none
Gruppenrichtlinien werden von den Clients nicht automatisch übernommen RRS feed

  • Frage

  • Hallo,

    wir haben hier 2 DomänenController Windows Server 2008 R2.

    Seit c.a. 6 Wochen übernehmen die Clients (Windows 7 ) die Policies nicht mehr automatisch.

    Im Eventlog erscheint der Fehler mit der Erroro-ID 1030 GroupPolicy

    Protokollname: System
    Quelle:        Microsoft-Windows-GroupPolicy
    Datum:         07.06.2017 09:38:37
    Ereignis-ID:   1030
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:
    Benutzer:      SYSTEM
    Computer:      PC1496.domäne.local
    Beschreibung:
    Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.
    Ereignis-XML:
    <Event xmlns="">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>1030</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>1</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2017-06-07T07:38:37.008332400Z" />
        <EventRecordID>205282</EventRecordID>
        <Correlation ActivityID="{42590055-EBD4-4E6E-A40E-1800D4E45324}" />
        <Execution ProcessID="1284" ThreadID="1716" />
        <Channel>System</Channel>
        <Computer>PC1496.domäne.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="SupportInfo1">1</Data>
        <Data Name="SupportInfo2">2541</Data>
        <Data Name="ProcessingMode">1</Data>
        <Data Name="ProcessingTimeInMilliseconds">5226</Data>
        <Data Name="ErrorCode">58</Data>
        <Data Name="ErrorDescription">Der angegebene Server kann den angeforderten Vorgang nicht ausführen. </Data>
        <Data Name="DCName">\\DC01.domäne.local</Data>
      </EventData>
    </Event>

    wenn ich aber in der Konsole "gpupdate /force" starte, werden die Policies übernommen.

    Das Aufrufen der Freigabe der Domäne funktioniert auch nicht mehr. Domäne.local

    Andere Freigaben sind dabei kein Problem.

    Der Name der Domäne ist natürlich geändert.

    Hat jemand Erfahrung damit?

    Mittwoch, 7. Juni 2017 10:14

Antworten

  • Den Dateireplikationsdienst habe ich mal neu gestartet, hat auch keine Fehlermeldung gebracht.

    FRS oder DFSR - womit repliziert Dein Sysvol?

    Bei dem authoritative-sysvol-restore hab ich aber ein Problem, denn bei der Beschreibung soll man den Wert
    msDFSR-Enabled auf true stellen.

    Das gilt nur für DFSR, bei FRS war das noch BurFlags in der Registry. Und das bringt im Moment ohnehin nix, wenn Sysvol auf allen DCs zur Verfügung steht.

    Fehler bei der Verarbeitung der Computerstartrichtlinie für Domäne\PC1496$ in 5 Sekunden.

    Dann wirds Zeit, mal gpsvcdebuglevel auf 0x10002 zu setzen und das gpsvc.log zu analysieren.

    Donnerstag, 8. Juni 2017 15:08
    Beantworter

Alle Antworten

  • Moin,

    wird die Freigabe auf den DCs selbst angezeigt, wenn Du NET SHARE eingibst?

    Gibt es sachdienliche Hinweise in der Ausgabe von DCDIAG?


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 7. Juni 2017 15:15
  • Hi, 

    schau dir mal die Freigaben sysvol von beiden DCs an: 

    \\dc01\sysvol\

    \\dc02\sysvol\

    Eventuell mal den Dateireplikationsdienst neustarten/ Eventlog schauen ob er Fehler bringt. 

    Versuch eventuell mal einen authoritativen Restore

    https://support.microsoft.com/de-de/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-for-dfsr-replicated-sysvol-like-d4-d2-for-frs

    Auch mit diesem Link sehr gut beschrieben: 

    http://kpytko.pl/active-directory-domain-services/authoritative-sysvol-restore-dfs-r/

    Ansonsten benötigen wir mehr Infos vom Client aus dem Eventlog Gruppenrichtlinien 

    Hier kannst du nachverfolgen was bei der GPO Übernahme passiert

    Eventlog -> Anwendungs und Dienstprotokolle-> Windows -> Grouppolicy

    Viele Grüße 


    Viele Gruesse /best wishes Alexander (blog.it-koehler.com)

    Mittwoch, 7. Juni 2017 17:16
  • Hallo,

    danke für die schnelle Antwort.

    net share wird ohne Probleme ausgeführt.

    dcdiag.exe meldet auch keine Fehler.

    hab auch mit den Optionen dcdiag.exe /Test:netlogon und dcdiag.exe /Test:dns getestet.

