none
temporäre Übernahme von Gruppenrichtlinien mal ja mal nein? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo liebe Forumsleser,

     

    ich habe auf einem Remotedesktopserver 2008R2 ein merkwürdiges Problem.

    Ich habe in den letzten Wochen diverse unterschiedliche Arbeitsumgebungen auf dem Remotedesktopserver mittels GPO vorbereitet.

    - Ordnerumleitungen (auf zentrale Desktopordner) und übliche Beschränkungen damit die User keinen Unsinn machen können, Laufwerkszuordnungen und Proxyeinstellungen.

    Hat alles bis gestern Abend funktioniert mit den Testaccounts funktioniert. Ich habe nun gestern in Vorbereitung auf den Umstieg einen bestehenden Account auf seine entsprechend vorbereitete neue Umgebung umgestellt und ihn das erste Mal angemeldet. Der User übernahm so wie sein Testaccount alle Richtlinien. Soweit alles fein.

    Ich habe das System seit dem nicht mehr angefasst. Heute bekam ich die Info bei der abschließenden "Qualitätskontrolle" das die Arbeitsumgebungen die vorher alle gepasst haben nicht mehr den Einschränkungen unterliegen.

    Daraufhin habe ich das unter anderem mit dem umgestellten Benutzer getestet... keine Usergruppenrichtlinie wird mehr angewendet. Nicht eine wird mehr angewendet. Das ganze konnte ich auch bei einigen der Testaccounts feststellen, aber nicht allen. Ich habe aktuell keine Erklärung dafür.

    Was habe ich schon selber gemacht. Userprofil auf dem Remotedesktopserver gelöscht und neu erstellen lassen. Gruppenzugehörigkeiten überprüft und mittels GPresult auch gesehen das die richtigen Gruppen erkannt werden auf denen die Sicherheitsfilterung stattfindet. Wenn ich den User kopiere und diesen kopierten User anmelde wirken die GPO's wieder wie gewünscht.

    Marcel Brabetz

    Mittwoch, 22. April 2015 08:32
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Replikation zwischen den 2 DC's funktioniert, die Nutzer kommen auf die SysVol Freigaben. Und nach kompletter Neuerstellung des Users funktioniert es aus.

    Was ich sehe: Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.

    Ich habe auch gesehen, dass seit dem das Problem auftritt ich im Anwendungslog den Eintrag hatte das Teile der Ordnerumleitung wieder entfernt wurden.

    Marcel Brabetz

    Mittwoch, 22. April 2015 08:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Nach einem Serverneustart war das Problem für ca. 5 Tage behoben.

    Hat keiner eine Idee in welche Richtung das Problem zu suchen ist?

    Marcel Brabetz

    Montag, 27. April 2015 10:13
    |
  • Question
    Anmelden
    0
    Anmelden
    Mal ins GP Operational Eventlog geschaut?
    Montag, 27. April 2015 12:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Lennart,

    vielen Dank erst einmal für deinen Post. Bisher noch nicht, aber dort finde ich auch nichts anderes als das teilweise die "Folder Redirection Erweiterung" etwas länger bei der Abarbeitung benötigt hat (zwischen 15 und 180 ms)

    Ansonsten noch den Hinweis: Dieser Computer ruft Gruppenrichtliniendateien auf unsichere Weise ab.

    Marcel Brabetz

    Montag, 27. April 2015 12:45
    |
  • Question
    Anmelden
    2
    Anmelden

    Hi Marcel,

    ich kann Dir zumindest bestätigen, dass ich dieses Problem von einem Kunden her auch kenne. Auch RDS 2008 R2, GPO-Verarbeitung anscheinend problemlos, aber jegliche Änderungen werden nicht mehr angewendet. Zumindest dort hing es mit einer immer wieder korrupten FSR-Replikation zusammen (die hatten dort noch die alte AD-Replikation und nicht auf DFSR migriert).

