Gruppenrichtlinie werden nur unvollständig an VPN-Clients übergeben

[Shao-Lee 11]

Hallo zusammen - ich sitze jetzt schon eine ganze Weile an unseren neuen VPN-Clients,

und bis auf einen etwas irreführenden Problempunkt klappt alles bestens:

 

Problem:

Meine Clients melden sich an der Domäne an, bekommen Netzlaufwerke ect. übergeben.

Lediglich die Einstellungen zur Startseite und der Proxy-Configuration schlägt fehl

Interessanterweise "graut" er die Proxy-Einstellungen aus; aber die ganzen Informationen werden dem IE nicht übergeben.

 

Systemumgebung:

 

Wir haben hier eine Win2k-Umgebung.

"Im Haus" hängen die Clients in einem eigenständigen Netzsegment: xxx.xxx.123.1-254;

Hier hängen auch unsere Domänecontroller; der ISA-Server 2004 (Proxy).

 

Integriere ich hier im Haus einen Client in die Domäne & meldet sich der User an, werden

ihm die Netzlaufwerke per Script und die IE-Umgebung per Gruppenrichtlinie übergeben.

Als DNS-Server (Clients) sind unsere Domänecontroler eingetragen.

 

Seit kurzem haben wir unsere Außenstellen per VPN angebunden.

Sprich: die Clients hängen in jeweils unabhängigen Netzsegmenten (xxx.xxx.124.0-15;16-31; ect.).

Eine Firewall & ein Router übernehmen das Routing;

 

In meiner Domänestruktur habe ich folgende Anpassungen für die Netzerweiterung vorgenommen:

- DNS-Server: Neue Reverse-Lookup-Zone

- im ISA-Server: "Internes Netz" mit der neuen Adressierung ergänzt

 

Die IP-Config der Clients sieht folgendermaßen aus:

IP:xxx.xxx.124.2 : 255.255.255.240

GW: xxx.xxx.124.1

DNS: xxx.xxx.123.2

DNS: xxx.xxx.123.3

 

Meldet ich sich der User nun lokal in der Außenstelle an unserer Domäne an, werden sämtliche Datenströme

an unsere interne Domäne verschlüsselt weitergereicht (und umgekehrt).

 

-> Der User kann seine Dokumente (Mapping auf unserem Server) aufrufen

-> Der User kann seine gewohnte Outlook-Umgebung aufrufen (Exchange => IMAP)

-> Nslookup funktioniert einwandfrei; die Namen zu uns ins LAN werden alle korrekt aufgelöst

 

Trage ich mit Administratorenrechte die Proxy-Einstellungen von Hand in den IE ein, kann ich auch surfen !

 

Versucht aber der User, die Internetumgebung aufzurufen, wird der Bereich zwar "ausgegraut",

aber die Proxy-Einstellungen fehlen (leere Felder).

 

Also die Gruppenrichtlinien greifen ja; - aber warum nur werden die Einstellungne nicht eingetragen ?

 

-> Habe auch einmal die Sicherheitseinstellungen des IE ganz nach unten geschraubt; ohne Erfolg.

 

Was hat ein Problem ? Die Gruppenrichtlinie ? Oder der IE ?

IE-Version: 6.0.2800.1106

 

Für jede Idee, wo ich meine Suche noch ansetzen könnte, wäre ich sehr, sehr dankbar.

Komme jetzt leider nicht mehr weiter :-(

 

Viele Grüsse,

Tapio aka Shao-Lee

[IThome 10]

Eventuell kannst Du in den Logs etwas ehen ...

http://www.mcseboard.de/tipps-links-5/gruppenrichtlinien-handbuch-problembehebung-71316.html?highlight=userenv.log

[Shao-Lee 11]

Danke - bin schon einfrig am lesen - aber :-)

Knackpunkt ist, dass ich auf den Gruppenrichtlinienergebnis-Satz nicht draufkomme, da wir hier Windows 2000 im Einsatz haben :(

Und in der Ereignisanzeige gibt's auch keine spannenden Einträge :-/

[IThome 10]

Ich dachte da eher an die USERENV.LOG ...

[weg5st0 10]

gpresult hilft dir bei 2000 weiter.

[Shao-Lee 11]

O.k. - Danke :D

 

Was mir beim Vergleich der lokalen gpresults zu den externen gpresults aufgefallen ist,

dass wir uns intern an "dc1.domäne.standort123.de" anmelden; der externe Client an

dc2.domäne.standort123.de".

