shoch4
Goto Top

Fehler in Computerrichtlinien bei Windows 10

Hallo zusammen

Ich habe folgende Umgebung:
DC1 (2012R2)
DC2 (2012R2)
Clients Win7 Pro x64
Test-Client Win 10 Pro x64

Der Test-Client befindet sich in einer eigenen Test-OU, in der ich alle bestehenden GPO's testen und ggf. anpassen/neu erstellen möchte.
Nun habe ich folgendes Problem:
Ich starte den Test-Client neu und prüfe mit gpresult /h report.html ob die gpo's angenommen wurden:
bc56b2b6fb66f41fc64d70f3a6bdfcb4
1. Problem: 2 Fehler entdeckt.
Hier die detaillierten Fehler:
8460a19fb544b48f8b7a34bad126158b
Ich schliesse den Bericht, mache ein gpupdate /force und erstelle den Bericht neu. Siehe da, die Fehler sind verschwunden:
dcbef6252b6e4502275870ec6c5d9b53
Nun mache ich einen Reboot und direkt nach dem Anmelden wieder den gpreport: Die selben Fehler sind wieder vorhanden.
2. Problem: Eine schnelle Verbindung wurde entdeckt. Hier die weiteren Infos dazu:
https://technet.microsoft.com/library/jj573586.aspx

Hab mal testweise in den lokalen Richtlinien die Einstellung "Computer Configuration/Policies/Administrative Templates/System/Shutdown/Require use of fast startup" deaktiviert. Hat leider bei beiden Problemen nichts geholfen.
Hat hier jemand ne Idee, woher die Fehler rühren, oder was ich noch tun kann?

Content-ID: 285339

Url: https://administrator.de/contentid/285339

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

DerWoWusste
DerWoWusste 12.10.2015 um 20:05:19 Uhr
Goto Top
Hi.

Zu
2. Problem: Eine schnelle Verbindung wurde entdeckt. Hier die weiteren Infos
Dein Link passt nicht dazu. Dieser passt: https://technet.microsoft.com/en-us/library/cc978717.aspx - ist also völlig unbedenklich.
shoch4
shoch4 13.10.2015 um 00:06:55 Uhr
Goto Top
Moin
Zitat von @DerWoWusste:

Hi.

Zu
2. Problem: Eine schnelle Verbindung wurde entdeckt. Hier die weiteren Infos
Dein Link passt nicht dazu. Dieser passt: https://technet.microsoft.com/en-us/library/cc978717.aspx - ist also völlig unbedenklich.
Der Artikel ist aber tatsächlich mit dem Warnhinweis verknüpft... Da hat MS wohl noch einige Bugs am Start... Naja, ich dachte mir schon, dass eine schnelle Verbindung grundsätzlich nichts schlechtes sein kann... Ich versteh nur das Warnzeichen davor nicht....
Hast Du vielleicht auch nen Tipp für Problem 1?
fluluk
fluluk 13.10.2015 um 07:56:18 Uhr
Goto Top
Hallo,

ich habe das gleiche Problem, habe schon alles erdenkliche was im Internet steht versucht, aber bekomme diesen verdammten Error 1058 nicht weg.
Wenn man mal im System Log schaut sieht man den Fehler auch da.
Unter Details steht bei mir Error 65 Zugriff verweigert, dem ist aber nicht so.

Ich bin froh das ich nicht der einzige bin.

gruß
fluluk
DerWoWusste
DerWoWusste 13.10.2015 um 10:07:36 Uhr
Goto Top
Der Artikel ist aber tatsächlich mit dem Warnhinweis verknüpft...
Echt? Gib mal den Link, bitte.
Zu Problem 1: hat das auch praktische Auswirkungen?
shoch4
shoch4 13.10.2015 um 10:38:36 Uhr
Goto Top
Moin
Echt? Gib mal den Link, bitte.
Wenn ich neben "Eine schnelle Verbindung wurde entdeckt" auf den Link "Weitere Informationen" klicke öffnet sich diese Seite: https://technet.microsoft.com/library/jj573586.aspx

