Gruppenmitgliedschaft für Domänencomputer wird nicht aktualisiert

Mitglied: kleinerbub

kleinerbub (Level 1) - Jetzt verbinden

18.12.2019 um 14:45 Uhr, 700 Aufrufe, 8 Kommentare, 1 Danke

Hallo liebe Kollegen,

ich habe folgendes Szenario:

Ich möchte im Netzwerk auf einigen Clients eine Software verteilen. Dazu habe ich im Active Directory eine lokale Sicherheitsgruppe erstellt, in der die Clients Mitglied sind.
Unser Tool für die Softwareverteilung (Desktop Authority) führt den Befehl für die Installation genau für diese Gruppe aus.

Das Problem ist:
Manche Clients bekommen partout die Information der neuen Gruppenmitgliedschaft nicht mit. Auch nach mehrfachem "gpupdate /force" und Reboot zeigt mir "gpresult /r" (als Admin ausgeführt) unter "Der Computer ist Mitglied der folgenden Sicherheitsgruppen" die entsprechende Gruppe nicht an.

Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.

Es scheint so, als ob ein Timeout erreicht sein muss, damit der Client sich die Information der Gruppenmitgliedschaft neu holt.

Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).

Das Problem betrifft sowohl Windows 10 (Build 16299.431), als auch Windows 7.

Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.

Gibt es einen Befehl, wie ich die Neuabfrage der Gruppenmitgliedschaft erzwingen kann?

VG kleinerbub
Mitglied: 142232
18.12.2019, aktualisiert um 15:09 Uhr
Manuell erzwingen kann man die Erneuerung des Kerberos Tickets des Computers mit
Das ist aber die Holzhammer-Methode, ansonsten erneuert ein Neustart das Token, oder 10 Stunden warten bis die Kerberos Lifetime abgelaufen ist.
Bitte warten ..
Mitglied: emeriks
18.12.2019 um 15:01 Uhr
Hi,
Zitat von kleinerbub:
Auch nach mehrfachem "gpupdate /force"
Das GPUPDATE aktualisiert keine Gruppenmitgliedschaft.
und Reboot
Aber der Neustart. Meines Wissens aktualisieren aber Computer ihre Mitgliedschaft auch ohne Neustart alle 90 (?) Minuten.
Bei Windows 10 würde ich entweder den Fast Boot deaktivieren oder den Client explizit herunterfahren und dann neu einschalten. Sonst kommt es bekanntermaßen zu Problemen bei der Anwendung von GPO's, welche ausschließlich beim Start angewendet werden können. Eben z.B. bei Software-Installationen oder Startupscripts.

Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.
s.o.

Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).
Das GPUPDATE vor dem Reboot kannst Du Dir sparen, weil die geänderte Gruppenmitgliedschaft ja eh noch nicht wirkt.

Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.
Wie hast Du das überprüft?

Gibt es einen Befehl, wie ich die Neuabfrage der Gruppenmitgliedschaft erzwingen kann?
Du könntest im SYSTEM-Kontext mit "klist purge" das Ticket löschen. Also z.B. Scheduled Task unter "SYSTEM" ausführen oder mit "PSEXEC -s".

E.
Bitte warten ..
Mitglied: erikro
18.12.2019 um 15:09 Uhr
Moin

Zitat von kleinerbub:

Hallo liebe Kollegen,

ich habe folgendes Szenario:

Ich möchte im Netzwerk auf einigen Clients eine Software verteilen.

Wie groß ist das Netzwerk? Wieviele DCs?

Dazu habe ich im Active Directory eine lokale Sicherheitsgruppe erstellt, in der die Clients Mitglied sind.

OK

Unser Tool für die Softwareverteilung (Desktop Authority) führt den Befehl für die Installation genau für diese Gruppe aus

OK


Das Problem ist:
Manche Clients bekommen partout die Information der neuen Gruppenmitgliedschaft nicht mit. Auch nach mehrfachem "gpupdate /force" und Reboot zeigt mir "gpresult /r" (als Admin ausgeführt) unter "Der Computer ist Mitglied der folgenden Sicherheitsgruppen" die entsprechende Gruppe nicht an.

gpupdate hat mit Gruppenmitgliedschaften nichts zu tun. Das erneuert die Gruppenrichtlinien und nicht die Gruppenmitgliedschaften.

Nach ungefähr einem Tag funktioniert dann die Installation plötzlich.

Aha.


Es scheint so, als ob ein Timeout erreicht sein muss, damit der Client sich die Information der Gruppenmitgliedschaft neu holt.

Auf anderen Geräten wiederum klappt es problemlos (nach gpupdate /force und Reboot).

Das Problem betrifft sowohl Windows 10 (Build 16299.431), als auch Windows 7.

Ich habe auch überprüft, dass beide DCs die Gruppenmitgliedschaft korrekt anzeigen.

Es gibt also zwei DCs. Wie hast Du geprüft, dass beide die Gruppenmitgliedschaft schon repliziert haben?

