GPO wird nicht korrekt angewendet

[Kulumba 10]

Hallo Zusammen,

 

ein seltsames Phänomen hat uns ereilt, an dem ich zur Zeit etwas knabbere:

 

Verteilt wurde eine neue GPO mit Proxy Einstellungen für den Internet Explorer.

Nun ist es so, dass ein paar duzend Notebook Benutzer Probleme haben diese GPO (und scheinbar auch andere) zu verarbeiten.

 

Gesetzt werden in der GPO nur in den Benutzererinstellungen die Proxysettings.

Gpresult ,bzw. RSOP zeigen an, dass zwar die GPO bei den Computerrichtlinien herausgefiltert wurde (ist ja auch korrekt, da dort nichts konfiguriert ist), in den Benutzerrichtlinien (angewendet & nicht angewendet) taucht sie aber gar nicht mehr auf. Ebenso diverse andere GPOs nicht mehr.

Jetzt kommt es noch seltsamer:

Lasse ich mir per RSOP den Ergebnissatz anzeigen, sehe ich, dass dort noch Richtlinien angezeigt werden, die definitiv nicht mehr auf das Computerobjekt verlinkt sind. Diese Richtlinien werden auch nicht mehr richtig aufgelöst, denn bei "Winning GPO" steht nur noch die GUID der GPO und nicht mehr der Name.

 

Ich fasse also zusammen:

- neue GPOs werden nicht oder nur teilweie angezogen

- (Notebook) Clients merken zwar dass es eine neue GPO gibt, wenden Sie aber nicht an

- stattdessen scheinen noch alte Policys angewendet, die es gar nicht mehr gibt.

 

Lokale FW ist selbstverständlich deaktiviert, die Eventlogs (Client, DC, RSOP) zeigen keine Fehler.

Hat irgendwer einen Rat?

[stsdwh 10]

Hast du auf den entsprechenden Clients mal "gpupdate /force" laufen lassen?

[Kulumba 10]

Hast du auf den entsprechenden Clients mal "gpupdate /force" laufen lassen?

 

Natürlich, diverse Neustarts, lokales Profil gelöscht. Hat alles nichts gebracht.

[stsdwh 10]

Auch mal einen aus der Domäne raus genommen und nach Neustart wieder hinzugefügt?

[Kulumba 10]

Auch mal einen aus der Domäne raus genommen und nach Neustart wieder hinzugefügt?

 

Ja, auch das. Selbst danach sind diese GPO Reste noch per RSOP abzufragen.

[NorbertFe 2.027]

ein seltsames Phänomen hat uns ereilt, an dem ich zur Zeit etwas knabbere:

 

Verteilt wurde eine neue GPO mit Proxy Einstellungen für den Internet Explorer.

 

Selbst Schuld, wer die Internet Explorer Wartung verwendet. Nutze lieber die GPP dafür, die funktionieren zuverlässiger.

 

Lokale FW ist selbstverständlich deaktiviert

 

Warum ist das selbstverständlich?

 

Bye

Norbert

[Kulumba 10]

Warum ist das selbstverständlich?

 

 

Ist zur Fehlersuche wohl besser.

 

PS.: Noch vergessen: Win 2003 Domäne

[dadadum 10]

Die Tatsache das nicht vorhandene GPO´s angewendet werden kommt mir seltsam vor,

kann es sein das es sich um gar kein GPO Problem handelt sondern das es ein Replikationsproblem der DC´s gibt und die clients die funktioniern sich einfach zufällig am richtigen dc anmelden?

[NorbertFe 2.027]

Ist zur Fehlersuche wohl besser.

 

Nein ist es nicht. Da die Windows Firewall "normalerweise" keinen ausgehenden traffic blockt und GPOs funktionieren nunmal clientseitig und nicht per Push. ;)

 

PS.: Noch vergessen: Win 2003 Domäne

 

Unerheblich, es sei denn du hast noch keinen WIndows 2008, Windows Vista, Windows 7 PC in deiner Domäne.

 

Bye

Norbert

[NorbertFe 2.027]

Die Tatsache das nicht vorhandene GPO´s angewendet werden kommt mir seltsam vor,

kann es sein das es sich um gar kein GPO Problem handelt sondern das es ein Replikationsproblem der DC´s gibt und die clients die funktioniern sich einfach zufällig am richtigen dc anmelden?

 

Nein, das würdest du im Eventlog sehen. Wie gesagt, die IE Maintenance ist definitiv buggy und sollte nicht benutzt werden. Setz die doch mal in der GPMC zurück.

 

Bye

Norbert

[Kulumba 10]

Die Tatsache das nicht vorhandene GPO´s angewendet werden kommt mir seltsam vor,

kann es sein das es sich um gar kein GPO Problem handelt sondern das es ein Replikationsproblem der DC´s gibt und die clients die funktioniern sich einfach zufällig am richtigen dc anmelden?

 

In den Logs ist nichts zu sehen, replmon zeigt an, das ordentlich synchronisiert wurde. Aber ein Test ist es allemal wert.

Kann ich irgendwie beeinflussen wo sich mein Client anmeldet, ohne etwas an den Sites zu ändern?

[NorbertFe 2.027]

In den Logs ist nichts zu sehen, replmon zeigt an, das ordentlich synchronisiert wurde. Aber ein Test ist es allemal wert.

Kann ich irgendwie beeinflussen wo sich mein Client anmeldet, ohne etwas an den Sites zu ändern?

 

Nein, wozu auch. Ausser du fährst den DC runter, an dem er sich nicht anmelden soll. :p

Aber nochmal, ich bezweifle, dass du ein "AD-Problem" hast.

 

Bye

Norbert

[Kulumba 10]

Nein, das würdest du im Eventlog sehen. Wie gesagt, die IE Maintenance ist definitiv buggy und sollte nicht benutzt werden. Setz die doch mal in der GPMC zurück.

 

Bye

Norbert

 

Was meinst du mit zurücksetzten? Die Einstellung deaktivieren? Habe schon eine ganze neue GPO gebaut, mit dem selben Effekt. Bin echt ratlos.

 

Nein, wozu auch. Ausser du fährst den DC runter, an dem er sich nicht anmelden soll. :p

 

Heute mal nicht ;-)

[NorbertFe 2.027]

Was meinst du mit zurücksetzten? Die Einstellung deaktivieren? Habe schon eine ganze neue GPO gebaut, mit dem selben Effekt. Bin echt ratlos.

 

Man klickt auf die Internet Explorer Wartung und wählt auf der Rechten Maustaste "Zurücksetzen" aus. Ich vermute, du hast dich schon immer gefragt, wozu der Punkt da ist. ;)

 

Bye

Norbert

[Kulumba 10]

Man klickt auf die Internet Explorer Wartung und wählt auf der Rechten Maustaste "Zurücksetzen" aus. Ich vermute, du hast dich schon immer gefragt, wozu der Punkt da ist. ;)

 

Ich lasse ja gern meine alten Gehrinzellen auffrischen... Aber denoch das selbe:

 

Computereinstellungen:

"Die folgenden Gruppenrichtlinien werden nicht angewendet, da sie herausgefiltert wurden: Proxy"

 

Benutzereinstellungen:

"Angewendetete Gruppenrichtlinienobjekte: Default Domain Policy"

Hier sollte eigentlich die "Proxy" GPO ziehen.