none
Gruppenrichtlinienergebnisse - der RPC-Server ist nicht verfügbar RRS feed

  • Frage

  • Hallo zusammen,

     

    ja, ich weiß, unter dem Titel "der RPC-Server ist nicht verfügbar" findet man ettliche Beiträge jedoch hat mir keiner, der bisher Durchgeschauten, weitergeholfen...

    Folgende Situation:
    Habe einen Rechner neu aufgesetzt (Windows 7 Pro 32-Bit) und der Domäne hinzugefügt.
    PC bezieht IP per DHCP, PC ist derzeit im selben Standort, wie der Server (hier Client mit RSAT), über den versucht wird, die RSOP abzurufen.
    Für das Domänennetzwerk ist die Firewall deaktiviert.
    An den Diensten bzw. am Starverhalten der Dienste wurde nix verdreht oder so...
    Als AntiVirenlösung ist Avira Workstation 10 eingesetzt und aktuell.

    Nun zum Problem:
    Die PC's bekommen zuerst einen Dummynamen, da meist der "fertige" Namen des PC's noch im Netz steht, bis er gegen den neuen Rechner ausgetauscht wird.

    Mit dem Dummynamen habe ich von meinem Client mit installierten RSAT die RSOP gesammelt - erfolgreich.
    Nun habe ich den alten PC mit dem namen pcxxx aus der Domäne gelöscht und den neuen PC in pcxxx umbenannt, so dass er dem Einsatzort zugeführt werden kann.

    Nochmals versucht, die RSOP zu sammeln - schlägt nun permanent fehl!
    "Der RPC-Server ist nicht verfügbar" Stellen Sie sicher, dass der WMI-Dienst auf dem Zialcomputer aktiviert ist. Weitere Details finden Sie im Ereignisprotokoll.

    Auch nach vollständiger replikation der Information über die Löschung des alten Compters über alle Standorte besteht das problem weiterhin.
    An Avira liegt es wohl nicht, das habe ich testweise deaktiviert.
    Über andere Beiträge habe ich gelesen, dass der WMI-Dienst mit dem Namen "Windows-Verwaltungsinstrumentation" in den Diensten eingetragen ist. Dieser Dienst ist gestartet.

    Im Ereignisprotokoll des Clients kann ich so nix finden, bzw. mir fehlt ein Anhaltspunkt, wonach ich in welchem Protokoll suchen soll. (Anwendung und System ist nur mit Informationen, keine Fehler, gefüllt)
    Da wir diese Problematik häufiger haben, such ich auf diesem Wege nach einer Lösung und hoffe, bei euch diese zu finden.

    MfG


    MfG Harald
    Donnerstag, 21. April 2011 08:58

Antworten

Alle Antworten

  • Am 21.04.2011 10:58, schrieb H.Haas:

    Für das Domänennetzwerk ist die Firewall deaktiviert

    du hast auf dem PC nachgeschaut und bist dir 100% sicher?

    Da du "Avira Deaktiviert" genannt hast, deinstallieren ist der
    einzige valide Test um die Fehlerquelle auszuschliessen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 21. April 2011 09:07
  • Antivir deinstalliert, Neustart, als Benutzer in der Gruppe der DomänenAdmins (mein Konto) angemeldet - gleiches Ergebnis, Der RPC-Server ist nicht verfügbar, beim Versuch, die GPO-Ergebnisse abzurufen.

    Und ja, ich bin mir sicher, dass ich auf dem betreffenden PC die Firewall ausgeschaltet ist, zumindestens zeigt dies die Windows-Firewall mit erweiterter Sicherheit für das Domänenprofil so an.

    Die Einstellung wird durch eine GPO gesteuert.

    Noch ne Idee?

    Anmerkung:
    RSOP über die GPMC ist von keinem Server und aus keinem Standort aus möglich, immer wieder der gleiche Fehler!

     


    MfG Harald
    Donnerstag, 21. April 2011 09:38
  • Am 21.04.2011 schrieb H.Haas:

    Antivir deinstalliert, Neustart, als Benutzer in der Gruppe der DomänenAdmins (mein Konto) angemeldet - gleiches Ergebnis, Der RPC-Server ist nicht verfügbar, beim Versuch, die GPO-Ergebnisse abzurufen.

