In vielen Szenarien kommt es nicht zum erfolgreichen Abrufen der Gruppenrichtlinien in einer Windows Domäne. Schuld daran haben in der Regel fehlerhafte Domänenmitgliedschaften oder DNS-Fehler. Ab und an hat der Windows Client ein Problem. Folgende Fehlermeldung gibt Aufschluss über die Problematik.
Quelle: Userenv
Kategorie: keine
Ereigniskennung: 1054
Beschreibung: Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Ein unerwarteter Netzwerkfehler ist aufgetreten. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
Mögliche Lösungen können sein:
Überprüfung des DNS
Die Netzwerkverbindungen aufrufen: Start –> Ausführen –> ncpa.cpl und die Eigenschaften der entsprechenden Netzwerkkarte aufrufen. Unter den Eigenschaften des TCP/IP -Protokolls die erweiterten Einstellungen aufrufen und dort die DNS-Einträge checken. Alternativ mittels ipconfig -all die Einstellungen überprüfen. Die Angaben müssen mit der Domäne übereinstimmen. Einfacherweise kann man diese Einstellungen per DHCP-Optionen verteilen.
Computer neu in die Domäne
Oftmals verhindert ein fehlerhaftes Konto eine einwandfreie Authentisierung. Denn nicht nur Benutzer-, sondern auch Computerkonten besitzen ein Passwort. In seltenen Fällen kann das Passwort des Computers von dem in der Domäne unterscheiden. Daher hilft es, den Rechner aus der Domäne zu nehmen, das Computerkonto im AD zurückzusetzen und dann den Computer in die Domäne heben. Und zwar in genau dieser Reihenfolge. Sind mehrere Domänencontroller in unterschiedlichen Sites vorhanden, sollte man die Replikation abwarten.
Clienteinstellungen zurücksetzen
Durch Recherchen kam ich zu diesem Tipp. Dabei wird die verantwortliche Bibliothek auf dem betroffenen Computer erneut registriert, die Vorlage neu compiliert und die GPO erneut refresht.
PS C:\> cd %windir%\system32 PS C:\Windows\system32\> regsvr32.exe /n /i userenv.dll PS C:\Windows\system32\> cd wbem PS C:\Windows\system32\wbem\> mofcomp.exe scersop.mof PS C:\Windows\system32\wbem\> gpupdate.exe /force PS C:\Windows\system32\wbem\> Restart-Computer -Force
DNS des DC prüfen & ergänzen
Ein weiterer Tipp der bei solchen Fehlermeldungen hilft, gilt meist nur bei DC’s. Sprich der DC wirft selbst solche Fehlermeldungen ab. Hier wird ein fehlerhaftes DNS um weitere Einträge ergänzt. Dies ist nicht der Standard, kann aber helfen. Besitzt der DC mehr als nur eine NIC, muss entsprechend für jede NIC ein Eintrag vorgenommen werden.
(1) DNS-Management aufrufen (Start –> Ausführen –> dnsmgmt.msc)
(2) Betroffene Domäne erweitern
(3) zusätzlicher A-HOST-Eintrag in “DomainDnsZones” zu dem betreffenden DC inkl. Eintrag in der Reverse-Lookupzone
(4) zusätzlicher A-HOST-Eintrag in “ForestDnsZones” zu dem betreffenden DC inkl. Eintrag in der Reverse-Lookupzone
Überprüfung der Firewall
Sollte zwischen dem DC und Client eine Firewall stehen, ist diese auf negative Einträge zu prüfen. Wichtige Ports sollten zwischen den Clients und dem DC offen bleiben.
123:udp: NTP
3268:tcp: Global Catalog Server
3269:tcp: Global Catalog Server
389:tcp: LDAP Server
389:udp: LDAP Server
636:tcp: LDAP SSL
636:udp: LDAP SSL
53:tcp: DNS
53:udp: DNS
88:tcp: Kerberos
88:udp: Kerberos
500:udp: isakmp (IPsec)
135:tcp: RPC
1024 – 65535:tcp: RPC randomly allocated high TCP ports (bis Windows XP und Server 2003 R2)
49152 – 65535:tcp: RPC randomly allocated high TCP ports (ab Windows Vista und Server 2008)
1 Kommentar
berlin · 2. März 2009 um 17:30
Gut!