technox
Goto Top

Fehler Die Sicherheitsrichtlinien werden mit Warnungen übermittelt 0x534

Einen super schönen Nachmittag wünsche ich euch.

folgendes, unser Ereignis log des DC meldet alle Furz lang eine Meldung der EreignisID 1202.
Ich beschloss dem mal auf den Grund zu gehen. Meinem Kollega ist das ganze pups.. der zuckt nur die Schultern.

Bei der Recherche bin ich über folgenden Artikel dazu gestolpert:
https://support.microsoft.com/de-de/kb/977695
Das Fixit wird leider nicht mehr zu gesendet..

Das passt ziemlich exakt zu dem was ich feststellen konnte. Über GPEDIT.MSC lies sich der Eintrag:
Anmelden als Dienst sowie der Punkt Ersetzen eines Tokens auf Prozess Ebene als nicht korrekt umgesetzt erkennen.
Beide Settings sind sind Teil der "Default Domain Controllers Policy" was man ja über die Rechte Maustaste Eigenschaften
im Reiter Rangfolge sehen kann.

Es hat ne Weile Gedauert bis ich im Bereich der Gruppenrichtlinien Verwaltung den Bereich der Gruppenrichtlinien Objekte durchsuchte.
Weil ich nicht der ober Checker für AD Diagnostic bin.

Dort existiert jedenfalls ein Richtlinien Objekt der "Default Domain Controllers Policy" welches in einem Zweig weiter Oben (Domain Controllers)
aktiv als Gruppenrichtlinien Objekt eingefügt wurde. Wenn ich nun auf das Objekt klicke erscheint eine Meldung die dazu passt:
https://support.microsoft.com/de-de/kb/2838154

"Die Berechtigungen für dieses Gruppenrichtlinienobjekt im Ordner "SYSVOL" sind nicht mit denen von Active Directory konsistent.
Für diese Berechtigung wird Konsistenz empfohlen. Klicken Sie auf "OK", um die Berechtigungen von "SYSVOL" an die
von Active Directory an zu passen.
Weitere Informationen erhalten sie im KNBA: http://go.microsoft.com/fwlink/?LinkID=20066;

Dort wird aber über 2003 Server gesprochen & wir haben einen 2008 R2 am laufen..

Kann ich bedenkenlos auf OK klicken? Was passiert dann? Es hängt glaube ich auf irgendeine Weise mit dem "Authentifizierter Benutzer"
(Read Permission) und dessen Settings ab. Ich konnte erkennen das dieser auf dem Ordner der "Gruppenrichtlinienobjekte" / Delegierung
nicht eingetragen ist. Was muss / soll ich tun? Muss ich diesen dort nur hinzufügen oder wie habe ich das zu verstehen?
Repariert es das System bei OK automatisch? Oder riskiere ich damit einen größeren Schaden beim nächsten Reboot des DC..?

Wäre cool wenn mir jemand das mal besser erklären würde bevor ich da was mache das man mit Feingefühl hätte anpacken müssen.

Danke im Voraus.

Content-ID: 321845

Url: https://administrator.de/contentid/321845

Ausgedruckt am: 25.11.2024 um 11:11 Uhr

Pjordorf
Pjordorf 23.11.2016 aktualisiert um 18:02:39 Uhr
Goto Top
Hallo,

Zitat von @TechnoX:
https://support.microsoft.com/de-de/kb/977695 Das Fixit wird leider nicht mehr zu gesendet..
Falsch. das Fixit wird geliefert (20KB) und liefert dir dann
IMPORTANT INFORMATION

For your convenience, we put the hotfix that you requested on an HTTP site. You can download the hotfix from this site without us filling up your e-mail inbox.

WARNING   This hotfix has not undergone full testing. Therefore, it is intended only for systems or computers that are experiencing the exact problem that is described in the one or more Microsoft Knowledge Base articles that are listed in "KB Article Numbers" field in the table at the end of this e-mail message. If you are not sure whether any special compatibility or installation issues are associated with this hotfix, we encourage you to wait for the next service pack release. The service pack will include a fully tested version of this fix. We understand that it can be difficult to determine whether any compatibility or installation issues are associated with a hotfix. If you want confirmation that this hotfix addresses your specific problem, or if you want to confirm whether any special compatibility or installation issues are associated with this hotfix, support professionals in Customer Support Services can help you with that. For information about how to contact support, copy the following link and then paste it into your Web browser: "http://hotfixv4.microsoft.com/Windows 7/WindowsServer 2008 R2/sp1/Fix298809/7600/free/403988_intl_x64_zip.exe" 
Der genannte Link inkl. der Leerzeichen ist valide und beinhaltet dein Hotfix.
Du musst nach dem anklicken natürlich noch ein Paar Fragen beantworten und eine gültige E-Mail angeben welche du auch abhörst.face-smile

hotfix

Weil ich nicht der ober Checker für AD Diagnostic bin.
Hier geht es aber eher um GPOs

"Die Berechtigungen für dieses Gruppenrichtlinienobjekt im Ordner "SYSVOL" sind nicht mit denen von Active Directory konsistent.
Habt ihr mehrere DCs?
Replikation läuft ohne Fehler?
In SYSVOL irgendwelche manuelle änderungen an Rechten (Freigabe und / oder NTFS) durchgeführt?
SYSVOL mal zwischen Server bewegt/ verschoben / Kopiert?
Was sagt ein DCDIAG?
Mal Plattenfehler gehabt?

