61
Fehler in Computerrichtlinien bei Windows 10
Hallo zusammen
Ich habe folgende Umgebung:
DC1 (2012R2)
DC2 (2012R2)
Clients Win7 Pro x64
Test-Client Win 10 Pro x64
Der Test-Client befindet sich in einer eigenen Test-OU, in der ich alle bestehenden GPO's testen und ggf. anpassen/neu erstellen möchte.
Nun habe ich folgendes Problem:
Ich starte den Test-Client neu und prüfe mit gpresult /h report.html ob die gpo's angenommen wurden:
1. Problem: 2 Fehler entdeckt.
Hier die detaillierten Fehler:
Ich schliesse den Bericht, mache ein gpupdate /force und erstelle den Bericht neu. Siehe da, die Fehler sind verschwunden:
Nun mache ich einen Reboot und direkt nach dem Anmelden wieder den gpreport: Die selben Fehler sind wieder vorhanden.
2. Problem: Eine schnelle Verbindung wurde entdeckt. Hier die weiteren Infos dazu:
https://technet.microsoft.com/library/jj573586.aspx
Hab mal testweise in den lokalen Richtlinien die Einstellung "Computer Configuration/Policies/Administrative Templates/System/Shutdown/Require use of fast startup" deaktiviert. Hat leider bei beiden Problemen nichts geholfen.
Hat hier jemand ne Idee, woher die Fehler rühren, oder was ich noch tun kann?
Ich habe folgende Umgebung:
DC1 (2012R2)
DC2 (2012R2)
Clients Win7 Pro x64
Test-Client Win 10 Pro x64
Der Test-Client befindet sich in einer eigenen Test-OU, in der ich alle bestehenden GPO's testen und ggf. anpassen/neu erstellen möchte.
Nun habe ich folgendes Problem:
Ich starte den Test-Client neu und prüfe mit gpresult /h report.html ob die gpo's angenommen wurden:
Hier die detaillierten Fehler:
2. Problem: Eine schnelle Verbindung wurde entdeckt. Hier die weiteren Infos dazu:
https://technet.microsoft.com/library/jj573586.aspx
Hab mal testweise in den lokalen Richtlinien die Einstellung "Computer Configuration/Policies/Administrative Templates/System/Shutdown/Require use of fast startup" deaktiviert. Hat leider bei beiden Problemen nichts geholfen.
Hat hier jemand ne Idee, woher die Fehler rühren, oder was ich noch tun kann?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285339
Url: https://administrator.de/contentid/285339
Ausgedruckt am: 05.11.2024 um 12:11 Uhr
61 Kommentare
Neuester Kommentar
Hi.
Zu
Zu
2. Problem: Eine schnelle Verbindung wurde entdeckt. Hier die weiteren Infos
Dein Link passt nicht dazu. Dieser passt: https://technet.microsoft.com/en-us/library/cc978717.aspx - ist also völlig unbedenklich.
Moin
Hast Du vielleicht auch nen Tipp für Problem 1?
Zitat von @DerWoWusste:
Hi.
Zu
Der Artikel ist aber tatsächlich mit dem Warnhinweis verknüpft... Da hat MS wohl noch einige Bugs am Start... Naja, ich dachte mir schon, dass eine schnelle Verbindung grundsätzlich nichts schlechtes sein kann... Ich versteh nur das Warnzeichen davor nicht....Hi.
Zu
2. Problem: Eine schnelle Verbindung wurde entdeckt. Hier die weiteren Infos
Dein Link passt nicht dazu. Dieser passt: https://technet.microsoft.com/en-us/library/cc978717.aspx - ist also völlig unbedenklich.Hast Du vielleicht auch nen Tipp für Problem 1?
Hallo,
ich habe das gleiche Problem, habe schon alles erdenkliche was im Internet steht versucht, aber bekomme diesen verdammten Error 1058 nicht weg.
Wenn man mal im System Log schaut sieht man den Fehler auch da.
Unter Details steht bei mir Error 65 Zugriff verweigert, dem ist aber nicht so.
Ich bin froh das ich nicht der einzige bin.
gruß
fluluk
ich habe das gleiche Problem, habe schon alles erdenkliche was im Internet steht versucht, aber bekomme diesen verdammten Error 1058 nicht weg.
Wenn man mal im System Log schaut sieht man den Fehler auch da.
Unter Details steht bei mir Error 65 Zugriff verweigert, dem ist aber nicht so.
Ich bin froh das ich nicht der einzige bin.
gruß
fluluk
Der Artikel ist aber tatsächlich mit dem Warnhinweis verknüpft...
Echt? Gib mal den Link, bitte.Zu Problem 1: hat das auch praktische Auswirkungen?
Moin
Echt? Gib mal den Link, bitte.
Wenn ich neben "Eine schnelle Verbindung wurde entdeckt" auf den Link "Weitere Informationen" klicke öffnet sich diese Seite: https://technet.microsoft.com/library/jj573586.aspxZu Problem 1: hat das auch praktische Auswirkungen?
