Inkonsistente GPOs

[Klo-X-ter 10]

Hallo,

 

Ich habe folgendes Problem, zu dem ich auch schon diverses im Internet gefunden und erfolgos durchgeführt habe, aber wahrscheinlich brauche ich mal eine ordnende Hand.

 

Umgebung:

Domäne mit 3 DC's alle W2K8R2 an 2 Standorten. 2DC's im Mainoffice im folgenden DC2 und DC3. 1DC im Branchoffice DC4.

Domänenfunktionsebene: W2K3

DC3 hält alle FSMO-Rollen

 

Zur Info: Vor einiger Zeit hatten wir mal Replikationsproblem durch einen defekten DC, der anschließend außer Betreib genommen wurde. Möglicherweise sind es noch Nachwirkungen davon.

 

Problembeschreibung:

Neu angelegte GPO's werden nicht immer geladen. Egal, ob ich Sie auf OU's oder die gesamte Domäne anwende. Es scheint abhängig vom Anmeldeserver zu sein.

 

Daraufhin habe ich heraus gefunden, dass GPO's, die auf DC3 erstelle mir auf DC2 und DC4 zwar angezeigt werden, aber wenn ich Sie berabeiten möchte folgende Meldung erscheint:

" Das Gruppenrichtlinienobjekt konnte nicht geöffnet werden. Möglicherweise verfügen Sie nicht über die erforderlichen Rechte. Deteils: Das System kann den angegeben Pfad nicht finden."

Erstelle ich eine GPO auf dem DC4 oder DC2 ist auf dem DC3 das gleiche Problem.

 

In den Details steht dann beispielsweise: Benutzerversion: 10 (AD), Nicht verfügbar (sysvol)

 

Auch stimmen die Benutzer und die Computerversion bei anderen GPO's nicht überein.

 

 

Folgendes habe ich geprüft:

Die GPOs sind auf allen DC's vorhanden. Ordner mit der UID unterhalb von Sysvol - Policies. Diese enthalten auch diverse Ordner mit registry.pol und gpt.ini Dateien.

 

repadmin /replsum --> keine Fehler

dcdiag /q auf DC2         

Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
            Replicating Directory Changes In Filtered Set
         Zugriffsrechte für den Namenskontext:
         DC=ForestDnsZones,DC=domain,DC=de
         Fehler:
         domain.DE\Schreibgeschützte Domänencontroller der Organisation
         besitzt keine
            Replicating Directory Changes
         Zugriffsrechte für den Namenskontext:
         DC=ForestDnsZones,DC=domain,DC=de
         Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
            Replicating Directory Changes In Filtered Set
         Zugriffsrechte für den Namenskontext:
         DC=DomainDnsZones,DC=domain,DC=de
         Fehler:
         domain.DE\Schreibgeschützte Domänencontroller der Organisation
         besitzt keine
            Replicating Directory Changes
         Zugriffsrechte für den Namenskontext:
         DC=DomainDnsZones,DC=domain,DC=de
         ......................... DC2 hat den Test NCSecDesc nicht
         bestanden.

 

gpotool:

diverse Fehler u.a.:

Policy {084E7454-21BA-4702-9D45-FD193EE7A663}
Error: Cannot access \\DC2.domain.de\sysvol\nt.pascal.de\policies\{084E7454-21BA-4702-9D45-FD193EE7A663}\gpt.ini, error 2
Friendly name: Office Speicherorte
Error: Cannot access \\DC4.domain.de\sysvol\nt.pascal.de\policies\{084E7454-21BA-4702-9D45-FD193EE7A663}\gpt.ini, error 2
Details:

 

oder auch Version mismatch, was ich oben schon beschrieben habe.

 

Erstmal danke, dass ihr Euch den gesamten Text durchgelsen habt. Nun meine Frage? Wo muss ich ansetzten. Ich werde da Gefühl nicht los ein essentielles Problem mit der AD-Replikation zu haben und bin für jeden Ansatz dankbar.