AD SPNs komplett verwirrt / GPO Sync defekt

[NilsK 2.918]

Mom,

 

Wir lange würde es denn dauern, das "große" GPO neu zusammen zu klicken? Eine halbe Stunde? Eine ganze?

 

Gruß, Nils

[Gulp 251]

Fehlt zufällig die Gruppe der "Authentifizierten User" bei der GPO unter Sicherheitsfilterung? Hat die Gruppe, falls vorhanden auch das Recht die Richtlinie zu übernehmen unter dem Reiter Delegierung (Button Erweitert unten rechts anklicken)?

 

Grüsse

 

Gulp

bearbeitet 22. November 2021 von Gulp

[Threeman 12]

Hi Felix,

Nachdem was ich nun mitlesen durfte würde ich auch auf ein Berechtigungsproblem tippen. 

 

=> Vergleiche die Delegation der bereits vorhandenen und der neuen GPO

=> Prüfe die Mitgliedschaften eines Standard Users ggf. fällt dir hier was auf

 

Beste Grüße

[FT-Felix 0]

Das große GPO neu zusammenbauen würde gut eine Stunde dauern.

Mit DCGPOFIX habe ich die beiden Default Richtlinien zurückgesetzt. Diese werden jetzt auch wieder korrekt übernommen.

Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte.

 

Die Gruppe "Authentifizierte Benuter" ist vorhanden. Das Recht "Gruppenrichtlinie übernehmen" steht auf "Zulassen".

Die Einstellungen im Reiter "Delegation" stimmen zwischen den alten und neuen GPOs überein.

Die Gruppenmitgliedschaften aller User sind in Ordnung.

 

Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen.

 

Bei den Events, die ein Fehler sind, bleibt noch übrig:

- Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.

- Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden.

- Automatic registration failed. Failed to lookup the registration service information from Active Directory. Exit code: Unknown HResult Error code: 0x801c001d.

- Automatic registration failed at join phase. Exit code: Unknown HResult Error code: 0x801c001d

- Application Error: Name des fehlerhaften Moduls: GPOAdmin.dll

 

[Sunny61 806]

vor 7 Stunden schrieb FT-Felix:

Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen.

Hast Du denn im Computerkonto den Reiter Bitlocker Wiederherstellung? Du hast das AD vorbereitet und die nötigen Features installiert? Schau diesen Artikel dazu an: https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory

bearbeitet 23. November 2021 von Sunny61

[FT-Felix 0]

vor 2 Stunden schrieb Sunny61:

Hast Du denn im Computerkonto den Reiter Bitlocker Wiederherstellung? Du hast das AD vorbereitet und die nötigen Features installiert?

Ja, es ist alles dafür vorhanden. Es hat ja früher auch alles funktioniert. Sämtliche nötigen Features und Verwaltungstools sind vorhanden.

[Gulp 251]

Das riecht schwer nach Problemen mit DNS, der Zuordnung der Clients zum AD, einem nicht konsistenten AD oder allem zusammen ......

 

Geht dcdiag auf dem DC, wenn ja was kommt dabei raus?

 

An der Stelle wäre es fahrlässig nicht auf einen Dienstleister hinzuweisen, der vor Ort hinzugezogen werden sollte und sich mit AD/DC Troubleshooting auskennen sollte.

 

Grüsse

 

Gulp

bearbeitet 23. November 2021 von Gulp

[FT-Felix 0]

CDIAG zeigt folgende relevante Meldungen:

- Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

- Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/CONTROLLER3.domain.tld; WSMAN/CONTROLLER3.

- Zeitüberschreitung bei der Namensauflösung für den Namen _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

Beide dieser DNS Einträge sind aber vorhanden - SRV Einträge die auch auf den korrekten DC verweisen. Beide SPNs sind ebenfalls vorhanden.

 

Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt.

Die beiden nicht mehr existierenden DCs sind aus dem DNS auch komplett entfernt.

[Sunny61 806]

vor 14 Minuten schrieb FT-Felix:

Die beiden nicht mehr existierenden DCs sind aus dem DNS auch komplett entfernt.

In Standorte- und Dienste sind sie auch entfernt?

[FT-Felix 0]

vor 15 Minuten schrieb Sunny61:

In Standorte- und Dienste sind sie auch entfernt?

Ja sind sie.

[Gulp 251]

Naja, ohne Grunde listet DCDIAG solche Fehler ja nicht auf, wenn auch die Einträge vorhanden sind, heisst das nicht im Umkehrschluss, dass diese auch von allen Beteiligten verwendet werden (können) ........

 

Da sollte in der Tat aus meiner Sicht ein kompetenter Dienstleister vor Ort mit in die Fehleranalyse einsteigen, das dürfte den Rahmen des Support den wir hier übers Forum leisten können überschreiten.

 

Grüsse

 

Gulp

bearbeitet 23. November 2021 von Gulp

[NilsK 2.918]

Moin,

 

vor 1 Stunde schrieb FT-Felix:

Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt.

diese Information solltest du gleich geben. Bei der ersten Erwähnung klang es, als würde das grundsätzlich nicht funktionieren. Hier ist das Problem also sehr wahrscheinlich bei dem einen Client bzw. dem einen Computerkonto zu suchen, nicht allgemein. Insbesondere den Verdacht, das AD sei irgendwie inkonsistent, können wir getrost begraben (oder zumindest in den Warteraum schieben - es ist ausgesprochen unwahrscheinlich).

 

vor 12 Stunden schrieb FT-Felix:

Das große GPO neu zusammenbauen würde gut eine Stunde dauern.

Und, hast du die Stunde jetzt investiert? 

 

Gruß, Nils

 

bearbeitet 23. November 2021 von NilsK

[Gulp 251]

Den Bitlocker Teil hab ich wohl übersehen ...... zieht denn ein neu aufgesetzter Client die GPO korrekt, da kann man zu Testzwecken ja eine VM nehmen .....

 

Grüsse

 

Gulp

[FT-Felix 0]

vor 6 Stunden schrieb NilsK:

Und, hast du die Stunde jetzt investiert? 

 

vor 19 Stunden schrieb FT-Felix:

Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte.

Irgendetwas hat diese GPO dazu gebracht wieder normal zu funktionieren.

 

vor 5 Stunden schrieb Gulp:

zieht denn ein neu aufgesetzter Client die GPO korrekt

Ja, tut er. Und die Richtlinien funktionieren auch alle. BL-Backup auch. Es scheint als wäre es ein Problem bei diesem einen Client. Das kann ich auch einfach ignorieren, da sämtliche BitLocker Keys ohnehin auch anderwertig außerhalb der Infrastruktur gesichert sind.

 

Eigentlich bleiben nur noch die 3 Fehlermeldungen aus DCDIAG übrig. Funktionseinschränkungen sind mir derzeit keine mehr bekannt.

[daabm 1.334]

Es gibt Fehlersituationen bei der GPO-Verarbeitung, in denen keinerlei GPOs mehr verarbeitet werden. Aber Du hast jetzt so viel experimentiert, daß das vermutlich nicht mehr nachzuvollziehen ist. Die DCDIAG-Fehler bei DNS finde ich mindestens eigenartig - AD-integriertes DNS? Wenn ja, was steht denn so im DNS für diese Einträge?

(Spoiler: nslookup -type=SRV _ldap._tcp.dc._msdcs.domain.tld)