Gerry1420 10 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Hallo. Wir haben in unserem ActiveDirectory in einer OU Benutzerkonfiguration einige Änderungen zur automatischen Sperrung der Arbeitsstationen eingerichtet. Alle betreffenden Clients befinden sich in der selben OU. Nun wird die Änderung auf einigen Clients automatisch übernommen, und funktioniert, auf anderen nicht. Auch ein gpupdate /force oder /user bringt nichts. Gpresult zeit nach einem GPUpdate, das die Computerkonfiguration heute aktualisiert wurde, die Benutzerkonfiguration aber zuletzt irgendwann vor zwei Monaten. Auch unter "Angewendet von" ist kein Eintrag zu finden. Hat da jemand einen Tipp für mich? Danke & Gruß, Gerry Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Hallo, ist der Loopbackverarbeitungsmodus aktiviert? Viel Erfolg Edgar Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 Hallo Edgar. Da mußte ich grad erstmal suchen was das überhaupt ist... :D Die Einstellung ist nicht konfiguriert und, so wie ich das verstanden habe, somit nicht aktiv. Gerry Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Hallo Gery, das ist in der Computerkonfiguration, Administrative Vorlagen, System, Gruppenrichtlinien. Der Modus lässt die Benutzerkonfiguration auch für eine ComputerOU wirken. Was mich wundert, es klappt ja bei einem Teil der Rechner (bei dir) und bei eingen nicht. Bei den funktionsfähigen müsste ja der LBVM aktiviert sein, oder es funktiont auf andere Weise. Das würde mich schon interessieren. Gruß Edgar Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 28. November 2005 Autor Melden Teilen Geschrieben 28. November 2005 Ok...ich habe die Funktion mal aktiviert und auf "Ersetzen" gestellt. Ich teste morgen was passiert und ob ich im GPResult eine entsprechende Veränderug sehe. DANKE! Gerry Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 DANKE! Gern geschehen, bitte berichte über Erfolg oder Misserfolg! Ich nehme mal an, die Namensauflösung funktioniert? Ohne diese keine Aktualisierung von Richtlinien. Sind das XP-Clients, wie ist es da mit dem Startzeitpunkt des Netzwerkes? Gruß Edgar Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Hi, noch ein kleiner Hinweis zum Loopback-Verarbeitungsmodus. MSFT empfiehlt dieses eindeutig nur zu verwenden wenn alles andere nicht zum gewünschten Ergebnis führen würde. Loopback ist also keine Standardkonfiguration sondern nur für Terminalserver u. ähnliche Konstellation gedacht. Group Policy Best Practices: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/63eacd22-9551-41cf-a703-e702f3cb57d6.mspx Override user-based Group Policy with computer-based Group Policy only if you want the desktop configuration to be the same regardless of who logs on. The mechanism for doing this is called loopback, an advanced Group Policy setting that is useful in certain closely managed environments, such as laboratories, classrooms, public kiosks, and reception areas Möchte da mal an unseren alten Monster-Thread erinnern: https://www.mcseboard.de/showthread.php?t=66080 LG Gadget Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 29. November 2005 Autor Melden Teilen Geschrieben 29. November 2005 Hallo Egar, hallo Kohn. Der Lookbackverarbeitungsmodus hat auch keine Änderung bewirkt. Beim überfliegen des "Monsterthreats" ist mir der Hinweis auf NSLOOKUP aufgefallen. Funktioniert hier natürlich nicht...vielleicht liegt das Problem schon daran? Mein PrimärerDNS-Server kann nicht gefunden werden. Als Standard-DNS-Server bekomme ich nun den sekundären DNS-Server angezeigt. Das ist ein externer bei unserem Internetprovider.... Auch auf meinem DNS-Server bekomme ich den exteren Server als Standardserver angezeigt. Generell funktioniert die Namensauflösung hier im Netz aber. Ich kann Rechnernamen pingen und bekomme die aufgelöste IP zurück. Wo fang ich nun am besten an? :( Gerry Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. November 2005 Melden Teilen Geschrieben 29. November 2005 ..." ist mir der Hinweis auf NSLOOKUP aufgefallen. ...Funktioniert hier natürlich nicht...vielleicht liegt das Problem schon daran?Hallo Gerry, dann liegt es i.d.R. daran. Da hast eine Domäne, auf dem DC läuft ein DHCP und ein DNS-Server? Der bevorzugende DNS-Eintrag am Server zeigt auf (sich) den Server selbst? Was ist das Ergebnis von nslookup am Server? Der bevorzugende DNS-Eintrag an den Clients zeigen auf den Server? Was ist das Ergebnis von nslookup an den Clients? Oder ist am Server, sind an den Clients als DNS.