none
Aktualisierung von Gruppenrichtlinie nach Anmeldung über VPN Client RRS feed

  • Frage

  • Hallo,

    habe hier ein Problem mit einem Server 2008 und einem Windows 7 Notebook.

    Das Notebook meldet sich ausserhalb der Domäne (Heimarbeitsplatz) per VPN an einem VPN Router an.

    Danach kann normal auf die Netzlaufwerke ect. zugegriffen werden (werden per GPO - Laufwerkszuordnung zugeteilt).

    Der PPP VPN Adapter gibt mir über IpConfig den Server 2008 als DNS Server an, ein Nslookup wird korrekt vom Server 2008 aufgelöst. DNS scheint also kein Problem zu sein.

    Gpupdate liefert mir eine Fehlermeldung:

    Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\Domaene.local\sysvol\domaene.local\policies\ect...\gpt.ini von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Die ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:

    a: dns,   b: Wartezeit des Replikationsdienstes   ,c: Der DFS Client

     

    Die Ergebnisse von Gpresult /h sind bis auf einen Eintrag in Ordnung.

    Hoffe das mir jemand nen Tipp bzgl. der Analyse geben kann:

    Eintrag lautet: Komponentenstatus, Komponentenname, Grupenrichtlinieninfrastruktur, Status=gescheitert

    Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen: Das angegebene Konto ist nicht vorhanden.

     

    Eine Teständerung der Kennwortrichtlinie wird aber korrekt übernommen.

    Evtl. liegt es daran, dass ich mich zuerst mit der kopie des Servergespeicherten Profils anmelde (da die Domäne ja nicht verfügbar ist) und danach erst per VPN Client (Draytek) mich am entfernten Netz anmelde.

    Die VPN Aushandlung übernimmt derzeit der Draytek Router.

     

     

     

     

    Freitag, 11. Juni 2010 07:47

Antworten

Alle Antworten

  • Hi,

    Am 11.06.2010 09:47, schrieb Daniel Bölling:

    Die VPN Aushandlung übernimmt derzeit der Draytek Router.

    Teste mal ob ein "ping -l 4096 DC" funktioniert.

    und weil ich gerade Draytek lese:
    Schalte mal die MaxPacketSize auf 0
    http://support.microsoft.com/kb/244474

    Ansonsten gilt bei dir der übliche Weg beim Thema Userenv 1030/1058
    es gibt 1000 Lösungsmöglichkeiten.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Freitag, 11. Juni 2010 08:19
  • Hallo Mark,

    Ping -l 4096 server01 funktioniert.

    Die MaxPacketSize habe ich auf 0 gesetzt, in dem KB Eintrag ist allerdings immer von der 1 die Rede (?).

    Geändert hat sich bisher nichts, werde mir das mit 1030/1058 ansehen.

     Die 1030/1058 Meldung erhalte ich nicht am DC.

    Am Client habe ich Fehler ID 1129

     

    Thx

    Daniel

    Freitag, 11. Juni 2010 10:00
  • Hi,

    Am 11.06.2010 12:00, schrieb Daniel Bölling:

    Die MaxPacketSize habe ich auf 0 gesetzt, in dem KB Eintrag

    > ist allerdings immer von der 1 die Rede (?).

    Ups, sorry Typo. Sollte "1" lauten.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Freitag, 11. Juni 2010 10:20
  • Da glaubt man nem MVP mal Blind und prompt fällt man drauf rein!

    ;)

     

    Auch eine 1 hat nicht geholfen.

     

    Noch nen Tipp?

     

    Thx

    Freitag, 11. Juni 2010 11:09
  • Am 11.06.2010 13:09, schrieb Daniel Bölling:

    Noch nen Tipp?

    Kannst du denn im Explorer auf den DFS Stamm zugreifen?

    \\Domaene.local\sysvol\domaene.local\policies\ect...\gpt.ini

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Freitag, 11. Juni 2010 12:01
  • Werde ich morgen ausprobieren, ein \\server01\ per Eingabeaufforderung funktioniert jedenfalls nicht... soviel hab ich schon ausprobiert.

    Kann das evtl. mit einer Firewalleinstellung des 2008er Servers zusammenhängen?

     

    Thx

    Sonntag, 13. Juni 2010 08:38
  • Hi,

    Am 13.06.2010 10:38, schrieb Daniel Bölling:

    Werde ich morgen ausprobieren, ein \\server01\ per
    Eingabeaufforderung funktioniert jedenfalls nicht... soviel hab ich
    schon ausprobiert. Kann das evtl. mit einer Firewalleinstellung des
    2008er Servers zusammenhängen?

    ... aaaaaaaaaaaaaaaaaaaahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh!
    Wenn es so ist, dann frage ich mich, warum der Fehler erst bei der
    ÜBernahme der Gruppenrichtlinien auftauchen sollte.
    Das ist so ziemlich die letzte aller Stellen, an denen die Leute
    feststellen, daß sie nicht arbeiten können.

