langsame / teilweise / mehrfache Verarbeitung von Gruppenrichtlinien

[daabm 1.348]

"Bei der Anmeldung zweimal" - da passt Loopback doch perfekt 😁 Gibt zu viele GPOs, wo nicht auf eine Trennung von User/Computer geachtet wird.

[Florian-0625 0]

Hallo zusammen,

 

tatsächlich habe ich zwei Scripte gefunden, die ich eigentlich aus den GPOs entfernt hatte, die wieder aufgetaucht sind. Vermutlich durch die Replikationsthematik. Ich hab diese wieder entfernt, die Replizierung angestoßen, an allen Standorten getestet, wurde auch korrekt umgesetzt.

 

Ich schaue noch nach Bsp. für die anderen Fehler und melde mich dann.

[Florian-0625 0]

Hallo zusammen,

 

die Problematik mit der langsamen und / oder teilweisen Verarbeitung existiert leider immer noch, ich versuche es einmal näher zu beschreiben:

 

teilweise Verarbeitung - eher nur bei Standorten und Heimarbeitsplätzen:

 

z.B. 10 PCs an einem Standort, bei 8 werden die Richtlinien "normal" verarbeitet, bei 2 werden z.B. zwei Powershellscripte nicht verarbeitet, die jedoch bei den anderen durchlaufen.

Bei diesen beiden zeigt gpresult, dass die Richtlinien wie gewünscht angewendet werden. Jedoch führt ein gpupdate /force dazu, dass die Richtlinien korrekt durchlaufen.

 

langsame Verarbeitung - tritt auch in der Zentrale auf:

 

Tritt immer wieder unterschiedlich auf, manchmal auch in der Zentrale selbst, Richtlinien werden z.T. sehr spät, während der User bereits arbeitet durchlaufen. Verhält sich aber immer wieder unterschiedlich, d.h. nach einem Reboot laufen die Richtlinien normal durch, beim nächsten Mal ggf. wieder mit sehr langer Laufzeit.

 

Wie kann ich dieses Thema angehen?

 

[daabm 1.348]

Was genau meinst Du mit "Powershell-Skripte nicht verarbeitet"? Laufen sie nicht oder werden sie gestartet und bleiben hängen/stürzen ab oder xyz?

Die Verarbeitungszeiten von GPOs und deren unterschiedlichen Elementen werden im GPO-Eventlog protokolliert. Wer's noch genauer wissen will, aktiviert das gpsvc Debug Logging und analysiert das Log dann mit https://www.heise.de/download/product/policy-reporter-45973 (die Herstellerwebseite ist leider in den Internet-Friedhof gezogen...)

[Florian-0625 0]

Hallo @daabm,

 

ich habe das nicht richtig beschrieben, mittlerweile kann ich es auch weiter eingrenzen. Es ist definitiv kein Problem auf Computerebene, sondern auf Benutzerebene.

 

Wir haben sechs Skripte, die bei der Anmeldung durchgeführt werden. Diese hängen an einer OU und gelten für alle User gleichermaßen. Nun gibt es genau eine AD Gruppe, wenn ein User Mitglied dieser einen Gruppe ist, wird nur das erste (Reihenfolge in GPResult) Skript ausgeführt, die anderen nicht. Tausche ich die Gruppe gegen eine beliebige andere aus, werden alle Skripte durchlaufen.

 

Ich finde in den GPOs nichts, wodurch die Mitgliedschaft in dieser Gruppe dazu führt, dass nur ein Skript durchgeführt wird.

 

Wie bekomme ich heraus, was hier das Problem sein könnte? Ich habe bereits in den XML-Daten der Policies nach der Gruppe gesucht aber nichts entsprechendes gefunden.

 

Was kann ich her tun?

[daabm 1.348]

Sind das alles Logon Skripts? In einer oder mehreren GPOs? Wenn mehrere - irgendwas mit "deny apply" gespielt? Welches XML durchsuchst Du da? (Ich kenne kein XML in GPOs, das mit Logon Skripts zu tun hätte...)

BTW: "Skripts" hängen nicht an OUs, GPOs hängen an OUs

[Florian-0625 0]

Hall @daabm,

 

ja es sind verschiedene GPOs, jeweils mit Logon Scripts. Die Scripts sind in einzelne GPOs aufgeteilt. Deny / Apply - ich vermute du meinst die Spalten in den Sicherheitseinstellungen? Nein das habe wie nichts angepasst.

 

XML -> ich meine hier die GPPs, da kann man im XML suchen - habe aber nichts gefunden zu der Gruppe.

 

Die GPOs mit den Scripten sind nicht Gruppenspezifisch konfiguriert.

[NorbertFe 2.027]

vor 16 Minuten schrieb Florian-0625:

XML -> ich meine hier die GPPs, da kann man im XML suchen - habe aber nichts gefunden zu der Gruppe.

Ja, aber die gelten dann für die jeweiligen gpp und nicht für Scripts im gpo.

[daabm 1.348]

vor 21 Stunden schrieb Florian-0625:

Die Scripts sind in einzelne GPOs aufgeteilt.

 

Dann ist GPResult Dein Freund. Gern mit /h report.html, ist einfacher zu lesen. Welche GPOs werden angewendet, welche nicht und warum nicht?

