none
gpresult - AD/SYSVOL - Versionskonflikt RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    habe heute festgestellt das gpresult Warnung auswirft. Der Warnungsgrund ist: AD/SYSVOL - Versionskonflikt. Der Befehl repadmin /showreps "dc" zeigt keine Fehler. Die Warnmeldung kommt auch nur für 4 GPO von 25. Was mir auch aufgefallen ist das diese Warnmeldung nur auf den Windows 2012 erscheint, jedoch nicht auf den Windows 2008 R2 Servern. Als Domaincontroller haben wir einen Windows 2008 R2 Server und einen Windows 2012 Server. Fehler im Ereignislog konnte ich so erstmal nicht feststellen. Nur werden die besagten GPO, darunter auch eine die Netzlaufwerke verbinden soll, nicht auf den Windows 2012 TS Server angewendet. Im übrigen sehen GPO's in der Verwaltung auf den jeweiligen DC identisch aus.Wenn mehr Informationen benötigt werden lasst es mich bitte wissen.

    Aber vielleicht hat jemand schon eine Idee, bzw. kann mir helfen.

    J.Mai


    • Bearbeitet j.mai Mittwoch, 9. Oktober 2013 10:28
    Mittwoch, 9. Oktober 2013 10:22
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    das ist mehr oder weniger ein Bug im RSoP.

    Wenn die GP-Engine die Versionsnummer nicht lesen kann (z.B. keinen Zugriff auf die GPO),

    dann wird in der Registry der Wert 65536 für die SYSVOL Version gespeichert. Somit Unterscheiden sich die AD und SYSVOL Version in der Registry, die Policy wird also geskipped.

    Mehr Infos hier:
    http://sdmsoftware.com/group-policy-blog/bugs/a-couple-of-good-windows-8-issues-around-group-policy/

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Mittwoch, 9. Oktober 2013 10:44
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    vielen Dank erstmal für die schnelle Antwort. Nun ist mir der Hintergrund ein wenig klarer geworden.

    Es bleibt nur die Frage wie bekomme ich die entsprechenden GPO's wieder so hin das diese GPO's wieder verwendet werden?

    Hier noch eine Info:

    C:\tmp>gpupdate /force
    Die Richtlinie wird aktualisiert...

    Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
    obleme sind aufgetreten:

    Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\mar
    cant.loc\sysvol\marcant.loc\Policies\{E78A4AC5-10F8-4B72-BF24-C16157CFAF27}\gpt.
    ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenric
    htlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behobe
    n ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine
    der folgenden Ursachen haben kann:
    a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
    b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
    ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).

    c) Der DFS-Client (Distributed File System) wurde deaktiviert.
    Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen.

    Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "
    GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
    bnisse zuzugreifen.

    Wenn ich aber versuche manuell darauf zuzugreifen bekomme ich keine Fehlermeldung...

    J.Mai

    Mittwoch, 9. Oktober 2013 11:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Dann prüfe mal, ob es dieses Verzeichnis auf allen Deinen DCs gibt...

    for /f %S in ('dsquery server ^| dsget server -dnsname ') do dir \\%S\sysvol\%userdnsdomain%\policies\{E78A4AC5-10F8-4B72-BF24-C16157CFAF27}

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Mittwoch, 9. Oktober 2013 12:34
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    da wir nur 2 DC's haben habe ich das gerade manuell nachgeschaut. Sind beide da, was mir allerdings aufgefallen ist das die Sicherheitseinstellungen unterschiedliche Eintrage haben. Ich habe z.B. eben der GPO bei der Sicherheitsfilterung 2 TS Server hinzugefügt. Dieses sehe ich auch auf dem dc1 aber nicht auf dem dc2. In der Verwaltungskonsole werden aber auf beiden Server die beiden TS Server mit angezeigt, nur halt nicht im Filesystem.

    J.Mai

    Mittwoch, 9. Oktober 2013 12:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    es handelt sich ja nur um 4 GPOs.
    Kopiere mal diese GPOs (ohne die Sicherheitseinstellungen).

    Danach die Sicherheitseinstellungen neu vergeben und die originalen GPOs löschen.
    (allerdings nicht wenn es sich um die Default Domain Policy oder Default Domain Controllers Policy) handeln sollte.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 9. Oktober 2013 19:27
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Du kann natürlich auch vorher versuchen die GPOs auf die Default Berechtigungen zurückzusetzen
    (geht auch aus der GPMC raus).

