kkkap 1 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Ich erstelle eine neue Gruppenrichtlinie und möchte diese Bearbeiten. Beim Bearbeiten erstelle ich in einer OU eine Gruppe (Eingeschränkte Gruppen) in die ich Benutzer auswählen möchte. Jedoch beim Einfügen bzw. OK Klicken kommt eine Fehlermeldung: das objekt (Benutzername) kann aufgrund des folgenden fehlers nicht verarbeitet werden: die angegebene domäne ist nicht vorhanden, oder es konnte keine verbindung hergestellt werden PS: Die Replikationen funktionieren DNS Servet unbearbeitet, DHCP nicht aktiviert. W2012 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Poste mal ipconfig /all als Tesxtausgabe vom Server und von Client. Zitieren Link zu diesem Kommentar
kkkap 1 Geschrieben 22. September 2014 Autor Melden Teilen Geschrieben 22. September 2014 (bearbeitet) Vielen Dank für Ihr Bemühen Gruppenlinienverwaltung wird lokal ausgeführt nicht über RPC für was brauchen sie die Client IP? Server 2012: (VMWARE Workstation) Hierbei geht es um Testumgebungen Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : DC Primäres DNS-Suffix . . . . . . . : kaplan1.de Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : kaplan1.de Ethernet-Adapter vEthernet (Neuer virtueller Switch): Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ether Physische Adresse . . . . . . . . : 00-0C-29-30-2C-14 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.69.100(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 127.0.0.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{F7EC51F5-6E56-4210-AF30-98F55D580C85}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #6 Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : JaPS C:\Users\Administrator> Client (läuft auf Hyper V) Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : DC Primäres DNS-Suffix . . . . . . . : kaplan1.de Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : kaplan1.de Ethernet-Adapter vEthernet (Neuer virtueller Switch): Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Hyper-V-Adapter - virtuelles Ether Physische Adresse . . . . . . . . : 00-0C-29-30-2C-14 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.69.100(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 127.0.0.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{F7EC51F5-6E56-4210-AF30-98F55D580C85}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #6 Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : JaPS C:\Users\Administrator> ping v. core auf server1 funktioniert. Server Core (VMWare Workstation) C:\Users\Administrator.KAPLAN1>ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : Core Primäres DNS-Suffix . . . . . . . : kaplan1.de Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : kaplan1.de Ethernet-Adapter Ethernet0: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Gigabit-Netzwerkverbindung Intel® 82574L Physische Adresse . . . . . . . . : 00-0C-29-AF-FA-A4 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::e1c8:3e38:4575:a85e%12(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.69.101(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.69.1 DHCPv6-IAID . . . . . . . . . . . : 301993001 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-9A-38-31-00-0C-29-AF-FA-A4 DNS-Server . . . . . . . . . . . : ::1 192.168.69.100 127.0.0.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{CB5036DF-123C-4E9D-956D-DEB2E64E5D65}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2 Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja C:\Users\Administrator.KAPLAN1> Auf Server Core (2012) Firewall abgeschaltet, ping funktioniert ebenfalls bearbeitet 22. September 2014 von kkkap Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Due Gruppenlinienverwaltung wird Wo genau lokal ausgeführt? Ist der Server Core auch DC? Trag mal ne allein Servern und Clients von dem Testnetz 192.168.69.100 als DNS-Server allein ein (keinen anderen). Geht es jetzt? Die AD-Domäne wird im DNS AD-integriert gespeichert und sichere, dynamische Updates sind erlaubt? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 Die ipconfig vom Client ist falsch - das ist das gleiche wie bei DC... Zitieren Link zu diesem Kommentar
kkkap 1 Geschrieben 22. September 2014 Autor Melden Teilen Geschrieben 22. September 2014 (bearbeitet) Die IP vom Client ist nicht wirklich falsch(192.168.69.105). Ich habe wohl die selbe IP-Config Ausgabe v. Server DC eingefügt. Der DC und Core sind DomänenController. Gruppenrichtlinienverwaltung wird direkt auf dem Domänencontroller DC 192.168.69.100 ausgeführt. Sorry aber das habe ich nicht genau verstanden was sie damit meinen: Trag mal ne allein Servern und Clients von dem Testnetz 192.168.69.100 als DNS-Server allein ein (keinen anderen). Geht es jetzt? Die AD-Domäne wird im DNS AD-integriert gespeichert und sichere, dynamische Updates sind erlaubt? Kann das davon kommen: Zeitüberschreitung bei der Namensauflösung für den Namen sls.update.microsoft.com, nachdem keiner der konfigurierten DNS-Server geantwortet hat. Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde. bearbeitet 22. September 2014 von kkkap Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 22. September 2014 Melden Teilen Geschrieben 22. September 2014 (bearbeitet) Trag auf dem DC und dem Server Core in den Eigenschaften des TCP/IP-Protokolls auf der Netzwerkkarte jeweils nur den DC als DNS-Server ein. Nicht mit der 127.0.0.1, sondern die 192.168.69.100 - sonst sind das Inseln. Wie sollen die sich initial finden? Siehe dazu auch http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ bearbeitet 22. September 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