    Donnerstag, 8. Juni 2017 13:15
  • Hallo Alexander,

    danke für deine Antwort.

    Die beiden Shares sehen soweit in Ordnung aus.

    Den Dateireplikationsdienst habe ich mal neu gestartet, hat auch keine Fehlermeldung gebracht.

    Bei dem authoritative-sysvol-restore hab ich aber ein Problem, denn bei der Beschreibung soll man den Wert

    msDFSR-Enabled auf true stellen.

    Leider finde ich den Wert in den "Eigenschaften von CN= Domain System Volume (SYSVOL share)"

    gar nicht.

    In den Eventlogs der Gruppenrichtlinien vom Client sehe ich nur einen Fehler nach dem Neustart

    Fehler bei der Verarbeitung der Computerstartrichtlinie für Domäne\PC1496$ in 5 Sekunden.

    Schöne Grüße

    Donnerstag, 8. Juni 2017 14:30
  • Den Dateireplikationsdienst habe ich mal neu gestartet, hat auch keine Fehlermeldung gebracht.

    FRS oder DFSR - womit repliziert Dein Sysvol?

    Bei dem authoritative-sysvol-restore hab ich aber ein Problem, denn bei der Beschreibung soll man den Wert
    msDFSR-Enabled auf true stellen.

    Das gilt nur für DFSR, bei FRS war das noch BurFlags in der Registry. Und das bringt im Moment ohnehin nix, wenn Sysvol auf allen DCs zur Verfügung steht.

    Fehler bei der Verarbeitung der Computerstartrichtlinie für Domäne\PC1496$ in 5 Sekunden.

    Dann wirds Zeit, mal gpsvcdebuglevel auf 0x10002 zu setzen und das gpsvc.log zu analysieren.

    Donnerstag, 8. Juni 2017 15:08
    Beantworter
  • Hallo zusammen.

    Gestern hatte ich mal wieder Zeit, mich mit dem Problem zu beschäftigen und auch eine Lösung gefunden.

    Nachdem ich den Eintrag in der Registry für gpsvcdebuglevel mit dem Wert 0x30002 eingertagen hatte, habe ich mir die Logs angeschaut. Bis auf einen falschen Eintrag in einer Policy war alles soweit in Ordnung.

    Da wir noch das Problem mit der Auflösung der Domänenfreigabe hatten  \\Domäne.local\ , war meine Vermutung, dass es mit dem DNS zusammenhängt. Die DNS-Konfiguration hatte ich mehrfach kontrolliert.

    Mir fiel dann auf dem DC eine Warnung auf:

    Quelle: NETLOGON

    Ereignis-ID: 5782

    Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen. Fehler:

    Für das lokale System wurden keine DNS-Server konfiguriert.

    Dem bin ich dann nachgegangen.

    Nach einigem Suchen bin ich auf dem unteren Link gestoßen.

    https://support.microsoft.com/en-us/help/310568/domain-subfolders-missing-from-forward-lookup-zone

    Dort wird beschrieben, dass in den erweiterten Eigenschaften von den TCP/IP- Einstellungen das Häkchen bei "Adressen dieser Verbindung in DNS registrieren" gesetzt sein muss.

    Dieses Häkchen war auf dem DC nicht gesetzt.

    Anschliessend hatte ich wie in der Beschreibung beschrieben, den Netlogon-Dienst gestoppt und wieder gestartet und den Server im DNS registrieren lassen.

    • net stop netlogon
      • net start netlogon
    • ipconfig /registerdns

    Das hatte beim PDC ein bischen gedauert, beim 2. ten DC ging es schneller.

    Anschliessend funktionierte die Domänen-Freigabe wieder \\Domäne.local\ und seit gestern sind auch keine Fehlermeldung bezüglich der Gruppenrichtlinien aufgetreten.

    Schöne Grüße und Besten Dank für eure Unterstützung,

    Harald

    Freitag, 30. Juni 2017 07:44