| |
|
|
Windows 2003 |
(111) Event 1030, 1058 und die Gruppenrichtlinien |
|
| |
|
|
| |
Symptome: |
|
| |
- langsamer Netzwerkzugriff |
|
| |
- kein Zugriff auf Netzlaufwerke von den Clients aus (nach gewisser Laufzeit) |
|
| |
- kein Zugriff auf die Sicherheitsrichtlinien für Domänencontroller |
|
| |
- keine Anwendung der Gruppenrichtlinien |
|
| |
- Am Server kein Zugriff auf Netlogon & Sysvol via Netzwerkumgebung |
|
| |
- Folgende Ereignisse im Eventlog (1030 und 1058 alle 5 Minuten): |
|
| |
|
|
| |
Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1030
Datum: 01.04.2004
Zeit: 12:51:34
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER
Beschreibung:
Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert.
|
|
| |
|
|
| |
Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1058
Datum: 01.04.2004
Zeit: 12:56:33
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER
Beschreibung:
Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=test-domain,DC=de kann nicht zugegriffen werden. Die Datei muss im Pfad <\\test-domain.de\sysvol\test-domain.de\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.
|
|
| |
|
|
| |
Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1053
Datum: 01.04.2004
Zeit: 13:21:33
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: RMP-SERVER
Beschreibung:
Der Benutzer oder der Computername kann nicht ermittelt werden. (Der RPC-Server ist nicht verfügbar. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
|
|
| |
|
|
| |
Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1054
Datum: 01.04.2004
Zeit: 13:46:37
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: RMP-SERVER
Beschreibung:
Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Unerwarteter Netzwerkfehler. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
|
|
| |
|
|
| |
Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1020
Datum: 01.04.2004
Zeit: 14:06:35
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: RMP-SERVER
Beschreibung:
Der Registrierungsschlüssel Software\Microsoft\Windows\CurrentVersion\Group Policy konnte nicht erstellt werden. (Zugriff verweigert ). |
|
| |
|
|
| |
|
|
| |
Im Usenet gibt es diverse Lösungsansätze, insbesondere im Zusammenhang mit den 1030/1058-Events. Meisst hat der jeweilige Autor bereits alle anderen Ansätze ausprobiert und nur einer hat geholfen. |
|
| |
Daher fasse ich hier nochmal alle mir bekannten Ansätze zusammen - als erstes natürlich den, der mir geholfen hat ;-) |
|
| |
|
|
| |
1. Deaktivierung des SMB-Signing für Server und Clients via GPO |
|
| |
Unter Start/Programme/Verwaltung/Sicherheitsrichtlinien für Domänen und Start/Programme/Verwaltung/Sicherheitsrichtlinien für Domänencontroller jeweils zu Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen navigieren und die Einträge |
|
| |
|
|
| |
Microsoft-Netzwerk (Client):
Kommunikation digital signieren (immer)
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
|
|
| |
auf "Deaktiviert" setzen. |
|
| |
|
|
| |
Die Einträge |
|
| |
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) |
|
| |
können (bzw. sollten) auf "Aktiviert" bleiben. |
|
| |
|
|
| |
Wenn der Zugriff auf die Sicherheitsrichtlinien trotz vorhandener Berechtigung verweigert wird, hilft die Änderung von HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\requiresecuritysignature von "1" auf "0". |
|
| |
Direkt danach sollten bereits die Fehlermeldungen im Eventlog aufhören und der Zugriff auf die Sicherheitsrichtlinien ohne Reboot wieder möglich sein. |
|
| |
Ein Reboot des Servers ist übrigens grundsätzlich nicht zwingend notwendig, aber durchaus sinnvoll, um die Korrekte Übernahme der Änderungen zu prüfen. |
|
| |
|
|
| |
|
|
| |
2. Eintragen der DCs in "hosts" |
|
| |
Auf allen DCs die Datei system32\drivers\etc\hosts öffnen und als erstes den lokalen DC mitsamt IP eintragen, danach alle anderen DCs in der Reihenfolge der Erreichbarkeit. |
|
| |
|
|
| |
3. dfsutil /purgemupcache |
|
| |
Start/Ausführen/dfsutil /PurgeMupCache einmal täglich per Taskplaner aufrufen lassen. |
|
| |
|
|
| |
4. Datei- und Druckdienste neu installieren |
|
| |
4.1 Mit "net share" alle Freigaben dokumentieren (inkl. Rechte) |
|
| |
4.2 In den Eigenschaften der Netzwerkverbindung die Datei- und Druckerfreigabe deinstallieren |
|
| |
4.3 Rechner neu starten |
|
| |
4.4 Datei- und Druckerfreigabe neu installieren und die Freigaben wieder einrichten |
|
| |
|
|
| |
5. Eventuell vorhandene zusätzliche Netzwerkkarte |
|
| |
5.1 Reihenfolge der Bindungen kontrollieren und ggfs. korrigieren bzw. wenn sie eh nicht benötigt wird, einfach deaktivieren. |
|
| |
|
|
| |
6. Den Dienst "Verteiltes Dateisystem" (DFS) aktivieren (falls deaktiviert) |
|
| |
|
|