    Und ja, ich bin mir sicher, dass ich auf dem betreffenden PC die Firewall ausgeschaltet ist, zumindestens zeigt dies die Windows-Firewall mit erweiterter Sicherheit für das Domänenprofil so an.

    Wo? In der GPMC oder auf dem Client selbst?

    Die Einstellung wird durch eine GPO gesteuert.

    Welche Dienste hast Du denn per GPO konfigurert? Wie genau ist die FW
    konfiguriert? Schalte sie ein und erstell eine Beispiel Konfiguration.
    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 21. April 2011 09:55
  • In der GPMC.

    In der GPO wurde unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall/Domänenprofil der Punkt "Windows Firewall: Alle Netzwerkverbindungen schützen auf Deaktiiviert gesetzt.

    Dienste wurden sonst keine konfiguriert.

    Hab jetzt noch mal folgendes durchgeführt, was interessant sein dürfte:

    - PC aus der Domäne genommen,
    - PC in einen Namen umbenannt, der in der Domäne nicht vorhanden ist (pctest)
    - PC wieder in der Domäne hinzugefügt
    - Firewall wird weiterhin durch GPO im Domänenprofil deaktiiviert

    RSOP über GPMC funktioniert!?

    Meine Vermutung ist folgende:
    Bei allen PC's, bei denen RSOP über GPMC mit dem RPC-Fehler nicht geht, waren PC's mit den gleichen Namen schon vorher in der Domänen gewesen.
    Alle PC's, die in die Domäne kommen und einen Namen haben, der vorher noch nie vorhanden war, geht RSOP über GPMC.
    Da wir beim Einrichten und Hinzufügen der Rechner Namen mit Inventarnummern verwenden, ging auch bei diesem Rechner vor dem Umbenennen die gewünschte Funktion, trotz deaktivierter Firewall.

    Die Vorgehensweise ist bei uns wie folgt:
    Soll ein PC ausgetauscht werden, wird der neue PC mit dem Namen Ersatz+Inventarnummer vorkonfiguriert und der Domäne hinzugefügt.
    >>> Dieser Namen war somit vorher noch nie in der Domäne bekannt.
    Der alte PC wird in ersatz+Inventarnummer umbenannt und ausgeschaltet.
    >>> Dieser Name war der Domäne zwar beim Einrichten des PC's schon mal bekannt gewesen aber da das PC-Konto später gelöscht wird, wurde natürlich nie probiert, ob RSOP über GPMC geht oder nicht - war ja egal...
    Der neue PC wird dann eingeschaltet und in den Namen umbenannt, wie der alte PC vorher hieß.
    >>> Die Zeit zwischen den Umbenennungen war immer so groß, dass eine standortinterene Replikation stattfand und die Namensänderung auf jedem DC innerhalb des Standortes bekannt sein dürfte. Zu mindestens hatten wir noch nie einen Fehler in der Richtung, dass der Namen nicht verwendet werden dürte, weil schon (noch) vorhanden...

    Könnte hier ein Zusammenhang bestehen? Bzw. wenn ja, woran liegt das? Was können wir tun, damit die beschriebene Problematik behoben wird (außer permanent neue, noch nie genutzte Computernamen zu verwenden).

     

       
     

    MfG Harald
    Donnerstag, 21. April 2011 10:44
  • Am 21.04.2011 schrieb H.Haas:

    In der GPMC.

    In der GPO wurde unter Computerkonfiguration/Administrative Vorlagen///Netzwerk/Netzwerkverbindungen/Windows-Firewall/Domänenprofil/der Punkt "/Windows Firewall: Alle Netzwerkverbindungen schützen auf*Deaktiiviert* gesetzt.

    Dienste wurden sonst keine konfiguriert.

    Hab jetzt noch mal folgendes durchgeführt, was interessant sein dürfte:

    - PC aus der Domäne genommen,
    - PC in einen Namen umbenannt, der in der Domäne nicht vorhanden ist (pctest)
    - PC wieder in der Domäne hinzugefügt
    - Firewall wird weiterhin durch GPO im Domänenprofil deaktiiviert

    Du hast vermutlich in der Default Domain Policy alle Einstellungen
    vorgenommen, richtig? Kannst Du jetzt GPRESULT von der GPMC aus
    ausführen lassen? Ist der Client in der gleiche OU wie vorher?

