none
Einzelne Richtlinien werden nicht mehr ausgeführt! RRS feed

  • Allgemeine Diskussion

  • Hallo,

    Kleineres Netzwerk basierend auf Server 2012 R2 und Windows 8.1 Clients.

    Seit ? (kann den Zeitpunkt nicht genau datieren) werden einzelne Gruppenrichtlinien auf allen Servern (incl. DC) und Clients nicht mehr ausgeführt.

    DCDIAG besteht alle Tests ausser einer langen Liste von Gruppenrichtlinien Fehlern:


    Die Gruppenrichtlinie konnte aufgrund eines internen Systemfehlers nicht verarbeitet werden. Eine spezifische Fehlermeldung hierzu finden Sie im Betriebsprotokoll der Gruppenrichtlinie. Es wird versucht, die Gruppenrichtlinie beim nächsten Aktualisierungszyklus erneut zu verarbeiten.


    Gleiche Fehler werden auch im Ereignisprotokoll der jeweiligen Server angezeigt. RSoP zeigt ein "gelbes Dreieck mit Ausrufezeichen" bei der Computerkonfiguration.

    SYSVOL ist erreich- und lesbar.

    Naja, bin kein Profi und kann aus all diesen Fehlern und Informationen nichts herauslesen und würde gerne hiermit das Forum für einen Lösungsvorschlag anfragen.


    Danke und Gruss,

    Markus


    AdminIT

    Dienstag, 27. Mai 2014 10:07

Alle Antworten

  • Am 27.05.2014 schrieb AdminIT:

    Gleiche Fehler werden auch im Ereignisprotokoll der jeweiligen Server angezeigt. RSoP zeigt ein "gelbes Dreieck mit Ausrufezeichen" bei der Computerkonfiguration.

    Und welche GPOs mit welchen Einstellungen werden nicht verarbeitet?

    Naja, bin kein Profi und kann aus all diesen Fehlern und Informationen nichts herauslesen und würde gerne hiermit das Forum für einen Lösungsvorschlag anfragen.

    Profi mußt Du nicht sein, aber das Gebiet das man bearbeitet sollte
    man kennen, ist hilfreich.

    Deaktiviere ein GPO, repliziere alle DCs durch, starte einen
    Testrechner neu. Was passiert?


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 27. Mai 2014 16:32
  • Hallo,

    prüfe bitte die DCs auf Replikationsfehler.
    In den Eventlogs sollten sich hier Hinweise finden.

    Zusätzlich kannst du auch auf einen DC ein Textfile in das SYSVOL-Verzeichnis legen.
    Wird dieses File zu den anderen DCs repliziert?


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Dienstag, 27. Mai 2014 17:15
    Beantworter
  • Hallo Winfried,

    Danke für deine Hilfestellung. Habe deinen Vorschlag ausprobiert, leider ohne Erfolg. Neustart sowie ein gpupdate /force besagt, dass einige COMPUTER Richtlinien nicht verarbeitet wurden Aufgrund eines Systemfehlers. Hinweise finden sie im Betriebsprotokoll der Gruppenrichtlinie. Wie finde ich heraus welche Richtlinien nicht funktionieren, sowie wo finde ich das besagte Betriebsprotokoll?

    Sorry, benutze auch mein Auto und bin kein Motorenprofi...BITTE soll nicht als "klugschei..." ankommen.

    Hallo Matthias,

    Auch an dich ein Dank für deine Tipps.

    Ein repadmin /showreps zeigt alle Versuche als erfolgreich. In der Ereignisanzeige finde ich keine Fehler. Sowie habe ich mir das AD Replication Status Tool installiert und hier zeigen sich auch keine Fehler.

    Ein Textfile auf dem DC1 direkt im SYSVOL gespeichert, was aber mit einer Fehlermeldung quittiert wird "sie verfügen nicht über die Berechtigung zum ändern von Dateien in diesem Netzwerkpfad". Die Datei wird dennoch angelegt und gespeichert??!! Das Ganze habe ich mit meinem Admin Account ausgeführt.

    Leider wird die Datei auch nicht auf den DC2 repliziert.

