7
Client hat nach VLAN-Wechsel keinen Zugriff auf Syvol bzw. erhält keine GPOs
Hallo zusammen,
wir haben folgendes Szenario:
- Rollout-VLAN
- "normales" Office-VLAN
Im Rollout-VLAN werden Client-Computer via PXE gebootet, erhalten vom WDS das Boot-Image und werden darüber deployed.
Soweit so gut; in der Praxis sieht das dann folgendermaßen aus:
Wir bauen den fertig installierten Client ab und nehmen ihn im Office-VLAN wieder in Betrieb.
Jedoch erhält der Client anfangs keine GPOs und bringt auch mehrere Fehler im Eventlog (siehe Anlage).
Wenn manuell versucht wird via Explorer auf den Share "\\DOMÄNE\Sysvol" zu gelangen, erscheint ein Anmelde-Popup bei dem man sich nicht mal mit einem Domänen-Admin anmelden kann.
--> d.h. der Zugriff auf Sysvol funktioniert nach dem Wechsel der Netzwerke nicht (Die Kommunikation beider VLANs ist sichergestellt, die verschiedenen Netze haben nur den Hintergrund des Rollouts)
--> GPOs/Zugriff auf Sysvoll im Rollout-VLAN funktioniert auch
Vermutung liegt deshalb beim DNS; nach einer gewissen Zeit im "neuen" Netz funktioniert der Zugriff dann auch auf einmal. Die genaue Zeitspanne konnte ich jedoch nicht herausfinden.
Alternativ wird der Computer aus der Domäne genommen und neu gejoined (im Office-Netz), dann funktioniert alles wie es soll.
Wenn man direkt nach dem VLAN-Wechsel einen NSLOOKUP von einem Domänen-Controller auf den Computernamen ausführt, wird die alte Rollout-Netz IP aufgelöst.
Deshalb ist unsere Vermutung, dass es Gründe mit der DNS-Registrierung/Aktualisierung des Clients im neuen Netz hat.
Die Leasedauer für das Rollout-Netz auf dem DHCP wurde schon auf 10 Minuten reduziert.
Wir wissen ehrlich gesagt nicht wo wir suchen und den Hebel umlegen müssen
Hoffe uns kann dabei jemand helfen.
Besten Dank schon mal vorab!
wir haben folgendes Szenario:
- Rollout-VLAN
- "normales" Office-VLAN
Im Rollout-VLAN werden Client-Computer via PXE gebootet, erhalten vom WDS das Boot-Image und werden darüber deployed.
Soweit so gut; in der Praxis sieht das dann folgendermaßen aus:
Wir bauen den fertig installierten Client ab und nehmen ihn im Office-VLAN wieder in Betrieb.
Jedoch erhält der Client anfangs keine GPOs und bringt auch mehrere Fehler im Eventlog (siehe Anlage).
Wenn manuell versucht wird via Explorer auf den Share "\\DOMÄNE\Sysvol" zu gelangen, erscheint ein Anmelde-Popup bei dem man sich nicht mal mit einem Domänen-Admin anmelden kann.
--> d.h. der Zugriff auf Sysvol funktioniert nach dem Wechsel der Netzwerke nicht (Die Kommunikation beider VLANs ist sichergestellt, die verschiedenen Netze haben nur den Hintergrund des Rollouts)
--> GPOs/Zugriff auf Sysvoll im Rollout-VLAN funktioniert auch
Vermutung liegt deshalb beim DNS; nach einer gewissen Zeit im "neuen" Netz funktioniert der Zugriff dann auch auf einmal. Die genaue Zeitspanne konnte ich jedoch nicht herausfinden.
Alternativ wird der Computer aus der Domäne genommen und neu gejoined (im Office-Netz), dann funktioniert alles wie es soll.
Wenn man direkt nach dem VLAN-Wechsel einen NSLOOKUP von einem Domänen-Controller auf den Computernamen ausführt, wird die alte Rollout-Netz IP aufgelöst.
Deshalb ist unsere Vermutung, dass es Gründe mit der DNS-Registrierung/Aktualisierung des Clients im neuen Netz hat.
Die Leasedauer für das Rollout-Netz auf dem DHCP wurde schon auf 10 Minuten reduziert.
Wir wissen ehrlich gesagt nicht wo wir suchen und den Hebel umlegen müssen
Hoffe uns kann dabei jemand helfen.
Besten Dank schon mal vorab!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 524720
Url: https://administrator.de/contentid/524720
Ausgedruckt am: 14.11.2024 um 01:11 Uhr
7 Kommentare
Neuester Kommentar
Hast du schon versucht neu zu starten?