Zu Problem 1: hat das auch praktische Auswirkungen?
Jup, die Verarbeitung der Gruppenrichtlinien wird unterbrochen. Richtlinien welche z.Bsp. Softwareinstallationen enthalten wie "AdobeReader" werden dann nicht mehr verarbeitet... Zudem, was nützen mir Gruppenrichtlinien, wenn ich nicht sicher sein kann, dass sie im Normalfall angewendet werden?
DerWoWusste
DerWoWusste 13.10.2015 um 10:56:50 Uhr
Goto Top
Ok, dann stolperst Du also auch über die Schnellstartoptimierung.
Sieh Dir mal meine Anleitung an: Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
shoch4
shoch4 13.10.2015, aktualisiert am 14.03.2023 um 10:51:15 Uhr
Goto Top
Moin

Ok, dann stolperst Du also auch über die Schnellstartoptimierung.
Sieh Dir mal meine Anleitung an: Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Hab jetz mal zum Test Fastboot komplett deaktiviert.... Die Fehler sind noch nicht weg, und die Softwareinstallation klappt auch nicht. "gpupdate /force" meldet zwar, dass ein Reboot ansteht, um Software zu installieren. Nach dem Reboot wird jedoch keine Software installiert....
Weitere Vorschläge?

Gruss
DerWoWusste
DerWoWusste 13.10.2015 um 14:19:18 Uhr
Goto Top
Was steht im Eventlog bezüglich der MSI-Installation?
shoch4
shoch4 13.10.2015 um 15:01:26 Uhr
Goto Top
Zitat von @DerWoWusste:

Was steht im Eventlog bezüglich der MSI-Installation?

Die Zuweisung der Anwendung Adobe Reader XI (11.0.12) - Deutsch der Richtlinie APP_Adobe Reader ist fehlgeschlagen. Fehler: %%1274

und

Das Entfernen der Zuweisung der Anwendung Adobe Reader XI (11.0.12) - Deutsch von der Richtlinie APP_Adobe Reader ist fehlgeschlagen. Fehler: %%2

und

Die Änderungen an den Softwareinstallationseinstellungen wurden nicht angewendet. Die Installation von Software, die von der Gruppenrichtlinie für diesen Benutzer bereitgestellt wird, wird bis zur nächsten Anmeldung verzögert, da die Änderungen vor der Anmeldung vorgenomme Fehler: %%1274

und

Die clientseitige Erweiterung "Software Installation" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.


Bezüglich Fehler: %%1274 sind folgende Einstellungen ebenfalls bereits getätigt und haben keine Besserung gebracht:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Anmelden\Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten: aktiviert
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinien\Wartezeit für Richtlinienverarbeitung beim Systemstart angeben: aktiviert (60s)
DerWoWusste
DerWoWusste 13.10.2015 um 15:44:54 Uhr
Goto Top
Du weist ja Benutzern zu... weis es mal dem Computerobjekt zu.
shoch4
shoch4 13.10.2015 um 16:27:58 Uhr
Goto Top
Zitat von @DerWoWusste:

Du weist ja Benutzern zu... weis es mal dem Computerobjekt zu.

Nö, Der entsprechende Computer ist in der OU TEST\Computer. Die Policy ist ebenfalls in die OU TEST\Computer verknüpft. Die Policy ist def. NICHT auf Benutzer oder Benutzergruppen verknüpft...

Dafür habe ich aber grad bemerkt, dass der Sicherheitsfilter nur "Authentifizierte Benutzer" und keine Computer enthält. Sollte ich jetzt dafür eine Computergruppe erstellen, und die hinzufügen? Die selbe Policy funktioniert auf allen W7Clients lustigerweise einwandfrei...
DerWoWusste
DerWoWusste 13.10.2015 um 18:19:42 Uhr
Goto Top
Wo ist die Konfiguration denn eingestellt, laut Log doch im Benutzerteil der GPO, davon spreche ich.
shoch4
shoch4 13.10.2015 um 18:30:32 Uhr
Goto Top
Zitat von @DerWoWusste:

Wo ist die Konfiguration denn eingestellt, laut Log doch im Benutzerteil der GPO, davon spreche ich.
Computerkonfiguration\Richtlinien\Softwareeinstellungen\Zugewiesene Anwendungen
DerWoWusste
DerWoWusste 13.10.2015 um 19:43:24 Uhr
Goto Top
Ok.