Jup, die Verarbeitung der Gruppenrichtlinien wird unterbrochen. Richtlinien welche z.Bsp. Softwareinstallationen enthalten wie "AdobeReader" werden dann nicht mehr verarbeitet... Zudem, was nützen mir Gruppenrichtlinien, wenn ich nicht sicher sein kann, dass sie im Normalfall angewendet werden?
Ok, dann stolperst Du also auch über die Schnellstartoptimierung.
Sieh Dir mal meine Anleitung an: Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Sieh Dir mal meine Anleitung an: Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Moin
Weitere Vorschläge?
Gruss
Ok, dann stolperst Du also auch über die Schnellstartoptimierung.
Sieh Dir mal meine Anleitung an: Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Hab jetz mal zum Test Fastboot komplett deaktiviert.... Die Fehler sind noch nicht weg, und die Softwareinstallation klappt auch nicht. "gpupdate /force" meldet zwar, dass ein Reboot ansteht, um Software zu installieren. Nach dem Reboot wird jedoch keine Software installiert....Sieh Dir mal meine Anleitung an: Probleme mit GPO-basierter Softwareverteilung unter Windows 8.x und Windows 10 überwinden
Weitere Vorschläge?
Gruss
Was steht im Eventlog bezüglich der MSI-Installation?
Die Zuweisung der Anwendung Adobe Reader XI (11.0.12) - Deutsch der Richtlinie APP_Adobe Reader ist fehlgeschlagen. Fehler: %%1274
und
Das Entfernen der Zuweisung der Anwendung Adobe Reader XI (11.0.12) - Deutsch von der Richtlinie APP_Adobe Reader ist fehlgeschlagen. Fehler: %%2
und
Die Änderungen an den Softwareinstallationseinstellungen wurden nicht angewendet. Die Installation von Software, die von der Gruppenrichtlinie für diesen Benutzer bereitgestellt wird, wird bis zur nächsten Anmeldung verzögert, da die Änderungen vor der Anmeldung vorgenomme Fehler: %%1274
und
Die clientseitige Erweiterung "Software Installation" der Gruppenrichtlinie konnte mindestens eine Einstellung nicht anwenden, da die Änderungen vor dem Systemstart oder der Benutzeranmeldung verarbeitet werden müssen. Das System wartet vor dem nächsten Startvorgang oder der nächsten Benutzeranmeldung darauf, dass die Gruppenrichtlinienverarbeitung vollständig abgeschlossen ist. Dies kann zu einem langsamen Start und zu einer niedrigen Startleistung führen.
Bezüglich Fehler: %%1274 sind folgende Einstellungen ebenfalls bereits getätigt und haben keine Besserung gebracht:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Anmelden\Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten: aktiviert
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinien\Wartezeit für Richtlinienverarbeitung beim Systemstart angeben: aktiviert (60s)
Du weist ja Benutzern zu... weis es mal dem Computerobjekt zu.
Nö, Der entsprechende Computer ist in der OU TEST\Computer. Die Policy ist ebenfalls in die OU TEST\Computer verknüpft. Die Policy ist def. NICHT auf Benutzer oder Benutzergruppen verknüpft...
Dafür habe ich aber grad bemerkt, dass der Sicherheitsfilter nur "Authentifizierte Benutzer" und keine Computer enthält. Sollte ich jetzt dafür eine Computergruppe erstellen, und die hinzufügen? Die selbe Policy funktioniert auf allen W7Clients lustigerweise einwandfrei...
Wo ist die Konfiguration denn eingestellt, laut Log doch im Benutzerteil der GPO, davon spreche ich.
Zitat von @DerWoWusste:
Wo ist die Konfiguration denn eingestellt, laut Log doch im Benutzerteil der GPO, davon spreche ich.
Computerkonfiguration\Richtlinien\Softwareeinstellungen\Zugewiesene AnwendungenWo ist die Konfiguration denn eingestellt, laut Log doch im Benutzerteil der GPO, davon spreche ich.
Ok.
Lass uns mal einen Gang zurückschalten.
Win10 kann MSIs installieren, wie alle andern Windows auch und auch per GPO. Du kannst Sicherlich ein leeres Win10 nehmen und in Eure Domäne packen und es wird Dir ein Test MSI (nimm mal 7zip) installieren. Wenn Du das gemacht hast, versuch auf dem Testsystem Adobe Reader, letzte Version. Haben wir beides an unsere 10er problemlos verteilt.
Lass uns mal einen Gang zurückschalten.
Win10 kann MSIs installieren, wie alle andern Windows auch und auch per GPO. Du kannst Sicherlich ein leeres Win10 nehmen und in Eure Domäne packen und es wird Dir ein Test MSI (nimm mal 7zip) installieren. Wenn Du das gemacht hast, versuch auf dem Testsystem Adobe Reader, letzte Version. Haben wir beides an unsere 10er problemlos verteilt.
Genau das habe ich exakt so gemacht. Rechner mit Win10 frisch aufgesetzt, in die Domäne gepackt, Policy verknüpft, und dann sind wir wieder am Anfang dieses Threads...
Nebenbei, bei mir handelt es sich auch um 7-Zip 9.20 und AdobeReader 11.0.12...
