GPO Fehler: "Die Schnittstelle ist unbekannt" (Zeitsync)

[Küstennebel 0]

Hallo Leute,

 

Umgebung: 1 DC:  Server 2016 Standard, ca. 18 Windows 7 Clients, aktueller Updatestand

 

Heute habe ich durch Zufall mitbekommen, dass die Zeit meines Rechners um ca. 2 Min von der des DCs abweicht. Auf dem DC läuft eine GPO "PDC Zeitserverkonfiguration", welche nur auf den DC mit WMI Filter "PDC Emulator" angewendet wird. Außerdem ist der OU "Client Computer" die GPO "Client Zeit Sync" zugeordnet. Neben dieser gibt es nur noch eine weitere Client Rechner GPO, welche die automatische Wiedergabe auf allen Laufwerken der Client Rechner abschaltet.

Andere, User-bezogene GPOs, werden angewandt.

 

GPRESULT bringt unter dem Bereich Gruppenrichtlinieninfrastruktur folgenden Fehler:

 

Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
Die Schnittstelle ist unbekannt.
Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.
Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 20.03.2018 09:55:54 und 20.03.2018 09:55:54.

 

Das Anwendungsereignisprotokoll ist aber sauber.

 

Wer kann mir mal einen Tipp geben, wie ich den Fehler eingrenzen und beseitigen kann?

 

edit:

der Fehler scheint nur auf einem Computer aufzutreten. Alle anderen Rechner syncen ihre Zeit mit dem DC.

 

Außerdem bring GPUPDATE /FORCE folgendes zurück:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Es konnte nicht bestimmt werden, ob sich Benutzer- und Computerkonto in der gleichen Gesamtstruktur befinden. Stellen Sie sicher, dass der Benutzerdomänenname mit dem Namen einer vertrauenswürdigen Domäne übereinstimmt, die sich in der gleichen Gesamtstruktur wie das Computerkonto befindet.
Die Aktualisierung der Computerrichtlinie wurde erfolgreich abgeschlossen.

bearbeitet 20. März 2018 von Küstennebel

[Nobbyaushb 1.464]

Guck mal in den Eigenschaften des Netzwerkes, ob der Client wirklich in der Domäne ist, speziell bei Windows 7 habe jetzt oft gesehen, das die auf einmal in einem Öffentlichen Netzwerk waren.

Einmal IPv6 aus und wieder an löst das Problem, ist bislang nur bei Clients aufgetreten, die feste IP haben, kommen die via DHCP, trat das nicht auf.

 

Ansonsten den Client aus den Domäne raus, booten, neu in die Domäne aufnehmen, booten.

[Küstennebel 0]

Hi Norbert,

Rechner ist sauber in der Domäne. IPv6 ist schon immer komplett disabled. IPv4 kommt über DHCP. In dieser Richtung sieht alles sauber aus.

Ich habe jetzt den Rechner trotzdem einmal aus der Domäne genommen, neu gestartet, Rechner wieder in die Domäne gesetzt, neu gestartet. > keine Änderung, Zeit bleibt weiterhin falsch - GPO scheint also wieder nicht übernommen worden zu sein.

 

Daraufhin GPRESULT erneut laufen lassen. Jetzt kommt als Fehler nicht mehr: Schnittstelle unbekannt, sondern:

 

Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.
Hinweis: Aufgrund einer allgemeinen Schutzverletzung wurde keine der Richtlinien der anderen Gruppenrichtlinienkomponenten verarbeitet. Daher sind keine Statusinformationen für die anderen Komponenten verfügbar.
Es sind möglicherweise weitere Informationen aufgezeichnet worden. Suchen Sie über die Registerkarte "Richtlinienereignisse" in der Konsole oder im Anwendungsereignisprotokoll nach Ereignissen zwischen 20.03.2018 13:21:10 und 20.03.2018 13:21:11.

 

In der Domäne bin ich aber drin. Der Rechner ist ohne Fehler wieder aufgenommen worden. Das Ereignisprotokoll zeigt zu der betreffenden Zeit keinen Fehler. Etwas eher gibt es allerdings eine Warnung im Log, dass "der Windows-Benachrichtigungsabonnent <GPClient> nicht verfügbar war, um das Benachichtigungsereignis zu verarbeiten.

 

Nachtrag: Jetzt, ca. 5 min später hat er die Zeit vom DC doch übernommen, allerdings bleibt die Fehlermeldung von GPRESULT weiter bestehen.

bearbeitet 20. März 2018 von Küstennebel

[Nobbyaushb 1.464]

Frage losgelöst - warum wird IPv6 disabled?

 

(ich weiß, die Diskussion haben wir hier gefühlte 100x gehabt...)

[NorbertFe 2.027]

Wobei "immer komplett" meist bedeutet "Ich hab da den Haken rausgemacht" ;)

[Küstennebel 0]

Sowohl Richtung Internet, als auch intern nutzen wir aktiv nur das IPv4 Protokoll, deshalb ist bei allen Rechnern in den Adaptereinstellungen der Haken bei IPv6 rausgenommen

Meint Ihr, das ist Quatsch? Sollte dies irgendetwas mit den genannten GPO Fehlern zu tun haben?

[NorbertFe 2.027]

vor 25 Minuten schrieb Küstennebel:

Meint Ihr, das ist Quatsch?

Ja, denn Windows nutzt seit Vista primär ipv6 (auch wenn oder gerade, wenn du es nicht konfigurierst). Haken raus ist eben nicht IPv6 deaktivieren, sondern Haken raus. :p Ob das mit dem Time Problem zu tun hat, würde ich bezweifeln, aber schaden kann der Haken auch nichts. Logischerweise dann aber auch am DC wieder aktivieren! Laufen alle Dienste (Anmeldedienst, Netlogon usw.)?

 

Bye

Norbert

[Küstennebel 0]

Hi Norbert,

IPv6 ist am Client wieder aktiviert, am DC lief es eh die ganze Zeit. Dank für die Aufklärung. An der Fehlermeldung, dass die Domäne (angeblich) nicht vorhanden ist, hat dies aber nichts geändert. Anmeldedienst läuft auch.

 

Zumindest die Zeit synct ja erst mal wieder, seit der Rechner aus der Domäne entfernt und wieder reingesetzt wurde. Insofern ist die Domäne ja erst mal vorhanden.

[NorbertFe 2.027]

vor einer Stunde schrieb Küstennebel:

Anmeldedienst läuft auch.

Am Client oder am Server?

[Küstennebel 0]

Auf beiden.