Fehler bei Verarbeitung der Gruppenrichtlinie

Mitglied: Halbgott

Halbgott (Level 1) - Jetzt verbinden

15.04.2016 um 10:10 Uhr, 11677 Aufrufe, 6 Kommentare

Hallo zusammen,

ich habe heute einen Fehler bemerkt. Und zwar werden bei unseren Benutzern die Gruppenrichtlinien nicht mehr richtig angewendet. Folgende Fehlermeldung entsteht bei einem gpupdate /force:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.

2 Dinge habe ich jetzt schon herausgefunden.
1.) Diese Datei -> "{FF519A46-781B-406A-AD77-63DC8A99C8B8}" gibt es gar nicht.
2.) Ich habe dcdiag /test:dns auf unserem DNS-Server ausgeführt und bekam folgende Fehlermeldung:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Administrator.domainname>dcdiag /test:dns

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SrvDC2
        • Identifizierte AD-Gesamtstruktur.
        Sammeln der Ausgangsinformationen abgeschlossen.

        Erforderliche Anfangstests werden ausgeführt.

        Server wird getestet: Standardname-des-ersten-Standorts\SRVDC2
        Starting test: Connectivity
        ......................... SRVDC2 hat den Test Connectivity bestanden.

        Primärtests werden ausgeführt.

        Server wird getestet: Standardname-des-ersten-Standorts\SRVDC2

        Starting test: DNS

        DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige
        Minuten...
        ......................... SRVDC2 hat den Test DNS bestanden.

        Partitionstests werden ausgeführt auf: ForestDnsZones

        Partitionstests werden ausgeführt auf: DomainDnsZones

        Partitionstests werden ausgeführt auf: Schema

        Partitionstests werden ausgeführt auf: Configuration

        Partitionstests werden ausgeführt auf: domainname

        Unternehmenstests werden ausgeführt auf: domainname.de
        Starting test: DNS
        Testergebnisse für Domänencontroller:

        Domänencontroller: SrvDC2.domainname.de
        Domäne: domainname.de


        TEST: Delegations (Del)
        Fehler: DNS-Server: serverdc.domainname. IP: //serverdc ist ein alter DNS-Server, der nicht mehr aktiv ist
        <Nicht verfügbar> [Missing glue A record]

        Zusammenfassung der DNS-Testergebnisse:

        Auth. Bas. Weiterl. Entf. Dyn.
        RReg. Erw.
        _________________________________________________________________
        Domäne: domainname.de
        SrvDC2 PASS PASS PASS FAIL PASS PASS n/a

        ......................... domainname.de hat den Test DNS
        nicht bestanden.


        Habt ihr eine Idee, was ich tun könnte? Habe schon einiges gegoogelt und auch schon dieses Forum hier durchstöbert. Ich finde nur nichts, was mir hilft das Problem zu lösen.
Mitglied: emeriks
LÖSUNG 15.04.2016, aktualisiert um 10:20 Uhr
Hi,
sind da mehr als 1 DC in dieser Domäne?
Falls ja, existiert diese Datei auf min. einen dieser DC? Falls auch ja: Hier ist offensichtlich die Replikation des SYSVOL gestört. Hängt jetzt davon ab, ob das noch über NtFrs oder bereits über DFS-R repliziert wird. Als Workaround könntest Du erstmal das betreffende GPO-Verzeichnis
\\domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}
manuell auf alle anderen DC kopieren.
Damit können die Clients & Benutzer erstmal wieder ihre GPO aktualisieren.
Anschließend kümmerst Du Dich um das Replikationsproblem.

Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.

E.

Edit:
Starting test: DNS
Testergebnisse für Domänencontroller:

Domänencontroller: SrvDC2.domainname.de
Domäne: domainname.de

TEST: Delegations (Del)
Fehler: DNS-Server: serverdc.domainname. IP: //serverdc ist ein alter DNS-Server, der nicht mehr aktiv ist
<Nicht verfügbar> [Missing glue A record]
Das ist "nur" ein DNS-Problem. Hast Du mehrere DNS-Server und nutzen verschiedene DC verschiedene dieser DNS-Server?
Bitte warten ..
Mitglied: Halbgott
15.04.2016 um 10:40 Uhr
vielen Dank für deine Ideen.

Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.

Zitat von @emeriks:
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.

Kannst du mir sagen, wie ich die GPO identifizieren kann?

Zitat von @emeriks:
Das ist "nur" ein DNS-Problem. Hast Du mehrere DNS-Server und nutzen verschiedene DC verschiedene dieser DNS-Server?

Ja, ich habe 2 DNS-Server im Einsatz und 2 DC. Auf jedem DC ist auch die DNS Rolle installiert und eingerichtet.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.

Ich habe die Replikation jetzt händisch ausgeführt und herausgefunden, dass tatsächlich 2 Elemente gefehlt haben. Leider aber nicht das, welches ich suche.
Bitte warten ..
Mitglied: GuentherH
LÖSUNG 15.04.2016 um 10:49 Uhr
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.