Hab grad noch festgestellt, dass 1 einzige Policy zusätzlich auf die Test-OU wirkt: Default Domain Policy.
Werde mal versuchen, mittels WMI-Filter die Policy auszuschalten und dann das Spielchen zu wiederholen...
select * from Win32_OperatingSystem where (Version < "10" AND ProductType="1" )
Müsste so funktionieren, oder?
Nebenbei, bei mir handelt es sich auch um 7-Zip 9.20 und AdobeReader 11.0.12...
Hab grad noch festgestellt, dass 1 einzige Policy zusätzlich auf die Test-OU wirkt: Default Domain Policy.
Werde mal versuchen, mittels WMI-Filter die Policy auszuschalten und dann das Spielchen zu wiederholen...
select * from Win32_OperatingSystem where (Version < "10" AND ProductType="1" )
Müsste so funktionieren, oder?
Zu Deinem Adobe-MSI: 11.0.12 gibt es nicht als MSI - hast Du es selbst erstellt mittels Patchen des administrativen INstallationspunktes oder hast Du repackaged? Geht es mit 7zip auch nicht?
Jup, das Adobe-MSI musste ich auf die Version patchen... Gemäss dieser Anleitung:
http://www.dertechblog.de/2012/04/howto-deployment-des-adobe-reader-in- ...
Mit 7-zip geht das nicht, die habe ich einfach so verteilt....
Wie gesagt, auf den Win7-Clients funktioniert alles wunderbar, nur die Win10-Kiste macht Ärger....
http://www.dertechblog.de/2012/04/howto-deployment-des-adobe-reader-in- ...
Mit 7-zip geht das nicht, die habe ich einfach so verteilt....
Wie gesagt, auf den Win7-Clients funktioniert alles wunderbar, nur die Win10-Kiste macht Ärger....
Mit 7-zip geht das nicht, die habe ich einfach so verteilt....
Verstehe ich nicht - konntest Du es über GPo verteilen, oder was bedeutet "einfach so"?
Einfach so, bedeutet ohne Transform und der gleichen...
Du konntest 7zip also installieren? Dann liegt es am Adobe Reader, nicht an Win10 oder Deiner GPO. Teste mal weitere kleine Pakete: ISO recorder http://isorecorder.alexfeinman.com/download/IsoRecorder/ISORecorder3.1. ... oder Desktop restore http://www.midiox.com/zip/DeskInst64.msi (beide 64 bit)
Nein, 7-Zip wird auf dem Win10-Client ebenfalls nicht installiert. Hab mal den ISO-Recorder versucht, geht auch nicht....
Ich hab das Gefühl, dass der Rechner beim Hochfahren die Richtlinien nicht richtig verarbeitet. Der Wechsel vom Windows Bootscreen (Windows-Logo mit den sich im Kreis drehenden Punkten) bis zum Anmeldebildschirm geht für mein Gefühl viel zu schnell...
Ich hab das Gefühl, dass der Rechner beim Hochfahren die Richtlinien nicht richtig verarbeitet. Der Wechsel vom Windows Bootscreen (Windows-Logo mit den sich im Kreis drehenden Punkten) bis zum Anmeldebildschirm geht für mein Gefühl viel zu schnell...
Hast Du alle Hinweise befolgt? Wenn Du Win10 runterfährst und dann startest wird es NIE MSIs installieren. Das ist "by design", gewollt! Man muss fast startup (="kernel hibernation") abschalten oder vorgehen, wie ich verlinkt hatte: Fehler in Computerrichtlinien bei Windows 10
Hab ich schon gemacht. Schnellstart ist in den Energieoptionen deaktiviert. Geht trotzdem nicht...
Dann prüfe Deine Schritte erneut. Fakt ist, dass es nicht an Win10 liegt.
So, hab die Kiste jetzt neu aufgesetzt und alle Policys aus der OU entfernt.
Dann hab ich 2 NEUE Policys erstellt:
1. Policy "Einstellungen":
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled = 0
- Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten = Aktiviert
2. Policy "7-Zip"
- Softwareinstallation von 7-Zip (ohne Transform oder sonstigem Schnick-Schnack) Einzige zusätzliche Einstellung: "Sprache beim Bereitstellen dieses Pakets ignorieren" = Aktiviert
Das Resultat ist das selbe wie zu Anfang beschrieben: 7-Zip wurde nicht installiert, und GPResult meldet dieselben 2 Fehler. Auch mehrmaliges "gpupdate /force" und anschliessende Reboots ändern daran leider nichts... Ach ja, die Policy "Einstellungen" wurde def. übernommen...
Wenn's wirklich nicht an Win10 liegt, muss etwas auf den DC's schief laufen... Any Ideas?
Dann hab ich 2 NEUE Policys erstellt:
1. Policy "Einstellungen":
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled = 0
- Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten = Aktiviert
2. Policy "7-Zip"
- Softwareinstallation von 7-Zip (ohne Transform oder sonstigem Schnick-Schnack) Einzige zusätzliche Einstellung: "Sprache beim Bereitstellen dieses Pakets ignorieren" = Aktiviert
Das Resultat ist das selbe wie zu Anfang beschrieben: 7-Zip wurde nicht installiert, und GPResult meldet dieselben 2 Fehler. Auch mehrmaliges "gpupdate /force" und anschliessende Reboots ändern daran leider nichts... Ach ja, die Policy "Einstellungen" wurde def. übernommen...
