alternativende
Goto Top

Softwareinstall-GPO wird nicht angewendet

Hallo zusammen,
ich betreibe seit mehreren Jahren an verschiedenen Standorten Windowsdomänen und nutze die GPO um Software zu aktualisieren. Bei einer habe ich nun ein Problem bei dem ich nicht wirklich weiter komme. Bis vor ein paar Tagen hat es immer recht klaglos funktioniert.

Ich habe eine OU namens Softwareinstall, darin befindet sich meine lokale DefaultClientRichtline und diejenige wo die Installation von ausgeführt werden sollte.

Nun wird diese aber nicht angewendet und ich bekomme solche Fehler:
"Die Zuweisung der Anwendung Java 8 Update 101 der Richtlinie JAVA8101AdobeFirefox ist fehlgeschlagen. Fehler: %%53"
"Das Entfernen der Zuweisung der Anwendung Java 8 Update 101 von der Richtlinie JAVA8101AdobeFirefox ist fehlgeschlagen. Fehler: %%2"

Wenn ich mir die Gruppenrichtlinienergebnisse per Gruppenrichtlinienverwaltung für den einen Rechner der jetzt Updates bekommen soll erstelle und ansehe sehe ich folgendes:
"Die Zuweisung der Anwendung Java 8 Update 101 der Richtlinie JAVA8101AdobeFirefox ist fehlgeschlagen. Fehler: Der Netzwerkpfad wurde nicht gefunden."
"Das Entfernen der Zuweisung der Anwendung Java 8 Update 101 von der Richtlinie JAVA8101AdobeFirefox ist fehlgeschlagen. Fehler: Das System kann die angegebene Datei nicht finden."

Ansonsten tauchen da aber keine Fehler auf.

Es handelt sich um Server 2008 R2 Maschinen, Windows 7 Clients, IP´s gibts per DHCP, DNS ist auf den DC eingestellt und funktioniert auch. Firewall ist deaktiviert und in der Softwareinstallgpo ist die Einstellung aktiviert "Bei Neustart des Computers immer auf Netzwerk warten".

Hat da jemand eine Idee? Bin ein wenig ratlos.


Danke!

Edit:
Bei manchen Rechnern funktioniert es tadellos. Der betroffene ist ein brandneues Gerät, alle Updates sind aber per WSUS installiert.

Content-ID: 310994

Url: https://administrator.de/forum/softwareinstall-gpo-wird-nicht-angewendet-310994.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

xbast1x
xbast1x 27.07.2016 um 12:15:16 Uhr
Goto Top
Hi,

kannst du uns den Pfad bzw. die Syntax mitteilen?
Dirmhirn
Dirmhirn 27.07.2016 um 12:58:43 Uhr
Goto Top
Funktioniert die Installation "per Hand"?
Wie installierst du die SW? MSI, Skript, ...
Alternativende
Alternativende 27.07.2016 aktualisiert um 13:11:20 Uhr
Goto Top
Hi,
hier der Pfad zum Ordner:

\\MX01\Softwareinstall\Java8u101Adobe1501020060

und die Unterordner:

\\MX01\Softwareinstall\Java8u101Adobe1501020060\Adobe5010260\
\\MX01\Softwareinstall\Java8u101Adobe1501020060\jre180101
\\MX01\Softwareinstall\Firefox

Es soll Java und der AdobeReader installiert/aktualisiert werden und Firefox. Dieser sollte über ein Startskript installiert werden.

Per Hand funktioniert die Installation von Firefox z.B. prima. Java nicht, aber das war schon immer so bei der MSI und es funktioniert ja auch bei anderen Workstations. Da kam es jedenfalls immer zu einer Fehlermeldung wenn man das manuell installieren will.
rzlbrnft
rzlbrnft 27.07.2016 aktualisiert um 13:30:05 Uhr
Goto Top
Hast du schon versucht den kompletten FQDN zu verwenden? Also MX01.domäne.de\\Pfad
Evtl. kommt er mit dem NetBios Namen nicht zurecht.

