goscho 11 Geschrieben 23. November 2007 Melden Teilen Geschrieben 23. November 2007 Hallo Leute, folgendes Problem beschäftigt mich aktuell: W2K3 R2-Domäne, diverse XP Pro, Vista Business und W2K Clienten. Richtlinien: Default Domain Policy WSUS (für internen WSUS auf dem DC) Nach folgendem Problem habe ich die WSUS-Policy anpassen müssen. http://www.mcseboard.de/windows-forum-ms-backoffice-31/wsus-3-0-updates-fehlgeschlagen-fehler-80244019-a-124225.html Dem WSUS habe ich eine neue Website verpassen müssen, mit anderem Port (8530 an Stelle 80). Dies habe ich den der GPO eingetragen und sie wird jetzt von allen gezogen, außer 2 XP Pro PCs, welche nur über Site-to-Site VPN mit dem Netz verbunden sind. Beide sind Domänenmitglieder und melden sich mit einem gecachten Profil an und stellen dann eine Verbindung zum DC her. Ein Vista-PC, welcher ebenfalls nur über VPN verbunden ist, zieht die angepasste GPO. Weiß hier jemand Rat. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. November 2007 Melden Teilen Geschrieben 23. November 2007 GPUPDATE /FORCE und danach RSOP.MSC ergibt, dass die Richtlinien angewendet werden ? Eventuell auch ein Problem mit der Slow Link Detection auf den XP-Maschinen (das Verhalten von Vista hat sich da grundlegend verändert) ? Network Location Awareness Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 23. November 2007 Autor Melden Teilen Geschrieben 23. November 2007 GPUPDATE /FORCE und danach RSOP.MSC ergibt, dass die Richtlinien angewendet werden ? Daher weiß ich, dass sie eben nicht gezogen werden. Eventuell auch ein Problem mit der Slow Link Detection auf den XP-Maschinen (das Verhalten von Vista hat sich da grundlegend verändert) ? Network Location Awareness Werde ich testen und natürlich bescheid geben. Danke schon mal. Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 27. November 2007 Autor Melden Teilen Geschrieben 27. November 2007 So, jetzt habe ich die GPO angepasst und zwar: "Gruppenrichtlinie zur Erkennung von langsamen Verbindungen" aktiviert und den Wert 0 eingegeben, sicherheitshalber sowohl bei Computer als auch bei Benutzer. Leider aktualisieren meine XP-Clients diese Richtlinie nicht über die VPN-Verbindung. gpupdate /force habe ich mehrfach durchgeführt und per rsop.msc konnte ich den Fehlschlag erkennen. Was muss ich noch einstellen, dass diese geänderte GPO gezogen wird. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. November 2007 Melden Teilen Geschrieben 27. November 2007 CISCO-Firewall dazwischen? AFAIR verwirft die Pakete. Genaueres weiß ich leider auch nicht. Vielleicht findest du beim googlen etwas. Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 27. November 2007 Melden Teilen Geschrieben 27. November 2007 Reich doch mal die DNS und WINS Einstellungen der beiden XP Clients nach, die per VPN kommen. Ich habe festgestellt, dass je nach eingesetztem Router mit den DNS Einstellungen bzw. der Reihenfolge "gespielt" werden muss. Der DNS aus der Domäne sollte als 1. eingerichtet sein. BTW: Wenn gpupdate /force ohne Fehler (siehe Ereignisprotokoll) durchläuft, dann stimmt möglicherweise etwas nicht mit der Zuordnung der einzelnen Richtlinien zu den entsprechenden Objekten. In welcher OU sind die beiden XP Computerkonten und in welcher OU sind die Benutzer. Hast Du überprüft ob die Richtlinien für diese OU´s gelten bzw. sich nicht irgendwie aushebeln ? Greetings Ralf Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. November 2007 Melden Teilen Geschrieben 28. November 2007 Wird nur die Computerrichtlinie nicht angewendet oder beide nicht ? Hast Du die Abschaltung der langsamen Verbindungen in der lokalen Policy des Clients eingestellt ? Was steht nach einem GPUPDATE in der Ereignisanzeige des Clients ? Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 28. November 2007 Autor Melden Teilen Geschrieben 28. November 2007 @Sunny, nein, keine CISCO im Einsatz. @Userle, die DNS-Einstellungen sind korrekt (DNS des DC als erster DNS-Server), WINS habe ich abgeschaltet (wird nicht benötigt). Die OUs sind auch korrekt, es sind auch nur 2 GPOs, die auf die gesamte Domäne angewendet werden. @ITHome, Wird nur die Computerrichtlinie nicht angewendet oder beide nicht ? Beide werden nicht angewendet. Hast Du die Abschaltung der langsamen Verbindungen in der lokalen Policy des Clients eingestellt ? Das habe ich auch gemacht, bringt aber nichts, da diese Richtlinie ja nicht genommen wird. gpresult: Default Domain Policy + WSUS werden genommen Was steht nach einem GPUPDATE in der Ereignisanzeige des Clients ? Fehler: userenv - Kennung: 1054 (Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Ein unerwarteter Netzwerkfehler ist aufgetreten. