Florian-0625

Im GroupPolicy Ereignis Log sieht man, dass das erste Skript gestartet wird, dann kommt kein Eintrag weiter.

Die GPResult Reports unterscheiden sich lediglich in diesem Block: Ansonsten ist der HTML Report identisch.

Hallo zusammen, vielleicht hilft dieser Punkt noch weiter, bzw. ihr könnt mir dazu einen Tipp geben. Ist ein Client länger (z.B. über 24h) an, und es versucht sich jemand einzuloggen, ist im Login Screen zu sehen "anderer Benutzer" und Willkommen. Die Dialog / Login wird dann nicht durchgeführt und zeigt den "Kreisel" dauerhaft, bis das System rebootet wird. Danach funktioniert der Login sofort.

Hallo zusammen, das ganze Log zu posten würde hier ggf. den Rahmen sprengen oder? Kann ich gezielt nach etwas suchen?

Hallo zusammen, manuell lassen sich die Skripte mit dem User problemlos ausführen. Ich habe einmal das Debuggen auf einem PC eingeschaltet. In den ersten Zeilen lesen ich dies hier: GPSVC(730.248c) 22:28:55:793 Failed to query GP Kerberos Armoring in Registry = 0x80070002 GPSVC(730.248c) 22:28:55:797 Failed to query EnableCbacAndArmor in Manual Kerberos Armoring in Registry = 0x80070002 GPSVC(730.248c) 22:28:55:801 Failed to query RequireFast in Manual Kerberos Armoring in Registry = 0x80070002 GPSVC(730.248c) 22:28:56:191 ReadGPExtensions: Rsop entry point not found for AppManagementConfiguration.dll. GPSVC(730.248c) 22:28:56:191 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\gpprefcl.dll. GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for AppManagementConfiguration.dll. GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\dskquota.dll. GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for gptext.dll. GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\gpprefcl.dll. GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\TsUsbRedirectionGroupPolicyExtension.dll. GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\iedkcs32.dll. GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\tsworkspace.dll. GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for WorkFoldersGPExt.dll. GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for dmenrollengine.dll. GPSVC(730.248c) 22:28:56:237 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\srchadmin.dll. GPSVC(730.248c) 22:28:56:237 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\iedkcs32.dll. GPSVC(730.248c) 22:28:56:237 ReadGPExtensions: Rsop entry point not found for hvsigpext.dll. GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for pwlauncher.dll. GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for pwlauncher.dll. GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\cscobj.dll. GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for gptext.dll. GPSVC(730.248c) 22:28:56:269 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\iedkcs32.dll. GPSVC(730.248c) 22:28:56:269 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\system32\domgmt.dll. GPSVC(730.248c) 22:28:56:269 ReadGPExtensions: Rsop entry point not found for dggpext.dll. GPSVC(730.248c) 22:28:56:284 ReadGPExtensions: Rsop entry point not found for gptext.dll. GPSVC(730.248c) 22:28:56:284 ReadGPExtensions: Rsop entry point not found for gptext.dll. GPSVC(730.248c) 22:28:56:284 ReadGPExtensions: Rsop entry point not found for dggpext.dll. Kann jemand damit etwas anfangen?

Hallo @daabm, wie ich ein paar Posts vorher schon erwähnte, sehe mit GPResult die korrekten Richtlinien die ich auch erwarte, mit den entsprechenden Skripten. Jedoch laufen diese gar nicht, unter "Zuletzt ausgeführt" in der HTML Version steht gar Zeitstempel. Entferne ich nun die eine Gruppenmitgliedschaft, werden alle Skripte verarbeitet. Ebenso ist es, wenn ich eine andere Gruppe statt dieser einsetze. Ich finde absolut den Zusammenhang nicht.

Hall @daabm, ja es sind verschiedene GPOs, jeweils mit Logon Scripts. Die Scripts sind in einzelne GPOs aufgeteilt. Deny / Apply - ich vermute du meinst die Spalten in den Sicherheitseinstellungen? Nein das habe wie nichts angepasst. XML -> ich meine hier die GPPs, da kann man im XML suchen - habe aber nichts gefunden zu der Gruppe. Die GPOs mit den Scripten sind nicht Gruppenspezifisch konfiguriert.