Die Fehlermeldung deutet jedenfalls drauf hin das er zum Zeitpunkt der Ausführung entweder keine Verbindung zum oder kein Zugriff auf den bereitstellenden Server hat.

EDIT\\
Tip: Ich mach das immer innerhalb des NETLOGON Pfads, darauf sollte ein Rechner auf jeden Fall Zugriff haben und es wird repliziert und der Rechner benutzt den Anmeldeserver der als erstes geantwortet hat.
emeriks
emeriks 27.07.2016 um 13:22:36 Uhr
Goto Top
Hi,
ich würde als erstes prüfen, ob der Client den Namen MX01 korrekt auflöst. Dann, ob man von dort auf die Freigabe kommt. Als letztes die Zugriffsberechtigungen in der Freigabe und im NTFS prüfen. Das Computer-Konto benötigt bis zum Pfad min. "Ordnerinhalt auflösen"-Rechte. Auf die MSI-Datei selbst dann zusätzlich noch Lese+Ausführen.

E.
Alternativende
Alternativende 27.07.2016 um 14:07:37 Uhr
Goto Top
Die Auflösung klappt 100%ig in jede Richtung.

Mit dem vollen Namen habe ich es noch nicht probiert, wüsste auch nicht wie das gehen sollte da ich den Pfad zu den MSI´s ja nicht manuell eingebe, sondern durch das "browsen" auswähle und dann nicht mehr manuell ändern kann.

Zu den Berechtigungen:

Jeder:
Lesen, Ausführen
Ordnerinhalt anzeigen
Lesen

Authentifizierte Benutzer:
Lesen, Ausführen
Ordnerinhalt anzeigen
Lesen

Benutzer MX01\Benutzer
Lesen, Ausführen
Ordnerinhalt anzeigen
Lesen

Admins
Alles

System
Alles

Ersteller-Besitzer
Spezielle Berechtigungen

Diese werden nach unten auf alle Dateien angewandt.
emeriks
emeriks 27.07.2016 um 14:12:49 Uhr
Goto Top
Mit dem vollen Namen habe ich es noch nicht probiert, wüsste auch nicht wie das gehen sollte da ich den Pfad zu den MSI´s ja nicht manuell eingebe, sondern durch das "browsen" auswähle und dann nicht mehr manuell ändern kann.
In dem Du im Windows Explorer (Datei öffnen Dialog) schon den Pfad mit FQDN eingibst? face-wink
xbast1x
xbast1x 27.07.2016 um 15:05:08 Uhr
Goto Top
Bei den Berechtigungsgruppen fehlen die Computerkonten?
emeriks
emeriks 27.07.2016 um 15:20:20 Uhr
Goto Top
Bei den Berechtigungsgruppen fehlen die Computerkonten?
Nee, "Jeder" und "Authentifizierte Benutzer" sind doch schon drin. Dazu gehören auch die Computer.
Alternativende
Alternativende 28.07.2016 aktualisiert um 14:34:13 Uhr
Goto Top
Das hat leider auch nichts gebracht. Ich habe auch mal eine neues GPO angelegt, leider auch ohne Erfolg.

Auch wenn ich nur eine Anwendung installieren lassen möchte funktioniert es leider nicht.

Edit:
Hat jemand noch eine andere Idee?
Alternativende
Alternativende 03.08.2016 um 10:14:09 Uhr
Goto Top
Irgendjemand?

Selbst ein einfaches Startskript zum installieren von Firefox funktioniert nicht.
Dirmhirn
Dirmhirn 03.08.2016 um 11:03:10 Uhr
Goto Top
Selbst ein einfaches Startskript zum installieren von Firefox funktioniert nicht.

funktioniert das Skript wenn du von einem Client den Pfad öffnest von dem die GPO das Skript startet und es "per Hand" ausführst?
Alternativende
Alternativende 03.08.2016 aktualisiert um 11:18:09 Uhr
Goto Top
Sorry ich muss mich korrigieren. Nach einem zweiten Neustart ging es doch, aber nur das Startksript!