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. November 2007 Melden Teilen Geschrieben 29. November 2007 Die Richtlinie wird schon angenommen, da Du sie ja lokal eingestellt hast (an die andere kommt er ja nicht ran, diese würde die lokale Richtlinie allerdings überschreiben). Du hast im ersten Post geschrieben, dass sie sich mit Cached Credentials anmelden, obwohl ein Site-to-Site VPN vorhanden ist. Warum melden die sich nicht direkt an ? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 1. Dezember 2007 Melden Teilen Geschrieben 1. Dezember 2007 Gibts da nicht was mit Slow Link Detection oder so? Q227260 - How a Slow Link Is Detected for Processing User Profiles and Group Policy: How a slow link is detected for processing user profiles and Group Policy Group Policy slow link detection - Computer: Welcome to the MSDN Library Group Policy slow link detection - User: Welcome to the MSDN Library Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 1. Dezember 2007 Melden Teilen Geschrieben 1. Dezember 2007 Da reden wir doch die ganze Zeit von ... ;) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 2. Dezember 2007 Melden Teilen Geschrieben 2. Dezember 2007 Da reden wir doch die ganze Zeit von ... ;) Warum setzt der OP es dann nicht um? ;-) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Dezember 2007 Melden Teilen Geschrieben 2. Dezember 2007 Funktioniert die Namenauflösung für die betroffenen Clients mit dem DNS der Domäne? Zeigen die primären DNS-Einstellungen darauf? Wann wird bei den Rechnern das Netzwerk gestartet? Erfolgt bei XP die Meldung "Netzwerkverbindungen werden vorbereitet" nach "Windows wird gestartet"? Ist die Gruppenrichtlinie "... immer auf das Netzwerk warten." ein Begfiff? Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 3. Dezember 2007 Autor Melden Teilen Geschrieben 3. Dezember 2007 Warum setzt der OP es dann nicht um? ;-) Ich habe diese Regel natürlich aktiviert. Habe ich auch schon gepostet. Schau mal 3-4 Posts weiter oben nach. ;) Leider wird diese von XP-PCs, welche nur über VPN mit der Domäne verbunden sind nicht aktualisiert. Ich habe 2 Vista-PCs, welche auch nur über VPN verbunden sind und alle GPO-Aktualisierungen ziehen. IThome hat ja geschrieben warum. Außerdem ist da noch mein Notebook, welches ich mal im lokalen LAN und mal per VPN angebunden habe. Dieses hat die GPOs auch automatisch aktualisiert. Ich könnte also die beiden Pcs mal kurz ins mit in die Firma nehmen, LAN hängen, gpudate /force ausführen und alles würde klappen. Ich denke mir aber, es muss auch eine Möglichkeit geben, diesen PCs über die (zu langsame) VPN-Verbindung die GPOs anzupassen. @lefg Funktioniert die Namenauflösung für die betroffenen Clients mit dem DNS der Domäne? Zeigen die primären DNS-Einstellungen darauf? ja Wann wird bei den Rechnern das Netzwerk gestartet? Erfolgt bei XP die Meldung "Netzwerkverbindungen werden vorbereitet" nach "Windows wird gestartet"? Die Netzwerkverbindung wird erst später hergestellt, weil nur WLAN genutzt wird und der Access Point sowie auch der VPN-Server nicht immer eingeschaltet sind beim Booten. Ist die Gruppenrichtlinie "... immer auf das Netzwerk warten." ein Begfiff? Oh ja, ist mir ein Begriff. Wenn ich allerdings diese einstelle, so wird diese ja auch nicht gezogen, da die Clienten keine Änderungen der GPOs annehmen. @IThome, Die lokalen GPOs werden nicht gezogen, GPRESULT gibt nur die Domänen-GPOs als aktive aus. Du hast im ersten Post geschrieben, dass sie sich mit Cached Credentials anmelden, obwohl ein Site-to-Site VPN vorhanden ist. Warum melden die sich nicht direkt an ? Ich habe mich an einem der PCs jetzt mit einem weiteren - neuen - Benutzer angemeldet, ist ein 2. Domänen-Admin. VPN-Verbindung steht, es ist nur ein DNS-Server eingetragen (der DC). Und es wurde in neues Profil erstellt, d.h. Cached Credentials waren nicht vorhanden. Sie melden sich also direkt an. Änderungen an den Computer-Richtlinien werden aber nicht übernommen.:o Im Ereignislog habe ich weiterhin userenv - 1054 Meldungen Was ich hinbekommen möchte, ist folgendes: Den beiden XP-Rechnern die Computer-GPO (GruRili bei langsamen Verbindungen auf aktiv setzen und den Wert 0 eintragen) per Registry - Key verpassen. Wenn dieser Wert eingetragen ist, dann werden auch sämtliche weitere Änderungen an den GPOs automatisch im Hintergrund aktualisiert, könnte ich wetten.;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. Dezember 2007 Melden Teilen Geschrieben 3. Dezember 2007 Hm, bringe einen doch mal zurück in eine Arbeitsgruppe, setze in der lokalen Richtlinie das Teil für die langsamen Verbindungen und bringe ihn dann in die Domäne ... Du kannst ja auch mal die Wartezeit für die Anwendung der Computerrichtlinien erhöhen (eigentlich für WLAN gedacht) ... Group Policy application fails on a computer that is running Windows 2000, Windows XP Service Pack 1, or Windows XP Service Pack 2 Sag mal, was für Netzwerkkarten sind in den XP-Maschinen ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.