 

Anonsten erkenne ich nichts ungewöhnliches:

 

Microsoft Windows 2000 [Version 5.00.2195]

© Copyright 1985-2000 Microsoft Corp.

 

U:\>gpresult

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

Created on Montag, 21. August 2006 at 11:54:52

 

Operating System Information:

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

 

###############################################################

 

User Group Policy results for:

 

CN=Vorname Nachname,OU=OV Standort,OU=_Au▀enstellen,OU=Rathaus,DC=Domain,D

C=domain,DC=de

 

Domain Name: Domain

Domain Type: Windows 2000

Site Name: Standort-RathausNetz

 

Roaming profile: (None)

Local profile: C:\Dokumente und Einstellungen\nachname_v

 

The user is a member of the following security groups:

 

Domain\Domõnen-Benutzer

\Jeder

VORDEFINIERT\Administratoren

VORDEFINIERT\Benutzer

NT-AUTORIT─T\INTERAKTIV

NT-AUTORIT─T\Authentifizierte Benutzer

\LOKAL

Domain\Aussenstelle ABC

 

 

###############################################################

 

Last time Group Policy was applied: Montag, 21. August 2006 at 11:12:37

Group Policy was applied from: DC2.Domain.standort.de

 

 

===============================================================

 

 

The user received "Registry" settings from these GPOs:

 

GPO Domain Standort

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=OV-ECK-02,CN=Computers,DC=Rathaus,DC=standort,DC=de

 

Domain Name: Domain

Domain Type: Windows 2000

Site Name: Standort-RathausNetz

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Benutzer

NT-AUTORIT─T\NETZWERK

NT-AUTORIT─T\Authentifizierte Benutzer

domain\Client-123$

domain\Domõnencomputer

 

###############################################################

 

Last time Group Policy was applied: Montag, 21. August 2006 at 10:11:41

Group Policy was applied from: DC2.domain.standort.de

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

[schradla 10]

Hi,

 

hat ggf. der zweite DC in den Event-Logs einen Fehler, das er die GP nicht lesen kann?

 

Gruß

[Shao-Lee 11]

Habe ich gerade geprüft - leider Fehlanzeige.

Also der DC läuft ohne Probleme; auch keine aktuellen Warnings oder Fehler-Meldungen.

 

Was mir bei dieser Gelegenheit aufgefallen ist:

 

Ich habe ja jetzt 2 DNS-Reverse-Lookupzonen.

 

___.___.123.x Subnet ....und die:

___.___-124.x Subnet

 

Bei der .123 stehen alle Clients des lokalen Netzwerkes drinnen.

 

In der .124 müssten ja theoretisch dann die VPN-Clients enthalten sein.

Dort stehen aber lediglich die beiden Nameserver und der "Autoritätsursursprung".

 

Sorry, kenne mich mit DNS zu wenig aus, als dass ich einschätzen könnte, ob hieraus ggf.

ein Fehler resultiert. Also in der Ereignisanzeige "DNS Server ist der letzte Eintrag vom 19.5.: DNS erfolgreich gestartet". Seit dem läuft der Server eigentlich problemlos durch.

 

Mal eine ganz grundsätzlcihe Frage in die Runde:

 

Am IE kann es ja theoretisch nicht liegen - oder ?

1.) ist die extern installierten Versionen identisch mit den internen

2.) funktioniert die GPO bei lokaler interner Netzanmeldung auch auf den draußen stehenden Clients

 

Die Gruppenrichtlinie "überträgt" ja "irgendwas" an den Client, sonst würden ja die Sicherheitsricht-

linien im IE nicht greifen (Proxy-Einstellungen sind ausgegraut -> für User deaktiviert).

Das GPO schreibt nur leider nichts in die fehlenden Einstellungen hinein (überschreiben der lokalen Settings).

 

Es gibt meines Erachtens 2 Ansätze:

a.) Irgendwas ist nicht sauber integriert zwischen dem neuen Netzsegment und meiner internen Domäne

b.) Das Routing "verschluckt" irgendwelche Informationen (ggf. Nachkonfiguration unserer VPN-Policies)

 

An den Clients kann es nicht liegen - die gleichen sich installationstechnisch wie ein Ei dem Anderen.

[schradla 10]

aber Du hattest doch weiter oben geschrieben, das Teile der GPO gezogen werden, oder?

[schradla 10]

Liegen die Computerobjekte bzw. Benutzerobjekte in verschiedenen OU´s.