Ich habe aber noch einen anderen Fehler in der Eventlog gefunden und zwar folgenden:

Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne WORKGROUP aufgrund der folgenden Ursache nicht einrichten: 
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. 
Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.  

ZUSÄTZLICHE INFORMATIONEN 
Wenn dieser Computer ein Domänencontroller der bestimmten Domäne ist, wird eine sichere Sitzung zum primären Domänencontrolleremulator in der bestimmten Domäne eingerichtet. Andernfalls richtet dieser Computer eine sichere Sitzung zu einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Ich habe nun die IP des Clients schon von DHCP auf fest gestellt, den Netzwerktreiber der Onboardkarte aktualisiert und einen Voodootanz gemacht, leider bringt es alles nichts.
rzlbrnft
rzlbrnft 03.08.2016 um 13:29:01 Uhr
Goto Top
Wirf die Kiste mal aus der Domäne und nimm sie mit einem anderen Namen wieder auf.
Für DCDIAG auf den Domain Controllern aus um da Fehler auszuschliessen.
Stelle sicher das an den Berechtigungen im DNS Server nichts verdreht wurde.
Probier ein WHOIS auf verschiedene Netzwerkgeräte ob du die alle findest.

Die Fehlermeldung deutet daraufhin das entweder am Client oder am DC mit Active Directory schon was nicht funktioniert.
Alternativende
Alternativende 08.08.2016 um 12:01:49 Uhr
Goto Top
Ich habe den Rechner mal aus der Domäne geworfen und wieder aufgenommen. Brachte leider auch nichts.

Netzwerkkarte habe ich auch schon getauscht. DCDIAG werde ich mal am Mittwoch an dem Gerät testen.

An den Berechtigungen hat niemals jemand etwas verstellt. WHOIS und nslookup funktionieren in alle Richtungen.
Alternativende
Alternativende 09.08.2016 aktualisiert um 08:47:26 Uhr
Goto Top
DCDIAG auf dem DC bringt leider auch nichts. Er hat alle Tests bestanden, bemängelt nur ein paar fehlende Druckertreiber.

Hier mal ein volles gprseult von dem entsprechenden Client: http://pastebin.com/Xgt1Vym9
rzlbrnft
rzlbrnft 09.08.2016 um 15:02:28 Uhr
Goto Top
Mich irritiert hier "Gruppenrichtlinienobjekt: Nicht zutreffend" bei der Installation vom Acrobat Reader.
Ich würde das Objekt wo die Installation drin ist mal aus dem SYSVOL Ordner löschen und die GPO neu erstellen.
Er müsste da eigentlich einen Namen anzeigen.
Alternativende
Alternativende 10.08.2016 um 12:34:47 Uhr
Goto Top
Hallo,
ich habe das GPO Opbjekt komplett etnfernt und nach ein paar Neustarts tauch es jetzt auch nicht mehr im GPRESULT auf, dieser sieht jetzt so aus.

http://pastebin.com/LqFM6SQh

Ich habe jetzt noch eine dritte Netzwerkkarte drin, aber leider hat das auch nichts gebracht. DHCPMeidaSens ist mittlerweile auch deaktiviert.
Alternativende
Alternativende 10.08.2016 aktualisiert um 13:20:44 Uhr
Goto Top
Ich habe das Problem gelöst...

Geholfen hat mir letztlich folgende Diskussion:

http://www.mcseboard.de/topic/199835-computer-finden-dom%C3%A4nencontro ...

Und insbesodnere diese Einstellung (Auf Verbindung warten im Gerätemanager unter Erweitert der neuen Intel Netzwerkkarte):

gponichtuebernommen5719

Vielen vielen Dank für die zahlreichen Vorschläge und Hilfen!