1982 10 Geschrieben 14. November 2007 Melden Teilen Geschrieben 14. November 2007 Hallo, ich versuche mich gerade an meinen ersten Gruppenrichtlinien. Und zwar schaut es momentan noch so aus, das es nur eine "Default Domain Controllers Policy" und eine "Terminal Server Policy" gibt. Die Benutzer und Computerkonten liegen alle unter "User" bzw "Computers". Also, steckt noch alles in den Kinderschuhen. Falls es zur Eingrenzung des Problems hilft: Es handelt sich um ein Unternehmen mit 2 Betriebsstätten. Die beiden Betriebsstätten sind mit einer Standleitung verbunden. Insgesamt gibt es 3 Win2k3 DCs, und für jede Betriebsstätte einen DNS-Server. Auf den Clients ist je nach Betriebsstätte der passende DNS-Server eingestellt. Es handelt um XP sowie Win2k Clients. Die Gruüüenrichtlinie soll den Clients den passenden WSUS-Server vermitteln. Es gibt also auch an beiden Orten einen WSUS-Server. Ich habe nun Ou's nach folgenden Schema erstellt: Betriebssätte1 Server Clients -> Abteilungen Benutzer -> Abteilungen Das gleiche nochmals für die andere Betriebsstätte. So, die Computerkonten habe ich nun in die passenden Abteilungen verschoben. Danach eine GPO erstellt, die Einstellungen für den WSUS-Server vorgenommen und mit der Ou "Clients" verknüpft. Auf den Clients wollte ich nun mit "gpupdate /force" die Richtlinie ziehen. Nur leider passiert nix. Ich habe dann mal mit dem Richtlinienergebnissatz die Computer untersucht. Auch hier wird meine Richtlinie nicht angewendet. Wenn ich auf den Clients "gpresult" eingebe, wird mir zwar angezeigt in welchen Ou's der Computer liegt, aber nirgendwo wird meine Richtlinie erwähnt. Ich scheine also einen grundsätzlichen Fehler zu machen. Ist wahrscheinlich nur eine Kleinigkeit, aber ich komme nicht drauf. Hat jemand einen Tipp für mich? Gruß 1982 Zitieren Link zu diesem Kommentar
g1n 10 Geschrieben 14. November 2007 Melden Teilen Geschrieben 14. November 2007 haste gpupdate /force mal aufm server gemacht? wie mehrere server? mal auf die repli warten. Zitieren Link zu diesem Kommentar
1982 10 Geschrieben 14. November 2007 Autor Melden Teilen Geschrieben 14. November 2007 Hi, nein, gpupdate /force habe ich nicht auf den DC's ausgeführt, da ich davon ausgegangen bin, das die sich ja nichts neues ziehen. Die Server sind von der Richtlinie ja eigentlich nicht betroffen. Die Replikation zwischen den DC's habe ich abgewartet. Leider ohne Erfolg. Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. November 2007 Melden Teilen Geschrieben 14. November 2007 Hallo, ein gpupdate /force auf dem Client ist sinnvoll, nicht auf den Servern - von daher alles korrekt. Thema Replikation: Wenn Du Dich mit der MMC auf den Remote DC verbindest und dann die GPO überprüfst - wird die Policy dann korrekt angezeigt? Gruß olc Zitieren Link zu diesem Kommentar
1982 10 Geschrieben 14. November 2007 Autor Melden Teilen Geschrieben 14. November 2007 Hallo Olc, ich verstehe deine Frage leider nicht so ganz. Meinst du wenn ich mir mit der Gpmc die Richtlinie anschaue? Wenn ich sie mir darüber angeschaut habe, sah alles korrekt aus. In der Rechtlinie konnte man sehen das die Domain Policy und die Wsus Policy aufgeführt waren. Die Berechtigungen habe ich bei den Standardeinstellungen gelassen, da dort auch "Authentifizierte Benutzer" aufgeführt waren. Was ich noch ausprobiert habe, war die Replizierung der DC's zusätzlich manuell anzuwerfen. Was soweit auch geklappt hat, nur leider griff die Gruppenrichtlinie dennoch nicht. :( Gruß 1982 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 15. November 2007 Melden Teilen Geschrieben 15. November 2007 Die Computer-GPO ist auf eine OU verlinkt, in der drunter oder drin auch wirklich Computer Objekte abgelegt sind? Ein RSOP.MSC auf einem XP-Client zeigt an, welche GPOs übernommen wurden. Schau dich auch mal in der GPO-FAQ um: FAQ-GPO und die ersten Schritte vielleicht auch: Erste Schritte zum Erstellen einer Gruppenrichtlinie DNS kannst Du wirklich ausschließen? Zeig doch mal ein ipconfig /all von einem Client und vom Server aus dem Standort des betroffenen Clients. Du hast die Standorte auch im AD angelegt? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. November 2007 Melden Teilen Geschrieben 15. November 2007 Hallo, ich glaube es gerät hier einiges durcheinander. Ohne strukturierte Informationen kommt man sogut wie nie weiter... ich verstehe deine Frage leider nicht so ganz. Meine Frage zielte in die Richtung, ob die Änderung tatsächlich schon auf dem anderen DC angekommen ist. Da Du schriebst, daß Du die Replikation abgewartet hast (aber nicht geschrieben hast "wie"), wollte ich das über diesen "Umweg" herausfinden. Soll heißen: Ist das neu angelegte Gruppenrichtlinienobjekt tatsächlich schon auf dem Remote DC vorhanden (in der AD Datenbank als auch im SYSVOL)? Bevor Du weitermachst würde ich das in jedem Fall erst einmal überprüfen. Davon einmal abgesehen gehe ich davon aus, daß wir auch wirklich über eine Domäne sprechen (nur um sicher zu gehen). Sunny61 hat weiterhin eine korrekte Frage gestellt: Arbeitest Du mit Sites, sind die Subnetze korrekt angelegt und die DCs für die Site korrekt im DNS registriert? Ich gehe im Grunde davon aus da Du geschrieben hast, daß alle anderen Richtlinien da sind - aber besser einmal zuviel nachgefragt als einmal zu wenig... Gruß olc Zitieren Link zu diesem Kommentar
