none
Problem mit Gruppenrichtlinien auf Windows Terminalserver 2008 R2 RRS feed

  • Frage

  • Hallo ihr,

    habe ein Problem mit den Gruppenrichtlinien auf meinem Windows Terminalserver 2008 R2. Vorab zu meiner Konfiguration:

    Server 1 = Fileserver, Exchangeserver und AD-Server hat Win 2003 SBS drauf.
    Server 2 = Terminalserver hat Win 2008 R2 drauf

    Benutzer loggen sich zuerst an ihrem normalen Computer an und gehen dann dort über eine Remoteverbindung auf den Terminalserver.

    Hier fängt das Problem an.
    Normale Benutzer können keine Gruppenrichtlinien übernehmen, dauernd erscheint die Fehlermeldung ID 1030 (Grouppolicy). Auch GPUPDATE /force funktioniert so nicht. In den Details steht etwas von falschem Passwort, jedoch haben die Benutzer keine Passwörter:

    SupportInfo1 1
    SupportInfo2 2100
    ProcessingMode 0
    ProcessingTimeInMilliseconds 2995
    ErrorCode 1326
    ErrorDescription Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.
    DCName \\svr02.dom01.local

    Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.


    Auf den Clientrechner selber funktioniert aber gcupdate und co ohne Probleme. Des Weiteren habe ich as angemeldeter Benutzer auf dem Terminalserver keinen Zugriff auf die Sysvol des AD-Servers. Hier müsste somit das Problem liegen. Komischerweise werden die Startscripts (die sich im Ordner Sysvol befinden) übernommen.
    Durch GPRESULT habe ich folgendes Ergebnis erhalten:

    Komponentenstatus
    Komponentenname Status Letzter Prozess am
    Gruppenrichtlinieninfrastruktur Gescheitert 29.12.2010 11:35:42
    Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

    Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.

    Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.

    Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 29.12.2010 11:35:39 und 29.12.2010 11:35:42.
    Registrierung (n. zutr.) 20.12.2010 22:55:16

    Wäre über eine Hilfe sehr dankbar face-smile
    Samstag, 29. Januar 2011 13:38

Alle Antworten

  • Anmerkung: Sobald ich das Passwort eines Nutzer ändere, funktioniert gpupdate ein paar Tage, bis die gleiche Fehlermeldung wie oben wieder erscheint.

     

    Alles Sicherheitsupdates und Hotfixes wurden auf beiden Servern installiert.

    Samstag, 29. Januar 2011 13:39
  • Am 29.01.2011 14:38, schrieb Ralph Terminalserver:

    In den Details steht etwas von falschem Passwort, jedoch haben die
    Benutzer keine Passwörter:

    ... und wenn sie eins haben?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Sonntag, 30. Januar 2011 19:23
  • Funktioniert das ganze ein paar Tagen und danach kommt wieder die gleiche Meldung.
    Montag, 31. Januar 2011 08:14
  • Am 31.01.2011 09:14, schrieb Ralph Terminalserver:

    Funktioniert das ganze ein paar Tagen und danach kommt wieder die
    gleiche Meldung.

    Ist der TS eine VM oder sonstige Art eines Clones eines vorhandene
    Systems? Sind evtl. aus ein und demselben Image DC und TS entstanden?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 31. Januar 2011 21:12
  • Nein, der Terminalserver 2008 wurde vollständig neu aufgesetzt und der SBS 2003 wurde von einem alten SBS 2003 migiriert. (Zwei getrennte Server)

    Aber das Problem trat schon beim alten SBS 2003 i. V. m. dem neuen Terminalserver 2008 auf.

    Bin langsam echt verzweifelt, haben sonst keinerlei Fehler oder Probleme :/.

    ---------------------------

    Wir könnten ja mit dem Problem leben, nur ist es so, wenn ein Client länger (knapp 9h) auf dem Terminalserver ist, wird die Verbindung zum Fileserver (SBS 2003) getrennt. (Ich schätze mal er trennt, weil das "Passwort" durch die Gruppenrichtlinien zu oft falsch eingegeben wurde).

