27
Client kann GPO Computerrichtlinien nicht ziehen
Guten Tag,
ich habe einen Client im Netz der die Computerrichtlinien nicht ziehen will. (Die Benutzerrichtlinien werden ohne Probleme übernommen.) Das Problem hat der Rechner schon seit Monaten, es ist nur erst jetzt aufgefallen.
Fehlermeldung:
C:\Users\Administrator>gpupdate /force
Die Richtlinie wird aktualisiert...
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\XXX\SysVol\XXX\Policies\{AC2A3FC1-7DFF-4C5A-8A80-CD37C070F8D3}\gpt.ini"
von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtli
nieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben is
t. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der
folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder fahren Sie den Befehl "
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
bnisse zuzugreifen.
gpresult:
Komponentenstatus
Komponentenname Status Letzter Prozess am
Gruppenrichtlinieninfrastruktur Gescheitert
Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.
Wir haben drei DCs im Netz. Da andere Clients keine Probleme haben habe ich da erstmal einen Fehler ausgeschlossen. Replikation habe ich getestet. Namensauflösung in alle Richtungen funktioniert auch.
Die o.g. Policy gibt es und funktioniert auch auf anderen Clients. (Schmeiß ich die Policy raus erscheint da die nächste.)
Kennt jemand das Problem? Was hat es mit der Sicherheitsgefahr auf sich?
Vielen Dank für eure Unterstützung.
Schönen Tag.
ich habe einen Client im Netz der die Computerrichtlinien nicht ziehen will. (Die Benutzerrichtlinien werden ohne Probleme übernommen.) Das Problem hat der Rechner schon seit Monaten, es ist nur erst jetzt aufgefallen.
Fehlermeldung:
C:\Users\Administrator>gpupdate /force
Die Richtlinie wird aktualisiert...
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\XXX\SysVol\XXX\Policies\{AC2A3FC1-7DFF-4C5A-8A80-CD37C070F8D3}\gpt.ini"
von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtli
nieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben is
t. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der
folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder fahren Sie den Befehl "
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
bnisse zuzugreifen.
gpresult:
Komponentenstatus
Komponentenname Status Letzter Prozess am
Gruppenrichtlinieninfrastruktur Gescheitert
Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.
Wir haben drei DCs im Netz. Da andere Clients keine Probleme haben habe ich da erstmal einen Fehler ausgeschlossen. Replikation habe ich getestet. Namensauflösung in alle Richtungen funktioniert auch.
Die o.g. Policy gibt es und funktioniert auch auf anderen Clients. (Schmeiß ich die Policy raus erscheint da die nächste.)
Kennt jemand das Problem? Was hat es mit der Sicherheitsgefahr auf sich?
Vielen Dank für eure Unterstützung.
Schönen Tag.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 211600
Url: https://administrator.de/contentid/211600
Ausgedruckt am: 23.11.2024 um 03:11 Uhr
27 Kommentare
Neuester Kommentar
Hi,
hast du schon versucht den Client mal aus der Domäne raus und wieder rein zu nehmen?
Hilft bei so manchen komischen Fehlern....
Gruß
hast du schon versucht den Client mal aus der Domäne raus und wieder rein zu nehmen?
Hilft bei so manchen komischen Fehlern....
Gruß
Ja, habe ich. Aus der Domäne genommen und Computerkonto gelöscht. Dann wieder rein. Hat nichts gebracht.
Hallo,
hast du den Client in der Zeit wo das Problem vorherrscht mal neuinstalliert?
Einfach interessehalber.
hast du den Client in der Zeit wo das Problem vorherrscht mal neuinstalliert?
Einfach interessehalber.
Ich wüsste nicht. Das ganze ist aufgefallen, weil es ein Rechteproblem mit einem Benutzerkonto gab nachdem der Benutzer das Passwort geändert hatte. Ich habe mir dann die Logs angeschaut und bemerkt, dass die Fehler verdächtig nahe seit dem Zeitpunkt auftauchen, seit der Benutzer das letzte mal sein Passwort geändert haben muss.
Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin angemeldet.
Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin angemeldet.
Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin
angemeldet.
angemeldet.
Das es sich um Computerrichtlinien handelt habe ich schon herausgelesen ;)
Ich kann hier persönlich auch keinen Zusammenhang zwischen einer Passwortänderung und einem GPO-Problem herstellen.
Mal anders:
Was für eine Serverumgebung?
Was für ein Client-System?
Unterscheidet sich das Clientsystem von den anderen in deiner Firma?
3 DCs mit Windows 2008 R2 in zwei Subnetzen. (Wobei die DCs aus den Netzen direkt erreichbar sind.)
Der Client ist Win7 x64. Eigentlich eine Standardinstallation wie jeder andere Client auch.
Der Client ist Win7 x64. Eigentlich eine Standardinstallation wie jeder andere Client auch.
Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du verwendest).
Kannst du das bitte näher ausführen? Ich habe bereits neue GPOs angelegt und vorhandene geändert um zu sehen ob diese zwischen den DCs repliziert werden. Dies hat auch funktioniert. Der Fehler taucht ja auch nur auf einem Client auf.
Aber ich habe in den Eventlogs des DC tatsächlich eine interessante Meldung gefunden:
DCOM konnte mit dem Computer "Problem Client" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Aber ich habe in den Eventlogs des DC tatsächlich eine interessante Meldung gefunden:
DCOM konnte mit dem Computer "Problem Client" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.
Zitat von @MartinBinder:
Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du
verwendest).
Das würde ich jetzt auch mal vermuten - Ich hatte auch mal einen TS wo das so war und ähnliche Meldungen gekommen sind. Und das Sysvol auf diesem TS auf einmal weit über 1GB(!) Volumen aufwies. Ich denke auch, das dort etwas verbogen ist, da er ja offenbar grundsätzlich GPO´s zu ziehen scheint aber dann dabei auf die Nase fällt. Hast Du mal die Grösse des Sysvols des "Problem-Clients" mit einem vergleichbaren Client verglichen?Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du
verwendest).
Viele Grüsse
Ralph
DC1 - 456 MB - 2306 Dateien
DC2 - 455 MB - 2289 Dateien
DC3 - 456 MB - 2306 Dateien
also scheint da doch was an der Replication zu hängen?
Wie bekomme ich die wieder synchron? Wenn ich per Hand die Replication anstoße erhalte ich keinen Fehler o.ä.
Danke für eure Hilfe!
DC2 - 455 MB - 2289 Dateien
DC3 - 456 MB - 2306 Dateien
also scheint da doch was an der Replication zu hängen?
Wie bekomme ich die wieder synchron? Wenn ich per Hand die Replication anstoße erhalte ich keinen Fehler o.ä.
Danke für eure Hilfe!
Wo finde ich denn die Sysvol auf dem Client?
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.
Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden sollen.
Liebe Grüsse
Ralph
Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden sollen.
Liebe Grüsse
Ralph
Zitat von @templier:
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.
Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden
sollen.
Liebe Grüsse
Ralph
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.
Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden
sollen.
Liebe Grüsse
Ralph
Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?
Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Zitat von @Robobob:
Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?
Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Das war ja auch nicht "bissig" gemeint - Da er aber Zugriff auf die DC´s hat, würde ich schon mal vermuten das er SysAdmin ist.Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?
Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
NTFRS oder DFSR?
http://support.microsoft.com/kb/315457/en-us (NTFRS)
http://support.microsoft.com/kb/2218556/en-us (DFSR)
http://support.microsoft.com/kb/315457/en-us (NTFRS)
http://support.microsoft.com/kb/2218556/en-us (DFSR)
Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Aber hier geht es doch laut TO nur um einen einzigen?
Jein... Defekte Sysvol-Replikation ist die einzige "gängige" Ursache für diese Fehlermeldung.
