NilsK 2.957 Geschrieben 22. November 2021 Melden Teilen Geschrieben 22. November 2021 Mom, Wir lange würde es denn dauern, das "große" GPO neu zusammen zu klicken? Eine halbe Stunde? Eine ganze? Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Gulp 260 Geschrieben 22. November 2021 Melden Teilen Geschrieben 22. November 2021 (bearbeitet) Fehlt zufällig die Gruppe der "Authentifizierten User" bei der GPO unter Sicherheitsfilterung? Hat die Gruppe, falls vorhanden auch das Recht die Richtlinie zu übernehmen unter dem Reiter Delegierung (Button Erweitert unten rechts anklicken)? Grüsse Gulp bearbeitet 22. November 2021 von Gulp 1 Zitieren Link zu diesem Kommentar
Threeman 12 Geschrieben 22. November 2021 Melden Teilen Geschrieben 22. November 2021 Hi Felix, Nachdem was ich nun mitlesen durfte würde ich auch auf ein Berechtigungsproblem tippen. => Vergleiche die Delegation der bereits vorhandenen und der neuen GPO => Prüfe die Mitgliedschaften eines Standard Users ggf. fällt dir hier was auf Beste Grüße 1 Zitieren Link zu diesem Kommentar
FT-Felix 0 Geschrieben 22. November 2021 Autor Melden Teilen Geschrieben 22. November 2021 Das große GPO neu zusammenbauen würde gut eine Stunde dauern. Mit DCGPOFIX habe ich die beiden Default Richtlinien zurückgesetzt. Diese werden jetzt auch wieder korrekt übernommen. Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte. Die Gruppe "Authentifizierte Benuter" ist vorhanden. Das Recht "Gruppenrichtlinie übernehmen" steht auf "Zulassen". Die Einstellungen im Reiter "Delegation" stimmen zwischen den alten und neuen GPOs überein. Die Gruppenmitgliedschaften aller User sind in Ordnung. Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen. Bei den Events, die ein Fehler sind, bleibt noch übrig: - Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen. - Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden. - Automatic registration failed. Failed to lookup the registration service information from Active Directory. Exit code: Unknown HResult Error code: 0x801c001d. - Automatic registration failed at join phase. Exit code: Unknown HResult Error code: 0x801c001d - Application Error: Name des fehlerhaften Moduls: GPOAdmin.dll Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. November 2021 Melden Teilen Geschrieben 23. November 2021 (bearbeitet) vor 7 Stunden schrieb FT-Felix: Nun ist mir aber ein anderes Problem aufgefallen: "manage-bde.exe -protectors -adbackup x: -id "{...}" sollte ja eigentlich den BitLocker-WH-Key ins AD sichern. Der Befehl gibt auch eine Erfolgsmeldung aus. Aber der Key kommt im AD nicht an und ist im Computerkonto nicht zu sehen. Hast Du denn im Computerkonto den Reiter Bitlocker Wiederherstellung? Du hast das AD vorbereitet und die nötigen Features installiert? Schau diesen Artikel dazu an: https://www.gruppenrichtlinien.de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory bearbeitet 23. November 2021 von Sunny61 1 Zitieren Link zu diesem Kommentar
FT-Felix 0 Geschrieben 23. November 2021 Autor Melden Teilen Geschrieben 23. November 2021 vor 2 Stunden schrieb Sunny61: Hast Du denn im Computerkonto den Reiter Bitlocker Wiederherstellung? Du hast das AD vorbereitet und die nötigen Features installiert? Ja, es ist alles dafür vorhanden. Es hat ja früher auch alles funktioniert. Sämtliche nötigen Features und Verwaltungstools sind vorhanden. Zitieren Link zu diesem Kommentar
Gulp 260 Geschrieben 23. November 2021 Melden Teilen Geschrieben 23. November 2021 (bearbeitet) Das riecht schwer nach Problemen mit DNS, der Zuordnung der Clients zum AD, einem nicht konsistenten AD oder allem zusammen ...... Geht dcdiag auf dem DC, wenn ja was kommt dabei raus? An der Stelle wäre es fahrlässig nicht auf einen Dienstleister hinzuweisen, der vor Ort hinzugezogen werden sollte und sich mit AD/DC Troubleshooting auskennen sollte. Grüsse Gulp bearbeitet 23. November 2021 von Gulp Zitieren Link zu diesem Kommentar