    Schliesse diese Fehlerquelle auf jeden Fall aus!

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Sonntag, 13. Juni 2010 10:27
  • Das liegt vermutlich daran, dass das die Installation erst 2 Wochen alt ist und bisher nur mit einem Programm gearbeitet wird.

    Die GPO für die Netzlaufwerke wurde später geändert und muss nur für ein Notebook aktualisiert werden, dass sich nicht am Standort befindet.

    Ich werd morgen mal nachsehen.

     

    Thx

     

     

    Sonntag, 13. Juni 2010 11:11
  • Hallo,

    ein \\Server01\ funktioniert erst, nachdem ich "net use \\server01\freigabename /user:administrator" eingegeben habe.

    Vorher kommt die Meldung, dass der Benutzername unbekannt wäre.

     

    Ein \\Domaene.local\sysvol\domaene.local funktioniert nicht.

    Meldung nach ca. 1min: Ein erweiterter Fehler ist aufgetreten.

     

     

    Montag, 14. Juni 2010 06:29
  • "Daniel Bölling" schrieb
    Hi,

    Ein \\Domaene.local\sysvol\domaene.local
    <file://\\Domaene.local\sysvol\domaene.local> funktioniert nicht.

    Schlecht. Wie soll der Client dann seine GPOs finden? ;)

    Meldung nach ca. 1min: Ein erweiterter Fehler ist aufgetreten.

    Was steht im Eventlog von Client und Server dazu? Hast du ein

    IPConfig /all

    von Client (VPN) und DC? Wer baut das VPN eigentlich auf auf der Clientseite? Das Notebook direkt, oder steht da ein VPN Router, der eine Site2Site Verbindung herstellt?

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Montag, 14. Juni 2010 07:01
    Moderator
  • Die VPN Verbindung wird per Software (Draytek VPN Client) hergestellt.

    Ipconfig:

    Wlan:

    IP: 192.168.2.201

    GW:192.168.2.241

    DNS:192.168.2.241

     

    PPP Adapter:

    IP 192.168.10.204

    GW: leer

    DNS:192.168.10.2 (Server 2008)

     

    Im Eventlog des Clients taucht folgende Fehlermeldung auf:

    Quelle Security Kerberos, ID 14:

    Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat.

    Ich soll das Kennwort in der Systemsteuerung neu eingeben, ich wundere mich nur, warum der angezeigte Anmeldename der ist, der für den Aufbau der VPN Verbindung verwendet wird (und der hat nichts mit Windows oder dem Server zu tun, sondern nur mit dem VPN Zugang über die Draytek Software und den Draytek Router?!)

     

    Auf dem Server bekomme ich folgende Meldungen:

    1. Quelle: MS Windows-Sicherheitsüberprüfung mit ID 4672 (spezielle Anmeldung):

    Einer Anmeldung wurden besondere Rechte zugewiesen

    2. Quelle:  MS Windows-Sicherheitsüberprüfung mit ID 4624 (Anmelden):

    Ein Konto wurde erfolgreich angemeldet

    3.  MS Windows-Sicherheitsüberprüfung mit ID 4634 (Abmelden):

    Ein Konto wurde erfolgreich abgemeldet

     

    Dann folgen noch viele weitere An und Abmelde Ereignisse sowie Ticketvorgänge des Kerberos Dienstes ohne weitere Informationen.

     

    Montag, 14. Juni 2010 07:52
  • Hi,

    Am 14.06.2010 09:52, schrieb Daniel Bölling:

    Quelle Security Kerberos, ID 14: Das in der
    Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig,

    Lösche es ...
    Event ID 14 — Stored Password Configuration
    http://technet.microsoft.com/en-us/library/cc733968%28WS.10%29.aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 14. Juni 2010 16:16
  • Ok, werde ich mir ansehen.

    Wird aber nen paar Tage dauern.

    Ich frage mich nur, warum die VPN Benutzerdaten (die ja im AD überhaupt nicht vorhanden sind) dort auftauchen.

    Die Verbindung wird ja nur zwischen VPN Clientsoftware und dem Draytek aufgebaut.

     

    Btw.: Würde die ganze Problematik nicht auftauchen, wenn der Server 2008 die VPN Anmeldung übernehmen würde?

     

    Thx für die Tipps!

    Dienstag, 15. Juni 2010 05:58
  • "Daniel Bölling" schrieb:
    Moins,

    Btw.: Würde die ganze Problematik nicht auftauchen, wenn der Server 2008
    die VPN Anmeldung übernehmen würde?

    Möglich, aber wenn der Server 2008 dein einziger Server und damit DC ist, würde ich es trotzdem nicht tun. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Dienstag, 15. Juni 2010 07:26
    Moderator
  • Am 15.06.2010 schrieb Daniel Bölling:
    Hi,

    Wird aber nen paar Tage dauern.

    Und, was kam bei raus?

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Montag, 5. Juli 2010 21:18
    Moderator