    RSOP über GPMC funktioniert!?

    RSOP.MSC kann man am Client ausführen.

    *Meine Vermutung ist folgende:*
    *Bei allen PC's, bei denen RSOP über GPMC mit dem RPC-Fehler nicht geht, waren PC's mit den gleichen Namen schon vorher in der Domänen gewesen.*
    *Alle PC's, die in die Domäne kommen und einen Namen haben, der vorher noch nie vorhanden war, geht RSOP über GPMC.*
    *Da wir beim Einrichten und Hinzufügen der Rechner Namen mit Inventarnummern verwenden, ging auch bei diesem Rechner vor dem Umbenennen die gewünschte Funktion, trotz deaktivierter Firewall.*

    Verabschiede dich von der deaktivieren Firewall. Schau dir in einer
    aktuellen GPMC (W7 oder 2008R2) die Einstellmöglichkeiten dazu an. Am
    besten konfigurierst Du das auf einer Testou mit einer Testmaschine.
    Anschließend kannst Du die GPO dann auf die anderen Clients wirken
    lassen.

    Achja, und nimm für jede Clientversion eine eigene GPO, denn die XP-FW
    wird an anderer Stelle im Gruppenrichtlinieneditor konfiguriert als
    W7.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 21. April 2011 11:25
  • Hi,

    Am 21.04.2011 11:38, schrieb H.Haas:

    RSOP über die GPMC ist von keinem Server und aus keinem Standort aus möglich

    Rede mit den Administratoren der Firewall/Switche/Router.
    Ich tippe auf ne Application Firewall Regel.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 21. April 2011 11:57
  • Natürlich habe ich NICHT die Einstellungen in der Default Domain Policy vorgenommen - hier ist lediglich die Kennwortrichtlinie definiert!

    Wie schon gesagt, jetzt, wo der Client mit einem Namen in der Domäne bekannt ist, der vorher noch nie verwendet wurde, kann ich von jeder Maschine mit installierter GPMC die Richtlinienergebinisse abrufen - auch von der befehlszeile des Clients aus mit rsop.msc!

    Über redircmp wurde schon vor längerer Zeit definiert, dass alle neuen Computerkonten automatisch in einer OU landen, auf die eine GPO wirkt, die die Grundeinstellungen festlegt.

    RSOP.MSC kann man am Client ausführen. = JA

    Die Ratschläge mit der Firewall nehme ich sehr gerne auf, lösen aber nicht kurzfristig das Problem, welches wir meiner meinung nach mit den Namen haben (siehe dazu Erklärung in letztem Beitrag)

    Aber ein Versuch mit aktivierter FW und dem Zulassen der WMI Windows-Verwaltungsinstrumentation für eingehende und ausgehende Verbindungen ergab leider auch ein NEGATIVES Ergebnis!!! RPC Fehler....

    Was nun?

     


    MfG Harald
    Donnerstag, 21. April 2011 11:58
  • Am 21.04.2011 schrieb H.Haas:

    Natürlich habe ich NICHT die Einstellungen in der Default Domain Policy vorgenommen - hier ist lediglich die Kennwortrichtlinie definiert!

    Gut. ;)

    Wie schon gesagt, jetzt, wo der Client mit einem Namen in der Domäne bekannt ist, der vorher noch nie verwendet wurde, kann ich von jeder Maschine mit installierter GPMC die Richtlinienergebinisse abrufen - auch von der befehlszeile des Clients aus mit rsop.msc!

    Egal in welcher OU der Client liegt?

    Die Ratschläge mit der Firewall nehme ich sehr gerne auf, lösen aber nicht kurzfristig das Problem, welches wir meiner meinung nach mit den Namen haben (siehe dazu Erklärung in letztem Beitrag)

    Setzt ihr das Computerkontopasswort denn auch jedesmal zurück? Wenn
    nein, probiert das aus.

    Alten PC abschalten, Kennwort zurücksetzen, neuen PC einschalten und
    mit dem Namen des alten aufnehmen.

    Aber ein Versuch mit aktivierter FW und dem Zulassen der WMI Windows-Verwaltungsinstrumentation für eingehende und ausgehende Verbindungen ergab leider auch ein NEGATIVES Ergebnis!!! RPC Fehler....

