Win2k8 - GPOs werden zum Teil nicht angewendet
Mal wieder...
Ahoi! Ich weiss, dass das Thema vermutlich schon tausende Male durchgekaut wurde, aber scheinbar ist es doch immer wieder neu und "erfrischend", und immer wieder ein wenig anders.
Ich hab hier einen Win2k8 Std. Server und einen WinXp Pro SP3 Client. Der Server ist AD DC, und ist Grob so eingestellt:
Usergruppen:
- Admins (Mitglied der Domänenadmins)
- Mitarbeiter (Mitglied der Domänenuser)
- Teilnehmer ( " )
Einzelne User sind Mitglieder dieser Gruppen.
Den Gruppen sind ein paar GPOs zugewiesen, die schrittweise die Einstellungen bis hin zum "Teilnehmer" reduzieren. Die Hierachie ist dabei:
Default Domain Policy -> Admins -> Mitarbeiter -> Teilnehmer
User der entsprechenden Gruppen bekommen laut Simulation auch wirklich nur die Policies bis zu ihrer Stufe mit auf den Weg.
Das Problem ist nun, dass mein Client den Server offenbar nicht findet - bzw. nur so "halb"! Anmelden an und für sich geht, gegenprobe mit ausgestöpseltem Server ergab: Keine Anmeldung möglich, da Domain nicht verfügbar. Klingt gesund.
Ab dann wird's allerdings unschöner, da die GPOs auf dem Client nicht automatisch aktualisiert werden. Ein gpupdate /force brachte letzte Woche noch Linderung, wäre aber nie eine Endlösung gewesen. Das MUSS automatisch gehen. Nunja, leider klappt auch das mittlerweile nicht mehr, und ich habe nicht die leiseste Ahnung warum... Die Anzeige während der Updates schaut völlig okay aus, aber gpresult sagt es lägen keine Daten vor, egal ob mit oder ohne Neuanmeldung.
Das hab ich heute gemerkt, als ich versuchte das Problem gpupdate zu automatisieren, nämlich über ein Script. Herrlicherweise wollte ich das via GPO einbinden, wobei sich die Katze natürlich ganz wunderbar in den Wirbelsäulenfortsatz (prima, der eigentliche Name dafür wird zensiert...) beisst. Dabei tauchte dann ein weiteres Problem auf: Scripts werden nicht ausgeführt. Egal ob dem Konto direkt zugewiesen und im Netlogon, oder via GPO. Die Erkennung langsamer Verbindungen hab ich via GPO ebenfalls versucht auszuschalten, aber... diese lassen sich ja mittlerweile nicht mehr updaten! Zumal pings mit <1ms nicht nach langsamer Verbindung riechen (in beide Richtungen), und ICMP ist explizit dafür in der Server FW aktiviert.
Fazit: Ich kann problemlos in beide Richtungen pingen, DNS klappt 1a, und Zugriffe auf Freigaben sind flott. Die Anmeldung dauert aber seltsam lange, und die Synchronisation beim Abmelden schlägt komplett fehl -> Orderumleitung praktisch ausser Kraft gesetzt. Die Firewall auf dem Client ist testweise komplett aus. GPOs ließen sich mal updaten, mittlerweile nicht mehr (einzige Änderung: Client FW ausgeschaltet um pings des Servers durchzulassen).
WÜRDE die Anmeldung + aktualisierung der GPOs klappen, so prognostiziert mir die Gruppenrichtlinienmodellierung Konten genau wie ich sie mir wünschte, d.h. nach hinten raus dürfte an sich alles passen. Ich muss nur mal hin kommen
Da ich noch sehr neu in dem Gebiet bin, stehe ich gerade wie Ochs vorm Berg. Was kann hier schief laufen?
Besten Dank schon mal für jegliche Anregungen!