Für diese Berechtigung wird Konsistenz empfohlen
https://support.microsoft.com/en-us/kb/2838154
https://technet.microsoft.com/en-us/library/cc816750(v=ws.10).aspx
https://community.spiceworks.com/topic/490371-gpo-sysvol-permissions-not ...
http://arstechnica.com/civis/viewtopic.php?t=390527
https://www.petri.com/forums/forum/microsoft-networking-services/active- ...
http://zambonis.blogspot.de/2012/02/default-permissions-of-sysvol-folde ...

Dort wird aber über 2003 Server gesprochen & wir haben einen 2008 R2 am laufen..
in diesem Fall eher wurscht, aber auch für 2008 findet sich alles face-smile

das man mit Feingefühl hätte anpacken müssen.
Warum? So dicke Handschuhe an das du ein Grobmototiker geworden bist? face-smile

Gruß,
Peter
TechnoX
TechnoX 23.11.2016 um 16:22:36 Uhr
Goto Top
Na das Hotfix habe ich beantragt.. kam nix.. face-sad schon zwei mal, ohne Erfolg. Ich kann es anwählen, die Felder ausfüllen aber es wird nix
zu gesendet.

Ja wir haben 2 DCs. Ob die Replikation problemlos läuft.. denke schon. Wie sehe ich das?
Was genau ist mit SYSVOL gemeint? Der Server wurde mal in grauer Vorzeit so viel ich weis von alt zu neu verschoben. Blieb aber 2008R2.

Der Server läuft schon ne Weile. Aber mir wäre nichts bekannt das an den Freigaben oder Rechten in letzter Zeit etwas durchgeführt worden wäre.
Es sind allerdings Updates gelaufen (KB3145126) die den Server zum hängen brachten & deinstalliert werden mussten damit dieser wieder sauber hochfuhr. Liegt aber schon ne Weile zurück. Plattenfehler.. ja es sind ab und an mal Raid Platten heraus geflogen und ersetzt worden. Doch die
Raid Replikation war ok.

DC Diag meldet einen alten NT4.0 PC der nicht authentifiziert werden konnte sonst nix. Sehe ich als nicht so elementar an.

Danke für die Links - zieh ich mir gleich mal rein.
Chonta
Chonta 23.11.2016 um 16:32:28 Uhr
Goto Top
Hallo,

b die Replikation problemlos läuft.. denke schon. Wie sehe ich das?
https://technet.microsoft.com/de-de/library/cc742066(v=ws.10).aspx

Was genau ist mit SYSVOL gemeint?
https://support.microsoft.com/de-de/kb/315457

ja es sind ab und an mal Raid Platten heraus geflogen
Bei sowas verabschiedet sich gerne mal das Dateisystem.
Also ist das Dateisystem schon auf Fehler überprüft worden?
Ist der Server danach neu gestartet worden.

Die GPO können auf jdem Server bearbeitet werden, gibt es bei beiden den selben Fehler?

Gruß

Chonta
TechnoX
TechnoX 23.11.2016 um 16:43:03 Uhr
Goto Top
Ok schau ich mir morgen an - danke erst mal für die schnelle Hilfe das ist jetzt erst mal Lesestoff aber hinterher bin ich schlauer :D
Pjordorf
Pjordorf 23.11.2016 um 17:52:34 Uhr
Goto Top
Hallo,

Zitat von @TechnoX:
Na das Hotfix habe ich beantragt.. kam nix.. face-sad schon zwei mal, ohne Erfolg. Ich kann es anwählen, die Felder ausfüllen aber es wird nix zu gesendet.
Hat ca, 2 Minuten gedauert. Oben habe ich dir den Link zu dein HotFix schon genannt (Korrigiert). Junk Mail auch geprüft, E-Mail ist gültig, Absender ist hotfix@microsoft.com

Ja wir haben 2 DCs. Ob die Replikation problemlos läuft.. denke schon. Wie sehe ich das?
DCDIAG und Co.
https://www.microsoft.com/en-us/download/details.aspx?id=30005
http://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pru ...
https://www.windowspro.de/tool/replikation-zwischen-dcs-analysieren-dem- ...

Was genau ist mit SYSVOL gemeint?
Der Ordner wo eurer AD, GPOs usw. gespeichert wid.

Es sind allerdings Updates gelaufen (KB3145126) die den Server zum hängen brachten
Eigentlich hat das KB nir den DNS gestört face-smile

DC Diag meldet einen alten NT4.0 PC der nicht authentifiziert werden konnte sonst nix. Sehe ich als nicht so elementar an.
Vielleicht mal entsorgen. NTDSUtil und Cleanup Metafata.
http://www.pcreview.co.uk/threads/remove-an-orphan-nt4-dc-from-a-window ...
http://www.tecchannel.de/a/workshop-ntdsutil-handwerkszeug-fuers-active ...
https://technet.microsoft.com/de-de/library/cc753343(v=ws.11).aspx

Gruß,
Peter