    Das erkennst Du an entsprechenden Fehlereinträgen im FSR Event Log. Vielleicht ist da ja etwas zu finden...

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Montag, 27. April 2015 13:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Ben,

    danke. Im Dateireplikationsdienstlog ist bis auf den temporären Fehler beim letzten Neustarts der DC's auch nichts drin.

    Auch so werden neue Einstellungen durchaus abgearbeitet. Sowohl Änderungen in den GPO's (sei es das eine Verknüpfung zu einer OU geändert wird oder inhaltlichen Änderungen) werden durchaus abgearbeitet / zwischen den DC's repliziert. Auch neue GPO's werden repliziert. Heute ist das Problem wieder aufgetreten.

    Ein Neustart der "Anmeldedienste" brachte scheinbar Abhilfe.

    Unabhängig davon führe ich die Migration einmal durch und schaue wie es weitergeht.

    Vielen Dank erst einmal

    Marcel Brabetz

    Montag, 27. April 2015 13:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo noch einmal,

    ein Update meinerseits:

    Die Migration vom NTFRS zu DFS-R lief problemfrei auch der Morgen ist soweit prima gelaufen. Aber jetzt um die Mittagszeit gibt es wieder die gleichen Probleme. Gruppenrichtlinien werden wieder laut Log nicht mehr übernommen.

    Was allerdings beim genaueren Hinsehen aufgefallen ist: Auf dem Remotedesktopserver werden User mit 10 Minuten Inaktivität automatisch getrennt und dann nach weiteren 50 MInuten abgemeldet. Besteht eventuell dort ein Zusammenhang? 

    Warum frage ich: "Die nächste Richtlinienverarbeitung für User domain\username wird in 118 Minuten versucht." Was passiert wenn sich ein User nachdem er abgemeldet wurde, aber vor Ablauf der entsprechenden Frist wieder angemeldet wird?

    Marcel Brabetz

    Dienstag, 28. April 2015 11:17
    |
  • Question
    Anmelden
    1
    Anmelden
    > Warum frage ich: "Die nächste Richtlinienverarbeitung für User
    > domain\username wird in 118 Minuten versucht." Was passiert wenn sich
    > ein User nachdem er abgemeldet wurde, aber vor Ablauf der entsprechenden
    > Frist wieder angemeldet wird?
     
    Dann läuft die Frist neu los.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 28. April 2015 11:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin, ja okay.

    Aber würde er in diesem Augenblick überhaupt die normal auf ihn wirkenden GPO's übernehmen?

    Marcel Brabetz

    Dienstag, 28. April 2015 11:28
    |
  • Question
    Anmelden
    1
    Anmelden
    > Aber würde er in diesem Augenblick überhaupt die normal auf ihn
    > wirkenden GPO's übernehmen?
     
    Auswerten, ja. Anwenden, ja. Die Einstellungen darin: Kommt drauf an.
    Hat sich was geändert oder soll auch ohne Änderungen übernommen werden.
     
    Das Group Policy Eventlog verrät Dir mehr dazu.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 28. April 2015 11:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin, danke für den Hinweis,

    wenn nun lediglich informative Ereignisse geloggt werden.

    - Verarbeitung wird gestartet

    - DC kontaktiert

    - Bindung zum DC abgeschlossen

    - Kontoname und Domänenname stimmen

    - Zugriff auf die DDP wird ausgeführt

    - Liste der anwendbaren Gruppenrichtlinien

         - nur die "DDP" obwohl gestern auf dem gleichen Testuser mehr GPO's angewendet worden sind.

    - Danach der Hinweis darauf das die erneute Abarbeitung in 93 Minuten stattfindet.

    Wo kann ich denn noch weiter forschen?

    Marcel Brabetz


    Dienstag, 28. April 2015 12:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hab jetzt auch gerade noch einmal explizit einen User von einem bestehenden User kopiert. Der User übernimmt direkt die Einstellungen und behält sie auch nach mehreren Anmeldungen so wie du beschrieben hast.

