keine sicherheitsrichtlinie, kein anmeldeserver, keine replikation

[Icebird 10]

moin

 

meine lösung von hier lief bis heute morgen dann war es wieder soweit 'nix ging mehr' :( . aber der reihe nach.

 

ich habe also diesen w2k server (SRV-01.DOM.INT) mit sp2, er ist als dc mit ad konfiguriert. der dns läuft perfekt ich kann interne wie externe namen (z.b. pc.dom.int, http://www.name.de) auflösen (ping, nslookup). das system lief ca. 1 jahr ohne probleme. ich bekomme meldungen von dcdiag das der fsmo test fehlgeschlagen ist und das ereignissprotokoll meldet fehler bei ntfrs, ntds, scecli und userenv. ich kann weder die sicherheitsrichtlinie für domänen noch für domänencontroller öffnen meldung 'sie verfügen nicht über ausreichende rechte' / 'das system kann den angegebenen pfad nicht finden', die lokale richtlinie lässt sich problemlos öffnen. es fehlen sowohl die sysvol als auch die netlogon freigabe. die user (w2k pro sp2 pc's) werden angemeldet haben aber keinen zugriff auf freigaben (logisch weil kein anmeldeserver in der domäne gefunden).

 

meine bisherigen versuche zum thema und das durchlesen von ca. 1000000 ;) posts zum thema hier bei ms eventid und wie sie alle heissen haben mich leider nicht viel weitergebracht. das einzige was funktioniert hat war unter

'HK\LM\SYSTEM\CCM\Services\NetLogon\Parameters\SysvolReady' auf '1' zu setzen. nach dieser aktion sind die shares 'netlogon' / 'sysvol' wieder da. die user können arbeiten und in dcdiag werden alle tests als 'passed' angezeigt wenn auch beim test frssysvol folgendes kommt:

 

Starting test: frssysvol

Error: No record of File Replication System, SYSVOL started.

The Active Directory may be prevented from starting.

There are errors after the SYSVOL has been shared.

The SYSVOL can prevent the AD from starting.

......................... SRV-01 passed test frssysvolysvol

 

allerdings bleiben die fehler im protokoll (scecli, ntds, ntfrs) und die sicherheitsrichtlinien lassen sich auch nicht öffnen.

mein sysvol verzeichniss sieht so aus:

 

Verzeichnis von R:\winnt\sysvol\sysvol

01.02.2002 18:38 <JUNCTION> DOM.INT

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT

24.07.2003 11:55 <DIR> Policies

23.07.2003 21:06 <DIR> SCRIPTS

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies

24.07.2003 11:59 <DIR> {9A1B5FE5-5123-4A33-B25A-4697897ED3F6}

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}

24.07.2003 11:59 <DIR> Adm

24.07.2003 11:55 22 GPT.INI

24.07.2003 11:59 <DIR> Machine

24.07.2003 11:55 <DIR> User

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Adm

08.05.2001 14:00 36.404 conf.adm

08.05.2001 14:00 257.040 inetres.adm

08.05.2001 14:00 837.524 system.adm

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine

24.07.2003 11:59 <DIR> Applications

24.07.2003 11:59 <DIR> Microsoft

24.07.2003 11:59 <DIR> Scripts

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Applications

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Microsoft

24.07.2003 11:59 <DIR> Windows NT

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Microsoft\Windows NT

24.07.2003 11:59 <DIR> SecEdit

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Microsoft\Windows NT\SecEdit

24.07.2003 11:59 142 GptTmpl.inf

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Scripts

24.07.2003 11:59 <DIR> Shutdown

24.07.2003 11:59 <DIR> Startup

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Scripts\Shutdown

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\Machine\Scripts\Startup

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\Policies\{9A1B5FE5-5123-4A33-B25A-4697897ED3F6}\User

Verzeichnis von R:\winnt\sysvol\sysvol\DOM.INT\SCRIPTS

 

so und nu seid ihr dran (hoffe ich doch) denn ich weiss nicht was noch ich machen soll. ich denke das hauptproblem ist die nicht vorhandene richtlinie die alles andere blockiert aber wie bekomme ich die wieder hin ohne eine neuinstallation???.