Wenn's wirklich nicht an Win10 liegt, muss etwas auf den DC's schief laufen... Any Ideas?
Hallo,
sind es noch immer Fehler 7017 und 1058?
diese Fehler müssten ja auch im Event-Log auftauchen.
was sagt denn die Detail-Ansicht?
sind es noch immer Fehler 7017 und 1058?
diese Fehler müssten ja auch im Event-Log auftauchen.
was sagt denn die Detail-Ansicht?
Die DCs haben nichts damit zu tun. Was auf den DCs auf der Freigabe liegt, ist eine Policy, eine xml-Datei, die gelesen wird.
NImm mal einen leeren 10, schalte fast startup ab, stelle sicher, dass die Policy wirklich Computern zugewiesen ist und die Konfig im Computerteil gemacht wurde. Es kann nicht nicht gehen
NImm mal einen leeren 10, schalte fast startup ab, stelle sicher, dass die Policy wirklich Computern zugewiesen ist und die Konfig im Computerteil gemacht wurde. Es kann nicht nicht gehen
So, es gibt eine neue Entwicklung:
Hab auf der Kiste noch die WindowsUpdates installiert. Nach dem Reboot, wenn er die Updates anwendet, wurde tatsächlich 7-Zip installiert!
Jetz hab ich natürlich die AdobeReader-Policy noch verknüpft und mein Glück versucht. Funktioniert leider nicht. Ich vermute, die Installation klappt erst mit den nächsten WindowsUpdates...
Ich vermute, dass meine Kiste es nicht interessiert, ob ich FastBoot deaktiviert habe oder nicht. Er will "FastBoot" und macht "FastBoot", egal was ich will. Nur die WindowsUpdates zwingen ihn zum "NormalBoot"....
Hab auf der Kiste noch die WindowsUpdates installiert. Nach dem Reboot, wenn er die Updates anwendet, wurde tatsächlich 7-Zip installiert!
Jetz hab ich natürlich die AdobeReader-Policy noch verknüpft und mein Glück versucht. Funktioniert leider nicht. Ich vermute, die Installation klappt erst mit den nächsten WindowsUpdates...
Ich vermute, dass meine Kiste es nicht interessiert, ob ich FastBoot deaktiviert habe oder nicht. Er will "FastBoot" und macht "FastBoot", egal was ich will. Nur die WindowsUpdates zwingen ihn zum "NormalBoot"....
Zitat von @fluluk:
Hallo,
sind es noch immer Fehler 7017 und 1058?
diese Fehler müssten ja auch im Event-Log auftauchen.
was sagt denn die Detail-Ansicht?
Hallo,
sind es noch immer Fehler 7017 und 1058?
diese Fehler müssten ja auch im Event-Log auftauchen.
was sagt denn die Detail-Ansicht?
7017er hab ich keine im Event-Log, nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
Zitat von @DerWoWusste:
Die DCs haben nichts damit zu tun. Was auf den DCs auf der Freigabe liegt, ist eine Policy, eine xml-Datei, die gelesen wird.
Ok...Die DCs haben nichts damit zu tun. Was auf den DCs auf der Freigabe liegt, ist eine Policy, eine xml-Datei, die gelesen wird.
NImm mal einen leeren 10, schalte fast startup ab, stelle sicher, dass die Policy wirklich Computern zugewiesen ist und die Konfig im Computerteil gemacht wurde.
Erledigt, Passt soweit...Es kann nicht nicht gehen
Tut es aber...
Die Updates haben damit zu 100% nichts zu tun. Es war schlicht der Reboot.
Teste nun bitte mit den anderen beiden von mir verlinkten MSIs:
1 in die GPO einbauen
2 gpupdate /force am Client
3 Client neu starten (nicht runterfahren+hochfahren, nein, neu starten )
Wird gehen, jede Wette. Es liegt an Deinem Adobe-Paket.
Teste nun bitte mit den anderen beiden von mir verlinkten MSIs:
1 in die GPO einbauen
2 gpupdate /force am Client
3 Client neu starten (nicht runterfahren+hochfahren, nein, neu starten
)Wird gehen, jede Wette. Es liegt an Deinem Adobe-Paket.
...nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
ok, ich habe exakt das gleiche Problem.
Bei mir funktioniert es ab und zu mal wenn ich den Computer wieder aus der Domäne nehme und wieder neu hinzufüge.
FastBoot ist bei mir auch deaktiviert, ich gehe stark davon aus, das hier wirklich ein Problem seitens Windows 10 besteht, bei allen anderen Clients habe ich diese Probleme nicht.
Kurze Frage: wird FRS oder DFSR eingesetzt?
