Nach DC Umzug kein Zugriff auf GPOs

[HeizungAuf5 13]

Hallo zusammen,

 

ich habe in einem Netzwerk einen neuen Domain Controller (Win. Server 2019) installiert, das Ganze eine nacht lang zwecks Replizierung stehen lassen und heute morgen die FSMO Rollen übertragen. "netdom query fsmo" zeigt auch überall nun den neuen DC an.

 

Nur kann ich vom neuen DC aus nicht auf die Gruppenrichtlinien zugreifen. Der Rest (z. B. Userverwaltung) geht ohne Probleme.

 

Ich kann die Richtlinien zwar sehen, aber sobald ich diese bearbeiten will, hauts nicht mehr hin

 

 

Auf dem alten DC kann ich die GPOs weiterhin bearbeiten.

 

Angemeldet bin ich auf beiden DCs mit dem Domänen Admin. Was mir noch aufgefallen ist, auf dem neuen DC gibts keine SYSVOL Freigabe. Die taucht da gar nicht auf.

 

Jemand eine Idee?

 

Danke!

[testperson 1.674]

Hi,

 

schau ins Eventlog "Anwendungs- und Dienstprotokolle" -> "DFS-Replikation" bzw. auch in "Directory Service".

 

Gruß

Jan

[HeizungAuf5 13]

vor 2 Minuten schrieb testperson:

Eventlog "Anwendungs- und Dienstprotokolle" -> "DFS-Replikation"

Auf dem alten DC habe ich dort 2 Eiträge, die sich immer wieder abwechseln:

Zitat

Der DFS-Replikationsdienst hat erkannt, dass wenigstens eine Verbindung für Replikationsgruppe Domain System Volume konfiguriert ist.
 
Weitere Informationen:
Replikationsgruppen-ID: FC592CDE-C9BA-476A-BCC9-A988D8CAE3D8
Mitglieds-ID: 9CA7310C-C678-4B49-B88C-FA5916A8E668

 

(ID 6804)

Zitat

Der DFS-Replikationsdienst hat erkannt, dass wenigstens eine Verbindung für Replikationsgruppe Domain System Volume konfiguriert ist.
 
Weitere Informationen:
Replikationsgruppen-ID: FC592CDE-C9BA-476A-BCC9-A988D8CAE3D8
Mitglieds-ID: 9CA7310C-C678-4B49-B88C-FA5916A8E668

 

(ID 6806)

 

Einmal habe ich noch eine andere Meldung mit bei

 

Zitat

Vom DFS-Replikationsdienst wurde die Replikation für das Volume "C:" beendet. Dieser Fall tritt ein, wenn eine DFSR-JET-Datenbank nicht ordnungsgemäß heruntergefahren wird und die automatische Wiederherstellung deaktiviert ist. Sichern Sie zum Beheben dieses Problems die Dateien in den betroffenen replizierten Ordnern, und setzen Sie die Replikation anschließend mithilfe der WMI-Methode "ResumeReplication" fort.
 
Weitere Informationen:
Volume: C:
GUID: B2709014-2081-11E3-93E8-806E6F6E6963
 
Wiederherstellungsschritte
1. Sichern Sie die Dateien in allen replizierten Ordnern auf dem Volume. Andernfalls gehen möglicherweise aufgrund einer unerwarteten Konfliktauflösung im Rahmen der Wiederherstellung der replizierten Ordner Daten verloren.
2. Setzen Sie die Replikation für dieses Volume mithilfe der WMI-Methode "ResumeReplication" der DfsrVolumeConfig-Klasse fort. Geben Sie hierzu an einer Eingabeaufforderung mit erhöhten Rechten beispielsweise den folgenden Befehl ein:
wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="B2709014-2081-11E3-93E8-806E6F6E6963" call ResumeReplication

 

(ID 2213)

 

 

Auf dem neuen DC habe ich auch ein bisschen was

Zitat

Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
 
Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung  ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients  protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger  Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst  über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.
 
Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren.  Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.

 

(ID 2886)

 

 

Auf dem alten DC im Domänenstatus krieg ich auch das Folgende angezeigt

 

Grüße!

[testperson 1.674]

Hast du dir die Ereignisse auch durchgelesen?

Liefert eines deiner Ereignisse evtl. schon eine Lösung?

[chrismue 96]

Hatte ich auch mal:

 

 

[HeizungAuf5 13]

Was bei mir schlussendlich geholfen hat, dass es jetzt funktioniert: http://www.noelpulis.com/fix-missing-sysvol-and-netlogon-after-domain-controller-promotion/

 

Noch als Hinweis, wenn das Thema hier über die Suche gefunden wurde: Wenn ihr die Replikation aus dem oben genannten Link neu angestartet habt, macht dazwischen Mittagspause und prüft - bevor ihr dann weiter macht - ob der Server immer noch auf Replikationsstufe 2 Steht. Wenn ja, nochmal nen Kaffee holen. Wenn er fertig ist, bekommt ihr das folgende Ergebnis:

 

<NAME des einen DCs>
ReplicatedFolderName  ReplicationGroupName  State
SYSVOL Share          Domain System Volume  4

<Name des anderen DCs>
ReplicatedFolderName  ReplicationGroupName  State
SYSVOL Share          Domain System Volume  4

Grüße und Danke