Lass uns mal einen Gang zurückschalten.
Win10 kann MSIs installieren, wie alle andern Windows auch und auch per GPO. Du kannst Sicherlich ein leeres Win10 nehmen und in Eure Domäne packen und es wird Dir ein Test MSI (nimm mal 7zip) installieren. Wenn Du das gemacht hast, versuch auf dem Testsystem Adobe Reader, letzte Version. Haben wir beides an unsere 10er problemlos verteilt.
shoch4
shoch4 14.10.2015 um 10:40:03 Uhr
Goto Top
Genau das habe ich exakt so gemacht. Rechner mit Win10 frisch aufgesetzt, in die Domäne gepackt, Policy verknüpft, und dann sind wir wieder am Anfang dieses Threads...
Nebenbei, bei mir handelt es sich auch um 7-Zip 9.20 und AdobeReader 11.0.12...

Hab grad noch festgestellt, dass 1 einzige Policy zusätzlich auf die Test-OU wirkt: Default Domain Policy.
Werde mal versuchen, mittels WMI-Filter die Policy auszuschalten und dann das Spielchen zu wiederholen...
select * from Win32_OperatingSystem where (Version < "10" AND ProductType="1" )
Müsste so funktionieren, oder?
DerWoWusste
DerWoWusste 14.10.2015 um 13:34:15 Uhr
Goto Top
Zu Deinem Adobe-MSI: 11.0.12 gibt es nicht als MSI - hast Du es selbst erstellt mittels Patchen des administrativen INstallationspunktes oder hast Du repackaged? Geht es mit 7zip auch nicht?
shoch4
shoch4 14.10.2015 um 17:03:32 Uhr
Goto Top
Jup, das Adobe-MSI musste ich auf die Version patchen... Gemäss dieser Anleitung:
http://www.dertechblog.de/2012/04/howto-deployment-des-adobe-reader-in- ...
Mit 7-zip geht das nicht, die habe ich einfach so verteilt....
Wie gesagt, auf den Win7-Clients funktioniert alles wunderbar, nur die Win10-Kiste macht Ärger....
DerWoWusste
DerWoWusste 14.10.2015 um 17:36:06 Uhr
Goto Top
Mit 7-zip geht das nicht, die habe ich einfach so verteilt....
Verstehe ich nicht - konntest Du es über GPo verteilen, oder was bedeutet "einfach so"?
shoch4
shoch4 14.10.2015 um 17:46:46 Uhr
Goto Top
Einfach so, bedeutet ohne Transform und der gleichen...
DerWoWusste
DerWoWusste 14.10.2015 um 18:01:07 Uhr
Goto Top
Du konntest 7zip also installieren? Dann liegt es am Adobe Reader, nicht an Win10 oder Deiner GPO. Teste mal weitere kleine Pakete: ISO recorder http://isorecorder.alexfeinman.com/download/IsoRecorder/ISORecorder3.1. ... oder Desktop restore http://www.midiox.com/zip/DeskInst64.msi (beide 64 bit)
shoch4
shoch4 15.10.2015 um 08:43:30 Uhr
Goto Top
Nein, 7-Zip wird auf dem Win10-Client ebenfalls nicht installiert. Hab mal den ISO-Recorder versucht, geht auch nicht....
Ich hab das Gefühl, dass der Rechner beim Hochfahren die Richtlinien nicht richtig verarbeitet. Der Wechsel vom Windows Bootscreen (Windows-Logo mit den sich im Kreis drehenden Punkten) bis zum Anmeldebildschirm geht für mein Gefühl viel zu schnell...
DerWoWusste
DerWoWusste 15.10.2015 um 09:20:24 Uhr
Goto Top
Hast Du alle Hinweise befolgt? Wenn Du Win10 runterfährst und dann startest wird es NIE MSIs installieren. Das ist "by design", gewollt! Man muss fast startup (="kernel hibernation") abschalten oder vorgehen, wie ich verlinkt hatte: Fehler in Computerrichtlinien bei Windows 10
shoch4
shoch4 15.10.2015 um 11:23:41 Uhr
Goto Top
Hab ich schon gemacht. Schnellstart ist in den Energieoptionen deaktiviert. Geht trotzdem nicht...
DerWoWusste
DerWoWusste 15.10.2015 um 11:31:03 Uhr
Goto Top
Dann prüfe Deine Schritte erneut. Fakt ist, dass es nicht an Win10 liegt.
shoch4
shoch4 15.10.2015 um 13:58:18 Uhr
Goto Top
So, hab die Kiste jetzt neu aufgesetzt und alle Policys aus der OU entfernt.
Dann hab ich 2 NEUE Policys erstellt:
1. Policy "Einstellungen":
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled = 0
- Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten = Aktiviert
2. Policy "7-Zip"
- Softwareinstallation von 7-Zip (ohne Transform oder sonstigem Schnick-Schnack) Einzige zusätzliche Einstellung: "Sprache beim Bereitstellen dieses Pakets ignorieren" = Aktiviert