    Das wiederum ist ziemlich gefährlich für unsere DATEV-Programme zwecks Datenverlust.

     

    Liebe Grüße und schonmal vielen Dank

    PS: Bei den Clients selber (Windows XP) treten keinerlei Gruppenrichtlinienprobleme auf (die die gleichen Anmeldenamen wie auf dem Terminalserver haben).
    Dienstag, 1. Februar 2011 09:32
  • Am 01.02.2011 10:32, schrieb Ralph Terminalserver:

    unbekannter Benutzername oder falsches Kennwort

    Melden sich die Anwender mit ihrem normalen Windows Domänen Accounts
    an, oder sind das LOKALE! Benutezrkonten auf dem TS, die nur
    zufälligerweise dieselben Namen/Kennworte haben?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 1. Februar 2011 17:10
  • Am 01.02.2011 18:10, schrieb Mark Heitbrink [MVP]:

    Melden sich die Anwender mit ihrem normalen Windows Domänen Accounts

    Noch eine Idee:
    Ist euch mal die Domäne "um die Ohren geflogen" und ihr habt sie
    neu aufgesetzt mit demselbem Namen/Benutzern wie vorher und dann habt
    ihr die  Computer und Benutzerprofile aber nicht erneuert, sondern
    arbeitet auf dem WS noch immer mit "den alten ehemaligen" Accounts?


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 1. Februar 2011 17:27
  • - Sind die normalen Windows Domänen Accounts, also die Lokalen sind auch Mitglieder des Domänenservers (SBS 2003).

    - Durch den neuen SBS habenw ir die einzelnen Benutzer neu angelegt (vorher user0x, jetzt user1x)

     

    Bin echt am Verzweifeln, alles funktioniert ohne Probleme :(

    -----------------------------------------------

    Hier mal ein ein Auszug von GPRESULT (vielleicht hilft das was) ... wie man sieht geht alles ohne Probleme, bis auf den Punkt Komponentenstatus:

     

    DOM01\user15
    Daten ermittelt am: 03.02.2011 16:05:57
    show all
    Zusammenfassung hide
    Zusammenfassung der Computerkonfiguration hide
    Keine Daten verfügbar.
    Zusammenfassung der Benutzerkonfiguration hide
    Allgemein show
    Benutzername DOM01\user15
    Domäne dom01.local
    Gruppenrichtlinie zuletzt verarbeitet am 03.02.2011 16:05:23
    Gruppenrichtlinienobjekte show
    Angewendete Gruppenrichtlinienobjekte show
    Name Verknüpfungsstandort Revision
    Richtlinien der lokalen Gruppe Local AD (7), Sysvol (7)
    Default Domain Policy dom01.local AD (1), Sysvol (1)
    TDLoopback dom01.local/DatevTDPolicy AD (32), Sysvol (32)
    Abgelehnte Gruppenrichtlinienobjekte show
    Name Verknüpfungsstandort Grund: abgelehnt
    Small Business Server-Domänenkennwortrichtlinie dom01.local Leer
    Small Business Server-Kontosperrungsrichtlinie dom01.local Deaktivierte Gruppenrichtlinienobjekte
    Small Business Server-Remoteunterstützungsrichtlinie dom01.local Deaktivierte Gruppenrichtlinienobjekte
    Small Business Server-Clientcomputer dom01.local Leer
    Small Business Server-Internetverbindungsfirewall dom01.local Falsche WMI-Filter
    Small Business Server-Windows-Firewall dom01.local Falsche WMI-Filter
    Sicherheitsgruppenmitgliedschaft bei Anwendung der Gruppenrichtlinie show
    DOM01\Domänen-Benutzer
    Jeder
    VORDEFINIERT\Benutzer
    VORDEFINIERT\Remotedesktopbenutzer
    NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG
    NT-AUTORITÄT\INTERAKTIV
    NT-AUTORITÄT\Authentifizierte Benutzer
    NT-AUTORITÄT\Diese Organisation
    LOKAL
    DOM01\DATEVUSER
    DOM01\Web Workplace Users
    DOM01\DATEV
    Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe
    WMI-Filter show
    Name Wert Gruppenrichtlinienobjekt-Referenz
    MSFT_SomFilter.ID="{45759A3E-B75F-4187-AAA6-8320BC8C4A19}",Domain="dom01.local" Falsch Small Business Server-Internetverbindungsfirewall
    MSFT_SomFilter.ID="{B83F3068-9A35-40E5-B494-25701A67502F}",Domain="dom01.local" Falsch Small Business Server-Windows-Firewall


