Berechtigungsfehler bei SYSVOL-Replikation

[stone1978 10]

//abgetrennt von: https://www.mcseboard.de/topic/214897-berechtigungsfehler-bei-sysvol-replikation/

 

 

Hallo bitte um kurze Beschreibung der Menüs wo ich das finde ich habe das gleiche Problem.

Die Berechtigung im Filesystem setzen oder im Gruppenrichtlinieneditor ?

 

Beim Bericht kommt folgende Meldung

SYVOL (ACLs)

"Die SYSVOL-Berechtigungen für mindestens ein Gruppenrichtlinienopbjekt auf diesem Domänencontroller sind mit den Berechtigungen für die Gruppenrichtlinienobjekte auf dem Basisdomänencontroller nicht synchronisiert"

Und dann sind sicher 7 Elemente oder mehr angegeben. Was kann es da haben.

 

https://docs.microsoft.com/de-de/previous-versions/windows/server/dn265969(v=ws.11)?redirectedfrom=MSDN

danke lg Stone

[daabm 1.348]

Nimm für die angegebenen GPOs die Authentifizierten Benutzer kurz in den Sicherheitsfilter und gleich wieder raus - oder andersrum, falls sie schon drin sind. Ist meistens ein NFTS-Recht (Synchronize), mit dem die GPMC nix anfangen kann. Alternativ schau Dir die NTFS ACLs genau an. Und poste die dann hier mal.

[stone1978 10]

hey danke für die rasche Antwort.

Wo finde ich den Sicherheitsfilter ?

Die NTFS Berechtigungen von allen Server? Es sind 5 Domaincontroller in Summe.

Kannst du mir kurz schreiben was auf jeden Fall in den Berechtigungen vorhanden sein muss? Also welche Gruppe etc.

Ein alter SBS 2011 der jetzt abgelöst wird
3x Server 2016 (die werden dann später hochgestuft)

1x Server 2019

2016 und 2019 sind alles VMs
Gleichzeitig sind die Server auch DNS und DHCP (Failover)

Ich bin vom Wissen her leider nicht sehr Tief was  AD angeht. Deshalb die Rückfragen.

Danke für deine Hilfe

lg

[stone1978 10]

Habe jetzt noch ein paar Screenshots erstellt

 

 

 

 

 

 

Ich hoffe das hilft jenen die mich unterstützen möchten weiter.

Vielen Dank im Voraus

lg

[daabm 1.348]

Da bin ich "per Forum" eher raus. Ich sehe immer genau ein Event, die davor und danach fehlen naturgemäß. So wie es aussieht hat DFSR bei Dir mal funktioniert, jetzt aber nicht mehr. Dann fang da mal an zu suchen. Vielleicht mußt Du auf dem PDC-Emulator das D4-Äquivalent machen und auf dem anderen D2: https://support.microsoft.com/en-us/kb/2218556

Vielleicht reicht es auch, sich auf dem neuen DC mal das DFSR-Log anzuschauen.

[stone1978 10]

Schönen Guten Abend

Danke für die Rückmeldung.

Ja hat definitiv funtkioniert. Leider kann ich nicht sagen was der Grund ist warum es nicht mehr funktioniert hat.

Was ich jetzt gemacht habe 3 von 5 DC heruntergestuft ........ gewartet (wegen der Syncs) ..... wieder hoch gestuft.
Das über den ganzen Tag verteilt (in der Früh einer zu mittag einer und am Abend einer)

 

Das hat jetzt gut funktioniert.

Wer über bleibt ist der alte SBS 2011 (Basis Server 2008 R2) der auch alle FSMO Rollen über hat. Den SBS kann man nicht so einfach aus dem Netz nehmen.
Die Frage ist aber kann ich schon einen anderen Server zum PDC, SCHEMA Master etc. machen? Also die 5 Rollen schon auf andere Server verteilen?

Ich könnte das was du im LINK beschrieben hast auch bei diesem Server noch probieren.
Hast du damit Erfahrung? Ich möchte nicht herumdoktern und dann wird es eventuell schlimmer.
 

danke lg

[Sunny61 806]

vor 54 Minuten schrieb stone1978:

Die Frage ist aber kann ich schon einen anderen Server zum PDC, SCHEMA Master etc. machen? Also die 5 Rollen schon auf andere Server verteilen?