Das Resultat ist das selbe wie zu Anfang beschrieben: 7-Zip wurde nicht installiert, und GPResult meldet dieselben 2 Fehler. Auch mehrmaliges "gpupdate /force" und anschliessende Reboots ändern daran leider nichts... Ach ja, die Policy "Einstellungen" wurde def. übernommen...

Wenn's wirklich nicht an Win10 liegt, muss etwas auf den DC's schief laufen... Any Ideas?
fluluk
fluluk 15.10.2015 um 14:56:29 Uhr
Goto Top
Hallo,

sind es noch immer Fehler 7017 und 1058?

diese Fehler müssten ja auch im Event-Log auftauchen.
was sagt denn die Detail-Ansicht?
DerWoWusste
DerWoWusste 15.10.2015 um 15:05:58 Uhr
Goto Top
Die DCs haben nichts damit zu tun. Was auf den DCs auf der Freigabe liegt, ist eine Policy, eine xml-Datei, die gelesen wird.
NImm mal einen leeren 10, schalte fast startup ab, stelle sicher, dass die Policy wirklich Computern zugewiesen ist und die Konfig im Computerteil gemacht wurde. Es kann nicht nicht gehen face-wink
shoch4
shoch4 15.10.2015 um 15:22:31 Uhr
Goto Top
So, es gibt eine neue Entwicklung:
Hab auf der Kiste noch die WindowsUpdates installiert. Nach dem Reboot, wenn er die Updates anwendet, wurde tatsächlich 7-Zip installiert!
Jetz hab ich natürlich die AdobeReader-Policy noch verknüpft und mein Glück versucht. Funktioniert leider nicht. Ich vermute, die Installation klappt erst mit den nächsten WindowsUpdates...
Ich vermute, dass meine Kiste es nicht interessiert, ob ich FastBoot deaktiviert habe oder nicht. Er will "FastBoot" und macht "FastBoot", egal was ich will. Nur die WindowsUpdates zwingen ihn zum "NormalBoot"....
shoch4
shoch4 15.10.2015 um 15:30:14 Uhr
Goto Top
Zitat von @fluluk:

Hallo,

sind es noch immer Fehler 7017 und 1058?

diese Fehler müssten ja auch im Event-Log auftauchen.
was sagt denn die Detail-Ansicht?

7017er hab ich keine im Event-Log, nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
shoch4
shoch4 15.10.2015 um 15:33:27 Uhr
Goto Top
Zitat von @DerWoWusste:

Die DCs haben nichts damit zu tun. Was auf den DCs auf der Freigabe liegt, ist eine Policy, eine xml-Datei, die gelesen wird.
Ok...
NImm mal einen leeren 10, schalte fast startup ab, stelle sicher, dass die Policy wirklich Computern zugewiesen ist und die Konfig im Computerteil gemacht wurde.
Erledigt, Passt soweit...
Es kann nicht nicht gehen
Tut es aber...
DerWoWusste
DerWoWusste 15.10.2015 aktualisiert um 15:49:27 Uhr
Goto Top
Die Updates haben damit zu 100% nichts zu tun. Es war schlicht der Reboot.
Teste nun bitte mit den anderen beiden von mir verlinkten MSIs:
1 in die GPO einbauen
2 gpupdate /force am Client
3 Client neu starten (nicht runterfahren+hochfahren, nein, neu starten face-wink )

Wird gehen, jede Wette. Es liegt an Deinem Adobe-Paket.
fluluk
fluluk 15.10.2015 aktualisiert um 15:49:44 Uhr
Goto Top
...nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."

ok, ich habe exakt das gleiche Problem.
Bei mir funktioniert es ab und zu mal wenn ich den Computer wieder aus der Domäne nehme und wieder neu hinzufüge.
FastBoot ist bei mir auch deaktiviert, ich gehe stark davon aus, das hier wirklich ein Problem seitens Windows 10 besteht, bei allen anderen Clients habe ich diese Probleme nicht.

