5
Client erhält keine GPOs bzw. hat keinen Zugriff auf SYSVOL
Hallo zusammen,
wir haben aktuell bei manchen neu installierten Clients das Problem, dass keine Richtlinien gezogen werden bzw. der Zugriff auf SYVOL nicht funktioniert (nicht mal als Domänen-Admin).
Wir haben einiges getestet, unter anderem kommt man via Explorer auf jeden der vorhandenen Domänencontroller \\DC\SYSVOL (rechte Seite auf Bild), nur Share \\DOMAIN\SYSVOL funktioniert nicht (linke Seite auf Bild).
Interessanterweise löst sich der Fehler nach ca. 5-60 Min. von selbst ohne etwas aktiv zu ändern (Domain-Join, Neustart des Clients o.Ä.).
D.h. während wir das Eventlog des Clients bzw. der DCs durchsucht haben ging der Zugriff bei aktiv gebliebener Windows Anmeldung auf einmal auf das \\DOMAIN\SYSVOL-Verzeichnis --> keine Credential-Abfrage.
Anbei noch der komplette GPUPDATE-Fehler:
Fehlermeldung:
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\SysVol\DOMAIN\Policies\{F34A9E0E-1E84-40A9-995A-A537561BE74F}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\sysvol\DOMAIN\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
Besten Dank schon mal für Eure Hilfe, wir hoffen jemand hat uns dafür einen Rat wo man den Hebel ansetzen muss.
wir haben aktuell bei manchen neu installierten Clients das Problem, dass keine Richtlinien gezogen werden bzw. der Zugriff auf SYVOL nicht funktioniert (nicht mal als Domänen-Admin).
Wir haben einiges getestet, unter anderem kommt man via Explorer auf jeden der vorhandenen Domänencontroller \\DC\SYSVOL (rechte Seite auf Bild), nur Share \\DOMAIN\SYSVOL funktioniert nicht (linke Seite auf Bild).
Interessanterweise löst sich der Fehler nach ca. 5-60 Min. von selbst ohne etwas aktiv zu ändern (Domain-Join, Neustart des Clients o.Ä.).
D.h. während wir das Eventlog des Clients bzw. der DCs durchsucht haben ging der Zugriff bei aktiv gebliebener Windows Anmeldung auf einmal auf das \\DOMAIN\SYSVOL-Verzeichnis --> keine Credential-Abfrage.
Anbei noch der komplette GPUPDATE-Fehler:
Fehlermeldung:
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\SysVol\DOMAIN\Policies\{F34A9E0E-1E84-40A9-995A-A537561BE74F}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\sysvol\DOMAIN\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
Besten Dank schon mal für Eure Hilfe, wir hoffen jemand hat uns dafür einen Rat wo man den Hebel ansetzen muss.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 530714
Url: https://administrator.de/contentid/530714
Printed on: May 8, 2024 at 23:05 o'clock
5 Comments
Latest comment
Hallo,
Ich würde zunächst mal deinen dc der die FSMO Rollen hält checken...
bspw. mit dcdiag...
Grüße
Ich würde zunächst mal deinen dc der die FSMO Rollen hält checken...
bspw. mit dcdiag...
Grüße
Läuft der Anmeldedienst?
Hatte mal ein ähnliches Problem damit.
Ansonsten mal das Vertrauen mit nltest checken.
Lg
Hatte mal ein ähnliches Problem damit.
Ansonsten mal das Vertrauen mit nltest checken.
Lg
Hi,
wird irgendwelche Dritt-Software mitinstalliert?
Bei uns macht z.B. der Virenscanner öfter mal Probleme, was genau zu dem Fehler führt.
wird irgendwelche Dritt-Software mitinstalliert?
Bei uns macht z.B. der Virenscanner öfter mal Probleme, was genau zu dem Fehler führt.
Aus meiner Sicht funktioniert das Zusammenspiel Deiner DCs nicht (mehr) richtig.
Das wird über kurz oder lang schlimmer bis sehr schlimm werden!
Ich würde auf jedem DC
Wenn sich nur einer der DCs als der alleinige Übeltäter rausstellt, würde ich vermuten, dass der Sicherheitskanal nicht mehr funktioniert. Je nachdem, wie lange das schon der Fall ist, ist eine Wiederherstellung kritisch.
Nur wenn der Fehler sich nicht nur auf DFS beschränkt würde ich bei Kerberos auf Fehlersuche gehen.
Das kam früher recht gerne vor und ist, meiner Meinung nach auch heute noch möglich.
Auf jedem DC läuft der KDC-Dienst mit. Kommt ein DC aus der Synchronität mit den anderen heraus bedient er sich bei seinem eigenen KDC und wird von den anderen abgelehnt. Das lässt sich lösen, indem man den KDC auf dem betroffenen DC gegen Wiederanlauf sperrt und die Büchse neustartet.
Wenn der DC zu lange keine Kommunikation mit seinen Partnern herstellen konnte, kann es auch sein, dass sein Computerkonto ein neues PW braucht. Das müsste dann der Admin für ihn tun.
Aber Vorsicht bitte! Keinen unüberlegten Schritt tun. Erst klare Fakten schaffen.
Ich drück die Daumen.
Das wird über kurz oder lang schlimmer bis sehr schlimm werden!
Ich würde auf jedem DC
- das Ereignislog prüfen hinsichtlich Fehlern im DFS, Verzeichnisdienst und den Windowsprotokollen
- dcdiag fahren, um zu sehen, ob jeder DC weiß, dass er ein DC ist
- repadmin /showrepl auf jedem DC fahren, um zu sehen, ob die Replikation ok ist.
- dfsdiag auf jedem DC fahren
Wenn sich nur einer der DCs als der alleinige Übeltäter rausstellt, würde ich vermuten, dass der Sicherheitskanal nicht mehr funktioniert. Je nachdem, wie lange das schon der Fall ist, ist eine Wiederherstellung kritisch.
Nur wenn der Fehler sich nicht nur auf DFS beschränkt würde ich bei Kerberos auf Fehlersuche gehen.
Das kam früher recht gerne vor und ist, meiner Meinung nach auch heute noch möglich.
Auf jedem DC läuft der KDC-Dienst mit. Kommt ein DC aus der Synchronität mit den anderen heraus bedient er sich bei seinem eigenen KDC und wird von den anderen abgelehnt. Das lässt sich lösen, indem man den KDC auf dem betroffenen DC gegen Wiederanlauf sperrt und die Büchse neustartet.
Wenn der DC zu lange keine Kommunikation mit seinen Partnern herstellen konnte, kann es auch sein, dass sein Computerkonto ein neues PW braucht. Das müsste dann der Admin für ihn tun.
Aber Vorsicht bitte! Keinen unüberlegten Schritt tun. Erst klare Fakten schaffen.
Ich drück die Daumen.
Problem konnte lokalisiert werden:
Das UNC-Hardening war der Übertäter
Das UNC-Hardening war der Übertäter