Wenn ich mich recht erinnere, dann hat man nach dem verschieben der Rollen 7 Tage Zeit um den SBS abzuschalten, danach fährt er wohl alle paar Stunden herunter. Findet sich auch hier:

 

[stone1978 10]

ja genau so habe ich das auch im Kopf
Danke ich lese mir das morgen durch

Ich habe jetzt beim SBS im SYSVOL Ordner die Berechtigungen nochmals neu gesetzt leider kommt noch immer der ACL Fehler.

Sehr ärgerlich
 

Somit muss ich das Problem noch irgendwie lösen.

Was kann ich euch zur tieferen Analyse noch zur Verfügung stellen ?

lg

[daabm 1.348]

Wenn die DFS-Replikation sauber ist (kein Fehler auf irgend einem DC), dann würde ich auf den GPMC-Statusreport nicht allzu viel geben. Wichtig ist nur: Wenn Du den PDC umziehst und der SBS sich dann runterfährt, dann sollte der neue PDC ein vollständiges Replikat von Sysvol haben

[stone1978 10]

Danke für die Info also Fehler wären mir keine Untergekommen bzw. gefühlt funktioniert alles. Das einzige was mir aufgefallen ist im Zuge einer GPO Änderung dass diese nicht durchgegriffen hat. Von dem her bin jetzt jetzt überhaupt darauf gekommen.
Die GPO habe ich auch nicht am SBS sondern auf einem anderen Server eingegeben. Gut das müsste ich jetzt nochmals prüfen denn zuvor waren ja alle Server mit ? im Bericht und jetzt ist ja nur mehr der SBS über.

 

Von den ganzen FSMO Rollen kann ich da schon welche auf einen anderen Server überleiten?
Oder alle bis auf den PDC Master damit der SBS nicht neu startet?

Weiß das zufällig jemand?

 

Wenn ich den PDC dann umziehe gibt es ein gutes Tool wo ich die Vollständigkeit validieren kann? Das wäre schon hilfreich auch wenn es mehr Zeit in Anspruch nimmt

 

Den Fehler den ich beim DCDIAG bekomme der ist halt dieser. (noch immer)

Danke lg

bearbeitet 17. April 2020 von stone1978

[stone1978 10]

Jetzt habe ich eine Diagnose am SBS gemacht. (DCDIAG)

 

Gut den kennen wir eh um den gehts ja.

      Starting test: DFSREvent

         Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

         SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge

         haben.
         ......................... XXXXXXXXXXXX hat den Test DFSREvent nicht

         bestanden.

 

Von den DCOM Fehlern habe ich sicher 50 Einträge das ist nur ein Beispiel
---------- FEHLER BEGINN ----------

Fehler. Ereignis-ID: 0xC0002719

            Erstellungszeitpunkt: 04/17/2020   14:04:54

            Ereigniszeichenfolge:

            DCOM konnte mit dem Computer "XXXXXXXXXXX" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

         Fehler. Ereignis-ID: 0xC0001B7E

            Erstellungszeitpunkt: 04/17/2020   14:05:00

---------- FEHLER ENDE ----------

 

Alle mit ID = 0xC0002719

 

Und dann noch der Sharepoint Foundation 2020 den ich nie verwendet habe. (GOTT SEI DANK)

---------- FEHLER BEGINN ----------

Fehler. Ereignis-ID: 0xC0002720

            Erstellungszeitpunkt: 04/17/2020   14:50:06

            Ereigniszeichenfolge:

            Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-889324984-1532255431-2792530706-1157) fr Benutzer DOMAIN\spfarm von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) fr die COM-Serveranwendung mit CLSID

---------- FEHLER ENDE ----------

 

Eventuell blockieren diese Fehler etwas

 

lg STONE

 

[daabm 1.348]

Ja ok soweit... Und warum schaust Du jetzt auf dem SBS nicht mal in das DFSR-Eventlog? Mannomann, bissele Mitdenken ist immer erlaubt

 

[stone1978 10]

Da steht die EVENT ID dabei 

Ich frag mal Dr. Google

[Nobbyaushb 1.464]

eventid.net

[stone1978 10]

Hey danke sehr interessant

http://eventid.net auf welches der Tools beziechst dich 

Den EvLog 3.0 Windows Event Log Analyzer ?

lg Stone