    Beim ersten Mal mit dem Hinweis das er Änderungen erkannt hat, bei den folgenden Anmeldung das er keine Änderungen erkannt hat. So weit so gut.

    Hast du einen weiteren Hinweis für mich? Für mich ist es im Moment noch komplett unlogisch, warum 2 User mit den gleichen Gruppenmitgliedschaften und der selber OU zugehörig, GPO's auf dem gleichen RDS unter Verwendung des gleichen Domaincontrollers unterschiedlich erkennen / abarbeiten?

    Marcel Brabetz

    Dienstag, 28. April 2015 12:49
    |
  • Question
    Anmelden
    0
    Anmelden
    > - Liste der anwendbaren Gruppenrichtlinien
    >
    >       - nur die "DDP" obwohl gestern auf dem gleichen Testuser mehr
    > GPO's angewendet worden sind.
     
    Stehen diese "mehr GPOs" in der Liste der nicht anwendbaren?
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 28. April 2015 13:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    ein gpresult /r /user %Username% /Scope USER liefert mir nicht die anderen Gruppenrichtlinien sondern lediglich die DDP. Unter den herausgefilterten Einträgen sind sie nicht aufgelistet. Und auch im Log sind sie im Eintrag nicht zu sehen:

    "Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden:

    Richtlinien der lokalen Gruppe
        Nicht angewendet (Leer)

    "

    Marcel Brabetz

    Dienstag, 28. April 2015 13:41
    |
  • Question
    Anmelden
    1
    Anmelden
    > ein gpresult /r /user %Username% /Scope USER liefert mir nicht die
    > anderen Gruppenrichtlinien sondern lediglich die DDP. Unter den
    > herausgefilterten Einträgen sind sie nicht aufgelistet.
     
    Dann befand sich zu diesem Zeitpunkt nur die DDP im Scope Of Management.
    Jetzt müßte man wissen, wie Deine OU- und GPO-Struktur aussieht...
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Mittwoch, 29. April 2015 10:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    2 DC's Windows Server 2008R2

    DFL = 2008R2

    Ein Forest. Keine Subdomains. Also sehr simpel.

    OU Struktur: neben den standardmäßigen OU's (Domain Controllers, etc.) gibt es direkt unter der Domain 5 zusätzliche OU's in denen die User logisch zugeordnet sind.

    Es gibt 4 GPO's (inkl. DDP) die direkt auf die Domäne verlinkt sind. Danach sind  9  GPOS's (jeweils die gleichen) auf die 5 erwähnten zusätzlichen OU's verlinkt.

    Es sollte demnach maximal 13 GPO's gleichzeitig wirken. Sämtliche GPO's bis auf die DDP sind zusätzlich mit Sicherheitsfilterung versehen. Wenn er die Gruppenmitgliedschaften nicht erkennen sollte, sollte ich ja zumindest den Hinweis auf nicht angewendete GPO aufgrund Zugriff verweigert erhalten. Wenn das Problem auftritt kann ich auch per gpresult sehen das der betroffene User Mitglied der entsprechenden Gruppen ist.

    Vielen Dank schon einmal für die Zeit die du bisher geopfert hast.

    Marcel Brabetz

    Mittwoch, 29. April 2015 11:51
    |
  • Question
    Anmelden
    1
    Anmelden
    > 2 DC's Windows Server 2008R2
     
    Replikation von AD und Sysvol ist ok? (dcdiag /v)
    "dsquery server" und "netdom query dc" liefern auch nur diese beiden Server?
     
    > Ein Forest. Keine Subdomains. Also sehr simpel.
     
    Na hoffentlich :)
     
    > OU Struktur: neben den standardmäßigen OU's (Domain Controllers, etc.)
     
    OT: Es gibt standardmäßig nur eine einzige OU "Domain Controllers".
    Alles andere sind nur Container.
     
