Problem:
Die Auswertung von Gruppenrichtlinien an einem Windows Client funktioniert nicht korrekt.
Lösung:
Probleme bei der Auswerting von Gruppenrichtlinien können unterschiedliche Ursachen haben:
1. Falsche DNS Konfiguration / DNS Einträge
Der Windows Client sollte einen UCS Domänencontroller als DNS Server verwenden. In dem DNS Record der Domäne und in den DNS SRV Records sollten keine Server definiert sein, die nicht mehr existieren oder derzeit aus sind. Dies kann folgendermaßen überprüft werden:
host $(dnsdomainname)
host -al $(dnsdomainname) | grep " SRV "
Der Windows-Client greift beim Abrufen der Gruppenrichtlinien auf die SYSVOL-Freigabe der Domäne zu. In einer Domäne “univention.local” z.B. muss der Client zuverlässig auf den Netzwerkpfad //univention.local/sysvol zugreifen können.
2. Falsche Zeiteinstellung am Windows-Client
Am Windows-Client sollte die gleiche Uhrzeit wie an den UCS Domänencontrollern eingestellt sein. Dabei sollte auch auf die Zeitzone geachtet werden.
3. Probleme bei dem periodischen Abruf der Gruppenrichtlinien
Die Auswertung von Gruppenrichtlinien sollte am Windows-Client direkt geprüft werden, indem an der Windows-Kommandozeile (Windows-Taste+R cmd) folgende Befehlszeile eingegeben und durch Betätigung der Eingabetaste zur Ausführung gebracht wird:
gpupdate /force
4. Auswertungszeitpunkt der Maschinen-bezogenen Richtlinien
Richtlinien, die das Anmeldungsverhalten des Windows-Clients beeinflussen, haben häufig nur dann eine Auswirkung auf den Logindienst, wenn sie schon beim Systemstart des Windows-Clients serverseitig korrekt definiert sind und vom Client ausgewertet werden können. Hier sollte die Uhrzeit am Windows-Client geprüft werden und und der Windows-Client neu gestartet werden.
5. Dauerhafte Fehlermeldungen zu Inkonsistenten GPO-Berechtigungen
Wenn beim Start der Gruppenrichtlinienverwaltung (GPMC) unter Microsoft Windows eine Fehlermeldung erscheint, die auf inkonsistente Berechtigungen der GPO-Dateien in der SYSVOL-Freigabe hinweist und anbietet, diese zu korrigieren, sollte das akzeptiert werden. Zusätzlich kann auf den UCS Domänencontrollern die Berechtigungen mit folgendem Kommando korrigiert werden:
samba-tool ntacl sysvolreset
6. Temporäre Fehlermeldungen zu Inkonsistenzen der GPOs
Serverseitig wird die SYSVOL-Freigabe durch die Samba/AD-Domänencontroller periodisch synchronisiert. Per Voreinstellung kopieren UCS Samba/AD-Domänencontroller der UCS Serverrolle Slave alle 5 Minuten die SYSVOL-Daten von einem anderen UCS Samba/AD-Domänencontroller, ohne dabei Dateien zu überschreiben, die lokal neuer sind. Der Synchronisationspartner erwiedert als Folge diesen Kopiervorgang. Wenn Gruppenrichtlinien über administrative Werkzeuge angepasst werden, gibt es dadurch eine kurze Phase, in der Windows-Clients die Gruppenrichtlinien-Objekte möglicherweise noch nicht in einem konsistenten Zustand vorfinden und die Auswertung so lange verweigern, bis wieder die im SYSVOL der Domäne vorgefundenen Daten wieder synchron mit denen im Verzeichnisdienst des Samba/AD Domain Service (Samba/AD DS) sind.
Sollten diese Punkte nicht erfolgreich sein, so kann der Debug Level des Samba Dienstes erhöht werden und die Logausgabe kann auf weitere Fehler geprüft werden:
ucr set samba/debug/level=4
/etc/init.d/samba4 restart
less /var/log/samba/log.samba