none
GPO zerschossen nach WSUS Deinstallation RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusamen,

    ich habe am letzten Donnerstag nach einem Fesplattencrash bei einem SBS 2003 R2 den WSUS deinstalliert. Im Anschluss den WSUS auf einen anderen Server 2008 R2 installiert und in der GPO die Info für den neuen WSUS eingefügt.

    Am montag Morgen konnte sich kein Benutzer mehr an irgend einen Client im Netzwerk anmelden. Ich schaute mir die Richtlinien auf den Clients an und habe dieses Bild vor mir.

    GPO Crash

    Ich passte die Default Domäne Policy an, dass sich wenigsten jemand anmelden kann und arbeiten.

    Es werden an den Clients Einstellung angezeigt, die ich nicht vorgegeben habe. Es werden auch nicht mehr alle Vorgaben bei den Clients übernommen.

    Kann ich nicht alles auf "Null" setzten?

    Ich hoffe jemand kann mir helfen. Vorab schon mal vielen Dank! Andreas


    • Bearbeitet IT-LAS Montag, 19. März 2012 13:51
    Montag, 19. März 2012 13:49
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 19.03.2012 schrieb IT-LAS:

    ich habe am letzten Donnerstag nach einem Fesplattencrash bei einem SBS 2003 R2 den WSUS deinstalliert. Im Anschluss den WSUS auf einen anderen Server 2008 R2 installiert und in der GPO die Info für den neuen WSUS eingefügt.

    Den SBS hast Du wieder einwandfrei zum laufen bekommen?

    Am montag Morgen konnte sich kein Benutzer mehr an irgend einen Client im Netzwerk anmelden. Ich schaute mir die Richtlinien auf den Clients an und habe dieses Bild vor mir.

    Welche Fehlermeldungen findest Du im Eventlog auf dem SBS? Hast Du
    noch einen weiteren DC im Netzwerk?

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert IT-LAS Dienstag, 20. März 2012 06:23
    Montag, 19. März 2012 18:56
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 19.03.2012 schrieb IT-LAS:

    ich habe am letzten Donnerstag nach einem Fesplattencrash bei einem SBS 2003 R2 den WSUS deinstalliert. Im Anschluss den WSUS auf einen anderen Server 2008 R2 installiert und in der GPO die Info für den neuen WSUS eingefügt.

    Den SBS hast Du wieder einwandfrei zum laufen bekommen?

    Am montag Morgen konnte sich kein Benutzer mehr an irgend einen Client im Netzwerk anmelden. Ich schaute mir die Richtlinien auf den Clients an und habe dieses Bild vor mir.

    Welche Fehlermeldungen findest Du im Eventlog auf dem SBS? Hast Du
    noch einen weiteren DC im Netzwerk?

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert IT-LAS Dienstag, 20. März 2012 06:23
    Montag, 19. März 2012 18:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfrid,

    Der SBS läuft so weit einwandfrei, Exchange und SQL alle kein Problem, die Freigaben sind auch okay. RDP funktioniert.

    Der zweite DC hat die Veränderungen prompt über nommen.

    Ich habe gerade noch mal frisch ins Log geschaut, nichts auffälliges. Keine besonderen Fehlermeldungen.

    Was kann ich machen, dass die GPOs wieder richtig bei allen Clients übernommen werden und die Einträge wieder stimmen?

    Wir über legen, die DC01 aus dem Netz zunehmen (Garantie zu ende) und einen neuen Server mit SBS 2011 zukaufen.

    Dann wollen wir die Clients mit und mit vom alten SBS abmelden und am neuen SBS anmelden. Ich vermute nur, dass die neuen GPOs auch nicht richtig übernommen werden und das würde dann heißen, dass ganze Netz neuinstallieren.

    Was meinst du?

    Andreas


    • Bearbeitet IT-LAS Dienstag, 20. März 2012 06:36
    Dienstag, 20. März 2012 06:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 20.03.2012 schrieb IT-LAS:

    Der SBS läuft so weit einwandfrei, Exchange und SQL alle kein Problem, die Freigaben sind auch okay. RDP funktioniert.

    Gut.

    Der zweite DC hat die Veränderungen prompt über nommen.

    Ich habe gerade noch mal frisch ins Log geschaut, nichts auffälliges. Keine besonderen Fehlermeldungen.

    OK.