Gruß,
Medium9
Ahoi! Ich weiss, dass das Thema vermutlich schon tausende Male durchgekaut wurde, aber scheinbar ist es doch immer wieder neu und "erfrischend", und immer wieder ein wenig anders.
Ich hab hier einen Win2k8 Std. Server und einen WinXp Pro SP3 Client. Der Server ist AD DC, und ist Grob so eingestellt:
Usergruppen:
- Admins (Mitglied der Domänenadmins)
- Mitarbeiter (Mitglied der Domänenuser)
- Teilnehmer ( " )
Einzelne User sind Mitglieder dieser Gruppen.
Den Gruppen sind ein paar GPOs zugewiesen, die schrittweise die Einstellungen bis hin zum "Teilnehmer" reduzieren. Die Hierachie ist dabei:
Default Domain Policy -> Admins -> Mitarbeiter -> Teilnehmer
User der entsprechenden Gruppen bekommen laut Simulation auch wirklich nur die Policies bis zu ihrer Stufe mit auf den Weg.
Das Problem ist nun, dass mein Client den Server offenbar nicht findet - bzw. nur so "halb"! Anmelden an und für sich geht, gegenprobe mit ausgestöpseltem Server ergab: Keine Anmeldung möglich, da Domain nicht verfügbar. Klingt gesund.
Ab dann wird's allerdings unschöner, da die GPOs auf dem Client nicht automatisch aktualisiert werden. Ein gpupdate /force brachte letzte Woche noch Linderung, wäre aber nie eine Endlösung gewesen. Das MUSS automatisch gehen. Nunja, leider klappt auch das mittlerweile nicht mehr, und ich habe nicht die leiseste Ahnung warum... Die Anzeige während der Updates schaut völlig okay aus, aber gpresult sagt es lägen keine Daten vor, egal ob mit oder ohne Neuanmeldung.
Das hab ich heute gemerkt, als ich versuchte das Problem gpupdate zu automatisieren, nämlich über ein Script. Herrlicherweise wollte ich das via GPO einbinden, wobei sich die Katze natürlich ganz wunderbar in den Wirbelsäulenfortsatz (prima, der eigentliche Name dafür wird zensiert...) beisst. Dabei tauchte dann ein weiteres Problem auf: Scripts werden nicht ausgeführt. Egal ob dem Konto direkt zugewiesen und im Netlogon, oder via GPO. Die Erkennung langsamer Verbindungen hab ich via GPO ebenfalls versucht auszuschalten, aber... diese lassen sich ja mittlerweile nicht mehr updaten! Zumal pings mit <1ms nicht nach langsamer Verbindung riechen (in beide Richtungen), und ICMP ist explizit dafür in der Server FW aktiviert.
Fazit: Ich kann problemlos in beide Richtungen pingen, DNS klappt 1a, und Zugriffe auf Freigaben sind flott. Die Anmeldung dauert aber seltsam lange, und die Synchronisation beim Abmelden schlägt komplett fehl -> Orderumleitung praktisch ausser Kraft gesetzt. Die Firewall auf dem Client ist testweise komplett aus. GPOs ließen sich mal updaten, mittlerweile nicht mehr (einzige Änderung: Client FW ausgeschaltet um pings des Servers durchzulassen).
WÜRDE die Anmeldung + aktualisierung der GPOs klappen, so prognostiziert mir die Gruppenrichtlinienmodellierung Konten genau wie ich sie mir wünschte, d.h. nach hinten raus dürfte an sich alles passen. Ich muss nur mal hin kommen
Da ich noch sehr neu in dem Gebiet bin, stehe ich gerade wie Ochs vorm Berg. Was kann hier schief laufen?
Besten Dank schon mal für jegliche Anregungen!
Gruß,
Medium9
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138410
Url: https://administrator.de/forum/win2k8-gpos-werden-zum-teil-nicht-angewendet-138410.html
Ausgedruckt am: 26.04.2025 um 11:04 Uhr
3 Kommentare
Neuester Kommentar
Ich muss an dieser Stelle leider noch mal pushen, ich weiss nicht mehr vor und zurück.