    Bei einem "alten" Client oder bei einem neuen Namen?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 21. April 2011 12:05
  • Hallo Mark, hallo Winfried,

    ich stimme euch beiden ja zu, dass es sicherer und optimaler wäre, auch im internen Netz (Domänennetz) die unter Windows 7 wirklich gute Firewall zu nutzen aber das löst doch nicht unser Problem, welches wir derzeit mit dem RPC-Server haben.

    Wie gesagt - wird ein Rechner mit einem in der Domäne vorher nocht nicht genutzten Namen hinzugefügt, habe ich volle Funktionalität, was RSOP.msc sowohl über die GPMC als auch lokal über die Befehlszeile des Clients angeht.

    Selbstredend ist der Richtlinienergebnissatz dann auch von Servern mit installiertem Feature GPMC aus einem anderen Standort heraus fehlerfrei abrufbar!!!!

    Erst wenn ich als Beispiel einen alten PC mit dem Namen pcxxx in pcyyy umbenenne, dann herunterfahre und den neuen PC in pcxxx benenne, bekomme ich den RPC Fehler, wenn ich die RSOP für den pcxxx abrufen möchte.

    Also quasi bei jedem PC, der bisher gegen neue Hardware ausgetauscht wurde und der nach Austausch den gleichen Namen bekommen hat, wie der alte PC!

    Dies konnte ich mittlerweile nachweisbar herausarbeiten.

    Da der Fehler mit einem neuen Namen nicht auftaucht, schließe ich die UnternehmensFirewall/Switche/Router erstmal aus, wohlwissend, dass hier ggfs. Handlungsbedarf besteht.

    Noch eine Idee?


    MfG Harald
    Donnerstag, 21. April 2011 12:35
  • Am 21.04.2011 schrieb H.Haas:

    Wie gesagt - wird ein Rechner mit einem in der Domäne vorher nocht nicht genutzten Namen hinzugefügt, habe ich volle Funktionalität, was RSOP.msc sowohl über die GPMC als auch lokal über die Befehlszeile des Clients angeht.

    Lies doch mal:
    http://social.Technet.microsoft.com/Forums/de-DE/gruppenrichtliniende/thread/f6db774f-bf08-44c3-9dfd-a555c40041de#dad3dbe5-02df-4dd2-87b4-dd593d971bb9

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 21. April 2011 12:57
  • Egal in welcher OU der Client liegt?
    >>> JA

    Setzt ihr das Computerkontopasswort denn auch jedesmal zurück? Wenn
    nein, probiert das aus.

    Alten PC abschalten, Kennwort zurücksetzen, neuen PC einschalten und
    mit dem Namen des alten aufnehmen.
    >>> Getestet, Computer muss ja danach neu der Domäne hinzugefügt werden - ohne positives Ergebnis.
    haben das über die MMC gemacht, nicht über Befehlszeile.
    (Aber danke trotzdem für diesen Tipp, das haben wir tatsächlich vorher nie gemacht...)

    Bei einem "alten" Client oder bei einem neuen Namen?
    >>> Bei einem neuen Namen funzt die RSOP-Abfrage über GPMC ja, auch mit deaktivierter FW, bei neuem Client mit alten Namen geht es auch net, wenn die FW aktiviert ist und bzgl. der WMI Konfig auf zulassen steht.

    Bin ratlos.


    MfG Harald
    Donnerstag, 21. April 2011 13:01
  • Hi,

    Am 21.04.2011 10:58, schrieb H.Haas:

    Nun habe ich den alten PC mit dem namen pcxxx aus der Domäne gelöscht
    und den neuen PC in pcxxx umbenannt

    Nur damit ich das richtig verstehe, wenn ich das da oben Lese:
    - du isntallierst einen PC-Name1
    - packst den in das AD und machst RSoP aus der GPMC
      ---> funkltioniert
    - dann löscht du das Konto im AD
    - benennst den PC-Name2
      ---> RPC nicht verfügbar?

    Das wäre jetzt korrekt, denn du hast den Rechner ja gerade aus dem AD
    geworfen.

    - du isntallierst einen PC-Name1
    - packst den in das AD und machst RSoP aus der GPMC
      ---> funkltioniert
    - dann benennst den PC-Name2
      ---> RPC nicht verfügbar?