    Bin einmal mehr ratlos....

    Danke und Gruss,

    Markus


    AdminIT

    Mittwoch, 28. Mai 2014 18:34
  • Am 28.05.2014 schrieb AdminIT:

    Danke für deine Hilfestellung. Habe deinen Vorschlag ausprobiert, leider ohne Erfolg. Neustart sowie ein gpupdate /force besagt, dass einige COMPUTER Richtlinien nicht verarbeitet wurden Aufgrund eines Systemfehlers. Hinweise finden sie im Betriebsprotokoll der Gruppenrichtlinie. Wie finde ich heraus welche Richtlinien nicht funktionieren, sowie wo finde ich das besagte Betriebsprotokoll?

    Auf dem Client in einer administrativen Commandline ein

    gpresult /H >gpresult.html

    absetzen und anschließend die gpresult.html starten.

    Sorry, benutze auch mein Auto und bin kein Motorenprofi...BITTE soll nicht als "klugschei..." ankommen.

    Aber Du kannst das Auto bedienen, nichts anderes sind die Werkzeuge
    der GPOs hier. GPOs = Werkzeug eines Admin!

    Ein Textfile auf dem DC1 direkt im SYSVOL gespeichert, was aber mit einer Fehlermeldung quittiert wird "sie verfügen nicht über die Berechtigung zum ändern von Dateien in diesem Netzwerkpfad". Die Datei wird dennoch angelegt und gespeichert??!! Das Ganze habe ich mit meinem Admin Account ausgeführt.

    Leider wird die Datei auch nicht auf den DC2 repliziert.

    Warst Du als Admin auf dem DC angemeldet als Du die Datei erstellt
    hast? Wenn nein, dann melde dich auf dem DC als Admin an und kopiere
    die Datei ins SYSVOL.

    Zeig doch ein ipconfig /all von beiden DCs und von einem Client.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Donnerstag, 29. Mai 2014 09:28
  • > Leider wird die Datei auch nicht auf den DC2 repliziert.
     
    Sysvol-Replikation kaputt? Welche Meldung erscheint, wenn Du "gpupdate
    /force" eingibst?
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 29. Mai 2014 09:55
    Beantworter
  • Hallo Winfried,

    Gut gekontert Meister ;-)

    Befehl gpresult /H >gpresult.html ausgeführt und die entsprechenden Richtlinien mit Fehler gefunden DANKE

    Zur Zeit arbeite ich auf beiden DC's mit der Admin Anmeldung

    IPCONFIG DC1

    Windows-IP-Konfiguration

       Hostname  . . . . . . . . . . . . : dc1-srv
       Prim„res DNS-Suffix . . . . . . . : xy.com
       Knotentyp . . . . . . . . . . . . : Hybrid
       IP-Routing aktiviert  . . . . . . : Nein
       WINS-Proxy aktiviert  . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : xy.com

    Ethernet-Adapter LAN:

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Microsoft Network Adapter Multiplexor Driver
       Physische Adresse . . . . . . . . : 00xy
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja
       Verbindungslokale IPv6-Adresse  . : fe80xy(Bevorzugt)
       IPv4-Adresse  . . . . . . . . . . : 192.168.110.10(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.255.0
       Standardgateway . . . . . . . . . : 192.168.110.1
       DHCPv6-IAID . . . . . . . . . . . : 41xy
       DHCPv6-Client-DUID. . . . . . . . : 00xy
       DNS-Server  . . . . . . . . . . . : 192.168.110.20
                                           192.168.110.10
       Prim„rer WINS-Server. . . . . . . : 192.168.110.20
       Sekund„rer WINS-Server. . . . . . : 192.168.110.10
       NetBIOS ber TCP/IP . . . . . . . : Aktiviert

    Tunneladapter isatap.{8069DECB-8B9C-48F0-8FA2-04D542D89EF8}:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
       Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    Tunneladapter Teredo Tunneling Pseudo-Interface:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    IPCONFIG DC2

