33
GPOs werden nur auf einem Rechner nicht aktualisiert
Nach ca. 8h Fehlersuche wende ich mich hoffnungsvoll an Euch!
Infrastruktur
Ein Windows 2019 Essentials Server (AD):
Ein Server ist Domain Controller , DHCP Server, DNS Server, FileServer, SQL Server...
ist auch Stamm-CA, soll auch VPN Server und NPS-Server sein für Homeoffice (Allways On-VPN)
Einige Clients (Win10 und Win 11, immer Pro-Versionen )
Auf einem PC lässt sich nun gpupdate nicht mehr ausführen:
Siehe Screenshot:
Habe einige Beiträge im Netz und auch hier auf administrator.de gelesen:
dcdiag.exe liefert keine Fehler
Die Zeit ist synchron. (net time)
Habe auch schon den PC aus der Domäne herausgenommen und wieder hinein.
Es zeigt sich, dass dieser PC die Ordnerumleitung (inkl. Offline Datei -Syncro) für ....\user\Documents nicht ausführen kann, weil zu viele Dateien zu synchronisieren sind (?!)
Dieser PC bekommt auch nicht das Computerzertifikat (mmc.exe -> Zertifikate als admin)
Dieser PC ist in der OU, auf welche die GPOs angewendet werden sollen.
Ich habe einen anderen PC neu in die Domäne eingebunden, da funktioniert alles (baugleicher PC, Win11 Pro)
Habe auch "Lokale Richtlinien\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Zuweisen von Benutzerrechten\Auf diesen Computer vom Netzwerk aus zugreifen" überprüft. Hier stehen Rechte für Administratoren, authentifizierte Benutzer, Benutzer, Jeder, Sicherungs-Operatoren
Die Dokumentation zur Fehlermeldung bei Microsoft scheint veraltet zu sein. (Server 2008...)
Auch der hiesige Beitrag ist schon etwas älter (2011)
Kann mir jemand einen Tipp geben, was ich überprüfen kann?
Besten Gruß, Christian
Infrastruktur
Ein Windows 2019 Essentials Server (AD):
Ein Server ist Domain Controller , DHCP Server, DNS Server, FileServer, SQL Server...
ist auch Stamm-CA, soll auch VPN Server und NPS-Server sein für Homeoffice (Allways On-VPN)
Einige Clients (Win10 und Win 11, immer Pro-Versionen )
Auf einem PC lässt sich nun gpupdate nicht mehr ausführen:
Siehe Screenshot:
Habe einige Beiträge im Netz und auch hier auf administrator.de gelesen:
dcdiag.exe liefert keine Fehler
Die Zeit ist synchron. (net time)
Habe auch schon den PC aus der Domäne herausgenommen und wieder hinein.
Es zeigt sich, dass dieser PC die Ordnerumleitung (inkl. Offline Datei -Syncro) für ....\user\Documents nicht ausführen kann, weil zu viele Dateien zu synchronisieren sind (?!)
Dieser PC bekommt auch nicht das Computerzertifikat (mmc.exe -> Zertifikate als admin)
Dieser PC ist in der OU, auf welche die GPOs angewendet werden sollen.
Ich habe einen anderen PC neu in die Domäne eingebunden, da funktioniert alles (baugleicher PC, Win11 Pro)
Habe auch "Lokale Richtlinien\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Zuweisen von Benutzerrechten\Auf diesen Computer vom Netzwerk aus zugreifen" überprüft. Hier stehen Rechte für Administratoren, authentifizierte Benutzer, Benutzer, Jeder, Sicherungs-Operatoren
Die Dokumentation zur Fehlermeldung bei Microsoft scheint veraltet zu sein. (Server 2008...)
Auch der hiesige Beitrag ist schon etwas älter (2011)
Kann mir jemand einen Tipp geben, was ich überprüfen kann?
Besten Gruß, Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670980
Url: https://administrator.de/forum/gpos-werden-nur-auf-einem-rechner-nicht-aktualisiert-670980.html
Ausgedruckt am: 29.01.2025 um 00:01 Uhr
33 Kommentare
Neuester Kommentar
Tja, die Überprüfung mit nslookup hostname liefert etwas (Richtiges) zurück. Ich schau mal am Server, ob ich dort irgendeine Unterschiedlichkeit finde...
Habe den DNS Server überprüft:
In der Forward-Lookupzone steht der hostname drin (A-Eintrag)
und in Reverse... auch
IP4 Adressen stimmen...
was gibt's sonst noch hier?
Habe den DNS Server überprüft:
In der Forward-Lookupzone steht der hostname drin (A-Eintrag)
und in Reverse... auch
IP4 Adressen stimmen...
was gibt's sonst noch hier?