 

gruß michael

[grizzly999 11]

Hast ja ganz nett was aufgelistet, aber wo bitte sind die Richtlinien

{3irgendwas irgendwas} = Default Domain Policy und

und

{6irgendwas irgendwas} = Default Domain Controllers Policy

 

Keine Bandsicherung?

 

grizzly999

[Icebird 10]

moin grizzly

 

ich hab mir gedacht wenn schon info dann richtig, und nach über 10 jahren troubleshooting würde ich nie auf die idee kommen aussagen wie 'geht nicht' oder 'da stand ne fehlermeldung' von mir zu geben :D , ich habe mir auch nochmal die meldungen im ereignissprotokoll durchgesehen und wenn ich das richtig verstehe fehlt der ordner {31B2F340-016D-11D2-945F-00C04FB984F9} (siehe scecli) unter sysvol. die frage ist nun wie lege ich den an und was muss da drin sein???? (nein ich habe kein backup zur hand).

 

 

quelle:ntfrs id:13555

Der Dateireplikationsdienst befindet sich in einem Fehlerstadium. Es werden keine Dateien von oder zu einem oder allen Dateireplikatssätzen auf dem Computer repliziert bis die folgenden Wiederherstellungsmaßnahmen durchgeführt wurden:

----------------------------------------------------------------------------------------------------------------------

quelle:ntds general id:1126

Die Verbindung mit dem globalen Katalog konnte nicht erstellt werden.

----------------------------------------------------------------------------------------------------------------------

quelle: userenv id:1000

Die clientseitige Erweiterung "Security" der Gruppenrichtlinie empfing Flags (17) und hat einen Fehlerstatuscode (3) zurückgegeben.

----------------------------------------------------------------------------------------------------------------------

quelle:scecli id:1001

Die Sicherheitsrichtlinie kann nicht übermittelt werden. Auf die Vorlage kann nicht zugegriffen werden. Fehlercode = 3.

\\IBRAMAR.DE\sysvol\IBRAMAR.DE\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

----------------------------------------------------------------------------------------------------------------------

 

ich habe mal probiert den 3xxx anzulegen und den inhalt von 9xxx reinzukopieren. hat geklappt. nur für 6xxx habe ich leider keinen genauen namen. ich werde jetzt mal die alten backups durchsuchen........

 

 

 

gruß michael

[Icebird 10]

moin

 

so die meisten der oben beschriebenen probleme sind gelöst.

 

die fehlenden verzeichnisse im sysvol\policies ordner haben die namen:

 

{6AC1786C-016F-11D2-945F-00C04fB984F9} = sicherheitsrichtlinie für domänencontroler

 

{31B2F340-016D-11D2-945F-00C04FB984F9}= sicherheitsrichtlinie für domänen

 

am einfachsten ist es sich die beiden ordner von einem frisch aufgesetzten dc zu kopieren. danach kann man auch wieder die snapin's für sicherheit aufrufen. das muss man auch um im abschnitt 'lokale richtlinien' die benutzer:

 

IUSR_xxxx

IWAM_xxxx

 

gegen die aus der eigenen domäne auszutauschen. auch eine überprüfung der restlichen einstellungen kann nicht schaden eine liste mit den default's gibt es (in englisch) hier . mit diesen schritten sind die scecli und userenv meldungen aus der welt. in meinem fall bleibt allerdings noch das problem das ntrfs die meldung:

---------------------------------------------------------------------------------------------

Der Dateireplikationsdienst kann diesen Computer dem folgenden Replikatsatz nicht hinzufgen:

"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

 

Mitgliedname des Replikatsatzes: "SERV-01"

Stammpfad des Replikatsatzes: "c:\winnt\sysvol\domain"

Replikatstagingverzeichnis: "c:\winnt\sysvol\staging\domain"

Pfad des Replikatarbeitsverzeichnisses: "r:\winnt\ntfrs\jet"

---------------------------------------------------------------------------------------------

 

bringt weil mein c: laufwerk dank metaframe ja nun r: heisst. leider merkt er sich den stammpfad nicht mit registry keys und bis jetzt konnte mir auch noch niemannd sagen wie ich ihn dazu bringe den wert von 'c:' nach 'r:' zu ändern.