    Was kann ich machen, dass die GPOs wieder richtig bei allen Clients übernommen werden und die Einträge wieder stimmen?

    Du kannst am Client ein gpupdate /force laufen lassen, neu starten und
    prüfen ob alles übernommen wurde. Wenn nicht ist es IMHO an
    einfachsten die Clients von der Domain zu entfernen, neustarten lassen
    und wieder aufnehmen. Vorsichtshalber auch die Computerkonten aus dem
    AD löschen.

    Wir über legen, die DC01 aus dem Netz zunehmen (Garantie zu ende) und einen neuen Server mit SBS 2011 zukaufen.

    OK.

    Dann wollen wir die Clients mit und mit vom alten SBS abmelden und am neuen SBS anmelden. Ich vermute nur, dass die neuen GPOs auch nicht richtig übernommen werden und das würde dann heißen, dass ganze Netz neuinstallieren.

    Dann warte einfach damit ab bis Du das Problem gelöst hast.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 20. März 2012 22:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    Ich hatte die GPO´s überprüft und keine Veränderungen entdeckt, habe Clients auch schon aus dem Netz genommen und wieder angemeldet. Bewirkt aber keine wirkliche Veränderungen. gpudate /force klar gemacht.

    Zu dem Löschen in der AD - mache ich nicht, ich habe gelesen, dass das zu Problemen führt.

    Was kann ich sonst noch machen?

    bis dann Andreas

    Mittwoch, 21. März 2012 12:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 21.03.2012 schrieb IT-LAS:

    Ich hatte die GPO´s überprüft und keine Veränderungen entdeckt, habe Clients auch schon aus dem Netz genommen und wieder angemeldet. Bewirkt aber keine wirkliche Veränderungen. gpudate /force klar gemacht.

    Probier die Lösung aus der GPO FAQ No. 21 auf einem Client:
    http://www.gruppenrichtlinien.de/Grundlagen/faq.htm

    Zu dem Löschen in der AD - mache ich nicht, ich habe gelesen, dass das zu Problemen führt.

    Wo hast Du das gelesen? Welche Probleme soll das machen?

    Was kann ich sonst noch machen?

    Einen Testclient neu installieren.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Mittwoch, 21. März 2012 20:53
    |
  • Question
    Anmelden
    0
    Anmelden

    hallo winfrid,

    das löschen von einträgen in der ad wurde in einem handbuch zu server 2003 so beschrieben, dass die id, die nach dem löschen dem eintrag in der ad zugeordnert wurde, bei einem neueintrag mit dem gleichen namen, im netzwerk zu identifikations problemen führen kann.

    mit ist das in der vergangenheit bei einem kunden so aufgefallen, (der hatte auch in der ad fleissig gelöscht) dass ich id´s in den gruppenrichtlinien auf den clients gefunden habe, die keinem eintrag in der ad zu geordnet werden konnten.  es zeigten sich in diesem netz auch probleme bei der übernahme der gruppenrichtlinien.

    seit dem gibt es in den ad´s unserer betreuten kunden eine og die sich ausgeschiedene nennt und da werden alle ex mitarbeiter und clients, nach dem deaktivieren hin verschoben.

    aber vieleicht ist das auch schon wieder überholt. wir halten an dem leitsatz fest und ich muss sagen, die netze laufen recht gut und stabiel, wenn nicht gerade mal ein wsus deinstalliert wird.

    ich werde am montag wieder bei dem betroffenen kunden sein, und per hyper-v einen win7 client aufsetzen und den ganz frisch in die ad aufnehmen. ich poste dir dann wie es war.

    vor ab schon mal ein schönes wochenende.

    andreas


    • Bearbeitet IT-LAS Donnerstag, 22. März 2012 08:51
    Donnerstag, 22. März 2012 08:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 22.03.2012 schrieb IT-LAS:

    das löschen von einträgen in der ad wurde in einem handbuch zu server 2003 so beschrieben, dass die id, die nach dem löschen dem eintrag in der ad zugeordnert wurde, bei einem neueintrag mit dem gleichen namen, im netzwerk zu identifikations problemen führen kann.

    Welches Buch genau war das? Kapitel und Seite?

    mit ist das in der vergangenheit bei einem kunden so aufgefallen, (der hatte auch in der ad fleissig gelöscht) dass ich id´s in den gruppenrichtlinien auf den clients gefunden habe, die keinem eintrag in der ad zu geordnet werden konnten.  es zeigten sich in diesem netz auch probleme bei der übernahme der gruppenrichtlinien.