Moin,
+1 für DNS
Am Client mal ein
Dazu dann bitte kurz erklären, welches System welche IP hat.
+1 für DNS
Am Client mal ein
ipconfig /all ausführen und das Ergebnis hier (anonymisiert) posten.Dazu dann bitte kurz erklären, welches System welche IP hat.
kommt sofort...
192.168.0.1 ist AD DC, DHCP, DNS... Server
192.168.0.100 ist der PC, der keine GPOs updatet
192.168.0.1 ist AD DC, DHCP, DNS... Server
192.168.0.100 ist der PC, der keine GPOs updatet
- Uhrzeit am Client und DC synchron?
- Vertrauensstellung mal zurücksetzen Reset-ComputermachinePassword .
Gruß gastric
Hallo,
probier mal oder das Computerkonto zurückzusetzen.
Grüße
probier mal
ipconfig /registerdnsGrüße
Uhrzeit ist syncron,
aber Reset-ComputermachinePassword liefert:
aber Reset-ComputermachinePassword liefert:
Zitat von @Flash600:
Hallo,
probier mal oder das Computerkonto zurückzusetzen.
Grüße
Hallo,
probier mal
ipconfig /registerdnsGrüße
das habe ich schon am Freitag probiert...
Computerkonto zurücksetzen ?
Am Server in AD-Computer und Benutzer -> \domain\Domain Computers\hostname?
oder meinst Du etwas anderes?
Am Server in AD-Computer und Benutzer -> \domain\Domain Computers\hostname?
oder meinst Du etwas anderes?
hast du powershell als admin ausgeführt?
sorry, zu schnell gelesen..
ja: im AD rechtsklick auf Computer "Konto zurücksetzen" und anschliessend den computer wieder in die Domain hängen.
ja: im AD rechtsklick auf Computer "Konto zurücksetzen" und anschliessend den computer wieder in die Domain hängen.
ups, hatte powershell als normaler User ausgeführt ...
Reset-ComputerMachinePassword wurde nun (als domain admin ) ohne Rückmeldung ausgeführt.
Das Problem mit gpupdate bleibt aber bestehen.
Reset-ComputerMachinePassword wurde nun (als domain admin ) ohne Rückmeldung ausgeführt.
Das Problem mit gpupdate bleibt aber bestehen.
also: Meine Clients hängen in der Organisationseinheit "Domain Computers"
dort habe ich auf den host-> Rechtsklick -> Alle Aufgaben -> Konto zurücksetzen geklickt.
Das hat aber nicht den client entfernt...
Problem bleibt bestehen.
(Ich habe vor dem Wochenende schon den client aus der domain entfernt, und bin neu beigetreten)
kann das aber noch einmal machen ?
dort habe ich auf den host-> Rechtsklick -> Alle Aufgaben -> Konto zurücksetzen geklickt.
Das hat aber nicht den client entfernt...
Problem bleibt bestehen.
(Ich habe vor dem Wochenende schon den client aus der domain entfernt, und bin neu beigetreten)
kann das aber noch einmal machen ?
Das Computerkonto hast du ja schon zurückgesetzt...
hmm... versuch mal ipv6 auf dem Client zu aktivieren
hmm... versuch mal ipv6 auf dem Client zu aktivieren
Am Client -> Netzwerk/Freigabe Center / Adapteroptionen ändern -> Ethernet -> IPv6 war schon aktiviert
...und wieder mal das übliche .local TLD Drama! 
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
habe jetzt wieder einmal ipconfig /flushdns ausgeführt
tja, die domain lautet leider wirklich companyname.local
Interessant ist aber schon, dass sich fast alle Clients gut verhalten und nur einer aufmuckt
Umso interessanter, weil ein baugleicher PC mit gleichem OS nachher in die Domäne gehängt wurde, und dort alles funktioniert... Ich checke jetzt einmal, ob die MAC Adressen gleich sind...
So, MAC Adressen der beiden PCs sind unterschiedlich, wie auch Ihre IP (v4)
Interessant ist aber schon, dass sich fast alle Clients gut verhalten und nur einer aufmuckt
Umso interessanter, weil ein baugleicher PC mit gleichem OS nachher in die Domäne gehängt wurde, und dort alles funktioniert... Ich checke jetzt einmal, ob die MAC Adressen gleich sind...
So, MAC Adressen der beiden PCs sind unterschiedlich, wie auch Ihre IP (v4)
Zitat von @tian1974:
Am Client -> Netzwerk/Freigabe Center / Adapteroptionen ändern -> Ethernet -> IPv6 war schon aktiviert
Am Client -> Netzwerk/Freigabe Center / Adapteroptionen ändern -> Ethernet -> IPv6 war schon aktiviert
🙈 es wird Zeit Feierabend zu machen...