Kurze Frage: wird FRS oder DFSR eingesetzt?
shoch4
shoch4 16.10.2015 um 08:52:33 Uhr
Goto Top
Zitat von @DerWoWusste:

Teste nun bitte mit den anderen beiden von mir verlinkten MSIs:
1 in die GPO einbauen
Hab eine Policy erstellt mit beiden Paketen drin. Adobe hab ich wieder raus genommen, damit es sicher nicht stört...

2 gpupdate /force am Client
erledigt, Client merkt dass eine Installation ansteht und möchte Rebooten. Hab mit ja bestätigt.

3 Client neu starten (nicht runterfahren+hochfahren, nein, neu starten face-wink )
Hab den Rechner mittlerweile zum 3. Mal neu gestartet (kein Hoch- und Runterfahren) face-wink

Ergebnis: Nichts wurde Installiert... Selbe Fehler, wie bis anhin....

Wird gehen, jede Wette. Es liegt an Deinem Adobe-Paket.
Die Wette hast Du wohl verloren face-wink

Die Updates haben damit zu 100% nichts zu tun. Es war schlicht der Reboot.
Ist bis jetzt aber der einzige Ansatz, den ich habe...
DerWoWusste
DerWoWusste 16.10.2015 um 08:58:49 Uhr
Goto Top
So, langsam wird's nervig face-smile
Zuvor schriebst Du:
nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
Was eindeutig auf eine Fehlkonfiguration hinweist. Nun dazu kein Kommentar, oder ist diese Meldung jetzt nicht mehr anwesend?
Haben die Computerkonten des Testsystems überhaupt Zugriff auf die Pakete?
fluluk
fluluk 16.10.2015 um 09:07:25 Uhr
Goto Top
Wie sollte der Zugriff denn aussehen?
Bei mir haben "Authenticated User" Read + Execute Zugriff
Ich hatte hier die letzten Jahre nichts verändert und plötzlich geht es mit Windows 10 nicht mehr.
Alle anderen Systeme vor Windows 10 funktionieren problemlos.
shoch4
shoch4 16.10.2015 um 09:08:35 Uhr
Goto Top
Zitat von @fluluk:

...nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."

ok, ich habe exakt das gleiche Problem.
Bei mir funktioniert es ab und zu mal wenn ich den Computer wieder aus der Domäne nehme und wieder neu hinzufüge.
FastBoot ist bei mir auch deaktiviert, ich gehe stark davon aus, das hier wirklich ein Problem seitens Windows 10 besteht, bei allen anderen Clients habe ich diese Probleme nicht.

Kurze Frage: wird FRS oder DFSR eingesetzt?
Hab mit "dfsrmig.exe /getglobalstate" folgende Antwort erhalten:
Aktueller globaler DFSR-Status: "Entfernt"
Erfolgreich

Heisst das jetzt, dass ich DFSR einsetze? Müsste eigentlich, da wir damals die Domäne auf einem 2008R2 erstellt haben...
shoch4
shoch4 16.10.2015 um 09:15:38 Uhr
Goto Top
Zitat von @DerWoWusste:

