none
Gruppenrichtlinien über Standort hinweg funktioniert nicht. Ereignis 1030 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    folge Situation: 2 Standorte: A und B

    Standort A hat 2 DC (in einer Windows Server 2008 Domäne). Dazu noch jede Menge Clients. Hier funktioniert soweit alles bestens. Standort A ist mit Standort B über eine feste VPN Verbindung verbunden. Beide Standort haben ihren eigenen IP Adress Bereich und sind auch im Active Directory eingetragen. An B steht noch ein RODC. Hier sind auch die Benutzer und Computer von B als Offlinebenutzer eingetragen.

    Nun zum Problem: An Standort B bekommen die Benutzer ihre Gruppenrichtlinie nicht. Habe zum testen einfach mal einen Drucker installieren wollen. Im Ereignisprotokoll erscheint das "Ereignis 1030, GroupPolicy: Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert."

    Unter Details bekomme ich das: 

    ErrorDescription Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.  
      DCName \\"dc1 oder dc2 von standort A".domäne.local 

    Ok. Von Client kann ich aber ohne Probleme auf \\dc1, \\dc2 oder \\domäne zugreifen.

    NSLOOKUP und PING funktionieren auch in alle Richtungen. Netlogon Scripte funktionieren an Standort B auch ohne Probleme.

    GPUPDATE bringt oben genannten Fehler...

    Jemand eine Idee?

    Edit: Gerade noch eine Fehlermeldung gefunden: LsaSrv 40961 - "Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server LDAP/RODC an B.DOMÄNE.rkg.local/DOMÄNE.local@DOMÄNE.LOCAL herstellen. Es war kein Authentifizierungsprotokoll verfügbar."

    Danke!


    • Bearbeitet r33n Mittwoch, 27. Juni 2012 11:30
    Mittwoch, 27. Juni 2012 09:54
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ja die Drucker sollte man nicht als erstes nehmen, allerdings sind es ja auch nicht meine ersten Gehversuche mit den Gruppenrichtlinien. Habe den Fehler nun übrigens ganz woanders gefunden. Nachdem Google und Technet mal gar keine Infos zu dem Thema hergegeben haben... habe ich selber rumgesucht. Irgendwann habe ich auf den RODC mal dcdiag durchlaufen lassen und die Fehler gefunden: 

    Starting test: MachineAccount

             Checking machine account for DC RODC on DC RODC.
             * Fehlender SPN :LDAP/RODC.domäne.local/domäne.local

             * Fehlender SPN :LDAP/RODC.domäne.local

             * Fehlender SPN :LDAP/RODC

             * Fehlender SPN :LDAP/RODC.domäne.local/DOMÄNE

             * Fehlender SPN

    Einmal dcdiag /fix drüber rennen lassen und zumindest der erste fehlende SPN war wieder da und ZACK hat es beim Client auch gefunkt.

    • Als Antwort markiert r33n Mittwoch, 27. Juni 2012 13:38
    Mittwoch, 27. Juni 2012 13:38
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 27.06.2012 11:54, schrieb r33n:
    > : An Standort B bekommen die Benutzer ihre Gruppenrichtlinie nicht. Habe
    > zum testen einfach mal einen Drucker installieren wollen.
     
    Schlechter Test ;-) Versuchs mal mit "Desktop Symbole ausblenden"
    Drucker müssen auch Treiber übergeben, Datenvolumen ist aber in einem
    evtl. erkanntem SlowLink unterbunden.
    Das bedeutet, daß die GPO funktioniert, die Verbingsgeschwindigkeit aber
    meldet "es ist langsam" und damit einige Funktionen der GPO
    Infrastruktur per Default ausgeschaltet sind.
     
    Zum anderen muss die Firewall das zulassen.
    Mach mal ein "ping StandortDC -l 4096", wenn der nicht durchgeht
    verweigert deine Firewall fragmentierte ICMP Pakete.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Mittwoch, 27. Juni 2012 12:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ja die Drucker sollte man nicht als erstes nehmen, allerdings sind es ja auch nicht meine ersten Gehversuche mit den Gruppenrichtlinien. Habe den Fehler nun übrigens ganz woanders gefunden. Nachdem Google und Technet mal gar keine Infos zu dem Thema hergegeben haben... habe ich selber rumgesucht. Irgendwann habe ich auf den RODC mal dcdiag durchlaufen lassen und die Fehler gefunden: 

    Starting test: MachineAccount

             Checking machine account for DC RODC on DC RODC.
             * Fehlender SPN :LDAP/RODC.domäne.local/domäne.local

             * Fehlender SPN :LDAP/RODC.domäne.local

             * Fehlender SPN :LDAP/RODC

             * Fehlender SPN :LDAP/RODC.domäne.local/DOMÄNE

             * Fehlender SPN

    Einmal dcdiag /fix drüber rennen lassen und zumindest der erste fehlende SPN war wieder da und ZACK hat es beim Client auch gefunkt.

    • Als Antwort markiert r33n Mittwoch, 27. Juni 2012 13:38
    Mittwoch, 27. Juni 2012 13:38
    |