Kennzeichnung gemäß Artikel 52 Absatz 1 EU AI Act: 💜 Kein Einsatz von KI
Problembeschreibung
Leider kommt es häufiger vor, dass Administratoren vor dem Problem stehen, dass Clients die konfigurierten Gruppenrichtlinien nicht korrekt verarbeiten. Die konfigurierten Richtlinien werden von einem oder mehreren Clients oder Servern in unregelmäßigen Abständen nicht angewendet. Nach einem Neustart oder manchmal auch nach einiger Zeit hat der Client die Richtlinie auf magische Weise doch verarbeitet.
Die Fehlersuche kann zeitaufwändig sein und den Administrator zur Verzweiflung bringen. Ich versuche hier die naheliegendsten Möglichkeiten aufzuzeigen und einen Leitfaden zur systematischen Lösung des Problems bereitzustellen.
Mögliche Ursachen
- Namens- oder Netzwerkauflösung: Der Client kann den zuständigen Domänencontroller nicht erreichen
- SYSVOL-Replikation: Die Replikation des DFS dauert lange und verzögert die Bereitstellung
- DFS-Client deaktiviert: Der Dienst auf dem Client ist beendet oder deaktiviert
- Berechtigungen / SMB-Signatur: Authentifizierte Benutzer haben keine Leserechte oder die SMB-Signaturpflicht wird misachtet
- Zeit- / Kerberos-Probleme: Die konfigurierte Zeit von Client und Domänencontroller weicht stark ab
Warum es später trotzdem doch klappt
- Namens- oder Netzwerkauflösung: Der Client findet einen anderen Domänencontroller oder einen anderen Server per DNS
- SYSVOL-Replikation: Nach Abschluss der Replikation ist die Datei gpt.ini wieder vorhanden und kann gelesen werden
- DFS-Client deaktiviert: Der Client meldet sich an einem Domänencontroller, an dem SMB direkt funktioniert
- Berechtigungen / SMB-Signatur: Nach administrativen Korrekturen oder der Zuweisung eines anderen Domänencontrollers wird der Zugriff erlaubt
- Zeit- / Kerberos-Probleme: W32Time synchronisiert sich und der nächste Versuch wird positiv bearbeitet
Lösungsansätze
📈 Wir ordnen nun die Lösungsschritte nach Schwierigkeit und Warscheinlichkeit
1. Systemzeit prüfen
Der einfachste Schritt ist, die Systemzeit des Clients zu verifizieren. Weicht die Zeit des Clients um mehr als 5 Minuten vor der des Domänencontrollers ab, so werden Anfragen durch Kerberos verweigert.
✅ Lösung: Öffnen Sie eine Konsole und geben den Befehl w32tm /resync ein. Der Client wird aufgefordert, die Zeit erneut zu synchronisieren.
2. Prüfen der Erreichbarkeit von DNS-Servern und Domänencontroller
Was Sie auch einfach mit einer Konsole vom problematischen Client aus erledigen können ist die Konnektivität in Hinsicht auf DNS und Namensauflösung zu testen. Kann der Client die Domänencontroller einer Domäne nicht auflösen, so schlägt die Aktualisierung der Gruppenrichlinie ebenfalls fehl. Beliebte Fehler sind vergessene DNS-Server im DHCP, Artefakte alter Domänencontroller im Active-Directory und DNS.
✅ Lösung:
Prüfen sie die dem System konfigurierten DNS-Server einfach mit dem Befehl
ipconfig /all. Führen Sie für jeden der Server einen Ping-Befehl aus. Ist ein Server nicht erreichbar, sollten Sie hier weiter forschen und das System aus den DNS-Einstellungen des Clients entfernen. Werden die DNS-Server über DHCP verteilt, so müssen Sie die Zone über Ihren DHCP-Server bearbeiten.Ausgabe der konfigurierten Domänencontroller Untersuchen Sie, ob es in Ihrem Active Directory verwaiste Einträge gibt. Öffnen Sie eine Konsole und geben folgenden Befehl ein:
nslookup -type=SRV _ldap._tcp.dc._msdcs.<IhreDomäne>
Führen Sie für jeden der Server einen Ping-Befehl aus.