So, langsam wird's nervig face-smile
Geht mir auch so.. face-wink

Zuvor schriebst Du:
nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
Was eindeutig auf eine Fehlkonfiguration hinweist. Nun dazu kein Kommentar, oder ist diese Meldung jetzt nicht mehr anwesend?
Haben die Computerkonten des Testsystems überhaupt Zugriff auf die Pakete?
Doch, die Meldung ist immer noch aktuell. Sie betrifft die gpt.ini im SysVol (Gemäss Bild im 1. Post). Wäre mir neu, dass Domänenrechner keinen Zugriff auf den SysVol haben...
Die MSI's liegen auf einer Freigabe wo "Jeder" Lesen und Ausführen hat. Übrigens am selben Ort wie 7-Zip, welches ja funktioniert hat....
DerWoWusste
DerWoWusste 16.10.2015 um 09:22:34 Uhr
Goto Top
Gut, mach folgendes: Virtualisierer an, VM-Domain erstellen, Gast erstellen und in 30 Minuten weißt Du, dass es normalerweise geht. Es geht in Win10 out-of-the-box.
shoch4
shoch4 16.10.2015 um 10:04:49 Uhr
Goto Top
Zitat von @DerWoWusste:

Gut, mach folgendes: Virtualisierer an, VM-Domain erstellen, Gast erstellen und in 30 Minuten weißt Du, dass es normalerweise geht. Es geht in Win10 out-of-the-box.
Ich glaub Dir auch so, dass es grundsätzlich geht. Iergendwo läuft bei mir und bei fluluk offensichtlich was falsch. Die Frage ist nur wo und was.....
Vielleicht helfen ja die Infos noch weiter:
Die 2 2012R2-DC's laufen je auf einem 2012R2 Hyper-V Host.
Der 2012R2 FileServer mit den MSI's läuft ebenfalls auf einem der Hosts.
Client ist eine HP Z620 Workstation mit nachgerüsteter SSD und Windows10.0 (Build 10240).

Werde jetzt das Rohimage nochmals auf die Kiste ballern und meine Theorie mit den WindowsUpdates überprüfen. Ich vermute einfach, dass die Geschichte mit dem FastBoot deaktivieren nicht richtig funktioniert....
fluluk
fluluk 16.10.2015 um 10:05:11 Uhr
Goto Top
Die Hilfsbereitschaft auf dieser Seite lässt auch immer mehr zu Wünschen übrig...
Sorry, aber hier besteht doch ganz offensichtlich ein Problem, dass nicht nur zum Spaß erstellt wurde.
Eine neue Domain auf zu ziehen trägt wohl kaum zur Lösung bei.

Hier sollte man wohl vielmehr den Fokus auf das eigentliche Problem legen, da es sicherlich auch bei anderen Auftreten kann.

@fox14ch, bei Dir wurden die DCs also von einer 2008 Domain migriert?
ich habe meine Domain seit 2003, daher die Frage bezüglich DFSR. Hatte mal gelesen, dass es evtl. daran liegen kann, dass die Migration darauf vergessen wurde.

Ich bin mittlerweile leider auch mit meinem Latein am Ende, ich hatte auch schon einmal ein Frage dazu hier erstellt, dieser wurde jedoch keine Beachtung geschenkt, daher hoffe ich sehr auf die Lösung dieses Beitrages hier.

gruß
fluluk
shoch4
shoch4 16.10.2015 um 10:19:37 Uhr
Goto Top
Zitat von @fluluk:

@fox14ch, bei Dir wurden die DCs also von einer 2008 Domain migriert?
Ja, genau.

ich habe meine Domain seit 2003, daher die Frage bezüglich DFSR. Hatte mal gelesen, dass es evtl. daran liegen kann, dass die Migration darauf vergessen wurde.
Bin auch schon mal über sowas gestolpert... Läuft denn deine mit FRS oder DFSR?

@DerWoWusste, hast Du auch mehrere DC's oder nur einen?
fluluk
fluluk 16.10.2015 um 11:00:38 Uhr
Goto Top
Lief anfangs noch mit FRS, jetzt aber mit DFSR, aber an dem Problem hat sich nichts geändert.
shoch4
shoch4 16.10.2015 um 11:19:16 Uhr
Goto Top
Konnte meine Theorie mit den WindowsUpdates leider auch nicht bestätigen...
DerWoWusste
DerWoWusste 16.10.2015 um 17:08:39 Uhr
Goto Top
Bin wieder unter Euch face-wink

Also: fast startup per Policy deaktivieren geht nicht. Was Deine Policy macht, kann man hier lesen: https://www.vanstechelman.eu/windows-group-policy-encyclopedia/c9c6ca034 ... - Setzt man auf disabled, lässt man dem User die Wahl, ob fast oder slow - es bleibt aber auf default: fast!

