Gruppenrichtlinien werden nicht sauber ausgeliefert / keine Tauschlaufwerke

Ich bin langsam etwas verzweifelt. Wir haben immer wieder PCs, die keine Tauschlaufwerke haben. Das Problem scheint sich auf einzelne Räume/PCs zu konzentrieren.

Nach einem gpupdate /force kommen meistens die Laufwerke, manchmal aber auch nicht, dann kommt:

Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden... 
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domaene\sysvol\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. ...

Das ist ja die Default Domain Policy, die da anscheinend Probleme macht. Es kommt aber dann auch vor, dass gpupdate 5 Min. später funktioniert…

Ein sophomorix-school --gpo-kill/create default-school habe ich gemacht, hat nichts geändert.

DNS-mäßig müsste eigentlich alles passen (siehe meine Fragen hier: DNS-Verwirrung (Firewall-Einstellungen/ Unbound DNS)), zumindest mit der externen Namensauflösung gibt es keine Probleme.

In den Windows-Event-Logs tauchen allerdings z.B. solche Meldungen auf:

Fehler beim Registrieren der Hostressourceneinträge (A oder AAAA) für den Netzwerkadapter 
 mit den folgenden Einstellungen:

           Adaptername: {61C5D768-C88A-4D89-A559-3F8B2A299908}
           Hostname: r032-10
           Primäres Domänensuffix: jpp.lan
           DNS-Serverliste: 
             	10.32.1.1
           Server, an den das Update gesendet wurde: 10.32.1.1:53
           IP-Adresse(n) :
             10.32.32.10

Wer kann mir Tipps geben, wie wir das Problem weiter eingrenzen können?

Viele Grüße

Lars

Hallo Lars,

wie viele Clients habt ihr?
Betreibt ihr Subnetting?
Wie sieht eure Netzwerkstruktur aus?

Beste Grüße

Thorsten

Hallo Thorsten,

wir haben ca. 250 Windows-Clients, kein Subnetting aber einen DHCP-Bereich für unsere schulinternen WLAN-Clients:

Netzstruktur: Im LAN gibt es den Server als DC, DHCP und DNS, die Firewall als Standardgateway, DNS-Forwarder und Proxy, außerdem einen KMS-Server für die Windows-Clients sowie einen Docker, der aber nicht genutzt wird.

Nach außen läuft das WAN-Gateway der OPNSense auf die Firewall unseres Schulzentrums, über die auch die restlichen Netze laufen. Auf dieser Seite haben wir aber keine Probleme, das beschränkt sich auf das LAN.

Was mir noch auffällt: Ab und zu greift der Registry-Patch nicht, d.h. Clients haben zwar die richtige IP aber den falschen PC-Namen. Die Gruppenrichtlinien-Problematik gibt es aber auch auf PCs mit richtigem Namen.

Viele Grüße

Lars

Hallo,

ich meine, ich hatte mal das gleiche Thema und würde auf ein DNS-Problem tippen. Prüf mal nach, ob die Server-Adresse über IPv6 auch korrekt aufgelöst wird oder ob da irgendein Schwachsinn bei rauskommt. Weil, dann versuchen die Clients per IPv6 den Server irgendwo im Internet zu finden und dann gehts natürlich schief.

Gruß
Thomas

Hallo Thomas,

also wenn ich die IPv6-Adresse des Servers direkt anpinge, funktioniert das tadellos, ein ping auf „server“ läuft auf die IPv4-Adresse. Wenn ich es allerdings mittels ping -6 server (Windows) versuche, bekomme ich die Meldung, dass der Host nicht gefunden werden kann. Ein host-6 server.domaene.lan liefert die IPv4-Adresse, ein host -t AAAA server liefert „server.domaene.lan has no AAAA record“.

Verstehe ich das richtig, dass der Server zwar eine IPv6-Adresse hat, diese aber im DNS nicht eingetragen ist? Wie kann ich diesen Eintrag erzeugen?

Danke und Gruß

Lars

Hallo zusammen,

ich kann auch beobachten, daß die GPO teilweise nicht richtig abgearbeitet werden. IPv6 ist ein interessanter Ansatz und ich bin gespannt Lars, was dabei rauskommt.

Mehrere Möglichkeiten:
Über samba-tool dns add... oder über den DNS Manager der RSAT Tools über Windows, oder hatte nicht @Arnaud etwas gebaut, so daß man das über die Schulkonsole machen kann?

Viele Grüße
Klaus

Hallo Klaus,

ja, über die GUI ganz bequem möglich. Habe ich gemacht und Server wird unter IPv6 gefunden. Die Probleme hat das leider nicht behoben, aber es ist uns noch eine Unstimmigkeit in unserem LAN aufgefallen, die wir jetzt mal versuchen zu beheben und dann berichte ich nochmal.

Liebe Grüße

Lars

1 „Gefällt mir“

Hallo Lars,

danke für Dein Feedback!
Bin gespannt, was Du noch rausbekommst.

Viele Grüße
Klaus

Hallo Lars,

wir haben das gleiche Problem, dass manche Rechner manchmal keine ausgelieferten Gruppenrichtlinien haben.
Das Hinzufügen des Servers per DNS funktioniert bei uns leider nicht. In der WebUI unter Samba-DNS->Eintrag hinzufügen → Subdomain Server, Typ AAAA, Wert IPv6-Adresse
Oben rechts bekomme ich nach dem Speichern eine grüne Bestätigung. Beim Neuladen der Seite ist der Eintrag aber nicht mehr aufgelistet. Ist das bei dir auch so?

Viele Grüße
Dominik

Hallo Dominik,

wenn es nur manchmal an manchen Rechnern nicht funktioniert, könnte es auch sein, dass Windows zu schnell für das Netzwerk ist. Ich würde hier empfehlen entweder per Server-GPO oder besser noch lokal die Gruppenrichtlinie „Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten“ unter Computerkonfiguration\Administrative Vorlagen\System\Anmelden zu setzen.

Den IPv6-Eintrag habe ich wie von dir beschrieben gesetzt und es wird auch aufgelistet. Allerdings sind wir schon in LMN7.2 unterwegs. Du kannst die Auflösung aber über eine Windows-CMD in der Domäne mit ping -6 server testen.

Viele Grüße

Lars

Hallo Klaus,

unsere Probleme scheinen jetzt behoben zu sein (vorsichtiger Optimismus). Wir hatten von unserem Dienstleister eine 802.1x-Authentifizierung für das LAN aufgesetzt bekommen, bei der sich die Clients per Hostname und Maschinenpasswort für das Netzwerk authentifizieren. Die Einstellungen dazu kamen per GPO. Da das jedoch z. T. zu Problemen geführt hat, haben wir auf MAC-Auth umgestellt und das GPO deaktiviert. Was wir nicht bedacht hatten war, dass die Einstellungen auf den PCs ja zumindest zum Teil erhalten blieben und die Authentifizierung jetzt quasi gleichzeitig erfolgreich und nicht erfolgreich war, was wohl zu den Problemen geführt hat. Letztendlich haben wir ein komplett neues Image aufgesetzt und es scheint jetzt gut zu sein.

Ach ja, in dem Zuge haben wir gleich mal 7.2 produktiv genommen :slight_smile:

Danke für die Unterstützung und viele Grüße

Lars

1 „Gefällt mir“

Hallo Lars,

alles klar, danke. Dann schaue ich mir das mal an.

Viele Grüße
Dominik