none
Problem mit GPOs aus root Domain RRS feed

  • Frage

  • Hallo zusammen,

    wir haben ein seltsames Problem auf einem Memberserver (2016), im Internet habe ich dazu nix finden können.

    Nur dieser eine Server kann GPOs aus der root Domain nicht lesen/anwenden. GPOs aus der Subdomain, in der er sich befindet, funktionieren normal.

    Eventlog Error ID 8194:
    Die clientseitige Erweiterung konnte die Benutzer-Richtlinieneinstellungen für {75A49CCD-1BA0-478B-B9A6-468F1C3FA7B4} nicht übernehmen. Fehlercode: 0x8007052e Der Benutzername oder das Kennwort ist falsch. Weitere Details finden Sie in der Ablaufverfolgungsdatei.

    Was bereits versucht wurde:
    - Reboot
    - Computerkonto 2x zurückgesetzt
    - aus Domäne raus/rein
    - die bemängelten GPOs auf den DCs der top Domain können von der Maschine aus im Explorer normal geöffnet werden, Passwort funktioniert

    Leider können wir den Server nicht so einfach neu aufsetzen und es ist nicht bekannt seit wann das Problem besteht, um ein Backup wiederherzustellen. Vielleicht hat noch jemand eine Idee für uns. Danke!

    Dienstag, 19. April 2022 09:31

Antworten

  • Wir haben uns nun doch dazu durchgerungen, den betroffenen Server neu aufzusetzen und gpupdate funktioniert wieder normal. Danke für die Unterstützung!
    • Als Antwort markiert -harry Montag, 2. Mai 2022 15:49
    Montag, 2. Mai 2022 15:49

Alle Antworten

  • Moin,

    aktiviere mal die Debug-Protokollierung und schau, ob da was Erhellendes zutage tritt:

    MD %WinDir%\debug\usermode
    REG add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d 196610

    bzw.

    New-Item -Path (Join-Path -Path $env:windir -ChildPath 'debug') -Name 'usermode' -ItemType Directory
    New-Item -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' -Name Diagnostics
    New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics' -Name GPSvcDebugLevel -PropertyType Dword  -Value 196610


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 19. April 2022 10:03
  • Danke für die Info. Das scheint mir der ursächliche Fehler zu sein. Allerdings verstehe ich nicht was diese Maschine für ein Problem mit der gpt.ini hat. Bei allen anderen klappts. Die Datei ist vorhanden.

    ProcessGPO(Machine):  Couldn't find the group policy template file <\\root.local\SysVol\root.local\Policies\{B2D05119-ACDB-418C-9E98-CB530A089EC3}\gpt.ini>, error = 0x52e.

    Inhalt der GPT.INI (das GPO heißt tatsächlich jedoch anders):

    [General]
    Version=46
    displayName=Neues Gruppenrichtlinienobjekt


    • Bearbeitet -harry Dienstag, 19. April 2022 12:42
    Dienstag, 19. April 2022 12:38
  • Kannst Du mal im System-Kontext schauen, ob Du an die Datei rankommst? also entweder psexec -s oder ein Scheduled Task im System-Kontext ausführen...

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 19. April 2022 15:02
  • jetzt steht sehr viel weniger im Log drin, aber der selbe Fehler:

    ProcessGPO(Machine):  Couldn't find the group policy template file <\\root.local\SysVol\root.loc\Policies\{B2D05119-ACDB-418C-9E98-CB530A089EC3}\gpt.ini>, error = 0x52e.

    Dienstag, 19. April 2022 16:00
  • Und was ist mit meiner Frage oben?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 19. April 2022 16:29
  • Achso sorry, falsch verstanden. Habe gpupdate /force im Systemkontext ausgeführt und geloggt.

    Der Zugriff auf die Datei funktioniert im SYSTEM Kontext tatsächlich nicht. Auch bei anderen Policies der root Domain nicht. In der eigenen Subdomain klappt das aber und von anderen Servern der Subdomain klappt es auch auf die root. Ich verstehe es nicht...

    Dienstag, 19. April 2022 17:13
  • Schau mal, ob Du in der Root unter "Foreign Security Principals" den Server findest, und lösche den Eintrag dort.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 19. April 2022 19:15
  • Moin,

    noch eine Idee: gibt es in der Root evtl. ein User- oder Computer-Objekt mit dem gleichen sAMAccountName?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 20. April 2022 05:00
  • in allen Domänen gibt es folgende ForeignSecurityPrincipals:

    S-1-5-11
    S-1-5-17
    S-1-5-4
    S-1-5-9

    In der root ist noch eine weitere mit einer kompletten SID, die sich in keiner Domäne auflösen lässt. Könnte die sein. Ist es sicher diese zu löschen?

    Den betroffenen Namen gibts nur einmal im Forest, auch nicht als User oder Gruppe.

    Danke und viele Grüße

    • Bearbeitet -harry Dienstag, 26. April 2022 13:28
    Dienstag, 26. April 2022 13:22
  • Wir haben uns nun doch dazu durchgerungen, den betroffenen Server neu aufzusetzen und gpupdate funktioniert wieder normal. Danke für die Unterstützung!
    • Als Antwort markiert -harry Montag, 2. Mai 2022 15:49
    Montag, 2. Mai 2022 15:49