    Deshalb packt man die Clients auch in Gruppen, die Gruppen trägt man
    dann in den GPOs ein. http://www.faq-o-matic.net/2006/01/15/wie-halte-ich-die-acls-auf-meinem-fileserver-sauber/
    Schon kannst Du Clients oder Benutzer löschen und hast keine "Leichen"
    im System.

    Wenn ihr euch an diesen Artikel altet, dann solltest Du die Probleme
    in Zukunft nicht mehr haben:
    http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

    seit dem gibt es in den ad´s unserer betreuten kunden eine og die sich ausgeschiedene nennt und da werden alle ex mitarbeiter und clients, nach dem deaktivieren hin verschoben.

    Du meinst eine OU?

    ich werde am montag wieder bei dem betroffenen kunden sein, und per hyper-v einen win7 client aufsetzen und den ganz frisch in die ad aufnehmen. ich poste dir dann wie es war.

    BTW: Bitte  benutze die Shifttaste, es gibt extra 2 auf der Tastatur.
    Danke.

    vor ab schon mal ein schönes wochenende.

    Danke, gleichfalls.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Sonntag, 25. März 2012 21:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    sorry für das Kleinschreiben. Das Buch kann ich dir nicht mehr sagen, das hatte ich 2005 gelesen, als ich noch jeden Tag mit der Bahn von Aachen nach Köln musste.

    Ich habe in der zwischen Zeit eine tiefen On-Demand Prüfung vom NOD32 über das ganze Netzwerk durchgeführt. Keine Meldung auf Schädlinge.

    Seit letzter Woche Freitag habe ich auf der DC01 folgende Ereignisanzeige alle 5 Minuten:

    Ereignistyp:    Fehler
    Ereignisquelle:    Userenv
    Ereigniskategorie:    Keine
    Ereigniskennung:    1065
    Datum:        26.03.2012
    Zeit:        13:40:58
    Benutzer:        NT-AUTORITÄT\SYSTEM
    Computer:    DC01
    Beschreibung:
    Die Filterprüfug für das Gruppenrichtlinienobjekt cn={99011863-F0CB-483B-A4E0-95CEF9F9B860},cn=policies,cn=system,DC=xxxx,DC=lan konnte nicht durchgeführt werden. Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

    Hier die Ergebnisse des Test-PC.

    und hier die GPO local auf dem Client per RSOP.msc

    was ich nicht verstehe, warum bekommt der Client diese GPO zugewiesen, er ist doch garnicht in der Gruppe.

    Was meinst du dazu?

    bis dann Andreas.



    • Bearbeitet IT-LAS Montag, 26. März 2012 11:55
    Montag, 26. März 2012 10:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 26.03.2012 schrieb IT-LAS:

    sorry für das Kleinschreiben. Das Buch kann ich dir nicht mehr sagen, das hatte ich 2005 gelesen, als ich noch jeden Tag mit der Bahn von Aachen nach Köln musste.

    Um ganz sicher zu gehen, habe ich immer Clients auch aus dem AD
    gelöscht und repliziert. Dann waren auch wirklich keine Reste
    vorhanden.

    Ich habe in der zwischen Zeit eine tiefen On-Demand Prüfung vom NOD32 über das ganze Netzwerk durchgeführt. Keine Meldung auf Schädlinge.

    Hast Du von einer Nofall CD oder einer Live CD gebootet?

    Seit letzter Woche Freitag habe ich auf der DC01 folgende Ereignisanzeige alle 5 Minuten:

    Ereignistyp:    Fehler
    Ereignisquelle:    Userenv
    Ereigniskategorie:    Keine
    Ereigniskennung:    1065
    Datum:        26.03.2012
    Zeit:        13:40:58
    Benutzer:        NT-AUTORITÄT\SYSTEM
    Computer:    DC01
    Beschreibung:
    Die Filterprüfug für das Gruppenrichtlinienobjekt cn={99011863-F0CB-483B-A4E0-95CEF9F9B860},cn=policies,cn=system,DC=xxxx,DC=lan konnte nicht durchgeführt werden. Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

    Welche GPO ist das? Die von den Screenshots?
    http://www.eventid.net/display-eventid-1065-source-Microsoft-Windows-GroupPolicy-eventno-9918-phase-1.htm

    Hier die Ergebnisse des Test-PC.