 

Soll also heissen, das evtl. verschiedene Gruppenrichtlinien sich überlagern und in der höher gestellten Richtlinie zwar eine Definition stattfindet, diese aber leer ist?

[Shao-Lee 11]

Hi - das ist korrekt.

Die Außenstellen liegen in verschiedenen OU's.

 

Aber dass ist nicht weiter schlimm, da ich keine verschiedenen GPO's für die jeweiligen OU's verwende.

 

Ganz konkret sieht das bei uns in der AD so aus:

 

AD Benutzer- und Computer:

_+ Domäne.Standort.de ("Default Domain Policy" => blieben weitestgehen unberücksichtigt)

___+ Domänename ("GPO Unser Standort" => hier wurden sämtliche Einträge vorgenommen)

_____+ Interne Standorte

__________+ Abteilungen

_____+ Externe Standorte

__________+ Abteilungen

_____+ Clients

 

 

Die einzigsten Gruppenrichtlinien, die sihc überlagern, ist die "Default Main Policy" und die "GPO Unser Standort"-Policy.

Weitere Richtlinien haben wir der Übersicht wegen nicht eingebaut.

[Shao-Lee 11]

aber Du hattest doch weiter oben geschrieben, das Teile der GPO gezogen werden, oder?

 

- und genau dass ist irgendwie das unlogische an der ganzen Geschichten :nene:

Die Benutzeranmeldung erkennt, dass es da wohl eine Einstellung gibt (nämlich die Settings für unseren Proxy), übernimmt (oder übergibt) diese Einstellungen aber nicht in die Anwendung.

 

 

Ich werde auf jeden Fall einmal die "Userenv.log" eines Clients hier posten.

Die Log's vom Server geben nicht sehr viel Auskunft / Habe aber auch - um's offen zu sagen - Verständnisschwierigkeiten.

Tatsache ist, dass diese Log's kein aktuelles Datum besitzen, die in irgendeiner Form mit

diesem Fehler in Verbindung gebracht werden könnten.

An der Ursachenforschung sitze ich jetzt schon seit Anfang letzter Woche und die Logs sind z.T. älter.

[Shao-Lee 11]

Kleine Aktualisierung:

 

Ich habe mir die USERENV.LOG angeschaut - diese geben aber auch keine Hinweise auf mein besagtes Problem.

Es sei noch erwähnt, dass die LOG-Dateien älteren Datums sind (Juni / unbedeutend jünger oder älter); aber ich mit dem Problem ganz aktuell seit knapp einer 1,5 Woche kämpfe.

 

Ich steh' jetzt ehrlich gesagt mit dem Rücken an der Wand & zweifle an mir selbst.

 

Wenn jemand noch eine Idee hat, hätte ich die herzliche Bitte, diese hier hineinzuposten.

Ich gehe Ende dieser Woche mit einem externen Techniker das Problem nach dem "4-Augen-Prinzip" nochmals an.

Ich vermute weiterhin, dass ein DNS-Problem dahinter steckt; weil der übrige Netzwerkverkehr zu den VPN-Clients arbeitet einwandfrei.

 

Für weitere Tipps wäre ich auf jeden Fall immer noch sehr sehr dankbar.

 

:(

[grizzly999 11]

Habe mal eben alles durchgelesen, aber war etwas viel Info. Daher nochmals:

Die Proxy-Settings und IE-StartseiteEinstellungen befinden sich in der GPO "GPO Domain Standort"?

In dieser GPO gibt es noch weitere Einstellungen?

Diese weiteren Einstellungen werden aber übernommen?

 

So habe ich das soweit verstanden. Ein DNS-Problem dürfte ausscheiden, sonst gäbe es gar nix an GPOs.

 

Weiter mit ein paar wenigen Fragen :D

- Die Proxyeinstellung wurde unter Benutzerkonfiguration\Windows-Einstellungen\Internet Explorer-Wartung\Verbindung\Proxyeinstellungen vorgenommen?

-Es wird nicht noch an anderer Stelle was mit den Proxy-Settings herumgemacht, Stichwort Firewall-Client vom ISA, Autodetect Proxy o.ä?

- Die Startseite wird auch nicht übergeben, oder nur ein einziges mal?

- Die Startseite kann geändert werden?

- Welche anderen PolicySettings sind in dieser Policy drin?

- Sind für den IE weitere Einstellungen in dieser Richtlinie unter Benutzer oder auch Computer drin?

- Betrifft das Problem alle Benutzer am Remotestandort oder nur einzelne?