    > Es sollte demnach maximal 13 GPO's gleichzeitig wirken. Sämtliche GPO's
    > bis auf die DDP sind zusätzlich mit Sicherheitsfilterung versehen. Wenn
    > er die Gruppenmitgliedschaften nicht erkennen sollte, sollte ich ja
     
    Die Gruppenmitgliedschaften ändern sich ja nicht "psontan" :)
     
    > zumindest den Hinweis auf nicht angewendete GPO aufgrund Zugriff
    > verweigert erhalten. Wenn das Problem auftritt kann ich auch per
     
    Genau, so sollte es sein. Daher auch meine Frage nach den abgelehnten GPOs.
     
    Bis auf die zwei Fragen ganz oben bin ich jetzt aber erst mal ratlos.
    Die Liste der verlinkten GPOs wird nicht vom Client durch rekursives
    Suchen erstellt, sondern vom Server zurückgegeben. Der Client wertet
    danach nur noch aus, welche er anwendet und welche nicht.
     
    Das heißt für mich - wenn in "angewendet und abgelehnt" zusammen nur die
    DDP drin steht, dann hat der Server nur die DDP zurückgegeben. Sehr
    seltsam...
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Mittwoch, 29. April 2015 15:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    die Erweiterung dcdiag /v hat den glaub ich den richtigen Ansatz geliefert. "DSquery server" und "netdom query dc" liefern die korrekten Server.

    Ich habe dcdiag bisher nur ohne die Erweiterung /v abgesetzt.

    Seit der Umstellung auf DFSR werden mir EventID 5014  und 4614 protokolliert (wurden sie vorher leider nicht). Des weiteren werden im Verzeichnisdienstlog seit gestern Nachmittag noch Events 1304 der Quelle ActiveDirectory_DomainService geloggt. "2148074306 Der angeforderte Verschlüsselungstyp wird vom Kerberos-Domänencontroller nicht unterstützt." Den Fehler kann ich in Active Directory Standorte und Dienste bei der Replikation von einem DC auf den anderen DC auch reproduzieren.

    Der DFS-Replikationsdienst beendet die Kommunikation mit Partner "ersterDC" für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen.
     
    Weitere Informationen:
    Fehler: 9036 (Zum Sichern oder Wiederherstellen angehalten)
    Verbindungs-ID: F8185F5A-F167-45FD-A914-30E78EE1255D
    Replikationsgruppen-ID: 21839332-FA92-4FB3-9F98-B97CA115F3E1

    Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL_DFSR\domain" initialisiert und  wartet darauf, die erste Replikation auszuführen. Der replizierte Ordner bleibt  im ersten Synchronisierungsstatus, bis er mit seinem Partner  repliziert  wurde. Wenn der Server zu einem Domänencontroller heraufgestuft wurde, führt der Domänencontroller keine Ankündigung durch und dient als  Domänencontroller, bis dieses Problem behoben wurde. Dies kann darauf  zurückzuführen sein, dass der angegebene Partner sich selbst in einem  ersten Synchronisierungsstatus befindet. Eine weitere mögliche Ursache  ist, dass auf diesem Server oder beim Synchronisierungspartner  Zugriffsverletzungen aufgetreten sind. Wenn dieses Ereignis bei der Migration  von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Änderungen nicht nach außen repliziert, bis dieses  Problem behoben wurde. Dies kann dazu führen, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Domänencontrollern synchron ist.  
     
    Weitere Informationen:  
    Name des replizierten Ordners: SYSVOL Share
    ID des replizierten Ordners: DED70094-5B62-4EBF-8549-DFA811D167E7
    Replikationsgruppenname: Domain System Volume
    Replikationsgruppen-ID: 21839332-FA92-4FB3-9F98-B97CA115F3E1
    Mitglieds-ID: 7F833AB4-F0CD-4F1A-9EA1-ECF8CE3EE71A
    Schreibgeschützt: 0

    Gibt es aus deiner Sicht Hinweise

    Marcel Brabetz

    Mittwoch, 29. April 2015 16:01
    |
  • Question
    Anmelden
    1
    Anmelden
    > Fehler: 9036 (Zum Sichern oder Wiederherstellen angehalten)
     
    Dann setze die mal fort. Oder demote den fehlerhaften DC - geht oft
    schneller als ewig zu suchen. Scheinbar repliziert AD ja auch nicht, oder?
     