Aktueller Stand ist: Anmeldung an Domäne klappt an sich, GPOs werden dabei nicht aktualisiert. Update via "gpupdate /force" hat auch keine Wirkung, jedoch können sich Server und Client gegenseitig schnell anpingen, und der Client hat die Firewall komplett aus. "gpupdate" hat jedoch schon mal im selben Aufbau funktioniert (und damals war die FW noch an, und der Server konnte den Client NICHT anpingen, da ICMP geblockt war!).
Was kann hier passiert sein?
Aktueller Stand ist: Anmeldung an Domäne klappt an sich, GPOs werden dabei nicht aktualisiert. Update via "gpupdate /force" hat auch keine Wirkung, jedoch können sich Server und Client gegenseitig schnell anpingen, und der Client hat die Firewall komplett aus. "gpupdate" hat jedoch schon mal im selben Aufbau funktioniert (und damals war die FW noch an, und der Server konnte den Client NICHT anpingen, da ICMP geblockt war!).
Was kann hier passiert sein?
Hi.
Entfern ihn noch einmal von der Domäne, reboote und neu hinzufügen.
Entfern ihn noch einmal von der Domäne, reboote und neu hinzufügen.
Hab heute mal so diverses ausprobiert, u.a. auch deinen Vorschlag (danke dir!), aber hier läuft irgendwas so garnicht. Ich hab auch mal die ganze GPO Klamotte über Bord geworfen, und servergespeicherte Profile ausprobiert, mit dem Ergebnis, dass der Client beim Anmelden von Nichtverfügbarkeit sprach (Server ist in hosts hinterlegt) und in den Offlinemodus ging, beim Abmelden von erfolgreicher Synchronisation sprach, und dann auf dem Server im Profilpfad zwar ein paar Ordner angelegt waren, und das war es dann leider auch schon. Zudem wurden bei unterschiedlichen (aber gleichberechtigten) Usern unterschiedliche Unterordner erzeugt, und andere mal weg gelassen.
Irgendwo ist da in der Kommunikation MÄCHTIG der Wurm drin. Pingen und Ordnerfreigaben so wie Netzlaufwerke klappen komischerweise alle ganz wunderprächtig, sind schnell und stabil und alles schön. Aber Anmelden und Abmelden jeglicher Coleur mit Domäne, keine Chance.
Da ist mittlerweile viel zu viel Lern- und Probierzeit drin verbraten, ich werde auf ein Modell ohne DC, mit Ordnerfreigaben und PC-Gebundenen Netzlaufwerken umsteigen. Die Userverwaltung ist zum Glück nicht kriegsentscheidend, wäre aber ein sehr elegantes Bonbon gewesen, dass ich gern gesehen hätte.
Falls noch jemand einen genialen Einfall hat: Einen letzten Versuch würd ich noch wagen! Also trotz meiner Resignation bitte nicht zurückhalten! ;)
Irgendwo ist da in der Kommunikation MÄCHTIG der Wurm drin. Pingen und Ordnerfreigaben so wie Netzlaufwerke klappen komischerweise alle ganz wunderprächtig, sind schnell und stabil und alles schön. Aber Anmelden und Abmelden jeglicher Coleur mit Domäne, keine Chance.
Da ist mittlerweile viel zu viel Lern- und Probierzeit drin verbraten, ich werde auf ein Modell ohne DC, mit Ordnerfreigaben und PC-Gebundenen Netzlaufwerken umsteigen. Die Userverwaltung ist zum Glück nicht kriegsentscheidend, wäre aber ein sehr elegantes Bonbon gewesen, dass ich gern gesehen hätte.
Falls noch jemand einen genialen Einfall hat: Einen letzten Versuch würd ich noch wagen! Also trotz meiner Resignation bitte nicht zurückhalten! ;)
