Letzte Aktualisierung am 22.09.2019, 12:09:56 Uhr
Im Rahmen einer Fehlersuche verschiedener Gruppenrichtlinien ist eine merkwürdiges Feature aufgefallen.
Es handelt sich um eine Windows-Domäne in der größten Teils auf den Clients Windows 7 Professional/Enterprise genutzt wird. Auf Grund einer Vielzahl von Einträgen in der Ereignisanzeige, welche sich auf die Gruppenrichtlinienverwaltung beziehen, habe ich eine genauere Analyse an einem Client (Referenzclient) durchgeführt.
Bei einem Blick in das ResultantSetOfPolicy (RSOP) fiel mir auf, dass sowohl in Eigenschaften der Computer- als auch Benutzerkonfiguration in der Spalte Revision bei jeder angewendeten Gruppenrichtlinie immer SYSVOL (65535) angezeigt wird.
Somit war meine erste Vermutung, dass die SYSVOL-Replikation zwischen den verschiedenen Domänen-Controller gar bzw. teilweise nicht funktioniert. Ob dem so ist , lässt sich einmal überprüfen, in dem man in dem SYSVOL-Verzeichnis eine Textdatei erstellt. Je nach Replikationszyklus taucht die Datei im SYSVOL-Verzeichnis aller Replikationspartner auf. Parallel kann auf einem Domain-Controller (vorzugsweise jenen der die FSMO Rolle PDC-Emulator hält) mit Hilfe von repadmin /showrepl bzw. repadmin /replsummary die Replikation gerüft werden.
Eine weiteres Tool zur Prüfung ob die Gruppenrichtlinien auf dem jeweiligen SYSVOL-Verzeichnis synchron sind, heißt gpotool und kann bei Microsoft heruntergeladen werden. Überprüfung ergab das die AD bzw. SYVOL Revision übereinstimmt. Als auch in Ordnung.
Für die erweiterte Fehlersuche habe ich auf dem Referenz-Client Logging aktiviert. Dazu als administrative Benutzer in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion einen neuen Schlüssel mit dem Namen Diagnostics erzeugen. In diesem Schlüssel wird anschließend ein Eintrag vom Typ DWORD-Wert mit dem Namen GPsvcDebugLevel und Wert 00030002 (Hex) erstellt.
Danach auf dem Client manuell die Aktualisierung der Gruppenrichtlinien anstoßen.
gpupdate /force
Nach einem Neustart des Rechners wird im Verzeichnis %windir%\debug\usermode eine Datei mit dem Namen gpsvc.log erstellt. Im Rahmen der weiteren Fehlersuche und Tests habe ich nochmals das RSOP aufgerufen und dabei festgestellt, dass in der Spalte Revision auf einmal die korrekte SYSVOL Version angezeigt. Hmpf… wie kann das sein? Daher habe ich das RSOP an einem anderen Client aufgerufen und dort wurde nach wie vor die falsche SYSVOL-Version angezeigt.
Es stellte sicher heraus, sobald das Logging für die Gruppenrichtlinienverwaltung auf den Clients aktiviert wird, im RSOP bei allen Gruppenrichtlinien (Computer- bzw. Benutzerkonfiguration) die richtige SYSVOL Versionsnummer angezeigt wird. Nettes Feature von Microsoft… :-/