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 9. Oktober 2013 19:28
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Matthias, wenns nimmer repliziert, wird's das auch nicht replizieren :)

    (Wenn's nicht nur ein temporärer Replikationsschluckauf war)

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Mittwoch, 9. Oktober 2013 20:48
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    (Wenn's nicht nur ein temporärer Replikationsschluckauf war)

    Genau deswegen.

    Wenn er eine neue Policy anlegt bzw. kopiert, hat er neue GUIDs.
    Dann ist relativ schnell klar ob repliziert wird oder nicht.
    Jetzt ist es einfach nur ein ACL-Misch-Masch.

    Das bisschen Geklicke dauert 2 Minuten...

    (Alternativ einfach ein File ins SYSVOL legen, einfachster Replikationstest)

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!


    Donnerstag, 10. Oktober 2013 05:27
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du hier weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 11. Oktober 2013 11:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wenn ich die GPO auf beiden Serve einmal editieren, also dc1 (2008 DC) und dc2 (2012 DC) verschwindet der Versionskonflikt zumindest kurz. Scheint aber wieder zu kommen. Ich muss nun mal prüfen ob das bei einer neuen GPO mit gleichem Inhalt auch so ist, und ob ich dadurch das Problem entgültig aus der Welt schaffen kann.

    Kann das Problem denn dadurch entstehen das die GPO von unterschiedlichen Windows DC Versionen editiert wird?

    J.Mai

    Freitag, 11. Oktober 2013 11:07
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Kann das Problem denn dadurch entstehen das die GPO von unterschiedlichen Windows DC Versionen editiert wird?

    die GPMC verbindet sich standardmäßig mit dem DC, der die PDC-Emulator Rolle hält.
    Dort wird dann die Policy editiert.
    Die Replikation der DCs (File Replication Service oder DFS-R) sorgt dann für den Abgleich der DCs.

    Schau dir bitte auch einmal die Eventlogs auf den DCs an.
    Deutet dort etwas auf Replikationsprobleme hin?

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 11. Oktober 2013 13:57
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    die GPMC verbindet sich standardmäßig mit dem DC, der die PDC-Emulator Rolle hält. Dort wird dann die Policy editiert.

    Der Vollständigkeit halber: Wenn der PDC in einem anderen Standort ist und am aktuellen Standort auch noch ein DC vorhanden ist, dann kommt es bei manchen SnapIns vor, daß zwar die GPO auf dem PDC erstellt wird, die Settings aber auf dem lokalen DC landen. Nicht jedes SnapIn verwendet den gleichen DC wie die GPMC selbst oder auch nur wenigstens denjenigen, den GPEdit anzeigt.

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Samstag, 12. Oktober 2013 12:10
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Der Vollständigkeit halber: Wenn der PDC in einem anderen Standort ist und am aktuellen Standort auch noch ein DC vorhanden ist, dann kommt es bei manchen SnapIns vor, daß zwar die GPO auf dem PDC erstellt wird, die Settings aber auf dem lokalen DC landen.

    Konntest du das jemals reproduzieren?
    Ich habe da etwas im Hinterkopf von einem Bug, der des genannte Verhalten verursacht...

    Sollte das jedoch immer (noch) so sein, dann wäre dies definitiv ein Problem.
    Nehmen wir z.B. PDC-Emulator = DC01. Site-DC = DC02.

    Die Policy wird auf DC01 erstellt. 30 Sekunden später willst du die Settings definieren.
    Diese würden dann jedoch auf DC02 landen. Zu diesem Zeitpunkt wäre also die Policy noch nicht repliziert auf DC02 (Inter-Site). Das sollte zu einem Fehler führen.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Sonntag, 13. Oktober 2013 16:14
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    also Replizierungsfehler kann ich im Ereignislog nicht finden. DFSR Fehler nur für eine andere DFSR Quelle welche mit dem sysvol gar nichts zu tun hat. Aber auch dort sind es nur Warnungen.

    Ich habe eben mal eine neue GPO angelegt. Diese wird ohne Fehler angewendet, allerdings sehe ich im Policy Ordner die GPO nur auf dem dc1 wo ich dieses angelegt habe. Selbst nach 30min sehe ich diese noch nicht im Ordner auf dc2.

    J.Mai

    Montag, 14. Oktober 2013 10:56
    |
  • Question
    Anmelden
    0
    Anmelden
    Konntest du das jemals reproduzieren?

    Ja. Da WLAN-Snapin von Vista macht es auf jeden Fall falsch :-) Alle weiteren habe ich nicht mehr wirklich untersucht, hatte aber vor kurzen einen ähnlichen Fall: PDC steht in meinem Standort, GPMC ist aber - versehentlich - mit einem DC in einem anderen Standort verbunden -> Sysvol-Ordner wurde doppelt angelegt.

