GPO's ziehen nicht mehr....!

szumbusch · 16. Februar 2007

Hallo zusammen,

nachdem unser W2K3-Server über ein Jahr wunderbar gefunzt hat, ziehen plötzlich bestimmte GPO's nicht mehr.

DCDIAG passiert alle tests, bis auf diesen:

An Error Event occured. EventID: 0x40011006

Time Generated: 02/16/2007 08:20:39

(Event String could not be retrieved)

An Error Event occured. EventID: 0x40011006

Time Generated: 02/16/2007 08:50:39

(Event String could not be retrieved)

Ich würde ja einen DNS Fehler vermuten, aber den DNS habe ich seit 1,5 Jahren nicht angefasst...?

Einzige echte Änderung (Zeitnah zum Auftreten des Fehlers) ist die Installation von DeviceLock (cooles Tool übrigens).

Die Loopbackverarbeitung ist mit 'Zusammenführen' aktiviert und die GPO's sind so gestrickt, daß es bei den Parametern keine Überschneidungen gibt.

Und wie gesagt: ein Jahr fehlerfrei.

Irgendwelche Ideen?

MfG,

Sascha

Edit1:

Habe in den Ereignissen des DNS eine Fehlermeldung gefunden:

'Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "aaaaaa.bbbbb.xy" nicht vollständig durchführen.

Fehlercode 4004.

Das sagt mir nichts...

Wer weiss Rat?

Edit2:

Korrektur: die GPO's ziehen, aber er findet keine GPO's mehr.

ADDIAG sagt: No GPO's found.

Wie kann das sein?

blub · 16. Februar 2007

führ mal dei "gpotool.exe" aus. Evtl. sind die gpo's defekt

cu

blub

szumbusch · 19. Februar 2007

Hallo!

Sorry für den Delay, aber am WE konnte ich nicht auf den Server zugreifen.

Gpotool bringt nur OK Meldungen.

Die GPO's sind völlig OK. Aber irgendwie findet er sie nicht mehr.

SYSVOL ist auch da und die GPO's sind ordentlich drin.

Ich versteh's nicht.

Sascha

szumbusch · 19. Februar 2007

Hallo zusammen...

Also verstehen tu ichs nicht.....

Folgendes: offensichtlich sind die Computereinträge im AD irgendwie korrupt.

Wenn ich einen Rechner neu im AD eintrage/in der Domäne anmelde dann kommen die

GPO's wieder.

Da es recht viele Rechner sind, stellt sich die Frage, ob es eine möglichkeit gibt, die ca. 250 Rechner vom Server aus zu 'reassignen'?

Mit bestem Dank im voraus,

Sascha

blub · 19. Februar 2007

schau mal hier

http://www.mcseboard.de/windows-forum-lan-wan-32/per-batchfile-clients-domain-haengen-94834.html?highlight=joindomain

was sagt denn "netdiag /v" auf den betroffenen Rechner. Der hat einen domainmembership-test dabei

cu

blub

szumbusch · 21. Februar 2007

Hallo.

Vielen Dank für die Antwort und das Interessante Script..:o)

Leider bin ich nur jeden 2. Tag anwesend...

Deshalb immer wieder delay, sorry

Ich habe jetzt auf ein paar Rechnern erst mal mit netdom auf der shell ebene getestet.

Erst mit

'netdom remove <rechner> /Domain<Domäne> etc...' den Rechner entfernt und dann von Hand im AD gelöscht.

Dann mit

'netdom add <rechner> /Domain:<Domäne> etc...' den Rechner wieder angemeldet

und dann mit

'netdom join <rechner> /Domain:<Domäne> etc...' den Rechner in die Domäne geholt.

Bei einem Rechner ging es, bei zwei anderen nicht...:o(

Der Rechner, der ging, bezieht per DHCP Adressen, die andern sind fix konfiguriert.

Ich vermute witerhin DNS als Ursache. Siehe unten.

192.168.0.1 ist ein IPCOP, der als DNSCACHE läuft. Ihn habe ich als nächsthöheren DNS Server angegeben. Das lief auch mehr als ein Jahr. Ich bin kein super DNS hacker.

Frage: kann ich den kram gefahrlos auf *.local setzen?

Der relevante netdiag /v output:

PASS - All the DNS entries for DC are registered on DNS server '192.168.20.250' and other DCs also have some of the names registered.

Check the DNS registration for DCs entries on DNS server '192.168.0.1'

Query for DC DNS entry schule-xxxx.<DOMAIN>. on DNS server 192.168.0.1 failed.