Zitat von @DerWoWusste:
Teste nun bitte mit den anderen beiden von mir verlinkten MSIs:
1 in die GPO einbauen
Hab eine Policy erstellt mit beiden Paketen drin. Adobe hab ich wieder raus genommen, damit es sicher nicht stört...Teste nun bitte mit den anderen beiden von mir verlinkten MSIs:
1 in die GPO einbauen
2 gpupdate /force am Client
erledigt, Client merkt dass eine Installation ansteht und möchte Rebooten. Hab mit ja bestätigt.3 Client neu starten (nicht runterfahren+hochfahren, nein, neu starten )
Hab den Rechner mittlerweile zum 3. Mal neu gestartet (kein Hoch- und Runterfahren) )Ergebnis: Nichts wurde Installiert... Selbe Fehler, wie bis anhin....
Wird gehen, jede Wette. Es liegt an Deinem Adobe-Paket.
Die Wette hast Du wohl verloren Die Updates haben damit zu 100% nichts zu tun. Es war schlicht der Reboot.
Ist bis jetzt aber der einzige Ansatz, den ich habe...
So, langsam wird's nervig 
Zuvor schriebst Du:
Haben die Computerkonten des Testsystems überhaupt Zugriff auf die Pakete?
Zuvor schriebst Du:
nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
Was eindeutig auf eine Fehlkonfiguration hinweist. Nun dazu kein Kommentar, oder ist diese Meldung jetzt nicht mehr anwesend?Haben die Computerkonten des Testsystems überhaupt Zugriff auf die Pakete?
Wie sollte der Zugriff denn aussehen?
Bei mir haben "Authenticated User" Read + Execute Zugriff
Ich hatte hier die letzten Jahre nichts verändert und plötzlich geht es mit Windows 10 nicht mehr.
Alle anderen Systeme vor Windows 10 funktionieren problemlos.
Bei mir haben "Authenticated User" Read + Execute Zugriff
Ich hatte hier die letzten Jahre nichts verändert und plötzlich geht es mit Windows 10 nicht mehr.
Alle anderen Systeme vor Windows 10 funktionieren problemlos.
Zitat von @fluluk:
ok, ich habe exakt das gleiche Problem.
Bei mir funktioniert es ab und zu mal wenn ich den Computer wieder aus der Domäne nehme und wieder neu hinzufüge.
FastBoot ist bei mir auch deaktiviert, ich gehe stark davon aus, das hier wirklich ein Problem seitens Windows 10 besteht, bei allen anderen Clients habe ich diese Probleme nicht.
Kurze Frage: wird FRS oder DFSR eingesetzt?
Hab mit "dfsrmig.exe /getglobalstate" folgende Antwort erhalten:...nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
ok, ich habe exakt das gleiche Problem.
Bei mir funktioniert es ab und zu mal wenn ich den Computer wieder aus der Domäne nehme und wieder neu hinzufüge.
FastBoot ist bei mir auch deaktiviert, ich gehe stark davon aus, das hier wirklich ein Problem seitens Windows 10 besteht, bei allen anderen Clients habe ich diese Probleme nicht.
Kurze Frage: wird FRS oder DFSR eingesetzt?
Aktueller globaler DFSR-Status: "Entfernt"
Erfolgreich
Heisst das jetzt, dass ich DFSR einsetze? Müsste eigentlich, da wir damals die Domäne auf einem 2008R2 erstellt haben...
Geht mir auch so..
Die MSI's liegen auf einer Freigabe wo "Jeder" Lesen und Ausführen hat. Übrigens am selben Ort wie 7-Zip, welches ja funktioniert hat....
Zuvor schriebst Du:
Haben die Computerkonten des Testsystems überhaupt Zugriff auf die Pakete?
Doch, die Meldung ist immer noch aktuell. Sie betrifft die gpt.ini im SysVol (Gemäss Bild im 1. Post). Wäre mir neu, dass Domänenrechner keinen Zugriff auf den SysVol haben...nur 1058er. Die Detail-Ansicht sagt: "ErrorDescription: Netzwerkzugriff verweigert."
Was eindeutig auf eine Fehlkonfiguration hinweist. Nun dazu kein Kommentar, oder ist diese Meldung jetzt nicht mehr anwesend?Haben die Computerkonten des Testsystems überhaupt Zugriff auf die Pakete?
Die MSI's liegen auf einer Freigabe wo "Jeder" Lesen und Ausführen hat. Übrigens am selben Ort wie 7-Zip, welches ja funktioniert hat....
Gut, mach folgendes: Virtualisierer an, VM-Domain erstellen, Gast erstellen und in 30 Minuten weißt Du, dass es normalerweise geht. Es geht in Win10 out-of-the-box.
Zitat von @DerWoWusste:
Gut, mach folgendes: Virtualisierer an, VM-Domain erstellen, Gast erstellen und in 30 Minuten weißt Du, dass es normalerweise geht. Es geht in Win10 out-of-the-box.
Ich glaub Dir auch so, dass es grundsätzlich geht. Iergendwo läuft bei mir und bei fluluk offensichtlich was falsch. Die Frage ist nur wo und was.....Gut, mach folgendes: Virtualisierer an, VM-Domain erstellen, Gast erstellen und in 30 Minuten weißt Du, dass es normalerweise geht. Es geht in Win10 out-of-the-box.
