GPOs funktionieren nicht - war: lustige Konfiguration...

[mfdoom 10]

Hallo liebes Forum,

 

ich habe eine lustige Serverkonfiguration hier bei der ich etwas Hilfe benötige.

 

Ich habe hier 8 Domänencontroller - 2 davon mit 2K Server, der Rest 2003 Server.

 

Insgesamt habe ich 7 Standorte wobei 6 Standorte sich ausserhalb befinden und per MPLS hier ins Netz kommen (und andersum^^).

 

Im ersten Standort stehen 2 Domänencontroller (beide 2K Server) wovon der 1. der Betriebsmaster ist (die Domäne läuft im sog. gemischten Modus) der 2. ist Mitgliedsserver.

 

Das Problem ist nun dass ich von einem 2003er Server aus mit dem GPMC-Tool GPOs erstellt habe. Diese Gruppenrichtlinien funktionieren leider (lt. Ereignislog an den Clients und auf den Servern) nicht.

 

Ich habe mit den Servertools von 2003 mal repadmin /kcc für jeden DC augeführt - Ergebnis i.O.

 

Mit dem ADRM (der Replication Monitor) habe ich herausgefunden dass nicht alle GPOs repliziert worden sind (nämlich die die ich kürzlich engepflegt habe).

 

so sieht dass dann aus:

 

"GPOName","meine neue GPO is cool"
"GPOGuid","{039BB08A-3A6F-4543-B4FD-738860841B1C}"
"GPOVer",131072
"GPOSysVer",-1

 

-1 steht in diesem Fall für ERROR

 

Ach ja, vielleicht noch was Wichtiges: Die ADM Vorlage (custom) habe ich auf ein Netzlaufwerk kopiert und dann über die GPMC importiert - das sollte ja eigentlich keine Probleme machen.

 

wenn ich auf dem Betriebsmaster dcdiag ausführe passiert ditte:

 

Starting test: MachineAccount
   * BETRIEBSMASTER is not trusted for account delegation

 

das konnte ich mit /FixMachineAccount bereinigen...

 

Leider sind da noch ein paar andere Dinge die nicht glücklich sind bei der Ausgabe von dcdiag (auf jedem der Server ausser auf dem Betriebsmaster), und zwar:

 

Starting test: frsevent

There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.

 

Wie kann ich sicherstellen dass dit SYSVOL richtig repliziere?

 

Hängt das evtl. mit anderen "Miskonfigurationen" meinerseits zusammen..?

 

Ich poste gerne noch mehr Info falls benötigt.

 

 

 

Ansonsten ein schönes WE :)

[mfdoom 10]

hmm - noch forste ich im netz - habe schon einiges probiert.

 

Eine Frage habe ich aber:

 

Unter welchem Sicherheitskontext wird das GPO unter Sysvol geshared?

 

Habe hier unterschiedliche Berechtigungen, z.B.:

 

Domänen-Admins oder Domänenadministratoren oder Domänencontroller...

 

 

welcher Sicherheitskontext sollte auf jeden Fall funktionieren?

 

Mir ist auch anhand des ganz hervorragenden Tools ADRM aufgefallen dass alle nicht funktionierenden GPOs die gleiche Version (DS und SYSVOL) haben, das hier ist ein Beispiel

 

Name der GPO

Group Policy Object GUID: {039BB08A-3A6F-4543-B4FD-738860841B1C}

Group Policy Object Version in the DS: 131072

Group Policy Object Version in SYSVOL: 131072

 

Weiss jemand was dazu?

 

 

Grüsse

[Lian 2.421]

Hallo,

 

ich habe mal den Thread-titel geändert, der alte war doch recht nichtssagend...

[mfdoom 10]

ich habe mal den Thread-titel geändert, der alte war doch recht nichtssagend...

 

dankeschön - so bekomme ich bestimmt 1 zilliarde hits

[blub 115]

Hi,

nichtssagende Titel wie "Hilfe, dringend" oder "lustige Konfig.." ignorier ich tatsächlcih prinzpiell

 

zu deinen Fragen:

sysvol bzw. Filereplication überwachst du am besten mit dem reskit tool "sonar". Wenn die Filereplication verhaut ist, such in der technet nach "FRS" "sysvol" "burflags" . Da gibts einen Artikel, die Filereplication wieder neu zu initialisieren

 

Bei Policies muss die Version im Sysvol und in der DS gleich sein.

