maik.de 10 Geschrieben 8. August 2013 Melden Teilen Geschrieben 8. August 2013 Hallo zusammen, ich habe da ein kleines Problem in unserem Gruppenrichtlinienkonstrukt. Vorweg: Das Ganze ist über die Jahre stark gewachsen, viele DIenstleister haben rumgebastelt und ich denke einiges ist auch nicht so wie es sein soll. Generell funktioniert aber eigentlich fast alles. Aufgrund von Problemen mit unserem WSUS habe ich mich heute mal auf die Suche nach der Ursache in unseren Gruppenrichtlinien gemacht. Um Änderungen zu testen habe ich auf 2 Clients gpupdate /force durchgeführt und dabei erhielt ich den folgenden Fehler: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\...\ \{495A38CC-28CB-4E1E-9883-9B88804B4F24}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Das Gleiche kommt auch nochmal für eine weitere Policy. Unter \\domain.local\sysvol\domain.local\Policies finde ich diese beiden Objekte aber auch gar nicht. Sonst scheint aber alles vorhanden zu sein. Wie schaffe ich es, dass die Clients diese Policies nicht mehr ausführen wollen? Generelles zur Domain: Wir haben pro Standort jeweils einen DC mit verschiedensten OS-Versionen. Das älteste ist jedoch Server 2003. Die Domain wurde vor einiger Zeit (ca. 1 Jahr) auf 2008 R2 hochgestuft. Ich möchte Replikationsprobleme nun nicht gänzlich ausschließen, konnte aber ansonsten keinerlei Probleme in dieser Hinsicht feststellen. Für ein paar Tipps wäre ich sehr dankbar :-) Vielen Dank. Gruß Maik Ich bin jetzt noch einen Schritt weiter. Unter \\domain.local\sysvol\domain.local\Policies sind die beiden Objekte ja wie gesagt nicht auffindbar, auf einigen DCs existieren sie allerdings. Auf anderen wiederum nicht. Scheint so, als hätte da doch was bei der Replikation gehakt. Wie gehe ich da am besten vor? Bisher weiß ich ja nicht mal welche Richtlinie sich dahinter verbirgt bzw. ob ich diese überhaupt noch brauche... Und noch etwas... Habe jetzt mal auf einem der wenigen DCs wo die Objekte exisitieren in die Ordner geschaut. In der GPT.ini steht als Name Neues Gruppenrichtlinienobjekt, in beiden Fällen. Über die Unterordner konnte ich auch schon einmal herausfinden welche Richtlinien das ungefähr sein müssten, da in dem einen Unterordner Office ADMs enthalten sind und in dem anderen ein Befehl zum Ausführen beim Systemstart. Was empfehlt ihr mir? Die Objekte löschen und sauber neu anlegen oder wie ist in solch einem Fall die beste Vorgehensweise? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. August 2013 Melden Teilen Geschrieben 8. August 2013 In der GPMC siehst Du diese ID wenn Du in einem GPO auf die Details klickst. Je nach Anzahl der vorhandenen GPOs ist es wohl viel Arbeit das händisch zu prüfen. Alternativ die GPOs alle sichern und das Sicherungsvezeichnis nach den IDs durchsuchen. So kommst Du drauf welche GPOs es denn sind. Wenn GPOs nicht sauber repliziert werden, solltest Du Fehlermeldungen im Eventlog auf den beteiligten DCs finden. Zitieren Link zu diesem Kommentar
maik.de 10 Geschrieben 8. August 2013 Autor Melden Teilen Geschrieben 8. August 2013 Danke, das war schon mal hilfreich. Es sind aber wirklich die GPOs, die ich schon im Verdacht hatte. Bei der einen geht es wie schon gesagt um Office Einstellungen über ADMs. Da ich was ADMs angeht nicht ganz fit bin, kannst du mir da vielleicht auch nochmal kurz helfen... Wenn ich die Richtlinie auf einem DC erstelle (mit eingebundenen ADMs), muss ich diese ADMs dann auf jedem DC explizit einbinden oder wie darf ich mir das vorstellen? Sobald ich die Richtlinie lösche tauchen die Fehler nicht mehr auf. Dann fehlen mir aber natürlich die Einstellungen im Office bei den Clients. ich gehe also einfach davon aus, dass ich beim Erstellen der Richtlinie bzw. beim Einbinden der ADMs Fehler gemacht habe... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. August 2013 Melden Teilen Geschrieben 8. August 2013 Da ich was ADMs angeht nicht ganz fit bin, kannst du mir da vielleicht auch nochmal kurz helfen... Wenn ich die Richtlinie auf einem DC erstelle (mit eingebundenen ADMs), muss ich diese ADMs dann auf jedem DC explizit einbinden oder wie darf ich mir das vorstellen? Nein, brauchst Du nicht explizit einbinden. Die ADM Templates landen im SYSVOL und deshalb wird das auch so viel. Evtl. willst Du ja auf Central Store umstellen: http://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/ Sobald ich die Richtlinie lösche tauchen die Fehler nicht mehr auf. Dann fehlen mir aber natürlich die Einstellungen im Office bei den Clients. ich gehe also einfach davon aus, dass ich beim Erstellen der Richtlinie bzw. beim Einbinden der ADMs Fehler gemacht habe... Überprüfe das SMB-Signing bevor Du vorschnell etwas löscht. Unbedingt genau prüfen und auf den DCs anfangen: http://www.gruppenrichtlinien.de/artikel/smb-signing-kommunikation-digital-signieren/ Zitieren Link zu diesem Kommentar