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Montag, 14. Oktober 2013 16:25
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Wird Dein Sysvol per NTFRS oder per DFSR repliziert? Und unabhängig davon: Das läuft wohl auf einen D2-Restore für DC2 hinaus...

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Montag, 14. Oktober 2013 16:26
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Ich liefere mal gleich die passenden Links mit.

    Falls FRS:
    http://support.microsoft.com/kb/290762/en-us

    Falls DFS-R:
    http://support.microsoft.com/kb/2218556

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 15. Oktober 2013 13:56
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Soweit ich mich nicht täusche ist der Standard ja eigentlich NTFRS, da ich das nicht geändert habe wird das wohl so sein.

    Ich habe übrigens die GPO's wo eine Warnmeldung gekommen ist gelöscht und neu angelegt. Bisher sieht es eigentlich gut aus. Ich habe aber hier auch intern erstmal kommuniziert das die Anpassung von GPO's erstmal nur vom DC1 durchgeführt werden soll.

    J.Mai

    Mittwoch, 16. Oktober 2013 14:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe aber hier auch intern erstmal kommuniziert das die Anpassung von GPO's erstmal nur vom DC1 durchgeführt werden soll.

    Sollte es ein Problem in der FRS Replikation geben, dann solltest du das schnellstens beseitigen.

    Les dir mal den genannten Artikel durch. Klingt komplizierter als es ist.

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Mittwoch, 16. Oktober 2013 15:15
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Bis auf die Meldung mit dem Versionskonflikt deutet erstmal nichts auf ein generelles Problem hin. Ich hatte mir die beiden Artikel schon angeschaut. Ich habe diese Art der Repikation auch schon einmal bei einem Kunden durchgeführt, von daher ist mir das nicht ganz fremd ;)

    Ich vermute derzeitig das von einem anderen Server, wo auch eine GPOMC installiert ist und wo Citrix ADM Vorlagen vorhanden sind die GPO modifiziert wurden und das Problem daher stammt. Aber warum das ist halt noch "schleierhaft".

    J.Mai

    Donnerstag, 17. Oktober 2013 11:02
    |
  • Question
    Anmelden
    0
    Anmelden

    So wie es aussieht haben wir das Problem gefunden.

    Wir haben eine DFSR Freigabe auf unserem Exchange und auf dem dc1, von dieser haben wir diverse Warnings im Ereignislog. Nun haben wir den dc1 aus dem DFSR entfernt und danach wurde alles sofort richtig repliziert. Auch die Fehler, welche per gpresult gezeigt wurden sind verschwunden.

    Kann es sein das es keine Gute Idee ist eine DFSR Freigabe auf einem DC zu haben?

    J.Mai

    Samstag, 19. Oktober 2013 06:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Wir haben eine DFSR Freigabe auf unserem Exchange und auf dem dc1

    AFAIK sollte das kein Problem darstellen.

    Welche Datenmenge wurde da repliziert?
    Aus welchem Zweck?

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Samstag, 19. Oktober 2013 17:49
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    in der Freigabe sind 35GB Daten drinne. Inhalt sind die Terminalserver Profile der User mit deren Daten die Sie dort drinne haben.  ( Documente wie Word, Excel, etc.)

    J.Mai

    Dienstag, 22. Oktober 2013 12:29
    |
  • Question
    Anmelden
    0
    Anmelden
    Böse Welt... Profile und Homesets in ein DFS legen ist ja noch ok, aber replizieren ist nicht ok. Dein Backlog wird nie leer sein und die Replikation nie fertig. Oder?

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Dienstag, 22. Oktober 2013 14:56
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Böse Welt... Profile und Homesets in ein DFS legen ist ja noch ok, aber replizieren ist nicht ok.

    Und vor allem unter gewissen Umständen auf nicht supported:

    http://blogs.technet.com/b/askds/archive/2010/09/01/microsoft-s-support-statement-around-replicated-user-profile-data.aspx

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 22. Oktober 2013 17:25
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Das verrückte ist das ich das bei uns in der internen Doku auch geschrieben habe das das nicht supportet ist. Jetzt wo ich es hier erneut lese ist mir das auch wieder eingefallen. Wer auch immer das angemacht hat hat mir viel Arbeit bereitet.

    Danke noch einmal an alle hier die geholfen haben.

    J.Mai

    Mittwoch, 23. Oktober 2013 14:55
    |