mitarbeiter. Logischerweise unterscheiden die beiden sich bei der Berechtigung. Das Gäste-Netz hat keinen Zugriff auf unser internes Netz, das interne WLAN-Netz schon. Dieses ist für Mitarbeiter gedacht, die an Notebooks arbeiten.
Der Fehler tritt nur im internen WLAN auf, da man mit dem Gäste-Netz ja überhaupt keinen Zugriff auf unser Netz hat. Die Unterscheidung ist für dieses Thema also eigentlich unrelevant. Hätte ich gar nicht unbedingt erwähnen müssen...

Eine GPO regelt wie bereits erwähnt zum Beispiel die benutzerabhängige Zuordnung von Laufwerken. Welche Rechte meinst du genau? Im LAN funktioniert die GPO ja ohne Probleme hier scheinen also alle Rechte zu stimmen. Nur im WLAN greift das nicht. Aber WLAN verändert ja keine Benutzerberechtigungen.
Pjordorf
Pjordorf 07.02.2022 um 17:21:30 Uhr
Goto Top
Hallo,

Zitat von @FrM222:
Welche Rechte meinst du genau?
Alle die nötig sind, je nach was in deinen GPOs passiert. Was ist mit dein DNS? Passt hier in dein WLAN (nicht vom Gäste WLAN) auch alles so wie in dein LAN? Prüfen wann sich was ändert. Zum testen kannst du auch in deinen GPOs und Scripten die IPs der Server und Freigaben anstelle deren Namen (DNS) nahemen,laufen dann die GPOs ohne Fehler?

Im LAN funktioniert die GPO ja ohne Probleme
Dann finde heraus was im WLAN eben anders ist als im LAN. (DNS, Zeitverhalten usw.)

hier scheinen
Und du scheinst heller bei nacht face-smile In der IT zählen nur Fakten, da scheint keine Lampe.

Gruß,
Peter
emeriks
emeriks 08.02.2022 um 08:36:57 Uhr
Goto Top
Hi,
sind beide DC auch GC und kann der Client aus dem WLAN den GC über dessen Port erreichen?

E.
FrM222
FrM222 08.02.2022 aktualisiert um 11:38:07 Uhr
Goto Top
Zitat von @emeriks:

Hi,
sind beide DC auch GC und kann der Client aus dem WLAN den GC über dessen Port erreichen?

E.

Hallo,
ja laut der Abfrage "nslookup gc._msdcs.xxx" sind beide DCs auch GCs.
Wie kann ich das denn testen, ob der Client den GC über den Port erreichen kann? Gibt es hierfür eine spezielle Abfrage?
Sorry, das habe ich ehrlich gesagt noch nie gemacht...

Danke und viele Grüße
emeriks
emeriks 08.02.2022 um 11:46:07 Uhr
Goto Top
Na das einfachste wäre ein Portping auf TCP 3268.
Das geht z.B. per PS.

Test-NetConnection DCname -port 3268
Da müsste kommen: TcpTestSucceeded : True
FrM222
FrM222 08.02.2022 um 16:02:57 Uhr
Goto Top
Da müsste kommen: TcpTestSucceeded : True

Ja, genau das kommt auch bei beiden DCs/GCs.
Ist also vom WLAN aus erreichbar.
FrM222
FrM222 16.02.2022 um 16:48:33 Uhr
Goto Top
Wir haben festgestellt, dass auf Geräten mit Windows 10 Enterprise dieses Problem nicht auftritt. Hier können die Benutzerrichtlinien also auch über WLAN gezogen werden.
Bei Windows 10 Pro (überwiegend im Einsatz) tritt das Problem auf.

Da stellt sich dann natürlich die Frage, ob es wirklich nur ein WLAN-Problem ist...?
Hat jemand eine Idee woran das liegen könnte? Wo ist hier der Unterschied und wie bekomme ich es für Windows 10 Pro auch zum Laufen?

Danke für eure Unterstützung.