    Komponentenstatus hide
    Komponentenname Status Letzter Prozess am
    Gruppenrichtlinieninfrastruktur Gescheitert 03.02.2011 16:05:24
    Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.

    Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.

    Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.

    Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 03.02.2011 16:05:23 und 03.02.2011 16:05:24.
    Registrierung (n. zutr.) 18.01.2011 23:22:55




    Computerkonfiguration hide
    Keine Daten verfügbar.
    Benutzerkonfiguration hide
    Richtlinien hide
    Administrative Vorlagen show

     

    Donnerstag, 3. Februar 2011 15:07
  • Am 03.02.2011 schrieb Ralph Terminalserver:

    - Sind die normalen Windows Domänen Accounts, also die Lokalen sind auch Mitglieder des Domänenservers (SBS 2003).

    Wie jetzt? Lokale Accounts oder Domain Accounts? Wenn es Domain
    Accounts sind, dann gibts keine lokalen Accounts.

    - Durch den neuen SBS habenw ir die einzelnen Benutzer neu angelegt (vorher user0x, jetzt user1x)

    Und auf den Clients habt ihr auch die neuen Accounts im Einsatz?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 3. Februar 2011 15:17
  • Sorry, habe mich da falsch ausgedrückt.

    Geht alles über den Domänserver (also wenn der offline ist, kann man sich auch nicht an den lokalen anmelden ;-)).

    Jup, wir haben auf beiden die neuen im Einsatz (die alten wurden deaktiviert).

     

    Liebe Grüße und bereits jetzt schon vielen Dank

    Donnerstag, 3. Februar 2011 15:24
  • Am 03.02.2011 schrieb Ralph Terminalserver:

    Sorry, habe mich da falsch ausgedrückt.

    Geht alles über den Domänserver (also wenn der offline ist, kann man sich auch nicht an den lokalen anmelden ;-)).

    Das ist auch nicht normal. Außer beim SBS sind die Cached Credentials
    abgeschaltet, das glaub ich allerdings nicht.

    Jup, wir haben auf beiden die neuen im Einsatz (die alten wurden deaktiviert).

    Welche alten habt ihr wo deaktiviert? Mir dünkt hier ist etwas ganz
    ordentlich durcheinander.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 3. Februar 2011 16:00
  • Vorher hatten wir die Benutzer wie folgt erstellt gehabt: user0x

    Jedoch hatten wir Probleme mit unserer Software (DATEV).

    Aus diesem Grund haben wir neue Benutzer (nach Vorschlag von DATEV) angelegt mit dem Schema user1x.

    Diese sind aber komplett unabhängig von den alten "Benutzern". Es wurden auch keine Eigene Daten oder so übernommen. Also ein vollständiger Neuanfang.

    -----

    Btw. das Problem trat auch vorher schon auf, als nur der neue Terminalserver (vorher Terminalserver 2000) im Netz war (mit den alten Accounts à la Schema user0x).

    Btw. 2 der Administratoraccount kann gpupdate ohne Probleme aufrufen.

     

    Liebe Grüße

    Donnerstag, 3. Februar 2011 16:17