Findest du nichts im event-log auf dem DC?
Warum wurde das StandardGateway anonymisiert? Das wird ja auch irgendwas im Bereich 192.168.0.0/ 24 haben!?
Was sagt das Client-Eventlog?
Was sagt das Eventlog vom DC?
Patchstand des Problemclients? Windows 2000? Oder eher Win11 24H2?
192.168.0.1 ist AD DC, DHCP, DNS... Server
192.168.0.100 ist der PC, der keine GPOs updatet
OT: eine Lease von rund 31 Tagen ist auch mal ne Ansage…192.168.0.100 ist der PC, der keine GPOs updatet
Was sagt das Client-Eventlog?
Was sagt das Eventlog vom DC?
Patchstand des Problemclients? Windows 2000? Oder eher Win11 24H2?
DC, CA, SQL und VPN-Server gleichzeitig na Prost Mahlzeit, heute ist doch erst Montag ...🙊
Hyper-V drauf und Rollen aufteilen....
Hyper-V drauf und Rollen aufteilen....
So viele Fragen...
Lease von 31 Tagen - Habe sie jetzt auf drei Tage heruntergesetzt
Hier eine Fehlermeldung vom Server-Eventlog:
Fehlermeldung Client Event Log:
Außerdem hat sich nun die Fehlermeldung bei gpupdate verändert!
Zur Bemerkung DC, CA und VPN auf einem Server: Es handelt sich um ein sehr kleines Unternehmen, es gibt eigtl kein Budget für Server, Lizenzen usw.!
Client OS: Win 11 Pro 24H2
Lease von 31 Tagen - Habe sie jetzt auf drei Tage heruntergesetzt
Hier eine Fehlermeldung vom Server-Eventlog:
Fehlermeldung Client Event Log:
Außerdem hat sich nun die Fehlermeldung bei gpupdate verändert!
Zur Bemerkung DC, CA und VPN auf einem Server: Es handelt sich um ein sehr kleines Unternehmen, es gibt eigtl kein Budget für Server, Lizenzen usw.!
Client OS: Win 11 Pro 24H2
Wünsche erstmal allerseits einen schönen Abend... Morgen geht's weiter...
Jetzt ist mir doch noch etwas aufgefallen:
Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Auf dem Server -> Ping otherClient -> funktioniert
Auf dem client -> ping Server -> funktioniert
Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Auf dem Server -> Ping otherClient -> funktioniert
Auf dem client -> ping Server -> funktioniert
Moin,
was sagt in der Powershell denn:
Zufällig public?
VG,
Torsten
was sagt in der Powershell denn:
Get-NetConnectionProfileZufällig public?
VG,
Torsten
Zitat von @tian1974:
Jetzt ist mir doch noch etwas aufgefallen:
Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Auf dem Server -> Ping otherClient -> funktioniert
Auf dem client -> ping Server -> funktioniert
Jetzt ist mir doch noch etwas aufgefallen:
Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Auf dem Server -> Ping otherClient -> funktioniert
Auf dem client -> ping Server -> funktioniert
standardmäßig blockt die Windows-Firewall (client)icmp
Hallo,
Als wenn heute der neue Freitag ist und alle nur noch auf Obelix reagieren...
@em-pie:
Gruss,
Peter
Zitat von @tian1974:
dort habe ich auf den host-> Rechtsklick -> Alle Aufgaben -> Konto zurücksetzen geklickt.
Das hat aber nicht den client entfernt...
Warum sollte es? Dort steht doch eindeutig Konto zurücksetzen und nicht Computer im AD Löschen. Lesen hilft oftmals...dort habe ich auf den host-> Rechtsklick -> Alle Aufgaben -> Konto zurücksetzen geklickt.
Das hat aber nicht den client entfernt...
(Ich habe vor dem Wochenende schon den client aus der domain entfernt, und bin neu beigetreten)
Aber seit dem haste noch ne ganze menge gemacht und getan. Also nochmals den Client aus der Domäne schmeissen. Kann sein das es dann geht, kann aber auch sein das es dann immer noch nicht geht.Als wenn heute der neue Freitag ist und alle nur noch auf Obelix reagieren...
@em-pie:
OT: eine Lease von rund 31 Tagen ist auch mal ne Ansage
Hab schon Leute gehabt die sich beschwerten das man keine 365 Tage dort stehen hatte Gruss,
Peter
Hallo,
Sunbentzmasken passen?
Firewalls sind alle korrekt?