maik.de 10 Geschrieben 8. August 2013 Autor Melden Teilen Geschrieben 8. August 2013 Okay, SMB-Signing habe ich mal gemäß des Artikels eingestellt. Danke dafür. Central Store ist generell recht interessant, würde ich aber eher zu einem späteren Zeitpunkt drauf zurück kommen. Ich hatte jetzt einfach mal eine neue Policy erstellt mit den gleichen Einstellungen fürs Office. Die ADMs hatte ich im Voraus neu heruntergeladen und neu eingebunden, einfach um das Problem hier auszuschließen. Abgelegt habe ich diese nun unter \\domain.local\sysvol\domain.local\policies\adm. So sollte ja jeder DC Zugriff darauf haben, sobald die Replikation durch ist, oder? Die Fehlermeldung erscheint leider immer noch, nun jedoch mit der neu erstellen Policy. Schlag bitte nicht die Hände überm Kopf zusammen falls ich nun etwas komplett falsch gemacht habe :-) ....Default Replikationsintervall zwischen zwei Standorten waren 3 Stunden, oder? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. August 2013 Melden Teilen Geschrieben 8. August 2013 Okay, SMB-Signing habe ich mal gemäß des Artikels eingestellt. Danke dafür. Hast Du auch kontrolliert ob alles korrekt übernommen wurde? DCs und Clients überprüfen! Central Store ist generell recht interessant, würde ich aber eher zu einem späteren Zeitpunkt drauf zurück kommen. Gibt es dafür einen Grund oder einfach nur so? Ich hatte jetzt einfach mal eine neue Policy erstellt mit den gleichen Einstellungen fürs Office. Die ADMs hatte ich im Voraus neu heruntergeladen und neu eingebunden, einfach um das Problem hier auszuschließen. Abgelegt habe ich diese nun unter \\domain.local\sysvol\domain.local\policies\adm. So sollte ja jeder DC Zugriff darauf haben, sobald die Replikation durch ist, oder? Weshalb legst Du die Templates nochmal in das Sysvol? Importiere die ADM-Vorlagen und konfiguriere das GPO, fertig. Jetzt muß im Sysvol das GPO geben, darin findest Du die ADM-Templates. Die Fehlermeldung erscheint leider immer noch, nun jedoch mit der neu erstellen Policy. Schlag bitte nicht die Hände überm Kopf zusammen falls ich nun etwas komplett falsch gemacht habe :-) SMB-Signing prüfen. ....Default Replikationsintervall zwischen zwei Standorten waren 3 Stunden, oder? Nein, waren es nicht. Sieh nach was bei dir im AD unter Standorte und Dienste eingestellt ist. Zitieren Link zu diesem Kommentar
maik.de 10 Geschrieben 8. August 2013 Autor Melden Teilen Geschrieben 8. August 2013 Hast Du auch kontrolliert ob alles korrekt übernommen wurde? DCs und Clients überprüfen! Hm, mir ist jetzt erst aufgefallen dass die neu erstellte Richtlinie für SMB-Signing genauso streikt (gleiche Fehlermeldung) wie die anderen beiden. Dann brauch ich wohl kaum kontrollieren, oder? Vermutlich muss ich wohl erstmal die Replikation abwarten. Gibt es dafür einen Grund oder einfach nur so? Einfach weil ich gerade erstmal die eine Baustelle beseitigen wollte :-) Weshalb legst Du die Templates nochmal in das Sysvol? Importiere die ADM-Vorlagen und konfiguriere das GPO, fertig. Jetzt muß im Sysvol das GPO geben, darin findest Du die ADM-Templates. Einfach um da sicher zu sein, dass ich von jeden DC aus darauf zugreifen kann. Hätte genauso gut jedes andere Share sein können. Hatte also keinen besonderen Grund. Alles weitere habe ich ja dann auch so getan. Nein, waren es nicht. Sieh nach was bei dir im AD unter Standorte und Dienste eingestellt ist. Hatte ich kurz nach meinem Post auch getan, es sind 2 Stunden. Im SYSVOL Share ist die Policy ja vorhanden, das sehe ich. Eigenartigerweise steht in der GPT.ini aber displayName=Neues Gruppenrichtlinienobjekt Ist das normal? hab da bisher nie drauf geachtet... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. August 2013 Melden Teilen Geschrieben 8. August 2013 Hm, mir ist jetzt erst aufgefallen dass die neu erstellte Richtlinie für SMB-Signing genauso streikt (gleiche Fehlermeldung) wie die anderen beiden. Dann brauch ich wohl kaum kontrollieren, oder? Vermutlich muss ich wohl erstmal die Replikation abwarten. Örks, lies dir bitte den Artikel nochmal vollständig und langsam durch. Insbesonders die Sache mit den DCs. Einfach um da sicher zu sein, dass ich von jeden DC aus darauf zugreifen kann. Hätte genauso gut jedes andere Share sein können. Hatte also keinen besonderen Grund. Alles weitere habe ich ja dann auch so getan. Beides ist vollkommen überflüssig. Auch dazu lies dir bitte den Artikel bezüglich Central Store durch, dort findest Du die Antworten bezüglich deiner überflüssigen Kopieraktionen. Hatte ich kurz nach meinem Post auch getan, es sind 2 Stunden. 2 Stunden Replikationszeit zwischen zwei Standorten finde ich persönlich sehr hoch, bzw. ich würde die Replikation öfters laufen lassen. Und in einem solchen Fall kann man ja auch die Repliation manuell ausführen lassen. Im SYSVOL Share ist die Policy ja vorhanden, das sehe ich. Eigenartigerweise steht in der GPT.ini aber displayName=Neues Gruppenrichtlinienobjekt Ist das normal? hab da bisher nie drauf geachtet... Schau in die anderen, steht dort etwas anderes drin? ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.