GPOs nicht korrekt repliziert

[Seppim 14]

Hallo!

 

Ich habe von 2x Win2008R2 Domaincontrollers voriges Jahr auf 2x WIN2019 Domaincontroller umgestellt.

Ebenso 2x DNS Server auf den Maschinen

 

Nun zeigte sich, das wohl nicht alles sauber läuft.

GPOs sind nicht auf den 2 DCs synchron.

 

Als erstes habe ich noch Verweise der alten DC im DNS gefunden und auch in den lokalen Netzwerkschnittstellen war bei DNS noch 127.0.0.1

 

Das habe ich nun einmal alles gerichtet.

 

Ich stoße die Replikation manuell an.

 

Ein Test mit GPOTOOL zeigt aber immer noch einige Fehler an.

Beispiel:

Policy {0F9BA19E-BB98-4299-BDCA-51AE5EF81A44}
Error: Version mismatch on SRV01.comp.local, DS=7340032, sysvol=5767168
Error: Version mismatch on SRV02.comp.local, DS=7340032, sysvol=5767168
Details:
------------------------------------------------------------
DC: SRV01.comp.local
Friendly name: Drucker_Zielgruppenad. 2017neu
Created: 10.02.2017 13:53:26
Changed: 13.07.2021 10:54:19
DS version:     112(user) 0(machine)
Sysvol version: 88(user) 0(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{00000000-0000-0000-0000-000000000000}{A8C42CEA-CDB8-4388-97F4-5831F933DA84}][{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}{A8C42CEA-CDB8-4388-97F4-5831F933DA84}]
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: SRV02.comp.local
Friendly name: Drucker_Zielgruppenad. 2017neu
Created: 10.02.2017 13:53:26
Changed: 12.07.2021 14:28:27
DS version:     112(user) 0(machine)
Sysvol version: 88(user) 0(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{00000000-0000-0000-0000-000000000000}{A8C42CEA-CDB8-4388-97F4-5831F933DA84}][{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}{A8C42CEA-CDB8-4388-97F4-5831F933DA84}]
Machine extensions: not found
Functionality version: 2

 

Und bei den Clients öfters:

Die clientseitige Erweiterung konnte die Computer-Richtlinieneinstellungen für Default Domain Policy {31B2F340-016D-11D2-945F-00C04FB984F9} nicht übernehmen. Fehlercode: 0x80070003 Das System kann den angegebenen Pfad nicht finden. Weitere Details finden Sie in der Ablaufverfolgungsdatei. 

 

Ich vermute da sind noch Leichen vom 2008er irgendwo?

 

Wie kann ich am besten die GPOs wieder auf Kurs bringen?

 

Danke!

 

Repadmin /Showrepl zeigt:

 

Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführt
Default-First-Site-Name\SRV02
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: 31e1fe53-dab9-4cdf-b159-64524008af05
DSA-Aufrufkennung: 1513b0f0-4997-400b-859e-8388a40e3994

==== EINGEHENDE NACHBARN=====================================

DC=hsg,DC=local
    Default-First-Site-Name\SRV01 über RPC
        DSA-Objekt-GUID: bdafa671-3a5d-4e21-a4d4-5175a06c3468
        Letzter Versuch am 2022-03-03 10:48:12 war erfolgreich.

CN=Configuration,DC=hsg,DC=local
    Default-First-Site-Name\SRV01 über RPC
        DSA-Objekt-GUID: bdafa671-3a5d-4e21-a4d4-5175a06c3468
        Letzter Versuch am 2022-03-03 10:35:28 war erfolgreich.

CN=Schema,CN=Configuration,DC=hsg,DC=local
    Default-First-Site-Name\SRV01 über RPC
        DSA-Objekt-GUID: bdafa671-3a5d-4e21-a4d4-5175a06c3468
        Letzter Versuch am 2022-03-03 10:20:15 war erfolgreich.

DC=DomainDnsZones,DC=hsg,DC=local
    Default-First-Site-Name\SRV01 über RPC
        DSA-Objekt-GUID: bdafa671-3a5d-4e21-a4d4-5175a06c3468
        Letzter Versuch am 2022-03-03 10:20:15 war erfolgreich.

DC=ForestDnsZones,DC=hsg,DC=local
    Default-First-Site-Name\SRV01 über RPC
        DSA-Objekt-GUID: bdafa671-3a5d-4e21-a4d4-5175a06c3468
        Letzter Versuch am 2022-03-03 10:20:15 war erfolgreich.

 

Scheint alles ok zu sein?

 

Selbe Ausgabe bei SRV01

[tesso 377]

Schuß ins Blaue: Du hast noch Fragmente eines alten Servers im DNS.

In der GPO kann eigentlich nicht viel drin. 

Versuch mal eine neue GPO zu erstellen und schau ob die repliziert wird. Evtl. ist deine GPO defekt, dann löschen und neu erstellen. 

[Nobbyaushb 1.506]

Frage wäre, ob die DC´s überhaup sauber replizieren.

 

Vielleicht hängt ein entfernter DC noch drin

 

Am CMD

repadnin /syncal

 muss ohne Fehler durchlaufen

[NilsK 2.978]

Moin,

 

wobei sich die GPOs in der zitierten Fehlermeldung ja gar nicht zwischen den vorhandenen DCs unterscheiden, sondern die Dateiversion ist (bei beiden identisch) geringer als die Version, die im AD angegeben wird. Das sieht mir also eher so aus, als hätte es früher mal ein Replikationsproblem gegeben, nicht jetzt.

 

Ist das Bild so bei allen GPOs, die als fehlerhaft gemeldet werden? Dann würde ich die tatsächlich neu machen und die fehlerhaften löschen.

 

Gruß, Nils

 

[Seppim 14]

Hallo!

 

Danke an alle!

 

Probleme habe ich bei 3 GPOs.

 

 repadmin /syncall ist fehlerfrei durchgelaufen.

 

Würde es reichen, wenn ich die besagte GPO kopiere, den OUs neu zuweise und die "alten" lösche?

Der Aufwand wäre nicht so hoch.

 

[NilsK 2.978]

Moin,

 

ja, das müsste reichen. In dem Fall sind es ja neue Objekte.

 

Gruß, Nils

 

[daabm 1.386]

Einmal bearbeiten, dann Änderung wieder rückgängig machen reicht auch - das stößt sowohl die AD- als auch die Sysvol-Replikation erneut an.

[Seppim 14]

Am 5.3.2022 um 19:48 schrieb daabm:

Einmal bearbeiten, dann Änderung wieder rückgängig machen reicht auch - das stößt sowohl die AD- als auch die Sysvol-Replikation erneut an.

Danke .. heißt einfach 2x bearbeiten, richtig? Oder wie ist Rückgängig gemeint?

[NilsK 2.978]

Moin,

 

ja, das heißt es. Die Änderungen in GPOs speichert das System immer direkt. Die Idee ist jetzt nur, dass du was änderst, und damit du daraus keine Nachteile hast, nimmst du das dann wieder zurück.

 

Ich bin mir nicht sicher, ob das wirklich das Mismatch-Problem löst, aber das sieht man dann ja. 

 

Gruß, Nils

 

[Seppim 14]

Ja, klappt  ... keine Fehler mehr mit GPOTOOL.exe