    Windows-IP-Konfiguration

       Hostname  . . . . . . . . . . . . : dc2-srv
       Prim„res DNS-Suffix . . . . . . . : xy.com
       Knotentyp . . . . . . . . . . . . : Hybrid
       IP-Routing aktiviert  . . . . . . : Nein
       WINS-Proxy aktiviert  . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : xy.com

    Ethernet-Adapter LAN:

       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Controller der Familie Realtek PCIe GBE
       Physische Adresse . . . . . . . . : D8xy
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja
       Verbindungslokale IPv6-Adresse  . : fe80xy(Bevorzugt)
       IPv4-Adresse  . . . . . . . . . . : 192.168.110.20(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.255.0
       Standardgateway . . . . . . . . . : 192.168.110.1
       DHCPv6-IAID . . . . . . . . . . . : 53xy
       DHCPv6-Client-DUID. . . . . . . . : 00-xy
       DNS-Server  . . . . . . . . . . . : 192.168.110.10
                                           192.168.110.20
       Prim„rer WINS-Server. . . . . . . : 192.168.110.10
       Sekund„rer WINS-Server. . . . . . : 192.168.110.20
       NetBIOS ber TCP/IP . . . . . . . : Aktiviert

    Tunneladapter isatap.{4AE8AB75-2DDF-424F-B95F-6045B66DB9C1}:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
       Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    IPCONFIG CLIENT

    Windows-IP-Konfiguration

       Hostname  . . . . . . . . . . . . : mpc-cli
       Prim„res DNS-Suffix . . . . . . . : xy.com
       Knotentyp . . . . . . . . . . . . : Unbekannt
       IP-Routing aktiviert  . . . . . . : Nein
       WINS-Proxy aktiviert  . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : xy.com

    Ethernet-Adapter LAN:

       Verbindungsspezifisches DNS-Suffix: xy.com
       Beschreibung. . . . . . . . . . . : Gigabit-Netzwerkverbindung Intel(R) 82579V
       Physische Adresse . . . . . . . . : C8xy
       DHCP aktiviert. . . . . . . . . . : Ja
       Autokonfiguration aktiviert . . . : Ja
       Verbindungslokale IPv6-Adresse  . : fe80xy(Bevorzugt)
       IPv4-Adresse  . . . . . . . . . . : 192.168.130.100(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.255.0
       Lease erhalten. . . . . . . . . . : Montag, 26. Mai 2014 15:23:27
       Lease l„uft ab. . . . . . . . . . : Montag, 2. Juni 2014 17:07:36
       Standardgateway . . . . . . . . . : 192.168.130.1
       DHCP-Server . . . . . . . . . . . : 192.168.110.10
       DHCPv6-IAID . . . . . . . . . . . : 13xy
       DHCPv6-Client-DUID. . . . . . . . : 00xy
       DNS-Server  . . . . . . . . . . . : 192.168.110.10
                                           192.168.110.20
       Prim„rer WINS-Server. . . . . . . : 192.168.110.10
       Sekund„rer WINS-Server. . . . . . : 192.168.110.20
       NetBIOS ber TCP/IP . . . . . . . : Aktiviert

    Tunneladapter isatap.xy.com:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix: xy.com
       Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
       Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    Tunneladapter isatap.{CD11B99D-3F6B-4D74-9A25-D9C52C3A9731}:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix:
       Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
       Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    Hallo Martin,

    Meldung wie beschrieben:

    COMPUTER Richtlinien nicht verarbeitet wurden Aufgrund eines Systemfehlers. Hinweise finden sie im Betriebsprotokoll der Gruppenrichtlinie

    Habe auch einmal folgenden Befehl auf DC1 als Admin versucht:

    ntfrsutl forcerepl dc1-srv /r "domain system volume (sysvol share)" /p dc2-srv.xy.com

    Failure to force replication. Zugriff vereigert

    Danke und Gruss,

    Markus


    AdminIT

    Donnerstag, 29. Mai 2014 15:03
  • Hallo Markus,

    hast du denn auch mal ins GP Operational Eventlog geschaut?

    Eine Verständnisfrage von mir:
    Du nutzt ntfrsutil? Replizierst du das Sysvol noch mit FRS? Wenn ja, spricht etwas dagegen nach DFSR zu migrieren?