Aus dem Nirwana kommt der Eintrag aber nicht ;-) face-wink Also noch einmal in den DNS Einstellungen nachsehen, da ist er mit Sicherheit noch vorhanden.

Zuerst DCDIAG Fehler beheben, dann mit Replmon überprüfen bis die Replikation sauber läuft und dann erst um die Gruppenrichtlinie kümmern.

LG Günther
Bitte warten ..
Mitglied: emeriks
LÖSUNG 15.04.2016 um 12:13 Uhr
Kannst du mir sagen, wie ich die GPO identifizieren kann?
Du hast doch 2 DC. Damit fällt dieser Punkt weg.
Hast Du diesen Pfad auf beiden DC überprüft? Hat einer von beiden die betreffenden Dateien?
--> Domänen-FQDN durch DC-FQDN ersetzen
\\dc1.domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}
\\dc2.domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}

Ich habe die Replikation jetzt händisch ausgeführt und herausgefunden, dass tatsächlich 2 Elemente gefehlt haben. Leider aber nicht das, welches ich suche.
Es geht nicht um die Domänen-Replikation sondern um die SYSVOL-Replikation. Läuft diese über NtFrs oder über DFS-R?

Ja, ich habe 2 DNS-Server im Einsatz und 2 DC. Auf jedem DC ist auch die DNS Rolle installiert und eingerichtet.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.
Welche Zonen hast Du?
Welche Namensserver sind dort eingetragen?
Sind alle Zonen auf beiden DNS-Server vorhanden? (Replikate)
Sind das AD-integrierte Zonen?
Bitte warten ..
Mitglied: Halbgott
29.04.2016 um 10:09 Uhr
Sorry, dass ich jetzt erst antworte.

Hab die fehlerhaften Gruppenrichtlinien gefunden/gelöscht und das gpupdate läuft wieder. Ebenso habe ich die fehlerhafte Konfiguration im DNS-Server gefunden. Der alte Server war als Host einer Delegierung für eine Nebenstelle eingerichtet. Diese Konfiguration war gar nicht mehr zeitgemäß und wurde einfach vergessen bei einer Umstellung zu löschen.
Daher erstmal vielen Dank für die Hilfe zur Lösung des Problems.

Das sekundäre Problem, dass die SYSVOL-Replikation nicht klappt, scheint wohl weiter zu bestehen. Ich habe bei Server1 aktuell wieder 111 Elemente in \\server1\SYSVOL\DOMÄNE\Policies und 110 in \\server2\SYSVOL\DOMÄNE\Policies.



Welche Zonen hast Du?
eine Zone für die Domäne in den Forward-Lookupzonen
4 Zonen in den Reverse-Loopupzonen, weil wir auch 4 IP-Adressbereiche haben.

Welche Namensserver sind dort eingetragen?
Nur die beiden Domaincontroller/DNS-Server

Sind alle Zonen auf beiden DNS-Server vorhanden? (Replikate)
Ja

Sind das AD-integrierte Zonen?
Darüber kann ich keine Aussage treffen, weil ich nicht weiß, was du damit meinst :/

Ich dachte immer, dass die Replikation sowieso automatisch funktioniert, sobald beide Server Domaincontroller sind.
Bitte warten ..
Mitglied: emeriks
29.04.2016, aktualisiert um 14:35 Uhr
Darüber kann ich keine Aussage treffen, weil ich nicht weiß, was du damit meinst :/
Der Typ der Zonen.

Ich dachte immer, dass die Replikation sowieso automatisch funktioniert, sobald beide Server Domaincontroller sind.
"Sowieso" und "automatisch" sind Admins Tod.
Und: Replikation der Domäne und Replikation des Sysvol sind zwei unabhängige Paar Schuhe. Die Replikation des Sysvol greift zwar auf Informationen im AD zurück, läuft aber sonst vollkommen unabhängig von diesem.

Hängt jetzt davon ab, ob das noch über NtFrs oder bereits über DFS-R repliziert wird.
Dies hatte ich schon mal in den Raum gestellt.
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 1 TagFrageLAN, WAN, Wireless42 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 1 TagFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 1 TagFrageMicrosoft16 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Weiterbildung
Das Impostersyndrom oder: "Was kann ich eigentlich?"
AnduinVor 1 TagFrageWeiterbildung7 Kommentare

Werte Mitadmins, ich würde mich heute gerne mit einem mir wichtigen Thema an euch wenden. Ich bin 40 Jahre alt und seit 21 Jahren ...

Windows 10
Dokumentenanzeige auf 2.Bildschirm
gelöst Rico.lehmann93Vor 1 TagFrageWindows 107 Kommentare

Hey Leute, ein Kunde von uns sucht eine Möglichkeit Mietverträge dem Kunden auf einem Bildschirm anzeigen zu lassen. Auf dem Bildschirm soll aber wirklich ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 1 TagFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Windows Server
Zwei Netzwerkkarten im Server
gelöst Big.TurboladerVor 1 TagFrageWindows Server4 Kommentare

Hallo allerseits, ich habe ein Windows Server 2016 in einer VM erstellt um mein Wissen zu erweitern. Doch jetzt hänge ich an einem Problem ...