Nach dem VLAN-Wechsel wurde mehrfach neu gestartet
"DerBanger" ist leider ein Troll der seit heute hier angemeldet ist. Dont feed him
Was passiert wenn du auf dem Switch (ich vermute mal ihr macht das am selben Ort) den Port auf disable setzt, dann ein ipconfig /flushdns am Client durchführst und den Port mit neuem VLAN wieder aktivierst?
LG
VorteX
Moin,
Nur um auf Nummer sicher zu gehen:
Mit SuperScopes (Gruppieren von IP-Scopes am Windows-DHCP-Server) arbeitet ihr aber hoffentlich nicht, oder?
Poste einfach mal dein ipconfig/ all und gib mal eine Info, welches VLAN welches Netz hat/ haben sollte
Gruß
em-pie
Nur um auf Nummer sicher zu gehen:
Mit SuperScopes (Gruppieren von IP-Scopes am Windows-DHCP-Server) arbeitet ihr aber hoffentlich nicht, oder?
Poste einfach mal dein ipconfig/ all und gib mal eine Info, welches VLAN welches Netz hat/ haben sollte
Gruß
em-pie
Hi,
wie ist die Zone bzgl. dynamischer Updates konfiguriert? "nicht sichere und sichere" oder "nur sichere"?
Und ist am DHCP-Server unter den Einstellungen für die dynamischen Updates aktiviert, dass nur der Besitzer eine Records diesen ändern darf? (Namensschutz)
E.
wie ist die Zone bzgl. dynamischer Updates konfiguriert? "nicht sichere und sichere" oder "nur sichere"?
Und ist am DHCP-Server unter den Einstellungen für die dynamischen Updates aktiviert, dass nur der Besitzer eine Records diesen ändern darf? (Namensschutz)
E.
Zitat von @em-pie:
Mit SuperScopes (Gruppieren von IP-Scopes am Windows-DHCP-Server) arbeitet ihr aber hoffentlich nicht, oder?
Mit SuperScopes (Gruppieren von IP-Scopes am Windows-DHCP-Server) arbeitet ihr aber hoffentlich nicht, oder?
- Warum "hoffentlich"?
- Das würde hier auch gar nicht funktionieren.
Entschuldigt die späte Rückmeldung; mittlerweile hat sich jedoch herausgestellt, dass sich der "Netzwerk-Fehler" mit einem anderen eigentlichen Fehler überschnitten hat.
D.h. es hat wohl mit dem Netz nichts zu tun, da wir mittlerweile in unserem "normalen" Office-Netz dasselbe Problem haben.
Wir haben einiges getestet, unter anderem kommt man via Explorer auf jeden der vorhandenen Domänencontroller \\DC\SYSVOL (rechte Seite auf Bild), nur Share \\DOMAIN\SYSVOL funktioniert nicht (linke Seite auf Bild).
Interessanterweise löst sich der Fehler nach ca. 5-60 Min. von selbst ohne etwas aktiv zu ändern (Domain-Join, Neustart des Clients o.Ä.).
D.h. während wir das Eventlog des Clients bzw. der DCs durchsucht haben ging der Zugriff bei aktiv gebliebener Windows Anmeldung auf einmal auf das \\DOMAIN\SYSVOL-Verzeichnis --> keine Credential-Abfrage.
Anbei noch der komplette GPUPDATE-Fehler:
Fehlermeldung:
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\SysVol\DOMAIN\Policies\{F34A9E0E-1E84-40A9-995A-A537561BE74F}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\sysvol\DOMAIN\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
Besten Dank schon mal für Eure Hilfe, wir hoffen jemand hat für dieses Fehlerbild einen Ansatz.
D.h. es hat wohl mit dem Netz nichts zu tun, da wir mittlerweile in unserem "normalen" Office-Netz dasselbe Problem haben.
Wir haben einiges getestet, unter anderem kommt man via Explorer auf jeden der vorhandenen Domänencontroller \\DC\SYSVOL (rechte Seite auf Bild), nur Share \\DOMAIN\SYSVOL funktioniert nicht (linke Seite auf Bild).
Interessanterweise löst sich der Fehler nach ca. 5-60 Min. von selbst ohne etwas aktiv zu ändern (Domain-Join, Neustart des Clients o.Ä.).
D.h. während wir das Eventlog des Clients bzw. der DCs durchsucht haben ging der Zugriff bei aktiv gebliebener Windows Anmeldung auf einmal auf das \\DOMAIN\SYSVOL-Verzeichnis --> keine Credential-Abfrage.
Anbei noch der komplette GPUPDATE-Fehler:
Fehlermeldung:
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\SysVol\DOMAIN\Policies\{F34A9E0E-1E84-40A9-995A-A537561BE74F}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\DOMAIN\sysvol\DOMAIN\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienergebnisse zuzugreifen.
Besten Dank schon mal für Eure Hilfe, wir hoffen jemand hat für dieses Fehlerbild einen Ansatz.
