In meiner Firma haben wir einen Windows Server 2003 R2-Server, der unser primärer AD-Server ist und auf dem praktisch alles Windows-basierte läuft (AD, Filesharing, Druckerfreigabe usw.). Die Domänenfunktionsebene ist Windows Server 2003, die Gesamtstrukturfunktionsebene jedoch Windows 2000 (die Domäne wurde früher hauptsächlich auf einem Windows 2000 Server-Computer gehostet).
Vor ein paar Wochen haben ein Kollege und ich den Windows 2000 Server aus der Domäne entfernt und alle FSMO-Rollen auf den Windows Server 2003-Rechner verschoben, der nun der primäre und einzige Domänencontroller ist. Leider haben wir vergessen, ein paar Dinge zu verschieben, wie GPOs und Anmeldeskripte. Die meisten Anmeldeskripte und die GPOs wurden neu erstellt, aber wir haben immer noch ein paar kleine Probleme. Eines davon ist dieser kleine Fehler, der etwa alle 5 Minuten auftritt:
Windows kann nicht auf die Datei gpt.ini für GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=OURDOMAIN,DC=com zugreifen. Die Datei muss am Speicherort <\OURDOMAIN.com\sysvol\OURDOMAIN.com\Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini> vorhanden sein. (Das System kann den angegebenen Pfad nicht finden.) Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
Kurz nach Erhalt dieses Fehlers erhalten wir den folgenden Fehler:
Windows kann die Liste der Gruppenrichtlinienobjekte nicht abfragen. Suchen Sie im Ereignisprotokoll nach möglichen Meldungen, die zuvor von der Richtlinien-Engine protokolliert wurden und den Grund dafür beschreiben.
Nun, Dinge, die ich neu erstellt habe, wie die Ordnerumleitung, funktionieren derzeit einwandfrei. Soweit ich das beurteilen kann, werden die vorhandenen Gruppenrichtlinienobjekte von den Client-Arbeitsstationen gefunden und angewendet. In diesem Punkt sind wir also auf der sicheren Seite. Ich würde diese Fehler jedoch gerne beseitigen, da sie ziemlich ärgerlich sind. (Ich erhalte jeden Morgen Kopien aller Fehler in meinem Posteingang.)
Ich habe versucht, dcgpofix auszuführen, erhalte jedoch nur die folgende Fehlermeldung:
Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp.
U:>dcgpofix
Dienstprogramm zur Wiederherstellung der Standardgruppenrichtlinie für das Microsoft(R) Windows(R)-Betriebssystem, Version 5.1
Copyright (C) Microsoft Corporation.
Beschreibung: Stellt die Standard-Gruppenrichtlinienobjekte (GPOs) für eine Domäne wieder her
Syntax: DcGPOFix [/ignoreschema] [/Ziel: Domäne | DC | BEIDE]
Mit diesem Dienstprogramm können Sie die Standarddomänenrichtlinie und/oder die Standarddomänencontrollerrichtlinie in den Zustand zurückversetzen, der unmittelbar nach einer Neuinstallation vorliegt. Sie müssen Domänenadministrator sein, um diesen Vorgang ausführen zu können.
ACHTUNG: ALLE AN DIESEN GPOS VORGENOMMENEN ÄNDERUNGEN GEHEN VERLOREN. DIESES DIENSTPROGRAMM IST NUR FÜR DIE NOTFALLWIEDERHERSTELLUNG BESTIMMT.
Die Active Directory-Schemaversion für diese Domäne und die von diesem Tool unterstützte Version stimmen nicht überein. Das GPO kann mit dem Befehlszeilenparameter /ignoreschema wiederhergestellt werden. Es wird jedoch empfohlen, dass Sie versuchen, eine aktualisierte Version dieses Tools zu erhalten, die möglicherweise eine aktualisierte Version des Active Directory-Schemas enthält. Das Wiederherstellen eines GPO mit einem falschen Schema kann zu unvorhersehbarem Verhalten führen. Die Wiederherstellung ist fehlgeschlagen. Weitere Einzelheiten finden Sie in den vorherigen Nachrichten.
Wie immer gilt: Wenn ich etwas Wichtiges ausgelassen habe und Ihnen mitteilen muss, um das Problem zu beheben, hinterlassen Sie einen Kommentar, und ich werde es hinzufügen.
