Fragen bzw. Problem mit Gruppenrichtlinie UCS3.1 Win7

MarkusH · January 5, 2013, 11:10pm

Hallo,

habe einen UCS 3.1 Server mit c’t Lizenz eingerichtet. Zwei Win7 Rechner habe ich zur Domäne hinzugefügt. Anmeldeskripts im netlogon Verzeichnis funktionieren auch. Leider hauts mit den GPOs nicht hin, diese werden nicht verarbeitet. Ein gpupdate /force bringt folgendes:

[code]Die Richtlinie wird aktualisiert…

Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei “\dah
oam.lan\sysvol\dahoam.lan\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.in
i” von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenricht
linieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben
ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine de
r folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).

c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Pr
obleme sind aufgetreten:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei “\dah
oam.lan\sysvol\dahoam.lan\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.in
i” von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenricht
linieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben
ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine de
r folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontro
ller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).

c) Der DFS-Client (Distributed File System) wurde deaktiviert.

Lesen Sie zur Fehlerdiagnose das Ereignisprotokoll, oder führen Sie den Befehl "
GPRESULT /H GPReport.html" aus, um auf Informationen über Gruppenrichtlinienerge
bnisse zuzugreifen.[/code]

Der Win7 Client sagt in der Ereignisanzeige:

Protokollname: System Quelle: Microsoft-Windows-GroupPolicy Datum: 05.01.2013 23:24:14 Ereignis-ID: 1058 Aufgabenkategorie:Keine Ebene: Fehler Schlüsselwörter: Benutzer: SYSTEM Computer: HP-LAPTOP.dahoam.lan Beschreibung: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\dahoam.lan\sysvol\dahoam.lan\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann: a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller. b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert). c) Der DFS-Client (Distributed File System) wurde deaktiviert. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" /> <EventID>1058</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>1</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2013-01-05T22:24:14.628025300Z" /> <EventRecordID>15409</EventRecordID> <Correlation ActivityID="{7D678812-0345-4FC7-BDD1-2F9F9070D23B}" /> <Execution ProcessID="652" ThreadID="2432" /> <Channel>System</Channel> <Computer>HP-LAPTOP.dahoam.lan</Computer> <Security UserID="S-1-5-18" /> </System> <EventData> <Data Name="SupportInfo1">4</Data> <Data Name="SupportInfo2">816</Data> <Data Name="ProcessingMode">0</Data> <Data Name="ProcessingTimeInMilliseconds">35599</Data> <Data Name="ErrorCode">53</Data> <Data Name="ErrorDescription">Der Netzwerkpfad wurde nicht gefunden. </Data> <Data Name="DCName">\\srv-gws.dahoam.lan</Data> <Data Name="GPOCNName">CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=dahoam,DC=lan</Data> <Data Name="FilePath">\\dahoam.lan\sysvol\dahoam.lan\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini</Data> </EventData> </Event>

Dieser Eintrag verwundert mich am meisten: “Der Versuch, die Datei “\dahoam.lan\sysvol\dahoam.lan\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini” von einem Domänencontroller zu lesen, war nicht erfolgreich”

Bei dem UNC-Pfad fehlt eigentlich am Anfag der Servername, also “\srv-gws.dahoam.lan\sysvol\dahoam.lan\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini” wäre eigentlich korrekt. Ich hab auch das http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO schon durchgeschaut und vor allem die DNS-Auflösung getestet, funktioniert.

Irgend ne Idee?

Markus

MarkusH · January 6, 2013, 12:09am

Ok, bin mal einen Schritt weiter: Da ich eine FIrewall (Astaro) für mein Netz habe, fungiert diese als DHCP und DNS-Server. Nun hab ich mal testweise die DHCP Konfig abgeändert und das UCS System als DNS eingetragen. Damit funktioniert dann am Win7 Client das Anwenden der Richtlinien.

Das UCS System kann ausserdem keine externen Adressen auflösen obwohl als externer DNS und Gateway die Firewall eingetragen ist. Muss da nochwas konfiguriert werden?

Markus

MarkusH · January 6, 2013, 10:53am

Bin jetzt nochmal weitergekommen, nachdem ich die relevanten Teile der Dokus der Firewall und von UCS gelesen habe. DNS kann, nach meinen Erkenntnissen, nur so funktionieren:

UCS übernimmt komplett die Dienste im Netzwerk als DHCP und DNS mit eingetragenem externen Forwarder. Die Einträge in der Firewall als DNS-Server für interne Netz fallen raus. Dann muss ich dem UCS einen externen DNS (z.B. 8.8.8.8) geben dann funktioniert am UCS auch der Zugriff auf externe Adressen.

Die Windows Clients haben jetzt auch kein Problem mehr beim Anwenden der Gruppenrichtlinien.

Ist es nicht ein schöner Monolog hier ?

Markus

DBGTMaster · January 6, 2013, 9:13pm

Hallo,

ucr set dns/forwarder1='8.8.8.8' /etc/init.d/bind9 restart

Dann schickt ucs die DNS Anfragen auch nach außen

MarkusH · January 12, 2013, 10:19am

Danke für den Hinweis. Mittlerweile funktioniert dieser Teil auch problemlos. Die Windows Clients müssen zwingend den AD-Controller als DNS eingetragen bekommen. Als nächstes musste ich am UCS einen externen DNS (z.B. 8.8.8.8) eintragen damit dieser Anfragen richtig weiterleitet/beantwortet. Ich dachte, ich könnte an dieser Stelle die Firewall eintragen als externen DNS, das funktionierte aber nicht.

Gruß - Markus

DBGTMaster · January 12, 2013, 9:24pm

Wenn die Firewall einen DNS Service zur Verfügung stellt, und richtig konfiguriert ist, müsste diese auch funktionieren!

Einfach mal probiere:

dig www.google.at @firewallip

HaCon-IT-Support · September 4, 2019, 11:54am

Hallo,
Ich habe die DC als DNS-Server eingetragen und erhalte dennoch diese Fehlermeldung.
Wir haben 2 DCs. Master und Backup im Einsatz.
Ich habe den Pfad und die Lese/schreibrechte auf den SMB-Pfad zur GPT.INI überprüft, dabei stellete sich herraus, dass ich als “dom-admin” vollzugriff auf die Datei auf dem Master hatte, jedoch auf dem Backup nicht berechtigt war den Pfad “sysvol” zu öffen.
Ich habe das dann auf dem Dateisystem als root überprüft und die Berechtigungen waren bei beiden Servern gleich gesetzt.
Kann mir jemand helfen?