1982 10 Geschrieben 15. November 2007 Autor Melden Teilen Geschrieben 15. November 2007 Hallo, vielen Dank erstmal für eure Antworten. Das mit der Replizierung war so gemeint, das ich zum Beispiel die Replizierung über „Active Directory Standorte und Dienste“ für jeden DC manuell angeworfen habe. Anschließend habe ich mich dann mit jedem DC verbunden und kontrolliert ob ich die Gruppenrichtlinie in der AD-Datenbank sehen kann. Ebenso kontrollierte ich ob die Benutzer in der richtigen OU waren. Das war auch der Fall, jedoch habe ich nicht nachgeschaut, ob die Richtlinien auch im SYSVOL sind. Und das sind sie leider nicht. Bzw. auf einem DC nicht. Und an diesem DC haben sich meine Testclients Authentifiziert. Ich versuch das noch mal zusammenzufassen DC1 und DC2 in Betriebsstätte1 DC3 in Betriebsstätte2 Lege ich eine GPO auf dem DC1 oder DC2 an, funktioniert diese wunderbar (sorry, habe ich erst heute festgestellt), jedoch nur in Betriebsstätte1. In der GPMC wird die Richtlinie zwar auch auf dem DC3 angezeigt, im SYSVOL ist sie aber nicht vorhanden. Ein Neustart des NtFrs-Dienstes auf dem DC3 blieb erfolglos. Jedoch wird unmittelbar nach dem Starten des Dienstes der "Fehler 13568" "Quelle NtFrs" im Ereignisprotokoll des DC3 abgelegt. In dieser Fehlermeldung wird nun als Lösungsvorschlag das aktivieren des "Journal Wrap Automatic Restore" angegeben. Wenn ich es richtig verstanden habe, wird ja dann das „Journal“?? gelöscht und dann neu von einem anderen DC gezogen. Wenn der DC das nun löscht und dann aus irgendwelchen Gründen keine Verbindung zum anderen DC zustande bekommt, was passiert denn dann? Die Replizierung von neuen Benutzern, Computerkonten oder OU's auf den DCs funktioniert also, lediglich die Dateireplikation auf dem DC3 scheint nicht zu klappen. Gruß und nochmals Danke für eure Hilfe 1982 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. November 2007 Melden Teilen Geschrieben 15. November 2007 Hallo, damit kommen wir der Sache doch schon näher. :) Ein Journal Wrap kann aus verschiedenen Gründen auftreten, im Grunde wäre jetzt erst einmal Ursachenforschung angesagt. Troubleshooting journal_wrap errors on Sysvol and DFS replica sets Troubleshooting File Replication Service Seit wann werden denn die Fehlermeldungen geloggt? Die Quick and Dirty Lösung ist zwar ein Restore des SYSVOLs auf dem Remote DC (Stichwort D2 / D4). Aber das macht erst Sinn, nachdem Du die Ursache für den Journal Wrap gefunden hast. Using the BurFlags registry key to reinitialize File Replication Service replica sets Gruß olc Zitieren Link zu diesem Kommentar
1982 10 Geschrieben 20. November 2007 Autor Melden Teilen Geschrieben 20. November 2007 Hallo, ich habe mich heute nochmal ein bisschen mit meinem Problem auseinandergesetzt. Leider bin ich zu keinem Ergebnis gekommen. Ich habe mir Eure Links durchgelesen und auch schrittweise ausprobiert. Mit NET SHARE, LINKD etc. Das sieht soweit alles in Ordnung aus. Nun bleibt ja noch der SYSVOL Restore mit D2 und D4. Was ich jetzt nicht ganz verstehe, muss ich tatsächlich auch D4 anwenden? Die anderen beiden DCs funktionieren ja. Reicht es nicht wenn ich auf dem fehlerhaften DC ein D2 anwenden und die anderen beiden so laufen lasse? Zu Deiner Frage, wie lange die Fehlermeldungen schon geloggt werden, etwas über ein Jahr :shock: Da in dem Unternehmen noch nie mit Gruppenrichtlinien gearbeitet worden ist, sondern immer nur mal ein User angelegt wurde, ist es entweder nie aufgefallen oder man hat es ignoriert, weil mein keine Störungen bemerkt hatte :confused: Gruß 1982 Zitieren Link zu diesem Kommentar
1982 10 Geschrieben 22. November 2007 Autor Melden Teilen Geschrieben 22. November 2007 Hallo, ich wollte euch mal auf dem Laufenden halten. Vielleicht hilft es ja nochmal jemanden. Ich habe jetzt nur ein D2 auf dem fehlerhaften DC ausgeführt. Seid dem läuft es wieder problemlos. Egal auf welchem DC ich eine GPO erstelle, sie wird wieder an alle DCs (AD-Datenbank und auch im SYSVOL) repliziert. Danke nochmals für eure hilfe. Viele Grüße Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. November 2007 Melden Teilen Geschrieben 22. November 2007 Hi 1982, entschuldige - ich hatte Deine letzte Antwort übersehen... Es ist vollkommen richtig, was Du gemacht hast. In Deinem Fall reicht ein D2. Ich hatte den Artikel verlinkt, da dort auf die Ursachen und auf beide Wiederherstellungsverfahren eingegangen wird. Schön, daß es wieder in Ordnung ist. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.