Gruss,
Peter
Zitat von @tian1974:
Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Ping Client ist welche IP?Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Auf dem Server -> Ping otherClient -> funktioniert
Ping otherClient ist welche IP?Auf dem client -> ping Server -> funktioniert
Ping Server ist welche IP?Sunbentzmasken passen?
Firewalls sind alle korrekt?
Gruss,
Peter
Zitat von @tian1974:
Jetzt ist mir doch noch etwas aufgefallen:
Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Auf dem Server -> Ping otherClient -> funktioniert
Auf dem client -> ping Server -> funktioniert
Jetzt ist mir doch noch etwas aufgefallen:
Auf dem Server-> Ping client -> name wird aufgelöst, aber Zeitüberschreitung der Anforderung
Auf dem Server -> Ping otherClient -> funktioniert
Auf dem client -> ping Server -> funktioniert
Moin,
kann sein, dass auf dem Client die lokale Firewall den Ping blockt - dann antwortet er nicht. Du kannst das auf dem Client in der "Windows Defender Firewall mit erweiterter Sicherheit" -> "Eingehende Regeln" -> "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend)" für die Bereiche Dömane/Privat/Öffentlich checken.
Die IP 192.168.0.100 ist schon auffällig, kann aber auch Zufall sein. Mal auf dem DHCP-Server checken, ob das mit der Realität übereinstimmt. Nicht, dass die IP im Netz zweimal vergeben ist, vielleicht auch irgendwo statisch eingerichtet?
Um zu testen, an welchen Client der Server sein Ping schickt:
(auf dem Server)
PING -n 1 192.168.0.100 && arp -a | FINDSTR "192.168.0.100" Eine Holzhammer-Methode ist den Client aus dem AD zu nehmen (Neustart nicht vergessen), auf dem DC das Computer-Objekt des Clients löschen und dann den Client wieder neu beim AD anmelden. Es können dann aber ggf. Eingruppierungen, Gruppenrichtlinien, etc. für den Client verloren gehen - je nachdem wieviel Aufwand diesbezüglich betrieben wurde also mit Vorsicht genießen.
Gruß
TA
Mal so ein pragmatischer Ansatz:
Client aus der Domäne raus
Client umbenennen
Client wieder in die Domäne rein
Client aus der Domäne raus
Client umbenennen
Client wieder in die Domäne rein
Hallo,
in deinen ipconfig-Screenshots steht bei deiner IP "bevorzugt" dabei.
Das hatte ich bisher nur bei doppelt vergebenen IP's.
cya
in deinen ipconfig-Screenshots steht bei deiner IP "bevorzugt" dabei.
Das hatte ich bisher nur bei doppelt vergebenen IP's.
cya
1
1. sicherstellen das domain.local angepingt werden kann.
2. testpc an dem gleichen Anschluss/ipconfig testen
3. mtu kontrollieren
4. Switch kontrollieren (vlan/routing) ggf. neustarten
5. Windows Firewall ausschalten (beide seiten)
6. tcp/ip stack reset
7. Zertifikate auf gültigkeit kontrollieren
8. lokale gpo configs löschen und neu ziehen
9. dcdiag
10. sfc /scannow
11. kabel/nic tauschen
12. dns/ntp prüfen
In den seltensten Fällen ist das computerkonto der ad defekt, das merkt man meist an mehreren Clients.
2. testpc an dem gleichen Anschluss/ipconfig testen
3. mtu kontrollieren
4. Switch kontrollieren (vlan/routing) ggf. neustarten
5. Windows Firewall ausschalten (beide seiten)
6. tcp/ip stack reset
7. Zertifikate auf gültigkeit kontrollieren
8. lokale gpo configs löschen und neu ziehen
9. dcdiag
10. sfc /scannow
11. kabel/nic tauschen
12. dns/ntp prüfen
In den seltensten Fällen ist das computerkonto der ad defekt, das merkt man meist an mehreren Clients.
Zitat von @tian1974:
kommt sofort...
192.168.0.1 ist AD DC, DHCP, DNS... Server
192.168.0.100 ist der PC, der keine GPOs updatet
kommt sofort...
192.168.0.1 ist AD DC, DHCP, DNS... Server
192.168.0.100 ist der PC, der keine GPOs updatet
Moin,
zeige bitte die Standardgateways. Allein die Tatsache, dass das Feld zweizeilig ist bedeutet, dass es zwei Gateways gibt?
+1 für Computer nochmal aus der Domäne nehmen, umbenennen und neu in die Domäne aufnehmen. Und deaktiviere testweise IPv6 am problematischen Client. Und was sagt deine DHCP Leaseübersicht, gibt es dort BAD_ADDRESS Einträge? Wie groß ist dein DHCP Pool, ist der groß genug?
MfG