3. Prüfen des Datei-Zugriffs
Jeder Benutzer- und Computeraccount einer Domäne muss lesenden Zugriff auf die Objekte der Gruppenrichtlinie haben. Ist dies aus einem Grund nicht zutreffend, so kann die Richlinie nicht verarbeitet werden. Eine einfache möglichkeit ist, die Stammdatei einfach im Explorer zu öffnen. Der Inhalt der Datei ist dabei erstmal unerheblich.
✅ Lösung:
Öffnen Sie ein neues Explorer-Fenster auf dem betroffenen Computer und fügen Sie den folgenden Pfad (angepasst auf Ihre Domäne) ein:
\\<Domäne>\SYSVOL\<Domäne>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini
Öffnet sich die Datei, so kann davon ausgegangen werden, das hier kein Problem vorliegt.
4. Diagnostizieren der Gruppenrichtlinien-Verarbeitung
Prüfen Sie noch einmal ganz genau, was exakt bei der Verarbeitung fehlschlägt. Nicht immer muss die gesamte Richlinie betroffen sein. In einigen Fällen scheitern nur Bestandteile des Richliniensatzes in der Verarbeitung.
✅ Lösung:
Öffnen Sie auf dem betroffenen Client eine neue Konsole und laden Sie die Richtlinie erneut mit dem Kommando gpupdate /force.
Danach lassen Sie sich das Ergebnis der Richtlinienverarbeitung ausgeben:
gpresult /h C:\Temp\report.html
Es wird im genannten Pfad C:\Temp eine Datei mit dem Namen report.html erzeugt, welche Sie mit einem Browser Ihrer Wahl öffnen können.
Nicht angewendete Gruppenrichtlinien mit dem dazugehörigen Fehlercode werden hier protokolliert.
5. Ereignisprotokoll durchsuchen
Auch das Windows-Eventlog kann eine nützliche Informationsquelle sein.
✅ Lösung: Suchen Sie im Protokoll System nach Einträgen mit den Event-IDs 1058 und 1030.
6. Prüfungen am Domänen-Controller
Auch wenn ein Problem an einem Client nicht unbedingt auf ein Problem des DCs hinweist, kann die Prüfung auch nicht schaden. Hierzu gibt es einige nützliche Befehle, die Sie in einer Konsole auf einem Domänencontroller ausführen können:
- dcdiag /v gibt Auskunft über die generelle Gesundheit Ihres Active Directory
- repadmin /replsummary gibt Auskunft über Rückstände in der Replikation
- dfsrdiag backlog /rgname:“Domain System Volume” gibt Auskunft über Rückstände in der Replikation
- net share gibt Auskunft, ob auch die Notwendigen Freigaben (SYSVOL und NETLOGON) auf dem DC vorhanden sind
Zusätzlich kann ein Prüfen des Dienste-Status helfen. Folgende Dienste müssen gestartet sein:
- Netlogon
- DFS-R
- DNS
- RPC
- TCP/IP NetBIOS
7. Zusätzliche Möglichkeiten
- Langsame Netzwerkverbindungen können die Ausführung der Gruppenrichtline negativ beeinflussen
- Der Client hat ein defektes Computerkonto oder die Vertrauensstellung ist beeinträchtigt
- Der Domänencontroller ist über Wifi nicht erreichbar
- Firewall-Einstellungen verhindern den Zugriff auf den Domänencontroller
✅ Lösung:
- Verbinden Sie den Client mit einem Kabel direkt in das Netzwerks des Domänencontrollers
- Deaktivieren Sie temporär die Firewall auf dem Client
- Entfernen Sie den Client aus der Domäne und fügen Sie den Client neu hinzu
Zusammenfassung
Clients, welche die Gruppenrichtlinie nicht mehr korrekt verarbeiten, stellen ein großes Maß an Aufwand dar. Die Fehlerursachen sind vielfältig. In der Regel liegen größere Probleme zu Grunde, welche evaluiert werden sollten.