[Florian-0625 0]

Hallo @daabm,

 

wie ich ein paar Posts vorher schon erwähnte, sehe mit GPResult die korrekten Richtlinien die ich auch erwarte, mit den entsprechenden Skripten. Jedoch laufen diese gar nicht, unter "Zuletzt ausgeführt" in der HTML Version steht gar Zeitstempel.

 

Entferne ich nun die eine Gruppenmitgliedschaft, werden alle Skripte verarbeitet. Ebenso ist es, wenn ich eine andere Gruppe statt dieser einsetze.

 

Ich finde absolut den Zusammenhang nicht.

[NorbertFe 2.027]

Ohne den gpresult Report wird das vermutlich schwierig, hier weiterzuhelfen.

[daabm 1.348]

Was genau wird da aufgerufen? Kann der User das auch interaktiv aufrufen, wenn er in der fraglichen Gruppe ist?

[Florian-0625 0]

Hallo zusammen,

 

manuell lassen sich die Skripte mit dem User problemlos ausführen. Ich habe einmal das Debuggen auf einem PC eingeschaltet. In den ersten Zeilen lesen ich dies hier:

 

GPSVC(730.248c) 22:28:55:793 Failed to query GP Kerberos Armoring in Registry = 0x80070002
GPSVC(730.248c) 22:28:55:797 Failed to query EnableCbacAndArmor in Manual Kerberos Armoring in Registry = 0x80070002
GPSVC(730.248c) 22:28:55:801 Failed to query RequireFast in Manual Kerberos Armoring in Registry = 0x80070002

 

GPSVC(730.248c) 22:28:56:191 ReadGPExtensions: Rsop entry point not found for AppManagementConfiguration.dll.
GPSVC(730.248c) 22:28:56:191 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\gpprefcl.dll.
GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for AppManagementConfiguration.dll.
GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\dskquota.dll.
GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for gptext.dll.
GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\gpprefcl.dll.
GPSVC(730.248c) 22:28:56:206 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\TsUsbRedirectionGroupPolicyExtension.dll.
GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\iedkcs32.dll.
GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\tsworkspace.dll.
GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for WorkFoldersGPExt.dll.
GPSVC(730.248c) 22:28:56:222 ReadGPExtensions: Rsop entry point not found for dmenrollengine.dll.
GPSVC(730.248c) 22:28:56:237 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\srchadmin.dll.
GPSVC(730.248c) 22:28:56:237 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\iedkcs32.dll.
GPSVC(730.248c) 22:28:56:237 ReadGPExtensions: Rsop entry point not found for hvsigpext.dll.
GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for pwlauncher.dll.
GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for pwlauncher.dll.
GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\System32\cscobj.dll.
GPSVC(730.248c) 22:28:56:253 ReadGPExtensions: Rsop entry point not found for gptext.dll.
GPSVC(730.248c) 22:28:56:269 ReadGPExtensions: Rsop entry point not found for C:\Windows\System32\iedkcs32.dll.
GPSVC(730.248c) 22:28:56:269 ReadGPExtensions: Rsop entry point not found for C:\WINDOWS\system32\domgmt.dll.
GPSVC(730.248c) 22:28:56:269 ReadGPExtensions: Rsop entry point not found for dggpext.dll.
GPSVC(730.248c) 22:28:56:284 ReadGPExtensions: Rsop entry point not found for gptext.dll.
GPSVC(730.248c) 22:28:56:284 ReadGPExtensions: Rsop entry point not found for gptext.dll.
GPSVC(730.248c) 22:28:56:284 ReadGPExtensions: Rsop entry point not found for dggpext.dll.

 

Kann jemand damit etwas anfangen?

 

[toao 3]

Hi,

die "Kerberos Armoring" Zeilen lassen darauf schließen, dass auf dem endsystem kein Kerberos Armoring (FAST) genutzt wird. Deutlich wird dies mit der Zeile: Failed to query EnableCbacAndArmor. Das ist der Registry value name, welcher auf dem endsystem gesetzt werden würde, wenn die GPO setting "client support for claim,compound usw." (hklm\software\microsoft\windows\currentversion\policies\system\kerberos\parameters) konfiguriert wäre. Dann würde die Zeile aus dem gpsvc.log auch verschwinden.

Ich vermute, dass ihr grundsätzlich kein "Kerberos Armoring" nutzt. Daher kannst Du diese Zeilen ignorieren, da Sie standardmäßig im gpsvc.log enthalten sind, vollkommen egal ob man etwas konfiguriert hat oder nicht.

Ebenso ignorieren kannst Du alle Einträge bezüglich "Rsop entry point not found", ein überprüfen ob die dll's auf dem endsystem vorhanden sind wird mit sehr hoher wahrscheinlichkeit positiv enden, ein Versuch die dll's zu re-registern wird auch nicht helfen, diese Einträge aus dem gpsvc.log zu bekommen. Ich sehe diese seit Jahren im gpsvc.log und bisher waren diese Einträge nicht zielführend zur Fehlerbehebung. Eventuell kann noch jemand anderes im Forum hierzu etwas beisteuern.

(Mein) Fazit: Diese beiden Informationen aus dem gpsvc.log werden leider nicht dazu beitragen die Ursache ausfindig zu machen.

Gruß,
toao

bearbeitet 1. Oktober von toao

[Florian-0625 0]

Hallo zusammen,

 

das ganze Log zu posten würde hier ggf. den Rahmen sprengen oder? Kann ich gezielt nach etwas suchen?