Client kann GPO Computerrichtlinien nicht ziehen
Guten Tag,
ich habe einen Client im Netz der die Computerrichtlinien nicht ziehen will. (Die Benutzerrichtlinien werden ohne Probleme übernommen.) Das Problem hat der Rechner schon seit Monaten, es ist nur erst jetzt aufgefallen.
Fehlermeldung:
C:\Users\Administrator>gpupdate /force
Die Richtlinie wird aktualisiert...
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\XXX\SysVol\XXX\Policies\{AC2A3FC1-7DFF-4C5A-8A80-CD37C070F8D3}\gpt.ini"
von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtli
nieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben is
t. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der
folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder fahren Sie den Befehl "
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
bnisse zuzugreifen.
gpresult:
Komponentenstatus
Komponentenname Status Letzter Prozess am
Gruppenrichtlinieninfrastruktur Gescheitert
Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.
Wir haben drei DCs im Netz. Da andere Clients keine Probleme haben habe ich da erstmal einen Fehler ausgeschlossen. Replikation habe ich getestet. Namensauflösung in alle Richtungen funktioniert auch.
Die o.g. Policy gibt es und funktioniert auch auf anderen Clients. (Schmeiß ich die Policy raus erscheint da die nächste.)
Kennt jemand das Problem? Was hat es mit der Sicherheitsgefahr auf sich?
Vielen Dank für eure Unterstützung.
Schönen Tag.
ich habe einen Client im Netz der die Computerrichtlinien nicht ziehen will. (Die Benutzerrichtlinien werden ohne Probleme übernommen.) Das Problem hat der Rechner schon seit Monaten, es ist nur erst jetzt aufgefallen.
Fehlermeldung:
C:\Users\Administrator>gpupdate /force
Die Richtlinie wird aktualisiert...
Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\XXX\SysVol\XXX\Policies\{AC2A3FC1-7DFF-4C5A-8A80-CD37C070F8D3}\gpt.ini"
von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtli
nieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben is
t. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der
folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder fahren Sie den Befehl "
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
bnisse zuzugreifen.
gpresult:
Komponentenstatus
Komponentenname Status Letzter Prozess am
Gruppenrichtlinieninfrastruktur Gescheitert
Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.
Wir haben drei DCs im Netz. Da andere Clients keine Probleme haben habe ich da erstmal einen Fehler ausgeschlossen. Replikation habe ich getestet. Namensauflösung in alle Richtungen funktioniert auch.
Die o.g. Policy gibt es und funktioniert auch auf anderen Clients. (Schmeiß ich die Policy raus erscheint da die nächste.)
Kennt jemand das Problem? Was hat es mit der Sicherheitsgefahr auf sich?
Vielen Dank für eure Unterstützung.
Schönen Tag.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 211600
Url: https://administrator.de/forum/client-kann-gpo-computerrichtlinien-nicht-ziehen-211600.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
27 Kommentare
Neuester Kommentar
Ich kann mir da aber keinen Zusammenhang reimen. -> Es handelt sich um Computerrichtlinien und momentan bin ich als Admin
angemeldet.
angemeldet.
Das es sich um Computerrichtlinien handelt habe ich schon herausgelesen ;)
Ich kann hier persönlich auch keinen Zusammenhang zwischen einer Passwortänderung und einem GPO-Problem herstellen.
Mal anders:
Was für eine Serverumgebung?
Was für ein Client-System?
Unterscheidet sich das Clientsystem von den anderen in deiner Firma?
Zitat von @MartinBinder:
Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du
verwendest).
Das würde ich jetzt auch mal vermuten - Ich hatte auch mal einen TS wo das so war und ähnliche Meldungen gekommen sind. Und das Sysvol auf diesem TS auf einmal weit über 1GB(!) Volumen aufwies. Ich denke auch, das dort etwas verbogen ist, da er ja offenbar grundsätzlich GPO´s zu ziehen scheint aber dann dabei auf die Nase fällt. Hast Du mal die Grösse des Sysvols des "Problem-Clients" mit einem vergleichbaren Client verglichen?Dein Sysvol repliziert nicht mehr... Bitte Eventlogs prüfen (File Replication Service bzw. DFSR, je nach dem, was Du
verwendest).