-Eintrag etwas die Adresse des DNS vom Internetprovider eingetragen? Das wäre ein schwerer Fehler. Für die Namensauflösung im LAN, in der Domäne ist der (ein) DNS der Domäne zwingend zuständig. Ein externer DNS müsste Namen und IPs der LAN-Teilnehmer kennen. Das ist aber nicht die Regel. Ich möchte zum Abschluss noch einen Fall schildern. Ers gab ein LAN, eine Arbeitsgruppe, diese wurde über eine Standleitung mit einen Unternehmenszentrale verbunden. Die Verbindung stellt ein Provider incliver der Router. In das LAN wurde als Router ein Cisco PIX gestellt, diese machte auch den DHCP und den DNS-Forwarder. Der Provider stellte für das Unternehmen einen DNS. Die Clients bezogen ihre Einstellungen von der PIX. Der Internetzugang ging auch über diese Verbindung. Es funktionierte sogar. Dann wurde eine 2kDomäne geschaffen vom lokalen Administrator (ich), die Clients der Domäne hinzugefügt. Der DNS der Domäne wurde als Alternative eingetragen. Die Auflösung für das Internet funktionierte, die lokale der Clients nicht, das Netzwerk war langsam wie bekannt. Nun wurden die Clients auf DNS der Domäne ausgerichtet (bevorzugender DNS), damit funktionierte lokale Namensauflösung, die für das Internet nicht. Auch der Eintrag des Provider-DNS als Alternative brachte keine Besserung. Erst die Einrichtung einer Weiterleitung auf dem lokalen DNS auf den des Providers brachte den gewünschten Erfolg. Nun wird die Frage, warum der DHCP der PIX weiterbenutzt, warum nicht der DHCP des lokalen DC verwendet wird? Das hat interne politische Gründe. Ich habe auf die Einstellungen der PIX keinen Einfluss, der vergebene Adressbereich muss benutzt werden. Gruß Edgar Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 30. November 2005 Autor Melden Teilen Geschrieben 30. November 2005 Guten Morgen. Ok...die Reverselookupzone scheint nun zu funktionieren! Dynamische Updates waren für die Zone deaktiviert. Nachdem ich diese aktiviert hatte, haben sich zumindest einige Server automatisch eingetragen. Als NSlookup nach wie vor kein Ergebnis gezeigt hat, habe ich IPCONGIG /REGISTERDNS ausgeführt und siehe da..... NSLookup liefert von allen Clients eine korrekte Auflösung. :D Frage hierzu noch... Müssten in den beiden Lookupzonen nicht ALLE Clients und Server eingetragen sein? Zurück zu meinem Ursprungsproblem...die Benutzerrichtlinie aktualisiert sich nach wie vor auf manchen Clients nicht. Ein manuelles Update wird zwar angeblich erfolgreich durchgeführt, GPResult zeigt aber trotzdem ein Uralt-Datum als letztes Aktualisierungsdatum. -- Was kann ich tun? :( Besten Gruß, Gerry Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 30. November 2005 Autor Melden Teilen Geschrieben 30. November 2005 Hier ist noch ein Nachtrag... Melde ich mich als Domänen-Admin an einem der betroffenen Clients an, zeigt mir GPResult das die Computer- & Benutzerrichtinie aktuell verarbeitet wurde. Meldet sich der User wieder normal an, zeigt GPUpdate nur die Aktualisierung der Computerrichtlinie. Benutzerrichtlinie ist nach wie vor uralt. --- So langsam iss hier BAHNHOF! Gerry Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. November 2005 Melden Teilen Geschrieben 30. November 2005 Frage hierzu noch... Müssten in den beiden Lookupzonen nicht ALLE Clients und Server eingetragen sein?Was ist unter alle zu verstehen? Domänengehörige Rechner oder auch nicht domänengehörige Rechner? ....die Benutzerrichtlinie aktualisiert sich nach wie vor auf manchen Clients nicht. Wodurch sind diese Clients von anderen unterschieden? Was für eine Domäne ist das eigentlich, 2k oser 2k3? Die betroffenen Clients, sind es 2k oderv XP? Ich habe in meiner letzten Post einige Fragen gestelllt, sehe aber keine Antwort darauf? Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 1. Dezember 2005 Autor Melden Teilen Geschrieben 1. Dezember 2005 Hallo Edgar. Die Frage hatte ich wegen des gelösten NSLookup-Problems nicht beantwortet. Ich kann Dir da aber gerne noch ein paar Infos geben. Da hast eine Domäne, auf dem DC läuft ein DHCP und ein DNS-Server?[/Quote] Wir haben hier eine 2K3 Domäne. Ein DC der auch DNS-Server ist. Kein DHCP. IPs werden manuell vergeben. Der bevorzugende DNS-Eintrag am Server zeigt auf (sich) den Server selbst? Was ist das Ergebnis von nslookup am Server? [/Quote] Ja. Der bevorzugte Eintrag zeigt auf 127.0.0.1. NSLookup am Server bringt: Standardserver: localhost -- Adress: 127.0.0.1 Der bevorzugende DNS-Eintrag an den Clients zeigen auf den Server? Was ist das Ergebnis von nslookup an den Clients?[/Quote] Ja, zeigen auf den lokalen DNS-Server. Als Ergebins von NSLookup auf den Clients bekommen ich den vollqualifizierten Servernamen und Adresse angezeigt. --> Dies funktioniert nachdem ich auf dem DNS-Server IPCONFIG /REGISTERDNS ausgeführt habe. Was ist unter alle zu verstehen? Domänengehörige Rechner oder auch nicht domänengehörige Rechner? Die betroffenen Clients, sind es 2k oderv XP? [/Quote] Alle Rechner, betroffene und nicht betroffene, gehören der selben Domäne an. Betriebssystemmix aus 2K und XP. Nur die 2K-Clients und Server tragen sich im DNS ein. Bei ihnen funktioniert auch die Aktualisierung der Benutzerrichtlinie. Die XP-Clients tragen sich nicht im DNS-Server ein. Hier funktioniert auch die Benutzerrichtlinienaktualsierung nicht. Das es nur die 2K-Clients sind die sich im DNS eintragen und bei denen die Aktualisierung klappt, ist mir tatsächlich eben gerade erst aufgefallen.... :rolleyes: Danke für Deine Ausdauer.... :) Gerry Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 1. Dezember 2005 Autor Melden Teilen Geschrieben 1. Dezember 2005 Mal wieder ein Nachtrag: DNS-Problem beseitigt.Alle Clients tragen sich nun in den DNS-Zonen ein. Das Problem lag an der einfachen DNS-Bezeichnung unserer Domäne. --> Siehe MS-Knowledgebase http://support.microsoft.com/?kbid=300684 Bleibt das Problem der nicht aktualisierten Benutzerrichtlinien auf WindowsXP-Clients. Gruß, Gerry Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. Dezember 2005 Melden Teilen Geschrieben 1. Dezember 2005 Hallo Gerry, da bist du (sind wir) ja ein Stückchen weiter. :) Es sind also die XP-Clients, auf denen die Benutzerrichtlinie nicht aktualisiert wird bzw. deren Einstellungen nicht wirken? Ist das soweit richtig? Die Computerrichtlinie ist funktionsfähig, es ist möglich, ein Startskript sichtbar auszuführen? Wenn ich mir unsicher bin, nicht weiterkomme, teste ich es mit Startskripten, lasse in der Computerkonfiguration, in der Benutzerkonfiguration eine Batch sichtbar ausführen. Sie enthält nur den Pausebefehl. Zu welchen Zeitpunkt werden die Netzwerkverbindungen hergestellt, die Sicherheitseinstellungen übernommen? Ist dir mal aufgefallen, das es bei XP von der Voreinstellung her wesentlich später ist als bei W2k. Zur Umstellung, Einstellung gibt es auch eine Richtline, auch eine lokale Gruppenrichtlinie. Als ich das Erstemal mit dem Problem konfrontiert wurde, habe ich die "Handschaltung" der Lokalen Gruppenrichtlinie benutzt. Bei Neustart des Computers oder bei der Anmeldung immer auf das Netzwerk warten. Computerkonfiguration, Administrative Vorlagen, System, Anmeldung. Das würde ich mal probieren, so die Richtlinie nicht schon aktiviert ist. Du könntest die Vorschlag mir Loopbackverarbeitungsmodus testen. Viel Erfolg Edgar Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.