Hallo @daabm, ich habe das nicht richtig beschrieben, mittlerweile kann ich es auch weiter eingrenzen. Es ist definitiv kein Problem auf Computerebene, sondern auf Benutzerebene. Wir haben sechs Skripte, die bei der Anmeldung durchgeführt werden. Diese hängen an einer OU und gelten für alle User gleichermaßen. Nun gibt es genau eine AD Gruppe, wenn ein User Mitglied dieser einen Gruppe ist, wird nur das erste (Reihenfolge in GPResult) Skript ausgeführt, die anderen nicht. Tausche ich die Gruppe gegen eine beliebige andere aus, werden alle Skripte durchlaufen. Ich finde in den GPOs nichts, wodurch die Mitgliedschaft in dieser Gruppe dazu führt, dass nur ein Skript durchgeführt wird. Wie bekomme ich heraus, was hier das Problem sein könnte? Ich habe bereits in den XML-Daten der Policies nach der Gruppe gesucht aber nichts entsprechendes gefunden. Was kann ich her tun?

Hallo zusammen, die Problematik mit der langsamen und / oder teilweisen Verarbeitung existiert leider immer noch, ich versuche es einmal näher zu beschreiben: teilweise Verarbeitung - eher nur bei Standorten und Heimarbeitsplätzen: z.B. 10 PCs an einem Standort, bei 8 werden die Richtlinien "normal" verarbeitet, bei 2 werden z.B. zwei Powershellscripte nicht verarbeitet, die jedoch bei den anderen durchlaufen. Bei diesen beiden zeigt gpresult, dass die Richtlinien wie gewünscht angewendet werden. Jedoch führt ein gpupdate /force dazu, dass die Richtlinien korrekt durchlaufen. langsame Verarbeitung - tritt auch in der Zentrale auf: Tritt immer wieder unterschiedlich auf, manchmal auch in der Zentrale selbst, Richtlinien werden z.T. sehr spät, während der User bereits arbeitet durchlaufen. Verhält sich aber immer wieder unterschiedlich, d.h. nach einem Reboot laufen die Richtlinien normal durch, beim nächsten Mal ggf. wieder mit sehr langer Laufzeit. Wie kann ich dieses Thema angehen?

Hallo zusammen, tatsächlich habe ich zwei Scripte gefunden, die ich eigentlich aus den GPOs entfernt hatte, die wieder aufgetaucht sind. Vermutlich durch die Replikationsthematik. Ich hab diese wieder entfernt, die Replizierung angestoßen, an allen Standorten getestet, wurde auch korrekt umgesetzt. Ich schaue noch nach Bsp. für die anderen Fehler und melde mich dann.

Hallo zusammen, ich denke diese Baustelle passt nun. Von den Eingangs genannten Probleme greife ich mir eines heraus, was definitiv noch existiert. Mindestens drei Skripte werden bei jedem Anmeldevorgang am Client statt einmal, zweimal ausgeführt. Wie kann ich den Grund dafür herausfinden?

Hallo @cj_berlin, hallo @toao, ich habe die Einstellungen von @cj_berlin soweit umgesetzt. Ich habe auch weitere Netze ergänzt, von Clients, die ich under Debug\netlogon auf den DCs gefunden haben. HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName zeigt am Client den gewünschten Standort DNS Pfad Rootdomain: ForwardLookupZone _msdcs.[domain].dc._sites.[Sitename]._tcp, DNS Pfad Childdomain: ForwardLookupZone [domain]._msdcs_dc.sites.[Sitename]._tcp - in beiden Pfaden sind die Standorte sauber mit den entsprechenden DCs zu sehen Wo finde ich diese Einstellung "Enabling Clients to Locate the Next Closest Domain Controller", wie heißt hier die Überordnung?

Hallo @cj_berlin, ich habe dies so gemacht. Unter den beiden DCs aus der Zentrale (NTDS Settings) haben sich die Standort DCs verteilt "automatisch generiert". Unter den Standort DCs (NTDS Settings) sind ja noch jeweils die beiden DCs aus der Zentrale fest eingetragen, soll ich diese entfernen und die automatisch generierten Einträge übernehmen lassen?

Hallo @cj_berlin, erst einmal vielen Dank für die Ausführung. Aktuell ist ein Objekt "ZENTRALE" als Standortverknüpfung angelegt, welches alle Standorte und die Zentrale beinhaltet. D.h. ich würde dieses eine Objekt löschen, nachdem ich für jeden Standort ein neues Objekt angelegt habe, welches die Zentrale und den jeweiligen Standort berücksichtigt, richtig? DEFAULTIPSITELINK ist wohl bereits entfernt. Zur Info, alle Standorte können untereinander die DCs erreichen, jedoch sind einige mit nicht besonders leistungsfähigen Internetanschlüssen angebunden. Besser wäre es also, wenn die Standorte nur zu den DCs in der Zentrale sprechen.