Zitat von @Robobob:
Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja nicht die anderen Clients.Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Hättest wohl werden sollen 
)
Sysvol gibt's nur auf DCs, nicht auf Clients...
)Sysvol gibt's nur auf DCs, nicht auf Clients...
Zitat von @templier:
> Zitat von @Robobob:
> ----
> Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
> Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja
nicht die anderen Clients.
> Zitat von @Robobob:
> ----
> Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
> Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja
nicht die anderen Clients.
Das ist natürlich sinnvoll. Ich war jetzt der Meinung das möglicherweise auf den DCs etwas nicht stimmt.
Manchmal gibts Sachen die gibts garnicht.
Die Clients greifen doch auf das SysVol auf dem DC zu mehr nicht?
Zitat von @MartinBinder:
Hättest wohl werden sollen)
Sysvol gibt's nur auf DCs, nicht auf Clients...
*lach* Vielleicht ja Hättest wohl werden sollen
)Sysvol gibt's nur auf DCs, nicht auf Clients...
Aber wo bitte schön speichern Clients dann ihre AD-Spezifischen einstellungen (GPO´s, etc) ab, wenn nicht im SysVol?
Aber bevor wir uns nun hier verstricken:
Müsste sich der TO nochmal melden und sagen ob er den Post von MartinBinder mal gecheckt hat.
Müsste sich der TO nochmal melden und sagen ob er den Post von MartinBinder mal gecheckt hat.
Also die Herren: Ich suche in der Tat immer noch nach dem Sysvol auf meinen Clients. Auch Google sagt nicht viel dazu.
Auf dem DC liegt der Ordner (wie mir sogar schon vorher bekannt war) auf C:\Windows\Sysvol\sysvol\
Übrigens wird hier DFSR eingesetzt. NTFRS war mir bisher nicht bekannt
@Martin: Danke für die Links.
P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem DC "rumfuhrwerken"
Auf dem DC liegt der Ordner (wie mir sogar schon vorher bekannt war
) auf C:\Windows\Sysvol\sysvol\Übrigens wird hier DFSR eingesetzt. NTFRS war mir bisher nicht bekannt
@Martin: Danke für die Links.
P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem DC "rumfuhrwerken"
Zitat von @alex-tech:
P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem
DC "rumfuhrwerken"
*lach* Du sollst ja auch nicht Bäcker werden, sondern ich P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem
DC "rumfuhrwerken"
Schuster bleib bei Deinen Leisten: Und Ralphi sollte bei seinen Terminalservern und Citrix bleiben Viele Grüsse und viel Erfolg
Ralph
Dann prüfe die DFSR Eventlogs auf Replikationsprobleme. Und wenn Du da "irgendwas" findest, dann steht meistens die Lösungsanelitung schon im Event. Ansonsten hilft der 2. Link von mir weiter.
Und vergiss bitte nicht, uns über den Verlauf bzw. die Lösung zu informieren.
Danke
Danke
PS: man kann das verhalten verifizieren indem man nachguckt auf welchem DC sich der fehlerhafte Client anmeldet.
auf dem Problem Client cmd.exe als admin öffnen --> "w32tm /query /source" (fragt den "aktuellen ZeitGeber" ab)
wenn auf allen Problem Clients der gleiche DC genannt wird ist dieser DC nicht mehr Synchron im sysvol Ordner (kann man ja dann leicht über die Ordner Eigenschaften vergleichen
im DFSR Event Log ist dann vermutlich auch der Eintrag 2213 zu finden
auf dem Problem Client cmd.exe als admin öffnen --> "w32tm /query /source" (fragt den "aktuellen ZeitGeber" ab)
wenn auf allen Problem Clients der gleiche DC genannt wird ist dieser DC nicht mehr Synchron im sysvol Ordner (kann man ja dann leicht über die Ordner Eigenschaften vergleichen
im DFSR Event Log ist dann vermutlich auch der Eintrag 2213 zu finden