Vielleicht helfen ja die Infos noch weiter:
Die 2 2012R2-DC's laufen je auf einem 2012R2 Hyper-V Host.
Der 2012R2 FileServer mit den MSI's läuft ebenfalls auf einem der Hosts.
Client ist eine HP Z620 Workstation mit nachgerüsteter SSD und Windows10.0 (Build 10240).
Werde jetzt das Rohimage nochmals auf die Kiste ballern und meine Theorie mit den WindowsUpdates überprüfen. Ich vermute einfach, dass die Geschichte mit dem FastBoot deaktivieren nicht richtig funktioniert....
Die Hilfsbereitschaft auf dieser Seite lässt auch immer mehr zu Wünschen übrig...
Sorry, aber hier besteht doch ganz offensichtlich ein Problem, dass nicht nur zum Spaß erstellt wurde.
Eine neue Domain auf zu ziehen trägt wohl kaum zur Lösung bei.
Hier sollte man wohl vielmehr den Fokus auf das eigentliche Problem legen, da es sicherlich auch bei anderen Auftreten kann.
@fox14ch, bei Dir wurden die DCs also von einer 2008 Domain migriert?
ich habe meine Domain seit 2003, daher die Frage bezüglich DFSR. Hatte mal gelesen, dass es evtl. daran liegen kann, dass die Migration darauf vergessen wurde.
Ich bin mittlerweile leider auch mit meinem Latein am Ende, ich hatte auch schon einmal ein Frage dazu hier erstellt, dieser wurde jedoch keine Beachtung geschenkt, daher hoffe ich sehr auf die Lösung dieses Beitrages hier.
gruß
fluluk
Sorry, aber hier besteht doch ganz offensichtlich ein Problem, dass nicht nur zum Spaß erstellt wurde.
Eine neue Domain auf zu ziehen trägt wohl kaum zur Lösung bei.
Hier sollte man wohl vielmehr den Fokus auf das eigentliche Problem legen, da es sicherlich auch bei anderen Auftreten kann.
@fox14ch, bei Dir wurden die DCs also von einer 2008 Domain migriert?
ich habe meine Domain seit 2003, daher die Frage bezüglich DFSR. Hatte mal gelesen, dass es evtl. daran liegen kann, dass die Migration darauf vergessen wurde.
Ich bin mittlerweile leider auch mit meinem Latein am Ende, ich hatte auch schon einmal ein Frage dazu hier erstellt, dieser wurde jedoch keine Beachtung geschenkt, daher hoffe ich sehr auf die Lösung dieses Beitrages hier.
gruß
fluluk
Ja, genau.
@DerWoWusste, hast Du auch mehrere DC's oder nur einen?
ich habe meine Domain seit 2003, daher die Frage bezüglich DFSR. Hatte mal gelesen, dass es evtl. daran liegen kann, dass die Migration darauf vergessen wurde.
Bin auch schon mal über sowas gestolpert... Läuft denn deine mit FRS oder DFSR?@DerWoWusste, hast Du auch mehrere DC's oder nur einen?
Lief anfangs noch mit FRS, jetzt aber mit DFSR, aber an dem Problem hat sich nichts geändert.
Konnte meine Theorie mit den WindowsUpdates leider auch nicht bestätigen...
Bin wieder unter Euch
Also: fast startup per Policy deaktivieren geht nicht. Was Deine Policy macht, kann man hier lesen: https://www.vanstechelman.eu/windows-group-policy-encyclopedia/c9c6ca034 ... - Setzt man auf disabled, lässt man dem User die Wahl, ob fast oder slow - es bleibt aber auf default: fast!
@fluluk
Also: fast startup per Policy deaktivieren geht nicht. Was Deine Policy macht, kann man hier lesen: https://www.vanstechelman.eu/windows-group-policy-encyclopedia/c9c6ca034 ... - Setzt man auf disabled, lässt man dem User die Wahl, ob fast oder slow - es bleibt aber auf default: fast!
@fluluk
Die Hilfsbereitschaft auf dieser Seite lässt auch immer mehr zu Wünschen übrig...
Wen meinst Du jetzt?Zitat von @DerWoWusste:
Also: fast startup per Policy deaktivieren geht nicht. Was Deine Policy macht, kann man hier lesen: https://www.vanstechelman.eu/windows-group-policy-encyclopedia/c9c6ca034 ... - Setzt man auf disabled, lässt man dem User die Wahl, ob fast oder slow - es bleibt aber auf default: fast!
Jup soweit klar, desshalb habe ich direkt den RegistryKey verteilt:Also: fast startup per Policy deaktivieren geht nicht. Was Deine Policy macht, kann man hier lesen: https://www.vanstechelman.eu/windows-group-policy-encyclopedia/c9c6ca034 ... - Setzt man auf disabled, lässt man dem User die Wahl, ob fast oder slow - es bleibt aber auf default: fast!
HKLM\System\CurrentControlSet\Control\SessionManager\Power\HiberbootEnabled = 0
Das müsste doch definitiv FastBoot deaktivieren, oder?