Hallo @cj_berlin, danke für die Rückmeldung. Was mir als erstes auffällt, ist unter Active Directory-Standorte und Sites: Bei allen Standorten sind unter dem Standort DC unter NTDS-Settings jeweils die beiden DCs in der Zentrale - OK, aber auch ein Eintrag "<automatisch generiert>" von einem Standort DC, der gehört da nicht hin denke ich. Beim Standort dessen DC bei allen anderen Standorten unter NTDS-Settings "<automatisch generiert>" hinzugefügt ist hingegen habe ich wiederum alle Standort DCs einmal mit "<automatisch generiert>" unter den NTDS-Settings. Dies würde ich gern als erstes auflösen, wie gehe ich dazu vor?

Hallo ins Forum, wir haben seit einiger Zeit (lässt sich nicht definitiv sagen, da die Probleme sich nicht immer gleich zeigen) folgende Probleme in unserem AD: - Richtlinien werden sehr langsam verarbeitet - Richtlinien werden teilweise verarbeitet - Richtlinien kommen auf dem Client nicht an - Richtlinien werden teilweise mehrfach verabeitet (z.B. Scripte doppelt ausgeführt) - DNS Registrierung / Aktualisierung (Forward- und Reverse-Lookup) passiert manchmal nicht - DNS Registrierung / Aktualisierung funktioniert zum Teil nicht (Bsp. Forward-Lookup existiert und Reverse-Lookup fehlt, oder ist nicht aktualisiert) - Anmeldung "hängt" in "Wilkommen" Dialog - in den Ereignislogs werden fehlerhafte Anmeldungen (mehrfach) dokumentiert, auch wenn der User sich sofort korrekt anmeldet Nun treten die Problem sporadisch und an unterschiedlichen Clients auf: - direkt im LAN - an Standorten per IPSec angebunden - an Heimarbeitsplätzen per IPSec angebunden - an Heimarbeitsplätzen per SSL Client angebunden In den Ereignislogs finde ich leider gar keine Hinweise die weiterhelfen. Wir haben zwei DCs in der Zentrale + an jedem Standort einen. Wo kann ich am besten mit der Fehlersuche beginnen, wer hat hier eine Idee?

Weiterhin habe ich festgestellt, dass wenn ich eine neue Sitzungssammlung anlegen inkl. des Hostes als Mitglied, dieser dort auch dann zugeordnet ist. Zudem ist der geklonte Server auch der Sitzungssammlung zugeordnet, wenn ich mich dort verbinde (über den Broker / die Sammlung) lande ich auf dem Quellserver des Klonvorganges, trotz SysPrep, neuen Names und neuer Hardware-ID. Ein Idee, wo die Referenz liegt, auf dem Broker oder auf dem Host?

Parallel habe ich gesehen, das in den Bereitstellungseigenschaften zusätzlich zum aktuellen Lizenzserver noch ein alter eingerichtet ist. Dies wollte ich dort entfernen, was nicht klappt: Die Einstellungen für "Remotedesktoplizenzierung" konnten nicht gespeichert werden. Fehler: Die Lizenzeinstellungen können nicht festgelegt werden: "Der Vorgang ist ungültig. " Kann das ein Berechtigungsproblem sein? Wie komme ich da weiter? In den Ereignissprotokollen finden ich nichts zum Zeitpunkt.

Habe die VM von einem funktionierenden System geklont, problemlos. Leider erhalte ich den identischen Fehler. Da scheint das Problem woanders zu liegen. Was kann es sein?

Hallo, wir haben eine vCenter Umgebung, aber ja können wir versuchen. Ich war auf dem Stand, dass man vor dem Sysprep aus der Domäne raus muss (oder dass dies besser ist). Wie ist da der beste Weg?

Hallo Jan, das mit der Rolle hatten wir auch versucht, leider ohne Erfolg. Leider haben kein Master zum Klonen, einen anderen müssten man ja wegen der IDs erst aus der Domäne nehmen etc. und mit Sysprep behandeln. Eigentlich würde ich gern wissen, was das Problem genau ist.

Wir möchten einen RD-Sitzungshost einer Sammlung hinzufügen. Diese war vorher Bestandteil einer anderen Sammlung. Aus dieser wurde er entfernt und die Sammlung wurde ebenfalls gelöscht. Beim Hinzufügen zu einer Sammlung (in der er vor dem Wechsel bereits war) erhalten wir folgende Fehler: Die Sitzungssammlungseigenschaften können nicht abgerufen werden. Manche oder alle Identitätsverweise konnten nicht übersetzt werden. Wer kann hier weiterhelfen?