In der GPMC gibt es ein skript "searchorphanedGPOs" oder so ähnlich. Lass das mal laufen

 

cu

blub

[Lian 2.421]

dankeschön - so bekomme ich bestimmt 1 zilliarde hits

:suspect:

 

Den Sarkasmus kannst Du Dir sparen

 

Zu den Titeln: https://www.mcseboard.de/rules.php?#nr10

[mfdoom 10]

Das ist die Ausgabe des Scripts mit dem Namen "FindOrphanedGPOsInSYSVOL.wsf"

sowie der Option:

/domain:meine.domäne

 

Policies Not In AD But Located in:
 \\local\sysvol\local\policies

{210DFB81-2E20-414C-9686-C9D04A583ECF}_NTFRS_0614473a
{50EF0EB5-15C2-41B9-B410-2890FBC2790D}
{84DC4219-B16D-4676-9812-A93406E7464A}
{945DCD42-4343-4287-9609-E09A859E2D48}
{AC7927C2-589D-4BF4-9504-2FB108C98FDB}
{D9F670A0-123D-438D-841D-08947509A535}
{E48C4F96-E80D-49FA-9B55-E77CE33ABA81}
{E48C4F96-E80D-49FA-9B55-E77CE33ABA81}_NTFRS_0049d5cb
{E64F10B9-166C-466A-91F0-9F78E3D8DC43}

Total Orphaned GPO's: 9

 

Als nächstes werde ich die Filereplikation neu initialisieren mithilfe des "sonar" Tools vom ResKit 2003 Server.

 

:)

 

Grüsse aus dem warmen Berlin :p

[mfdoom 10]

:suspect:

 

Den Sarkasmus kannst Du Dir sparen

 

Zu den Titeln: https://www.mcseboard.de/rules.php?#nr10

 

^^ na komm - uns is auch warm :cool:

 

willste ne Cola?

 

 

Liebe Grüsse

[gysinma1 13]

Hallo

 

Ich habe echt das Gefuehl, dass da wesentlich mehr verbockt ist als die NTFRS Replication und das SYSVOL. Wie sieht es mit dem Grundlegen DNS Einstellungen etc. aus. So wie ich das verstehe ist das ein AD Branch Office aehnliches Gebilde - zwar in einem Forest aber mit Sites. Da ist DNS das A+O. Wie sieht es aus mit netdiag/fix und/oder dcdiag /fix sowie einem möglichen brofmon (ist ein scripted Tool zwar fuer Branchoffices) duerfte aber da auch helfen. Evtl. auch replmon um unvollstaendige Replications zu finden.

 

 

Wusste nicht, dass wir Hitcounters sammlen, dachte immer Problemlösungen :-)

 

 

Gruss,

 

Matthias

[mfdoom 10]

Hi,

 

also ein netdiag auf dem Betriebsmaster war allesamt positiv, bis auf (ja ich weiss) ditte:

 

DNS test . . . . . . . . . . . . . : Passed
   [WARNING] The DNS host name 'mein_server_mit_underlines' valid only on Windows 2000 DNS Servers. [DNS_ERROR_NON_RFC_NAME]
   PASS - All the DNS entries for DC are registered on DNS server '10.0.0.101' and other DCs also have some of the names registered.
   PASS - All the DNS entries for DC are registered on DNS server '10.0.0.5' and other DCs also have some of the names registered.

 

ein dcdiag (ohne /v) auf dem gleichen Server ergab folgendes:

 

Starting test: frssysvol
  Error: No record of File Replication System, SYSVOL started.
  The Active Directory may be prevented from starting.

 

der rest war i.O.

 

Die Fehler bleiben jedoch trotz /fix option.

 

Den Replication Monitor habe ich eh laufen (Fehlermeldungen siehe oben).

 

Grüsse aus Berlin

 

 

Liebe Grüsse

[mfdoom 10]

Hallo Forum,

 

nachdem ich aus dem ResKit 2003 das "gpotool ausgeführt habe bekomme ich u.A. folgende Fehlermeldung:

 

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Error: betriebsmaster.meine.domäne - mitgliedsserver A sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver B sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver C sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver D sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver E sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver F sysvol mismatch
Error: betriebsmaster.meine.domäne - mitgliedsserver G sysvol mismatch

 

Da es ja Probleme zwischen der Replikation der DCs allgemein besteht habe ich nun eine Frage:

 

Wie kann ich die Replikation von den DC automatisch steuern lassen - oder wieder zurück auf den Standard setzen? Bzw. wie konfiguriere ich die Replikation der Domänen richtig unter Berücksichtigung meiner Leitungen?

 

Ich denke dass ist das Einzige Problem was ich habe.

 

Ich habe weiterhin herausgefunden dass es einen Fehler auf dem Betriebsmaster gibt:

 

Der Dateireplikationsdienst hat ermittelt, dass der Replikatssatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet. 

 

Ich habe den Anweisungen entsprechend gehandelt und den Dienst "ntfrs" neugestartet. Mal sehen was als nächstes passiert.

Gruss