Ja, das ist der korrekte Key und Wert dafür.
Ich rate weiterhin zu einer virtuellen Domäne. Nicht, um zu sehen, dass es geht (denn es geht ja andernorts, soviel dürfte klar sein), sondern, um mit der jetzigen Domäne vergleichen zu können.
Ich rate weiterhin zu einer virtuellen Domäne. Nicht, um zu sehen, dass es geht (denn es geht ja andernorts, soviel dürfte klar sein), sondern, um mit der jetzigen Domäne vergleichen zu können.
Hast Du denn Deine Domäne neu aufgezogen, oder den Windows 10 Client in eine bestehende integriert?
In die bestehende integriert.
gibt es hier was neues?
Von meiner Seite her leider nicht...
Hi zusammen
Hab nun die Lösung gefunden:
Quelle: https://pointlessparody.wordpress.com/2015/10/09/fehler-bei-der-verarbei ...
Ich habe eine zusätzliche Richtlinie mit folgenden Einstellungen erstellt:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkanbieter\Gehärtete UNC-Pfade -> aktiviert
Links auf Anzeigen, und folgende Pfade und Werte eingeben:
Wertname: \\deinedomäne.local\SYSVOL --> Wert: RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Wertname: \\deinedomäne.local\NETLOGON --> Wert: RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Die Fehler sind nun weg und die Softwarepakete werden wieder wie gewohnt installiert/aktualisiert.
Cheers!
fox14ch
P.S. Warum kann man eigentlich seine eigenen Kommentare nicht als Lösung markieren?
Hab nun die Lösung gefunden:
Quelle: https://pointlessparody.wordpress.com/2015/10/09/fehler-bei-der-verarbei ...
Ich habe eine zusätzliche Richtlinie mit folgenden Einstellungen erstellt:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkanbieter\Gehärtete UNC-Pfade -> aktiviert
Links auf Anzeigen, und folgende Pfade und Werte eingeben:
Wertname: \\deinedomäne.local\SYSVOL --> Wert: RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Wertname: \\deinedomäne.local\NETLOGON --> Wert: RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
Die Fehler sind nun weg und die Softwarepakete werden wieder wie gewohnt installiert/aktualisiert.
Cheers!
fox14ch
P.S. Warum kann man eigentlich seine eigenen Kommentare nicht als Lösung markieren?
Das ist ja keine Lösung, sondern ein Workaround. Wenn Du die Sicherheit herabsetzen musst, damit es läuft, wäre ich nicht damit zufrieden.
Es stellt sich die Frage: warum waren diese Werte überhaupt zunächst anders gesetzt? pPer default ist es so, wie Du es jetzt eingestellt hast, nebenbei bemerkt.
Es stellt sich die Frage: warum waren diese Werte überhaupt zunächst anders gesetzt? pPer default ist es so, wie Du es jetzt eingestellt hast, nebenbei bemerkt.
Fragen über Fragen
Ich hab keinen blassen Dunst. Hab def. keine Richtlinie die die Sicherheit erhöht... Gemäss meiner Quelle wurde die Sicherheit in Windows 10 erhöht:
) nicht so ist, wissen wohl nur die Programmiergötter
Wenn Du sagst, dass dies sowieso default ist, brauch ich mir der Sicherheitswegen auch keine Gedanken zu machen. Somit habe ich eine funktionierende Lösung/Workaround und bin glücklich damit
Ich hab keinen blassen Dunst. Hab def. keine Richtlinie die die Sicherheit erhöht... Gemäss meiner Quelle wurde die Sicherheit in Windows 10 erhöht:
Ganz grob ausgedrückt hat es damit zu tun das mit Windows 10 der Zugriff auf UNC Pfade sicherer gemacht wurde (und somit meine Softwareinstallationen per GPO nicht mehr funktionieren)
Warum das bei Dir und tausend Anderen (ausser fluluk ) nicht so ist, wissen wohl nur die Programmiergötter Wenn Du sagst, dass dies sowieso default ist, brauch ich mir der Sicherheitswegen auch keine Gedanken zu machen. Somit habe ich eine funktionierende Lösung/Workaround und bin glücklich damit
hallo,
handelt es sich bei Dir eigentlich um das Kostenfreie Update von Windows 10 oder um ein Enterprise Windows? Mir sind bei dem Update schon so einige Kuriose Eigenschaften aufgefallen.
Vielleicht unterscheidet sich die Enterprise Variante von der kostenlosen?
bei mir ist im übrigen das kostenlose Update im Einsatz.
gruß fluluk
handelt es sich bei Dir eigentlich um das Kostenfreie Update von Windows 10 oder um ein Enterprise Windows? Mir sind bei dem Update schon so einige Kuriose Eigenschaften aufgefallen.
Vielleicht unterscheidet sich die Enterprise Variante von der kostenlosen?
bei mir ist im übrigen das kostenlose Update im Einsatz.
gruß fluluk
Hi
Bei mir handelt es sich ebenfalls um das kostenlose Update, welches mit dem MediaCreationTool gedownloadet werden kann... Wir haben leider keine Volumenlizenzen und arbeiten lediglich mit den OEM Lizenzen. Wenn MS schon gratis updaten lässt, warum nicht....