Liebe Grüße

Erik
Bitte warten ..
Mitglied: kleinerbub
18.12.2019 um 15:15 Uhr
Danke für die Hinweise.

klist –li 0x3e7 purge und klist purge hatte ich auch probiert. Allerdings nur im Admin-Kontext.
Brachte beides leider nichts. Ich werde es morgen nochmal als System versuchen.

Und was fast boot anbelangt, das gab's doch unter Windows 7 noch gar nicht. Oder täusch ich mich da? Auf Win7 Clients hatten wir jedenfalls wie beschrieben das selbe Problem.

kleinerbub
Bitte warten ..
Mitglied: emeriks
18.12.2019 um 15:17 Uhr
Zitat von kleinerbub:
Und was fast boot anbelangt, das gab's doch unter Windows 7 noch gar nicht. Oder täusch ich mich da? Auf Win7 Clients hatten wir jedenfalls
Das ist richtig. Ich hatte mich ja auch explizit auf Win10 bezogen. Das war nur am Rande bemerkt.

Weil es auch mit Win7 nicht funktioniert, tippe ich auf die DC-Replikation.
Bitte warten ..
Mitglied: kleinerbub
18.12.2019 um 15:20 Uhr
Wie groß ist das Netzwerk? Wieviele DCs?
~400 Clients, ~80 Server, 2 DCs

Es gibt also zwei DCs. Wie hast Du geprüft, dass beide die Gruppenmitgliedschaft schon repliziert haben?
Ich habe auf beiden DCs in "Active Directory-Benutzer und -Computer" in die Gruppe geschaut.
Bitte warten ..
Mitglied: emeriks
18.12.2019 um 15:31 Uhr
Zitat von kleinerbub:
Ich habe auf beiden DCs in "Active Directory-Benutzer und -Computer" in die Gruppe geschaut.
Das allein reicht nicht. Auch auf einem 2. DC wird diese sich standardmäßig mit dem PDC-Emulator verbinden. Du kannst das von nur einem Computer aus testen, indem Du die MMC der Reihe nach explizit mit jedem DC verbindest.
Bitte warten ..
Mitglied: kleinerbub
18.12.2019 um 15:35 Uhr
Ja, das ginge auch. Ich habe auf jedem DC aber die mmc direkt mit dem jeweiligen DC verbunden, was im Effekt auf das selbe hinauslaufen sollte.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

LAN, WAN, Wireless
Studentenwohnheim LAN Anschluss mit Router verbinden
SchweisserFrageLAN, WAN, Wireless8 Kommentare

Hallo Leute, ich habe zu dem Thema schon einige Beiträge gelesen, konnte aber für meinen Fall bisher keine funktionierende ...

Humor (lol)
Wir werden alt
Dilbert-MDFrageHumor (lol)7 Kommentare

Themenbereich OT Neulich bei einem IT-Problem: Ein IT-Problem ist kein Problem, wenn man die richtigen Suchbegriffe und Fachwörter in ...

DNS
DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt
DerDummePeterFrageDNS7 Kommentare

Moin, ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu ...

Ähnliche Inhalte
Windows Userverwaltung
Datum einer Gruppenmitgliedschaft
gelöst slanskyFrageWindows Userverwaltung1 Kommentar

Hallo Leute, Kann man im AD nachvollziehen seit wann jemand Mitglied einer Gruppe ist?

Windows Userverwaltung

Windows Gruppenmitgliedschaft auf Gruppe beschränken

gelöst lcer00FrageWindows Userverwaltung8 Kommentare

Hallo Zusammen, mir fehlt gerade ein Ansatz: Ich habe eine Windows-Sicherheits-Gruppe GruppeA mit Benutzern. Wenn ich GruppeA in Gruppe ...

Windows Server

Zugriff auf Ordner über Gruppenmitgliedschaft Domänen-Admins

Bl0ckS1z3FrageWindows Server2 Kommentare

Hallo Admins, ich habe gerade einen neuen Windows Server 2019 installiert und der soll als Dateiserver laufen. Ich habe ...

Windows 10

Win10 Creators Update aktualisiert nicht

gelöst supertuxFrageWindows 1010 Kommentare

Hallo, habe versucht über das Tool ein bestehendes Windows 10 1607 incl. aktuelle Updates zu aktualisieren. Die beiden PCs ...

DNS

DNS nun aktualisiert oder nicht?

coltseaversFrageDNS2 Kommentare

Hi ho, ich betreibe auf ner älteren Debiankiste einen Bind, Version 9.8.4. In der Konfig enthalten ist eine bind.keys ...

Windows Server

GPO Netzlaufwerk aktualisiert sich nicht

gelöst newit1FrageWindows Server2 Kommentare

Hallo ! Folgendes Problem: Ein Benutzer1 ist im AD in der Organizational Unit1. Eine entsprechende Gruppenrichtlinie mit Scope auf ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT