GP geht nicht weil PDC Emulator nicht erreichbar?

[micha_g 10]

Hallo,

ich hab momentan Probleme mit ner GP die bestimmten Leuten die Anmeldung an den DCs an verschiedenen Standorten erlaubt.

Dummerweise haben wir z.Z. Probleme mit dem Zentralen DC, bzw. mit dessen Anbindung.

Als folge Daraus, werden Gruppenrichtlinien nicht angewand.

D.h. jemand, der eigentlich über eine Gruppenrichtlinie erlaubt bekommt, sich anzumelden, kann dies nun nicht, weil der PDC Emulator (oder Master? keine Ahnung welche Rolle für GPs zuständig ist) nicht verfügbar ist.

 

Gibt es ne Möglichkeit das zu deaktivieren? Also ne GP zu erzwingen, egal ob der Master oder was auch immer da ist oder nicht?

 

Gruß

 

Micha

[lefg 276]

Du kannst es ja mal mit der lokalen Gruppenrichtlinie versuchen.

[micha_g 10]

Wie mit der lokalen?

Das bringt mir nicht viel, da ich ehrlich gesagt nix an vordefinierten einstellungen ändern will

lokal gibts ja nur die eine ...

ich erstelle lieber meine eigenen ...

auf nummer sicher kann ich die einfach weghauen wenns probleme gibt

 

micha

[lefg 276]

Nun, dann suche mal den beeinflussten Eintrag im Registryzweig der betroffenen Rechner oder User und ändere es entsprechend!

 

Oder sorge für die Erreichbarkeit einen Domänencontrollers.

 

Mit welcher Richtlinie wurde das Problem den eigentlich bewirkt?

 

Für die Anmeldung am Client würde ich mal das Netzwerkkabel rausziehen und dann die Anmeldung versuchen.

[woiza 10]

Was ist denn das Problem des PDC-Emulators? Ich würde dieses Problem lösen, dann hast du auch die anderen im Griff. Der PDC-Emulator ist die FSMO-Rolle, die unbedingt immer laufen sollte (für NTP, Passwörtänderungen, GPOs)

[grizzly999 11]

Allerdings hat jeder DC die GPOs, und die werden auch gezogen, wenn der PDC Emulator nicht da ist (und DNS-technisch alles passt). Außer es wurden neue/geänderte GPOs vom PDC-Emulator nicht auf andere DCs repliziert. Gab es denn da Replikationsprobleme? Das Log gibt dazu weitere Auskunft. Nichtsdestotrotz sollten natürlich, wie woiza es sagte, die Probleme mit diesem Server behoben werden.

 

 

grizzly999

[woiza 10]

Ja, wenn alle GPOs sauber repliziert waren vor dem Ausfall, sollte es tun. Allerdings kann er jetzt ein Problem haben, wenn er die GPOs ändern will, solange der PDC nicht da ist.

 

Die Frage ist auch, ob der PDC aus ist oder nur nicht richtig funktioniert.

[micha_g 10]

Naja das Replizieren ist nicht das Problem.

Also folgendes:

Ich habe auf jedem DC jeweiles eine bestimmte Gruppe welche sich lokal am DC anmelden können soll.

Die DCs stecken in verschiedenen OUs.

Naja und an jeder OU hängt eine GP welche es der Gruppe erlaubt sich am DC anzumelden.

Das hat alles auch schonmal wunderbar geklappt aber derzeit haben wir Netzstörungen.

Netzstörungen in der Form, dass es mal geht und mal nicht geht.

D.h. in der einen Sekunde gehts, in der anderen nicht. Als ob Pakete verloren gehen.

Naja auch egal.

Auf jeden fall geht es seit den Problemen auch nicht mehr mit der lokalen Anmeldung.

 

Ach ja, wenn ich versucht habe bei einem der DCs die Gruppenrichtlinien aufzurufen, kam auch ab und an der Fehler, dass der PDC-Emulator nicht verfügbar wäre oder sowas in der Art.

 

Gruß

 

Micha

[lefg 276]

Die DCs stecken in verschiedenen OUs.

Du bist dir sicher, dass das so gut ist?

[Velius 10]

Du bist dir sicher, dass das so gut ist?

 

Ist bei uns auch so, und macht insofern keine Probleme.

[lefg 276]

Ist bei uns auch so, und macht insofern keine Probleme.

Dann ist es gut.

Off-Topic:

Ich muss gestehen, ich wäre nicht auf eine solche Idee gekommen.

[lefg 276]

ich hab momentan Probleme mit ner GP die bestimmten Leuten die Anmeldung an den DCs an verschiedenen Standorten erlaubt.

Ich glaube, ich begreife diesen Satz jetzt erst richtig.

 

Es geht darum bestimmten Leuten die Anmeldung am DC selbst zu erlauben, sie sind körperlich am DC, loggen sich an dessen Konsole ein?

 

Der Administrator, die Administratoren können das aber noch?

[micha_g 10]

Ja das verschieben ist nicht das Problem, solange die Default Domain Controller Policy drauf wirkt ist das schon ok.

[micha_g 10]

huch hatte gar nicht gesehen dass es schon ne 2. Seite da ist...

 

Ja die Administratoren kommen noch ran.

Es geht um die lokale Anmeldung und die Anmeldung über Terminaldienste (RDP).

Das hab ich beides über ne GP realisiert.

Es ging auch, aber komischerweise geht es nun nicht mehr.

Wenn ich mir über Gruppenrichtlinienergebnisse die Ergebnisse von dem Server und dem entsprechenden Nutzer der sich Anmelden soll ausgeben lasse, dann Zeigt er an dass die Gruppenrichtlinie wirkt und bei den Einstellungen zeigt er auch dass sich die Gruppe in der er steckt auch anmelden kann, nur wenn ichs dann versuche Meckert er, ich würde nicht die Rechte haben.

 

Micha

[micha_g 10]

Ok, das Problem ist gelöst.

 

Hatte zwischenzeitlich mal die Gruppen aus der Gruppe Remotedesktopbenutzer rausgeschmissen.

 

Als wir vor längerer Zeit mal die Störungen hatten hing es damit zusammen aber diesmal wars halt das....

 

Wie auch immer ... Problem gelöst :D

 

 

Micha