@DerWoWusste: verwendest Du eine Enterprise Version aus dem VLSC?
Gruss
fox
Bei mir handelt es sich ebenfalls um das kostenlose Update, welches mit dem MediaCreationTool gedownloadet werden kann... Wir haben leider keine Volumenlizenzen und arbeiten lediglich mit den OEM Lizenzen. Wenn MS schon gratis updaten lässt, warum nicht....
@DerWoWusste: verwendest Du eine Enterprise Version aus dem VLSC?
Gruss
fox
Nö, größtenteils OEM, ein paar VolLiz dazwischen. Aber Editionsunterschiede gibt es nicht.
Auch wenn das jetzt schon länger her ist:
http://www.heise.de/newsticker/meldung/Sicherheitsluecke-in-Gruppenrich ...
Erklärt warum man diese Werte auf 1 stellen sollte, es geht darum man in the middle Angriffe zu verhindern.
Die default Einstellung gilt nicht als sicher.
http://www.heise.de/newsticker/meldung/Sicherheitsluecke-in-Gruppenrich ...
Erklärt warum man diese Werte auf 1 stellen sollte, es geht darum man in the middle Angriffe zu verhindern.
Die default Einstellung gilt nicht als sicher.
Ein guter Hinweis - fox14ch, sieht so aus, als hätte jemand bei Euch den Patch installiert und gleich korrekterweise auch die GPO dazu gesetzt bzw. über die Registry angepasst.
Du hast das nun wieder aufgerissen, das Loch.
Du hast das nun wieder aufgerissen, das Loch.
Ich habe genau das gleiche Problem in unserem Firmennetzwerk.
Betroffen sind scheinbar nur Windows 10 Clients
Bin schon mit Microsoft diverse "Lösungen" durchgegangen.
Falls wir was finden schreibe ich die Lösung gern hier rein.
Der Mitarbeiter von Microsoft ist auch schon recht verzweifelt und wir sind inzwischen auf Du ;)
Betroffen sind scheinbar nur Windows 10 Clients
Bin schon mit Microsoft diverse "Lösungen" durchgegangen.
Falls wir was finden schreibe ich die Lösung gern hier rein.
Der Mitarbeiter von Microsoft ist auch schon recht verzweifelt und wir sind inzwischen auf Du ;)
moinsen
Da ich bei uns alleiniger Admin bin, kann ich Dir mit Sicherheit bestätigen, dass niemand die Werte von 0 auf 1 geändert hat... Ich habe lediglich auf allen Clients und Server die aktuellsten Patches installiert...
Habs jetzt nochmals getestet:
Bei uns funktioniert die Softwareinstallation per GPO nur, wenn alle drei Werte auf 0 gestellt sind. Auch die Fehler aus dem ersten Post sind so verschwunden. Natürlich ist mir bewusst, dass ich damit ein Sicherheitsloch aufreisse... Allerdings handelt es sich um ein ein Loch, dass bereits 15 Jahre besteht und bis jetzt auch niemanden interessiert hat... Falls jemand ne Lösung dafür hat, wäre ich sehr dankbar. Ansonsten lebe ich halt mit dem man-in-the-middle-Risiko, da es mir wichtiger ist, dass meine Softwareverteilung klappt...
Cheers
Zitat von @DerWoWusste:
Ein guter Hinweis - fox14ch, sieht so aus, als hätte jemand bei Euch den Patch installiert und gleich korrekterweise auch die GPO dazu gesetzt bzw. über die Registry angepasst.
Du hast das nun wieder aufgerissen, das Loch.
Ein guter Hinweis - fox14ch, sieht so aus, als hätte jemand bei Euch den Patch installiert und gleich korrekterweise auch die GPO dazu gesetzt bzw. über die Registry angepasst.
Du hast das nun wieder aufgerissen, das Loch.
Da ich bei uns alleiniger Admin bin, kann ich Dir mit Sicherheit bestätigen, dass niemand die Werte von 0 auf 1 geändert hat... Ich habe lediglich auf allen Clients und Server die aktuellsten Patches installiert...
Habs jetzt nochmals getestet:
Bei uns funktioniert die Softwareinstallation per GPO nur, wenn alle drei Werte auf 0 gestellt sind. Auch die Fehler aus dem ersten Post sind so verschwunden. Natürlich ist mir bewusst, dass ich damit ein Sicherheitsloch aufreisse... Allerdings handelt es sich um ein ein Loch, dass bereits 15 Jahre besteht und bis jetzt auch niemanden interessiert hat... Falls jemand ne Lösung dafür hat, wäre ich sehr dankbar. Ansonsten lebe ich halt mit dem man-in-the-middle-Risiko, da es mir wichtiger ist, dass meine Softwareverteilung klappt...
Cheers
Ich weiß nur, dass, damit der Patch funktioniert, der DC eingehenden Kerberosverkehr reinlassen muss, also testhalber mal am DC eingehend vom Testclient aus alles aufreißen.