    Und DAS wiederum würde dann auch Dein Problem erklären:
     
    Der erste DC hat alle GPOs. Der zweite DC hat noch nie repliziert, weder
    AD noch Sysvol - der hat also nur die DDP. Erwischt der Client den
    ersten DC, ist alles ok. Erwischt er den zweiten, dann kriegt er
    richtigerweise nur die DDP.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Donnerstag, 30. April 2015 09:18
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Martin,

    die Replikation hatte wieder funktioniert nachdem ich DFS-Replikationsdienst auf dem Partnerserver neu gestartet habe. Danach funktionierte sowohl die manuelle Synchronisation als auch die Einträge bei dcdiag /v sahen im Bereich Replikation fehlerfrei aus. Auch das Tool Ad Replication Status zeigt beim Scan der Domain auf beiden Servern keine Fehler an.

    Allerdings gab es nun seit 2 Tagen Fehler beim verarbeiten von Computergruppenrichtlinien auf einem der DC's. Außerdem tauchten Warnung beim Start der DNS Server auf (Event ID 4515) dazu hatte ich hier ein wenig gelesen: https://support.microsoft.com/en-us/kb/867464/

    Und habe allem Anschein nach das Problem beseitigen können, da diese Warnungen jetzt nicht mehr beim Neustart des DNS Dienstes auftauchten. Nach dem beheben dieses Problemes gab es auch keine Probleme mehr bei der Übernahme der Computerrichtlinien die vorher alle 5 Minuten geloggt werden.

    Nach dem Neustart der Anmeldedienste auf beiden DC's, hat dann ein Testaccount von mir der 2 x kurz vorher nur die DDP übernommen hat, auch wieder die korrekten GPO's übernommen. Ob das jetzt wirklich alles war... werde ich sehen und in den nächsten Tagen Feedback dazu geben.

    Vielen Dank noch einmal für deine Denkanstöße die mich (denke ich) in die richtige Richtung gebracht haben. Ich wünsche ein hoffentlich angenehmes langes Wochenende.

    Marcel Brabetz

    Donnerstag, 30. April 2015 13:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    nach jetzt einigen Tagen Beobachtung, einem kompletten Serverneustart der gesamten Umgebung (alle DC's und Memberserver) und Beobachtung, tritt das Problem leider immer noch auf.

    Anscheinend passiert es aber nur wenn einer der 2 DC's als Domänencontroller zur Verarbeitung der GPO's genommen wird. Zumindest habe ich nie den anderen DC als verantwortlichen DC im GP Operational Log gesehen. Und ... nach einem Neustart der Active Directory Domänendienste auf dem einen dem ich im Blick habe hat auch die Übernahme wieder richtig funktioniert. Allerdings sehe ich nach dem Neustart des Dienstes lediglich Anmeldung auf dem "anderen" Server.

    Nach dem ich das soweit gesehen habe, habe ich auf dem "funktionstüchtigen" DC die Active Directory Dienste angehalten... und siehe da der andere Server verarbeitet die GPO (lediglich die DDP wird erkannt und verarbeitet) nicht. Wenn ich das ganze umdrehe funktioniert die Abarbeitung korrekt.

    Die SYSVOL Freigabe ist auf beiden existent verfügbar und laut Dateiinformationen sind die Inhalte bis auf das letzte Byte identisch.

    AD _Replication Status Tool zeigt immer noch keine Fehler. Im Verzeichnisdienst Log sind keine Fehler zu sehen, DNS Server und DFS - Replikation auch nicht.

    Ich hoffe du hast noch weitere Anregungen.

    Marcel Brabetz


    Donnerstag, 7. Mai 2015 15:22
    |