- Das GPO auf dem DC02 ist identisch wie das auf DC01 (Versionsnummer, Dateien, etc.)?

- Läuft auf den Clients besodnere Software, z.B. eine Novell-Client?

 

Hänge doch mal bitte die in eine Textdatei umgeleitete Ausgabe von

gpresult /v hier an deinen nächsten Beitrag an.

 

 

grizzly999

[Shao-Lee 11]

Hallo Grizzly - kein Problem, ich fasse Deine Fragen kurz zusammen :D

Vielleicht ergibt sich hieraus auch ein neuer Lösungsansatz - wünschen würde ich mir es zumindest

 

 

Die Proxy-Settings und IE-StartseiteEinstellungen befinden sich in der GPO "GPO Domain Standort"?

- Im AD gibt es als übergeordnetes Objekt die Domäne mit Bezeichnung "Rathaus.Standort.de"

-> Dort ist die "Default Domain Policy" <= Die haben wir unberührt gelassen.

 

- Unter der Domain (neben Builtin, Computers, Domain Controllers, ...) haben wir ein neues OU erfasst: "Rathaus".

-> Dort ist die Gruppenrichtlinie "GPO Rathaus Standort" eingetragen <= mit den speziellen Settings

Unter dieser OU haben wir dann alle weiteren Abteilungen / Benutzer strukturiert angelegt.

 

In dieser GPO gibt es noch weitere Einstellungen?

Geregelt sind:

- Internet Explorer Wartung:

-> Verbindung => Proxy-Einstellungen (Unsere Proxy-Settings mit den Ausnahmen)

-> URL's => Wichtige URL's (mit der Startseite)

 

- Administrative Vorlagen:

-> Internet Explorer => Änderung der Proxyeinstellungen deaktivieren => Aktiviert

 

Diese weiteren Einstellungen werden aber übernommen?

Am externen Client sind die Proxy-Settings (wie in der GPO eingestellt) deaktivert.

 

Aber:

-> Die Startseite wird nicht übergeben (Microsoft-Standardseite kommt)

-> Die Proxy-Settings sind alle leer (aber Einstellungen sind deaktivert !)

 

Ein DNS-Problem dürfte ausscheiden, sonst gäbe es gar nix an GPOs.

 

Warum funktioniert bei den hausinternen Clients die GPO vollständig; ...

Nehme ich den Client von der Außenstelle zu mir ins Rathausnetz (vergebe ihm also eine interne IP und melde mich als Domäne-User an) werden die GPO-Einstellungen vollständig übertragen).

 

- Die Proxyeinstellung wurde unter Benutzerkonfiguration\Windows-Einstellungen\Internet Explorer-Wartung\Verbindung\Proxyeinstellungen vorgenommen?

Genau => allerdings nicht in der obersten Default Domain Policy, sondern eine "OU" unterhalb, jedoch AD-Strukturenübergreifend (siehe oben).

 

-Es wird nicht noch an anderer Stelle was mit den Proxy-Settings herumgemacht, Stichwort Firewall-Client vom ISA, Autodetect Proxy o.ä?

 

Gute Frage; expliziet definiert ist auf jeden Fall nichts.

Der ISA hat lediglich bei uns die Aufgabe, Internetanfragen anzunehmen, sie ans Web weiterzuleiten und wieder dem Client zuzuschicken.

Firewalling ist nicht aktiviert; Unter "Interne Netzwerke" habe ich die komplett neue IP-Range xxx.xxx.124.0-255 freigeschaltet.

Müsste ich die Einzelnen Netzwerksegmente dort eintragen ? (Jeder Standort hat aus diesem Netz ein eigenes Segment erhalten).

Wenn etwas mit dem ISA-Server falsch liefe, müsste doch eine Fehlermeldung kommen wie:

- Proxy nicht gefunden;

- Zugriff verweigert...

Aber der Proxy selbst in den IE eintragen ist ja erstmal unabhängig vom ISA, oder ?

 

- Die Startseite wird auch nicht übergeben, oder nur ein einziges mal?

Nein, diese wird erst garnicht eingetragen :-(

 

- Die Startseite kann geändert werden?

Ja; ist bei unseren hausinternen Clients aber genauso.

 

- Welche anderen PolicySettings sind in dieser Policy drin?

=> Administrative Vorlagen => Proxy Settings deaktivieren (ist aktiviert)

 

- Sind für den IE weitere Einstellungen in dieser Richtlinie unter Benutzer oder auch Computer drin?

Nein.