    Eigentlich solltest du auch FRS Fehler im Replication Eventlog finden.

    Gruß
    Lennart


    Donnerstag, 29. Mai 2014 18:53
  • Wenn ja, spricht etwas dagegen nach DFSR zu migrieren?

    Wenn es sich jetzt um FRS handelt, dann ja. Erst sollte FRS mal wieder funktionieren :-)

    Wieviele DCs habt ihr?
    Leg das File einmal lokal am DC ab.

    C:\Windows\SYSVOL...

    Wird hier auch ein Zugriffsfehler aufgezeigt?

    Hier schon einmal die Links zum Reparieren der Replikation:

    FRS (http://support.microsoft.com/kb/290762/de)

    DFS-R (http://support.microsoft.com/kb/2218556)


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 29. Mai 2014 20:06
    Beantworter
  • > COMPUTER Richtlinien nicht verarbeitet wurden Aufgrund eines
    > Systemfehlers. Hinweise finden sie im Betriebsprotokoll der
    > Gruppenrichtlinie
     
    Das war alles an Meldungen???
     
    Wenn da was stand von "konnte auf datei
    \\dom\sysvol\dom\policies\<guid>gpt.ini nicht zugreifen", dann käme
     
    Was steht in den DFSR-Eventlogs der beiden DCs?
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 30. Mai 2014 09:05
    Beantworter
  • Hallo Lennart,

    Da sehe ich wieder, wo ich mit meinem Wissen stehe. Bin auf den "ntfrsutil Befehl" in meiner Google Suche gestossen und wollte diesen Test ausführen.

    Nun ist mir klar, dass es nicht funktioniert. FRS Dienst ist bei mir nicht aktiviert. Benutze DFS-R...

    Hallo Matthias,

    Habe 2 DC's im Einsatz

    TXT Datei lokal speichern funktioniert einwandfrei.

    Gemäss DFS-R Link beide Möglichkeiten (non- und authoritative) abgearbeitet, was keinen Erfolg der Replikation der Datei brachte.

    Nun habe ich aber in der Zeitspanne dieses Reparaturversuches auf dem DC1 eine DFS-Replikation Warnung/Fehlermeldung gesehen, die besagt dass:

    Warnung ID 5014: Fehler 1723 RPC Server ist für diesen Vorgang zu stark ausgelastet

    Fehler ID 5002: Fehler 1726 Der Remoteprozeduraufruf ist fehlgeschlagen

    Habe aber auch in dieser Zeitspanne den DC2 neu gestartet...kam auch nicht weiter vor nach ca. 1 Stunde erneutem manuellem Replizierungsanstoss.

    Gruss und Danke,

    Markus


    AdminIT

    Freitag, 30. Mai 2014 15:12
  • Wenn ihr nur zwei DCs habt,

    vergleiche bitte einmal den Inhalt des SYSVOL.

    Den DC mit dem aktuelleren SYSVOL lässt du so wie er ist.
    Den anderen DC stufst du mittels dcpromo (notfalls dcpromo /forceremoval) herunter.
    Danach wieder hochstufen.


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Freitag, 30. Mai 2014 21:20
    Beantworter
  • SYSVOL verglichen und festgestellt, dass mein DC2 die aktuellere Version vorhält.Also DC1 runter- und dann wieder hochgestuft. Dazwischen war ja ein Neustart notwendig.

    Leider hat dies nichts gebracht....

    Ich denke sowieso ein gravierendes Problem (falls es noch extremer geht) zu haben. Mein Direct Access Server bzw. der NLS ist auch nicht mehr erreichbar. Zertifikaterror. Dann ist auch noch mein WebApplicationProxy Service nicht mehr startbar. Keine Verbindung zum ADFS. Und nun habe ich auch noch festgestellt, dass ein Laptop nach Neustart sich nicht mehr mit der Domäne verbinden kann.

    Werde ganz unten (Netzwerkebene) mit der Fehlersuche beginnen müssen und mich hocharbeiten.

    Oder besagen die neuen Fehler eine klare Lösungsweise?


    AdminIT

    Mittwoch, 4. Juni 2014 12:21