 

 

gruß michael

[grizzly999 11]

Ich bin mir nicht sicher, aber vielleicht hilft dir dieser Artikel weiter?

 

grizzly999

[laurasan 10]

Hallo grizzly999,

 

welchen Artikel meinst Du ?

 

 

MfG

[grizzly999 11]

Upsala, habe ich wohl vergessen hinzuschreiben. Den hier meinte ich:

http://support.microsoft.com/default.aspx?scid=kb;en-us;221093

 

grizzly999

[Icebird 10]

moin moin

 

 

der artikel hilft leider nicht, aber trodzdem erstmal danke. ich habe (nach einigem suchen) das hier gefunden.

[Icebird 10]

moin

 

soweit sogut, das mit dem verschieben auf ein anderes laufwerk hat funktioniert. allerdings bekomme ich jetzt die meldung:

 

Ntfrs 13508

 

Der Dateireplikationsdienst konnte die Replikation von IBR-SQL nach IBR-COM fr r:\winnt\sysvol\domain mit DNS-Namen IBR-SQL.IBRAMAR.DE nicht aktivieren. Es wird ein neuer Versuch gestartet.

Mgliche Ursachen fr diese Warnung sind:

 

[1] Der DNS-Name IBR-SQL.IBRAMAR.DE von diesem Computer konnte nicht ausgewertet werden.

[2] Der Dateireplikationsdienst wird auf IBR-SQL.IBRAMAR.DE nicht ausgefhrt.

[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domnencontrollern repliziert. na egal das bekomme ich auch noch rausgefummelt.

 

Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die besttigt, dass die Verbindung hergestellt wurde. wurde.

 

 

also bei [1] bin ich sicher das ist es nicht. bei [2] auch der dienst läuft. mit [3] kann ich allerdings so garnix anfangen... wer topologieseirt hier wenn???? und wie mach ich das.

 

 

zusätzlich tut sich noch ein viel ärgeres problem auf. 2 der 7 workstation pc's in der domäne können sich 1. nicht lokal (an der workstation) anmelden (weder als administrator noch als benutzer) sondern nur an der domäne, und seit heute können sie auch nicht mehr den pc runterfahren. wenn sie 'start->beenden->herunterfahren ausführen', bekommen sie den anmeldebildschirm präsentiert. ich werd affig. weiß jemand was das wieder ist?.

 

 

gruß michael

[Jim di Griz 13]

ich fürchte es ist die entsetzliche Bestie vagabundierende undefinierte Gruppenrichtlinie.......

die Antwort ist ernstgemeint........ wenn Teile der GPO nicht repliziert (oder u.U. zum ersten Mal?) repliziert werden werden die wie es mir scheint teilweise angewendet...in den anderen Bereichen gilt dann die Lokale oder eine andere Richtline (nach der Hierarchie (Domain-OU-Lokal-??????)

[Icebird 10]

moin

 

und was tue ich um den 'vagabunden' wieder einzufangen????.

 

gruß michael

[Jim di Griz 13]

userenv id:1000

Die clientseitige Erweiterung "Security" der Gruppenrichtlinie empfing Flags (17) und hat einen Fehlerstatuscode (3) zurückgegeben.

 

speziell dieses Event ist bestens dokumentiert unter http://www.eventid.net (nach event suchen)

 

der thread ist ja was laenger, ich vermute mal du hast einen dc und nur einen.....und leider kein backup der verzeichnisse....

 

Sobald du deiner Domäne per AD-Users and Computers eine Richtlinie verpasst (zuweist) werden die Ordner und Unterstrukturen erstellt. Du kannst dann auch hier ein Template zufuegen....basicdc etc....

nach dem Erstellen der defaultrichtlinien ist aber alles was du mal hattest weg bzw. bei anwendung eines templates ersetzt. das produziert unter anderem fehler, wenn PowerUser (den es in der domäne nicht mehr gibt) lokale rechte (die im template/lokal stehen) per GPO zugewiesen bekommt.......

ausserdem setzt z.b. das template setupsecurity sehr viele filesystemrechte, das macht does booten arg langsam

also besser vor Zuweisen rausnehmen

aber wie gesagt, ich nur MCP mit Heimdomäne ;-)

 

es gibt bestimmt nen MS-certified Weg