Viele Grüsse
Ralph
Zitat von @templier:
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.
Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden
sollen.
Liebe Grüsse
Ralph
Unter C:\ - Da Du es nicht "sehen" kannst ist es wohl ausgeblendet.
Echt Interessant was Systemadministratoren manchmal hier für Fragen stellen....ich hätte doch Bäcker werden
sollen.
Liebe Grüsse
Ralph
Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?
Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Zitat von @Robobob:
Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?
Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
Das war ja auch nicht "bissig" gemeint - Da er aber Zugriff auf die DC´s hat, würde ich schon mal vermuten das er SysAdmin ist.Nun nicht gleich so bissig. Das ist ein Forum um Fragen zu stellen.
Und er hat ja nicht behauptet SysAdmin zu sein, oder?
Klar könnte er auch fix bei google schauen, was ungefähr 99% aller Admins machen.
NTFRS oder DFSR?
http://support.microsoft.com/kb/315457/en-us (NTFRS)
http://support.microsoft.com/kb/2218556/en-us (DFSR)
http://support.microsoft.com/kb/315457/en-us (NTFRS)
http://support.microsoft.com/kb/2218556/en-us (DFSR)
Zitat von @Robobob:
Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja nicht die anderen Clients.Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
Aber hier geht es doch laut TO nur um einen einzigen?
Zitat von @templier:
> Zitat von @Robobob:
> ----
> Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
> Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja
nicht die anderen Clients.
> Zitat von @Robobob:
> ----
> Ich stelle mir aber die Frage, ob dieses Problem dann nicht eigentlich bei mehreren Clients vorkommen müsste.
> Aber hier geht es doch laut TO nur um einen einzigen?
Nein, wenn das Sysvol auf diesem Client einen "abbekommen" hat (aus welchen Gründen auch immer), betrifft das ja
nicht die anderen Clients.
Das ist natürlich sinnvoll. Ich war jetzt der Meinung das möglicherweise auf den DCs etwas nicht stimmt.
Manchmal gibts Sachen die gibts garnicht.
Die Clients greifen doch auf das SysVol auf dem DC zu mehr nicht?
Zitat von @MartinBinder:
Hättest wohl werden sollen )
Sysvol gibt's nur auf DCs, nicht auf Clients...
*lach* Vielleicht ja Aber wo bitte schön speichern Clients dann ihre AD-Spezifischen einstellungen (GPO´s, etc) ab, wenn nicht im SysVol?Hättest wohl werden sollen )
Sysvol gibt's nur auf DCs, nicht auf Clients...
Zitat von @alex-tech:
P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem
DC "rumfuhrwerken"
*lach* Du sollst ja auch nicht Bäcker werden, sondern ich Schuster bleib bei Deinen Leisten: Und Ralphi sollte bei seinen Terminalservern und Citrix bleiben P.S.: Für den Bäcker sind mir die Arbeitszeiten zu früh und ich muss ja normalerweise auch nicht jeden Tag an einem
DC "rumfuhrwerken"
Viele Grüsse und viel Erfolg
Ralph
PS: man kann das verhalten verifizieren indem man nachguckt auf welchem DC sich der fehlerhafte Client anmeldet.
auf dem Problem Client cmd.exe als admin öffnen --> "w32tm /query /source" (fragt den "aktuellen ZeitGeber" ab)
wenn auf allen Problem Clients der gleiche DC genannt wird ist dieser DC nicht mehr Synchron im sysvol Ordner (kann man ja dann leicht über die Ordner Eigenschaften vergleichen
im DFSR Event Log ist dann vermutlich auch der Eintrag 2213 zu finden
auf dem Problem Client cmd.exe als admin öffnen --> "w32tm /query /source" (fragt den "aktuellen ZeitGeber" ab)
wenn auf allen Problem Clients der gleiche DC genannt wird ist dieser DC nicht mehr Synchron im sysvol Ordner (kann man ja dann leicht über die Ordner Eigenschaften vergleichen
im DFSR Event Log ist dann vermutlich auch der Eintrag 2213 zu finden