@fluluk
Die Hilfsbereitschaft auf dieser Seite lässt auch immer mehr zu Wünschen übrig...
Wen meinst Du jetzt?
shoch4
shoch4 19.10.2015 um 09:11:15 Uhr
Goto Top
Zitat von @DerWoWusste:

Also: fast startup per Policy deaktivieren geht nicht. Was Deine Policy macht, kann man hier lesen: https://www.vanstechelman.eu/windows-group-policy-encyclopedia/c9c6ca034 ... - Setzt man auf disabled, lässt man dem User die Wahl, ob fast oder slow - es bleibt aber auf default: fast!
Jup soweit klar, desshalb habe ich direkt den RegistryKey verteilt:
HKLM\System\CurrentControlSet\Control\SessionManager\Power\HiberbootEnabled = 0
Das müsste doch definitiv FastBoot deaktivieren, oder?
DerWoWusste
DerWoWusste 19.10.2015 um 09:13:52 Uhr
Goto Top
Ja, das ist der korrekte Key und Wert dafür.
Ich rate weiterhin zu einer virtuellen Domäne. Nicht, um zu sehen, dass es geht (denn es geht ja andernorts, soviel dürfte klar sein), sondern, um mit der jetzigen Domäne vergleichen zu können.
shoch4
shoch4 19.10.2015 um 12:53:00 Uhr
Goto Top
Hast Du denn Deine Domäne neu aufgezogen, oder den Windows 10 Client in eine bestehende integriert?
DerWoWusste
DerWoWusste 19.10.2015 um 12:54:04 Uhr
Goto Top
In die bestehende integriert.
fluluk
fluluk 02.11.2015 um 16:52:32 Uhr
Goto Top
gibt es hier was neues?
shoch4
shoch4 02.11.2015 um 18:15:16 Uhr
Goto Top
Von meiner Seite her leider nicht...
shoch4
shoch4 20.11.2015 aktualisiert um 16:49:41 Uhr
Goto Top
Hi zusammen

Hab nun die Lösung gefunden:
Quelle: https://pointlessparody.wordpress.com/2015/10/09/fehler-bei-der-verarbei ...

Ich habe eine zusätzliche Richtlinie mit folgenden Einstellungen erstellt:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkanbieter\Gehärtete UNC-Pfade -> aktiviert
Links auf Anzeigen, und folgende Pfade und Werte eingeben:
Wertname: \\deinedomäne.local\SYSVOL --> Wert: RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Wertname: \\deinedomäne.local\NETLOGON --> Wert: RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0

Die Fehler sind nun weg und die Softwarepakete werden wieder wie gewohnt installiert/aktualisiert.

Cheers!
fox14ch

P.S. Warum kann man eigentlich seine eigenen Kommentare nicht als Lösung markieren? face-wink
DerWoWusste
DerWoWusste 20.11.2015 um 17:07:34 Uhr
Goto Top
Das ist ja keine Lösung, sondern ein Workaround. Wenn Du die Sicherheit herabsetzen musst, damit es läuft, wäre ich nicht damit zufrieden.
Es stellt sich die Frage: warum waren diese Werte überhaupt zunächst anders gesetzt? pPer default ist es so, wie Du es jetzt eingestellt hast, nebenbei bemerkt.
shoch4
shoch4 20.11.2015 um 17:23:53 Uhr
Goto Top
Fragen über Fragen face-wink
Ich hab keinen blassen Dunst. Hab def. keine Richtlinie die die Sicherheit erhöht... Gemäss meiner Quelle wurde die Sicherheit in Windows 10 erhöht:
Ganz grob ausgedrückt hat es damit zu tun das mit Windows 10 der Zugriff auf UNC Pfade sicherer gemacht wurde (und somit meine Softwareinstallationen per GPO nicht mehr funktionieren)
Warum das bei Dir und tausend Anderen (ausser fluluk face-wink) nicht so ist, wissen wohl nur die Programmiergötter face-wink
Wenn Du sagst, dass dies sowieso default ist, brauch ich mir der Sicherheitswegen auch keine Gedanken zu machen. Somit habe ich eine funktionierende Lösung/Workaround und bin glücklich damit face-wink
fluluk
fluluk 23.11.2015 um 10:56:38 Uhr
Goto Top
hallo,

handelt es sich bei Dir eigentlich um das Kostenfreie Update von Windows 10 oder um ein Enterprise Windows? Mir sind bei dem Update schon so einige Kuriose Eigenschaften aufgefallen.
Vielleicht unterscheidet sich die Enterprise Variante von der kostenlosen?

