Win2k-Gruppenrichtlinien funktionieren nicht mehr

[grizzly999 11]

Egal welche Änderungen ich an den Gruppenrichtlinien mache, auf diesen einen DC werden diese nicht übertragen. Und das ist dummerweise genau der, der diese verteilen sollte.

Das ist nicht korrekt. Jeder DC gibt GPOs heraus, und der Client bekommt die Policies von seinem Anmeldeserver geliefert. Den Logonserver kann man auf einem Client mit dem "set"-Befehl in einem cmd-Fenster kontrollieren. Prüfe, bei verschiedenen Clients welcher das jeweils ist. Ist es ein anderer DC als der eine da, funktionieren dann die Policies auf dem Client bzw. hat er dann keine Fehler im Log (testen mit secedit /refreshpolicy machine_policy und danach im Anwendungslog schauen).

 

 

: Wie bringt man einen anderen DC dazu die Gruppenrichtlinien an die Clients zu übergeben?

Siehe oben. Voraussetzung ist, dass DNS im AD sauber läuft, alle DCs mit ihren SRV-Records auch eingetragen sind. Ist das der Fall?

 

 

grizzly999

[SEMA 10]

Hallo grizzly999!

 

Danke für die Info mit den Anmeldeservern, das wusste ich noch nicht.

 

Ich habe mit dem "set"-Befehl verschiedene Clients überprüft. Es ist tatsächlich so, dass die Gruppenrichtlinien nur dann nicht funktionieren wenn die Clients den abgestürzten Server als Anmeldeserver verwenden. Wird einer der anderen drei benutzt dann funktionieren diese. Es sind dann keine Fehler im Log des Clients.

Es werden aber nach wie vor auf allen vier Domänencontrollern im 5-Minuten-Takt die weiter oben bereits beschriebenen Fehlermeldungen ausgegeben.

 

Ob DNS sauber läuft möchte ich jetzt nicht schwören müssen aber es sind alle DCs so weit ich das beurteilen kann eingetragen wo sie meiner Meinung nach auch hingehören.

 

Um das ganze noch einmal aufzurollen ... Ursache war ein Absturz mit BSOD dieses Servers. Danach lief der darauf installierte DHCP-Server nicht mehr. Ich habe diesen dann neu aufgesetzt. Kann hier irgendwas schief gelaufen sein? Würde es Sinn machen diesen nochmals zu deinstallieren und neu einzurichten?

 

Noch was anderes: Würde es was bringen den abgestürzten Server im Wiederherstellungsmodus zu starten und zu restoren? Oder hole ich mir damit eventuell noch andere Probleme ins Haus? Wie alt darf eine Sicherung maximal sein?

[SEMA 10]

Hat hierzu noch jemand einen Einfall? Oder gibt es noch was was ich versuchen könnte?

 

 

Danke für die Bemühungen

:)

[nobex 10]

Hat hierzu noch jemand einen Einfall? Oder gibt es noch was was ich versuchen könnte?

Du könntest probieren, den Rechner zu de- und danach erneut zum DC zu promoten. Allerdings nur, wenn wirklich keine FSMO-Rollen oder der letzte GC draufliegen; sollte aber lt. Deinen Postings nicht der Fall sein.

[SEMA 10]

Der Server hält zwar die FSMO Schema Master aber die sollte sich ja problemlos auf einen der anderen DCs schieben lassen. Der GC läuft auf allen vier DCs, daher sollte das auch kein Problem darstellen.

Dann werde ich das wohl oder übel am Wochenende versuchen. Vorher wird das leider nichts ...

 

Danke nochmals für die guten Tipps so weit.

:)

[Christoph35 10]

Ein Tip noch:

 

Solltest du die Schema-Master-Rolle per NTDSUTIL Seize-Kommando übertragen müssen, achte darauf, dass du den Rechner erst wieder als DC ans Netz hängst, nachdem du die Platte formatiert und Windows neu eingerichtet hast.

 

Christoph

[SEMA 10]

?¿?

Öhm ... Alles was ich vor hatte war die FSMO Schema master von dem DC der herumkaspert auf einen anderen zu übertragen, diesen zu demoten und danach wieder zum DC zu promoten.

Warum sollte ich die HDU formatieren wollen?

[IThome 10]

Er hat SEIZE gesagt, nicht TRANSFER ... Bei TRANSFER musst Du das natürlich nicht machen ...

[SEMA 10]

Ooops. Sorry ...

Wer lesen kann ist klar im Vorteil.

[SEMA 10]

So ... leider hat das alles nicht geholfen.

Ich habe den entsprechenden Domänencontroller per dcpromo erst de- und dann wieder promotet.

Das Problem besteht nach wie vor ...

:(

 

Hat jemand noch eine andere Idee?

[Christoph35 10]

Hast Du, nachdem du den DC demotet hast, auch das AD nach Verweisen auf den demoteten DC durchsucht, und alle evtl. noch vorhandenen Verweise beseitigt?

 

- DNS

- AD-Sites & Services

- NTDSUTIL

 

Christoph

[SEMA 10]

Ich habe auf den drei übrigen DCs alles was ich über den demoteten DC gefunden habe gelöscht.

Ich gehe davon aus, dass da nichts mehr übrig war ... Eine Garantie habe ich natürlich keine.

[SEMA 10]

Wieder ein Wochenende grübelnd und testend mit diesem Problem verbraten ...

Ich denke ich bin der Ursache jetzt auf die Spur gekommen.

Es fehlen schlicht und einfach die Default Policies. Und zwar alle beide.

- Default Domain Policy

und

- Default Domain Controller Policy

Warum und vor allem wohin die verschwunden sind bleibt wohl für immer ein Rätsel.

 

Auf alle Fälle habe ich das Tool "recreatedefpol" ausgeführt welches die beiden Policies wieder herstellen sollte. Ich habe mich aus- und wieder eingelogged so wie es beschrieben wird aber die beiden Policies tauchen trotzdem nicht auf.

Habe ich was vergessen?

Wie bekommt man die beiden Policies wieder in die Auswahlliste?

 

Ich finde leider keine ausführliche Anleitung zu dem Tool.

:(

[nobex 10]

Hallo,

 

recreatedefpol hast Du doch schon zu Beginn der Probleme (lt. Deinem ersten Posting) ausprobiert. Sind denn die beiden Ordner unter Sysvol vorhanden wie hier beschrieben?

Event ID 1000 is logged on Windows 2000 domain controllers

 

Gruß Robert

[SEMA 10]

Hallo Nobex,

 

das Tool habe ich tatsächlich recht frühzeitig eingesetzt. Da wusste ich aber noch nichts von den beiden Ordnern die Du selbst gerade erwähnst. Ich dachte wenn man das Tool ausführt dann ist alles wieder gut.

;)

 

Also ... die beiden Ordner sind da. So weit so gut.

Aber normalerweise sollten die beiden Policies doch in der Auswahl der Richtlinien erscheinen (falls ich jetzt nicht komplett alles missverstanden habe). Das tun sie aber nicht. In der Auswahl ist nach wie vor nur meine eigene, selbst erstellte Gruppenrichtlinie zu sehen.

Wie bekomme ich die da wieder rein?