FT-Felix 0 Geschrieben 23. November 2021 Autor Melden Teilen Geschrieben 23. November 2021 CDIAG zeigt folgende relevante Meldungen: - Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat. - Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/CONTROLLER3.domain.tld; WSMAN/CONTROLLER3. - Zeitüberschreitung bei der Namensauflösung für den Namen _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.tld., nachdem keiner der konfigurierten DNS-Server geantwortet hat. Beide dieser DNS Einträge sind aber vorhanden - SRV Einträge die auch auf den korrekten DC verweisen. Beide SPNs sind ebenfalls vorhanden. Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt. Die beiden nicht mehr existierenden DCs sind aus dem DNS auch komplett entfernt. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. November 2021 Melden Teilen Geschrieben 23. November 2021 vor 14 Minuten schrieb FT-Felix: Die beiden nicht mehr existierenden DCs sind aus dem DNS auch komplett entfernt. In Standorte- und Dienste sind sie auch entfernt? Zitieren Link zu diesem Kommentar
FT-Felix 0 Geschrieben 23. November 2021 Autor Melden Teilen Geschrieben 23. November 2021 vor 15 Minuten schrieb Sunny61: In Standorte- und Dienste sind sie auch entfernt? Ja sind sie. Zitieren Link zu diesem Kommentar
Gulp 260 Geschrieben 23. November 2021 Melden Teilen Geschrieben 23. November 2021 (bearbeitet) Naja, ohne Grunde listet DCDIAG solche Fehler ja nicht auf, wenn auch die Einträge vorhanden sind, heisst das nicht im Umkehrschluss, dass diese auch von allen Beteiligten verwendet werden (können) ........ Da sollte in der Tat aus meiner Sicht ein kompetenter Dienstleister vor Ort mit in die Fehleranalyse einsteigen, das dürfte den Rahmen des Support den wir hier übers Forum leisten können überschreiten. Grüsse Gulp bearbeitet 23. November 2021 von Gulp Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 23. November 2021 Melden Teilen Geschrieben 23. November 2021 (bearbeitet) Moin, vor 1 Stunde schrieb FT-Felix: Der Client der die BitLocker Sicherung verweigert ist im DNS in der Forward- und Reverse-Lookup-Zone vorhanden und IP stimmt. Ein anderer Client macht die BL-Sicherung ja auch korrrekt. diese Information solltest du gleich geben. Bei der ersten Erwähnung klang es, als würde das grundsätzlich nicht funktionieren. Hier ist das Problem also sehr wahrscheinlich bei dem einen Client bzw. dem einen Computerkonto zu suchen, nicht allgemein. Insbesondere den Verdacht, das AD sei irgendwie inkonsistent, können wir getrost begraben (oder zumindest in den Warteraum schieben - es ist ausgesprochen unwahrscheinlich). vor 12 Stunden schrieb FT-Felix: Das große GPO neu zusammenbauen würde gut eine Stunde dauern. Und, hast du die Stunde jetzt investiert? Gruß, Nils bearbeitet 23. November 2021 von NilsK Zitieren Link zu diesem Kommentar
Gulp 260 Geschrieben 23. November 2021 Melden Teilen Geschrieben 23. November 2021 Den Bitlocker Teil hab ich wohl übersehen ...... zieht denn ein neu aufgesetzter Client die GPO korrekt, da kann man zu Testzwecken ja eine VM nehmen ..... Grüsse Gulp Zitieren Link zu diesem Kommentar
FT-Felix 0 Geschrieben 23. November 2021 Autor Melden Teilen Geschrieben 23. November 2021 vor 6 Stunden schrieb NilsK: Und, hast du die Stunde jetzt investiert? vor 19 Stunden schrieb FT-Felix: Laut gpresult sind jetzt auch wieder alle GPOs auf den Clients vorhanden wie sie sollen. Auch die verbleibende alte. Irgendetwas hat diese GPO dazu gebracht wieder normal zu funktionieren. vor 5 Stunden schrieb Gulp: zieht denn ein neu aufgesetzter Client die GPO korrekt Ja, tut er. Und die Richtlinien funktionieren auch alle. BL-Backup auch. Es scheint als wäre es ein Problem bei diesem einen Client. Das kann ich auch einfach ignorieren, da sämtliche BitLocker Keys ohnehin auch anderwertig außerhalb der Infrastruktur gesichert sind. Eigentlich bleiben nur noch die 3 Fehlermeldungen aus DCDIAG übrig. Funktionseinschränkungen sind mir derzeit keine mehr bekannt. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 23. November 2021 Melden Teilen Geschrieben 23. November 2021 Es gibt Fehlersituationen bei der GPO-Verarbeitung, in denen keinerlei GPOs mehr verarbeitet werden. Aber Du hast jetzt so viel experimentiert, daß das vermutlich nicht mehr nachzuvollziehen ist. Die DCDIAG-Fehler bei DNS finde ich mindestens eigenartig - AD-integriertes DNS? Wenn ja, was steht denn so im DNS für diese Einträge? (Spoiler: nslookup -type=SRV _ldap._tcp.dc._msdcs.domain.tld) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.