bei mir ist im übrigen das kostenlose Update im Einsatz.

gruß fluluk
shoch4
shoch4 23.11.2015 um 11:47:23 Uhr
Goto Top
Hi

Bei mir handelt es sich ebenfalls um das kostenlose Update, welches mit dem MediaCreationTool gedownloadet werden kann... Wir haben leider keine Volumenlizenzen und arbeiten lediglich mit den OEM Lizenzen. Wenn MS schon gratis updaten lässt, warum nicht....

@DerWoWusste: verwendest Du eine Enterprise Version aus dem VLSC?

Gruss
fox
DerWoWusste
DerWoWusste 23.11.2015 um 11:52:41 Uhr
Goto Top
Nö, größtenteils OEM, ein paar VolLiz dazwischen. Aber Editionsunterschiede gibt es nicht.
sabines
sabines 18.01.2016 um 10:22:27 Uhr
Goto Top
Auch wenn das jetzt schon länger her ist:

http://www.heise.de/newsticker/meldung/Sicherheitsluecke-in-Gruppenrich ...

Erklärt warum man diese Werte auf 1 stellen sollte, es geht darum man in the middle Angriffe zu verhindern.
Die default Einstellung gilt nicht als sicher.
DerWoWusste
DerWoWusste 18.01.2016 um 12:49:00 Uhr
Goto Top
Ein guter Hinweis - fox14ch, sieht so aus, als hätte jemand bei Euch den Patch installiert und gleich korrekterweise auch die GPO dazu gesetzt bzw. über die Registry angepasst.
Du hast das nun wieder aufgerissen, das Loch.
Mahagon
Mahagon 18.01.2016 um 12:59:27 Uhr
Goto Top
Ich habe genau das gleiche Problem in unserem Firmennetzwerk.
Betroffen sind scheinbar nur Windows 10 Clients

Bin schon mit Microsoft diverse "Lösungen" durchgegangen.
Falls wir was finden schreibe ich die Lösung gern hier rein.

Der Mitarbeiter von Microsoft ist auch schon recht verzweifelt und wir sind inzwischen auf Du ;)
shoch4
shoch4 20.01.2016 um 16:17:51 Uhr
Goto Top
moinsen face-wink
Zitat von @DerWoWusste:

Ein guter Hinweis - fox14ch, sieht so aus, als hätte jemand bei Euch den Patch installiert und gleich korrekterweise auch die GPO dazu gesetzt bzw. über die Registry angepasst.
Du hast das nun wieder aufgerissen, das Loch.

Da ich bei uns alleiniger Admin bin, kann ich Dir mit Sicherheit bestätigen, dass niemand die Werte von 0 auf 1 geändert hat... Ich habe lediglich auf allen Clients und Server die aktuellsten Patches installiert...
Habs jetzt nochmals getestet:
Bei uns funktioniert die Softwareinstallation per GPO nur, wenn alle drei Werte auf 0 gestellt sind. Auch die Fehler aus dem ersten Post sind so verschwunden. Natürlich ist mir bewusst, dass ich damit ein Sicherheitsloch aufreisse... Allerdings handelt es sich um ein ein Loch, dass bereits 15 Jahre besteht und bis jetzt auch niemanden interessiert hat... Falls jemand ne Lösung dafür hat, wäre ich sehr dankbar. Ansonsten lebe ich halt mit dem man-in-the-middle-Risiko, da es mir wichtiger ist, dass meine Softwareverteilung klappt...
Cheers
DerWoWusste
DerWoWusste 20.01.2016 um 18:01:15 Uhr
Goto Top
Ich weiß nur, dass, damit der Patch funktioniert, der DC eingehenden Kerberosverkehr reinlassen muss, also testhalber mal am DC eingehend vom Testclient aus alles aufreißen.