Weitere Informationen, da Kommentare auf 600 Zeichen begrenzt sind:
Ich kann sowohl von Clients als auch vom Server aus problemlos zu \ourdomain\sysvol und \ourdomain.com\sysvol navigieren. Das eigentliche Problem, das wir haben, ist, dass im Verzeichnis C:\WINDOWS\SYSVOL\sysvol\ourdomain.com\Policies auf dem primären AD-Server kein Verzeichnis {6AC17...} vorhanden ist. Punkt. Es wurde überhaupt nicht repliziert. Ehrlich gesagt glaube ich nicht, dass irgendetwas repliziert wurde, da wir die Anmeldeskripte und die GPOs komplett manuell neu erstellen mussten.
Ich war nicht derjenige, der den alten Win2k-Server außer Betrieb gesetzt hat, aber ich habe es beobachtet und weiß, dass derjenige, der das gemacht hat, auf ein Problem gestoßen ist und tatsächlich die FSMO-Rollen auf dem neuen System übernehmen musste. Sysvol musste, wenn ich mich recht erinnere, manuell neu aufgebaut werden, und NETLOGON ist nicht genau so eingerichtet, wie es sollte, obwohl es FUNKTIONIERT, ebenso wie unsere aktuellen GPOs, abgesehen von diesem, das anscheinend irgendwo referenziert wird, aber nicht existiert.
Hier ist die Liste der Schritte, die ich unternommen habe, um dieses Problem zu lösen:
- Habe im Verzeichnis C:\WINDOWS\SYSVOL\sosvol\ourdomain.com\Policies nach den Dateien gesucht, sie existieren nicht
- Habe \ourdomain.com\sysvol und \ourdomain\sysvol nach den Dateien durchsucht, die wiederum nicht existieren. Diese beiden hier sagen mir, dass das GPO schlicht und ergreifend nirgendwo auf unserem System existiert.
- Ich habe das gesamte Dateisystem des Servers nach allem durchsucht, was übereinstimmt6AC1786Cund habe nichts gefunden außer einem alten 6 Jahre alten Backup vom Windows 2000 Server.
- Ich habe versucht, dcgpofix auszuführen, aber es ist fehlgeschlagen, da der Schematyp der Domäne nicht mit dem Schematyp für das Tool übereinstimmt.
- Ich habe dfsutil /PurgeMupCache ausgeführt, was effektiv nichts bewirkt hat.
Antwort1
Wenn Sie vom „Verschieben“ von Anmeldeskripten und Gruppenrichtlinienobjekten sprechen, lässt mich das vermuten, dass Sie das SYSVOL nicht richtig repliziert haben. Die dateibasierten Teile der Gruppenrichtlinie wären automatisch in das SYSVOL des neuen Servercomputers repliziert worden. Sie haben möglicherweise ein großes Durcheinander angerichtet, je nachdem, was repliziert wurde oder nicht und welche Schritte Sie genau unternommen haben.
Allerdings bezweifle ich stark, dass die „Standarddomänenrichtlinie“ „beschädigt“ oder nicht vorhanden ist, wenn Sie nicht auf allen Ihren Clientcomputern Fehler erhalten. (Fehler auf Clientcomputern würden viel seltener als alle 5 Minuten auftreten. Es würde alle 90 Minuten einer sein.)
Für mich sieht es so aus, als ob auf dem Servercomputer selbst ein Problem mit der Namensauflösung, DFS oder dem Datei- und Druckerfreigabeprotokoll vorliegt.
Einige Fragen:
- Wie sieht die Ausgabe von DCDIAG auf dem Servercomputer aus?
- Verwendet der Server sich selbst (und nur sich selbst) als DNS-Server?
- Können Sie vom Windows Explorer auf dem Servercomputer zum Pfad des Gruppenrichtlinienobjekts (in der Fehlermeldung) navigieren?
Antwort2
Ich hatte ein ähnliches Problem und habe es beim Durchsuchen meiner Notizen mit „dfsutil /PurgeMupCache“ behoben. Ich glaube, dfsutil stammt aus den Support-Tools auf der 2k3-Installations-CD. Dies muss aus einem Knowledge Base-Artikel stammen, aber aus meinen Notizen geht nicht hervor, welcher. Eine Google-Suche lohnt sich aber.
JR
Antwort3
Offenbar hat mein Kollege das Problem behoben, indem er das GPO neu erstellt und Spuren zum alten entfernt hat. Ich weiß nicht genau, wie er das gemacht hat, aber wenn ich weitere Informationen dazu finde, werde ich diesen Beitrag mit meinen Erkenntnissen aktualisieren.