    <http://social.technet.microsoft.com/Forums/getfile/84490>



    und hier die GPO local auf dem Client per RSOP.msc



    <http://social.technet.microsoft.com/Forums/getfile/84488>

    was ich nicht verstehe, warum bekommt der Client diese GPO zugewiesen, er ist doch garnicht in der Gruppe.

    Der Client ist im Container Computers, welche Clients/Gruppen gibt es
    in der OU BüroClients? Gibt es weitere Standort im AD? Wenn ja, hast
    Du Standort GPOs im Einsatz?

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 26. März 2012 20:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    erst mal herzlichen Dank das du dich dem Thema so an nimmst.

    >Das mit dem Löschen in der AD, das fällt mir schwer und ich glaube, ich mache es auch nicht.

    >Ich habe den Tiefenscan über das gesamte Netzwerk vom Eset RAC (Remote Administrator Console) gestartet, mit der Rettungs CD rumlaufen geht nicht. Wie gesagt absolut kein Befund.

    >Ich schaue mir die GPO genauer an  und edit es.

    :Edit:

    Die Ereignismeldung ist seit 2012-03-26 20:28:00 weg, direkt im Anschluss kam die hier noch und seit dem keine Meldung mehr.

    "Ereignistyp:    Warnung
    Ereignisquelle:    Userenv
    Ereigniskategorie:    Keine
    Ereigniskennung:    1517
    Datum:        26.03.2012
    Zeit:        20:28:02
    Benutzer:        NT-AUTORITÄT\SYSTEM
    Computer:    DC01
    Beschreibung:
    Die Registrierung des Benutzers "xxxxxxxx\Administrator" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.
     Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden."

     Es gibr keinen Dienst der unter dem Account vom Admin ausgeführt wird, ich habe extra noch einmal nach geschaut.

    >Der Test Client ist in dem Standard Container Computer nach der Aufnahme gelandet, hier ein Screenshot von _Clients, hier gibt es keine Gruppen hier liegen nur die Computer. Dieser Kunde hat keinen weiteren Standort der angebunden ist.

     





    • Bearbeitet IT-LAS Mittwoch, 28. März 2012 11:57
    Mittwoch, 28. März 2012 11:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 28.03.2012 schrieb IT-LAS:

    Das mit dem Löschen in der AD, das fällt mir schwer und ich glaube, ich mache es auch nicht.

    Was mich, aber mach mich nicht nass.

    Ich habe den Tiefenscan über das gesamte Netzwerk vom Eset RAC
    (Remote Administrator Console) gestartet, mit der Rettungs CD
    rumlaufen geht nicht. Wie gesagt absolut kein Befund.

    Nur eine solche Rettungs CD liefert vernünftige Ergebnisse. Es gibt
    genügend Tierchen die können sich im laufenden Betrieb vor so etwas
    verstecken.

    Die Ereignismeldung ist seit 2012-03-26 20:28:00 weg, direkt im Anschluss kam die hier noch und seit dem keine Meldung mehr.

    "Ereignistyp:    Warnung
    Ereignisquelle:    Userenv
    Ereigniskategorie:    Keine
    Ereigniskennung:    1517
    Datum:        26.03.2012
    Zeit:        20:28:02
    Benutzer:        NT-AUTORITÄT\SYSTEM
    Computer:    DC01
    Beschreibung:
    Die Registrierung des Benutzers "xxxxxxxx\Administrator" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.
     Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden."

    Wenn das ein XP-Client war, dann könnte UPHC helfen. Da die FM aber
    nicht mehr kam, kannst Du das auch ignorieren.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Mittwoch, 28. März 2012 21:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    na wie waren die Ostertage? Ich habe die Tage genutz um ein wenig Abstand von der Sache zubekommen.

    Aber nun bin ich wieder voll drin. Es läuft wohl auf eine Neuinstallation des Netzes hinaus, die Reg.-Veränderungen an den Computern sind auch nicht durch eine Neuanmeldung an einer neuen Domäne zu beseitigen.

    Oder einfach weiter laufen lassen, zurzeit ist es stabiel.

    LG

    Andreas

    Dienstag, 10. April 2012 10:12
    |