    Dann mach mal ein dsquery computer -name pc-name* ob die aktualisierung
    stattgefunden hat. nbtstat -RR, ipconfig /flushdns und ipconfig
    /registerdns ausführen

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 21. April 2011 13:34
  • Hallo Mark,

    entschuldige die späte Rückmeldung...

    Folgender Ablauf:

    Phase1
    - habe PC mit Namen pc-xxx im AD
    - RSOP aus der GPMC geht
    - dieser PC soll nun gegen neue Hardware ausgetaucht werden

    Phase 2
    - der alte PC mit dem Namen pc-xxx wird umbenannt in z.B. pc-aaa
    - pc-aaa wird ausgeschaltet
    - im AD erscheint der alte PC nun mit dem Namen pc-aaa

    Phase 3
    - der neue PC trägt noch den Namen nach der Installation; z. B. PC-bbb
    - PC wird der AD hinzugefügt
    - RSOP aus der GPMC mit dem Namen pc-bbb geht

    Phase 4
    - pc-bbb wird nun umbenannt in den ursprünglichen alten PC-Namen der alten Hardware >>> hier: pc-xxx
    - ab hier bekomme ich den RPC-Fehler, wenn ich RSOP über GPMC abrufe.
    - lokal am neuen PC funktioniert das RSOP

    Fazit:
    Bei allen PC, welche gegen neue Hardware ausgetauscht wurden und welche wieder in dem alten Namen im AD betrieben werden, gibt es die Fehler.

    Bin derzeit nicht auf Arbeit, geb dir aber glecih bescheid, wenn ich die empfohlenen Test durchgeführt habe...

    Danke erstmal...


    MfG Harald


    Samstag, 23. April 2011 10:51
  • Hallo Mark,

    so wie es derzeit aussieht, liegt es tatsächlich an dem ....... DNS in Verbindung mit DHCP.

    Wenn ich alle Einträge zu dem PC lösche und er eine neue IP Adresse bekommt, die dann auch im DNS registriert, geht RSOP auch wieder über die GPMC.

    Was mich nur wundert ist, dass wir hier einen automatischen Aufräumvorgang im DNS für die Zone definiert haben, welcher aber scheinbar nicht funzt. Aber das ist ein anderes Thema...

    Dir vielen vielen Dank für den entscheidenen Tipp in deinem letzten Beitrag zum Thema.

    MfG


    MfG Harald
    Montag, 2. Mai 2011 08:32
  • Am 02.05.2011 schrieb H.Haas:

    Wenn ich alle Einträge zu dem PC lösche und er eine neue IP Adresse bekommt, die dann auch im DNS registriert, geht RSOP auch wieder über die GPMC.

    Sind denn für den umbenannten Client zwei Einträge im DNS vorhanden?
    Alter Name mit IP xx und neuer Name mit yy?

    Was mich nur wundert ist, dass wir hier einen automatischen Aufräumvorgang im DNS für die Zone definiert haben, welcher aber scheinbar nicht funzt. Aber das ist ein anderes Thema...

    Schau dir dazu diesen Artikel an, evtl. hilft das weiter:
    http://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert H.Haas Dienstag, 14. Juni 2011 08:49
    Montag, 2. Mai 2011 08:36
  • Was ich herauslesen konnte, ist, dass es mehrere namensgleiche Einträge im DHCP gab aber das ist da so OK, da unterschiedliche MAC-Adresse und Leasedauer noch nicht abgelaufen.

    Weiter konnte ich sehen, dass im DNS (Replikat auf weiteren 4 DNS-Servern an 3 Standorten) die alte Adresse eingetragen war, trotz der Einstellung in der NIC, dass die Adresse mit der Suffix im DNS eingetragen werden soll.

    Auch der clientseitige Befehl ipconfig/flushdns und anschließend /registerdns ergab keine Neuregisitrierung im DNS??? (Auch na 15 Min nicht) Ich denke aber, an der Stelle muss ich weiter suchen...

    Natürlich wurde im DHCP Server die dynamische Aktualisierung der Adresse im DNS für die entsprechenden Bereiche als aktiv definiert. (DNS-A Einträge immer dynamisch aktualisieren - die DNS-Zone ist AD-Integriert)

    Den Artikel les ich mir durch und ich melde mich wieder.

    Tschö


    MfG Harald
    Montag, 2. Mai 2011 12:41