kkkap 1 Geschrieben 23. September 2014 Autor Melden Teilen Geschrieben 23. September 2014 Das hatte ich schon geändert jedoch führt das nicht wirklich zum Erfolg. Wenn ich in den Richtlinien Eingeschränkte Gruppe hinzufüge, dann geht das auch. Wenn ich noch Mitglieder zu dieser Gruppe hinzufügen möchte, kann ich die User auswählen jedoch wenn ich dann mit OK abschließen möchte, gibt es das besagte Fehlermeldung. Danach auf OK drücken geht aber die Richtlinien ziehen nicht. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 23. September 2014 Melden Teilen Geschrieben 23. September 2014 Was genau bitte heißt "Mitglieder zu der Gruppe hinzufügen"??? Willst Du aus dem Object Picker der REstricted Groups erst eine Gruppe auswählen und der dann gleich noch Mitglieder hinzufügen? Eine vollständige (!!!) Vorgehensbeschreibung Deinerseits würde da sicher helfen - ggf per PSR... Zitieren Link zu diesem Kommentar
kkkap 1 Geschrieben 24. September 2014 Autor Melden Teilen Geschrieben 24. September 2014 Hallo Martin, ich bin die unten aufgeführte Schritte durchgegangen um die Mitglieder einer Gruppe per Gruppenrichtlinien festzuhalten. Wenn du die Schritte durchließt, dann verstehst du mein Problem. Gruppenmitgliedschaft per Gruppenrichtlinie verwalten Die Gruppenmitgliedschaften lassen sich auch mit Gruppenrichtlinien steuern. Wenn Sie eineRichtlinie Eingeschränkte Gruppen erstellen, können Sie die Mitgliedschaft für eine Gruppeangeben und erzwingen, sodass niemand Mitglieder hinzufügen oder entfernen kann.Um eine Richtlinie Eingeschränkte Gruppen zu erstellen, gehen Sie folgendermaßen vor:1. Melden Sie sich beim Windows Server 2012-Server unter einem Konto mit Administra-torrechten an. Das Fenster Server-Manager wird geöffnet.2. Öffnen Sie die Konsole Gruppenrichtlinienverwaltung. Erstellen Sie ein neues Gruppen-richtlinienobjekt und verknüpfen Sie es mit Ihrer Domäne.3. Öffnen Sie das Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor undgehen Sie zum Ordner Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte Gruppen (siehe Abbildung 5.23).Abbildung 5.23 Der Ordner Eingeschränkte Gruppen im Gruppenrichtlinienobjekt4. Klicken Sie mit der rechten Maustaste auf den Ordner Eingeschränkte Gruppen und wäh-len Sie im Kontextmenü Gruppe hinzufügen, um das Dialogfeld Gruppe hinzufügen zuöffnen.5. Geben Sie das hinzuzufügende Gruppenobjekt ein (oder suchen Sie es) und klicken Sieauf OK. Die Gruppe erscheint im Ordner Eingeschränkte Gruppen und für die Richtliniewird ein Eigenschaftenblatt geöffnet (siehe Abbildung 5.24).Prüfungsziel 5.3: Active Directory-Gruppen und Organisationseinheiten erstellen und verwalten333Abbildung 5.24 Das Eigenschaftenblatt für eine Richtlinie Eingeschränkte Gruppen6. Klicken Sie auf eine oder beide Hinzufügen-Schaltflächen, um Objekte als Mitglieder derGruppe oder anderer Gruppen, zu der die Gruppe gehören soll, hinzuzufügen.7. Klicken Sie auf OK. genau jetzt kommt die Fehlermeldung was ich oben mehrmals beschrieben habe. 8. Schließen Sie die Konsolen Gruppenrichtlinienverwaltungs-Editor und Gruppenricht-linienverwaltung.Die Mitglieder, die Sie mit einer Richtlinie Eingeschränkte Gruppen für eine Gruppefestgelegt haben, sind nun die einzigen Mitglieder, die in dieser Gruppe verbleiben dürfen.Zwar hindert die Richtlinie Administratoren nicht daran, die Gruppenmitgliedschaft mitanderen Tools zu modifizieren, doch wird die Gruppenmitgliedsliste durch die Richtlinieüberschrieben, sobald das System seine Gruppenrichtlinieneinstellungen aktualisiert. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. September 2014 Melden Teilen Geschrieben 25. September 2014 Ein Screenshot (oder auch zwei oder drei) wären hilfreicher... Die Vorgehensweise kenne ich auswendig (MVP GPO), aber was genau da bei Dir wo drinsteht, sehe ich nicht... Zitieren Link zu diesem Kommentar
kkkap 1 Geschrieben 25. September 2014 Autor Melden Teilen Geschrieben 25. September 2014 Hier ein Screenshop Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 27. September 2014 Melden Teilen Geschrieben 27. September 2014 (bearbeitet) Sehr unscharf... Aber egal. Ok, hast Du es mal mit "Erweitert" probiert? Edit: Du willst hier einer Domänengruppe Mitglieder per RG hinzufügen??? Warum denn DAS? Ich hab das noch nie gemacht, aber IMHO geht das nur in GPOs, die auch auf Domänenebene verknüpft sind... bearbeitet 27. September 2014 von daabm Zitieren Link zu diesem Kommentar
kkkap 1 Geschrieben 28. September 2014 Autor Melden Teilen Geschrieben 28. September 2014 Hallo Martin, habe ich über erweitern ausgewählt. Aber ist egal. Erst wenn ich im Buch DNS durchgehe werde ich das nochmals angehen. Die IP Adressen sind statisch. Daher fehlt eventuell ein Eintrag im DNS. Es sind ja ein paar DNS Meldungen im Ereignisanzeige. Vielen Dank für deine Mühe. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 28. September 2014 Melden Teilen Geschrieben 28. September 2014 Ist aber doch irgendwie auch "sinnfrei" einer domänengruppe Mitglieder per rg zuzufügen. Das geht im ad doch viel einfacher und vor allem würde ich sagen auch nachvollziehbarer. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.