Gruppenrichtlinien – Handbuch für die Problembehebung Beheben von Netzwerkproblemen bei Gruppenrichtlinien

In diesem Thema wird ein Verfahren beschrieben, mit dem Sie die Netzwerkkonfiguration überprüfen und weitere Netzwerkverbindungsprobleme beheben können.

Wählen Sie in der folgenden Liste das Problem aus, das Ihre Situation am besten beschreibt, und führen Sie dann die entsprechenden Schritte aus, um das Problem zu beheben:

Auf dieser Seite

Netzwerkverbindungen und -konfiguration

Gruppenrichtlinie wird bei Remoteverbindungen über eine langsame Verbindung nicht übernommen

Kein Zugriff auf Domänencontroller möglich

Gruppenrichtlinie wird nicht repliziert

Netzwerkverbindungen und -konfiguration

Damit die Gruppenrichtlinien auf dem Client empfangen werden können, muss eine Netzwerkverbindung zwischen dem Client und dem Domänencontroller vorhanden sind. Dieser Abschnitt enthält Informationen zur Behandlung von Netzwerkverbindungsproblemen.

Überprüfen Sie die Systemereignisprotokolle auf dem Clientcomputer (d. h., suchen Sie nach fehlgeschlagenen Zugriffsversuchen), um Netzwerkverbindungsprobleme zu ermitteln. Sie können Netzwerkverbindungen auch mit den Befehlen ping oder netdiag überprüfen.

So ermitteln Sie, ob die Verbindung ordnungsgemäß konfiguriert ist:

1. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

   netsh interface ip show config

2. Öffnen Sie Netzwerkverbindungen, wenn ein Fehler gemeldet wird, und lösen Sie das Problem, indem Sie die Verbindung aktivieren oder reparieren.

   • Klicken Sie zum Aktivieren der Verbindung mit der rechten Maustaste auf die Verbindung, und wählen Sie Aktivieren.
   • Klicken Sie zum Reparieren der Verbindung mit der rechten Maustaste auf die Verbindung, und wählen Sie Reparieren.

3. Wenn die Netzwerkverbindung aktiviert ist, sollte eine Liste mit Werten für IP-Adresse, Subnetzmaske, Standardgateway usw. angezeigt werden.

4. Überprüfen Sie bei Bedarf alle Netzwerkeinstellungen, um die einwandfreie Konfiguration zu bestätigen.

Zum Seitenanfang

Gruppenrichtlinie wird bei Remoteverbindungen über eine langsame Verbindung nicht übernommen

Bestimmte Richtlinieneinstellungen können über langsame Verbindungen nicht angewendet werden. Darüber hinaus muss ICMP (Internet Control Message-Protokoll) funktionieren, damit die Erkennung von langsamen Verbindungen erfolgen kann. In diesem Thema wird erläutert, wie die Standardwerte für langsame Verbindungen angepasst werden. Darüber hinaus werden die Registrierungsschlüssel für die manuelle Erstellung von Registrierungseinstellungen zum Deaktivieren von langsamen Verbindungen aufgeführt.

Ursache

Im Zusammenhang mit Gruppenrichtlinien wird eine Verbindung mit 500 Kilobit/s oder darunter als langsame Verbindung definiert. Die folgenden Arten von Richtlinieneinstellungen werden immer über eine langsame Verbindung angewendet:

• Sicherheitseinstellungen
• Einstellungen für administrative Vorlagen

Die folgenden Arten von Richtlinieneinstellungen werden nicht über eine langsame Verbindung angewendet:

• Softwareinstallation
• Skripts
• Einstellungen für Ordnerumleitung

Lösung

Sie können diese Einstellung in der Computerkonfiguration, in der Benutzerkonfiguration oder in beiden Konfigurationen ändern. Siehe hierzu die Richtlinieneinstellung Gruppenrichtlinien zur Erkennung von langsamen Verbindungen unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinienverarbeitung. Wenn Sie beispielsweise über eine Netzwerkverbindung mit 300 Kilobit/s verfügen, sollten Sie 150 Kilobit/s angeben. Dies würde bedeuten, dass die Verbindung als langsame Verbindung gekennzeichnet wird, wenn die Bandbreite der Remoteverbindung zum Zeitpunkt der Anmeldung des Benutzers geringer als eine auf 150 Kilobit/s getestete Verbindung ist.

Zur Sicherstellung, dass die Gruppenrichtlinie remote angewendet wird, aktivieren Sie im Anmeldedialogfeld das Kontrollkästchen Über das DFÜ-Netzwerk anmelden.

Auch wenn die Gruppenrichtlinieneinstellungen für die Ausführung von Skripts über langsame Verbindungen konfiguriert sind, erfolgt die Ausführung der Skripts ggf. so langsam, dass das konfigurierte Zeitlimit überschritten wird. In diesem Fall kann die Skriptverarbeitung nicht abgeschlossen werden, und es wird ein UserInit-Ereignis protokolliert. Darüber hinaus gibt auch Gpresult eine Meldung aus, wenn eine langsame Verbindung erkannt wurde.

So konfigurieren Sie die Erkennung einer langsamen Verbindung

1. Öffnen Sie die Richtlinieneinstellung Gruppenrichtlinie zur Erkennung von langsamen Verbindungen, die sich unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinienverarbeitung befindet.
2. Geben Sie unter Verbindungsgeschwindigkeit eine Dezimalzahl zwischen 0 und 4.294.967.200 (0xFFFFFFA0) ein, um eine Transferrate in Kilobit/s anzugeben. Jede Verbindung, die mit einer langsameren Transferrate arbeitet, wird als langsame Verbindung angesehen. Zum Deaktivieren der Erkennung von langsamen Verbindungen geben Sie 0 ein (alle Verbindungen werden als schnelle Verbindungen betrachtet).

Wenn Sie versuchen, die Erkennung langsamer Verbindungen zu deaktivieren, wenn keine Gruppenrichtlinie angewendet wird (und Sie daher die Richtlinieneinstellung nicht konfigurieren können), können Sie unter den folgenden Registrierungsschlüsseln manuell den Registrierungswert GroupPolicyMinTransferRate (DWORD) erstellen und jeweils auf 0 festlegen.

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Problembehandlung von ICMP

Sie können prüfen, dass ICMP nicht ausgeführt wird, indem Sie das UserEnv-Protokoll aufrufen. Hierin wird angegeben, dass das Pingen des Computers fehlgeschlagen ist.

Zum Seitenanfang

Kein Zugriff auf Domänencontroller möglich

Dieser Artikel enthält Anleitungen zum Beheben von Konnektivitätsproblemen, die auf die DNS-Konfiguration (Domain Name System) zurückgeführt werden können.

Ursache

Die Anwendung von Gruppenrichtlinien setzt voraus, dass Clients Zugriff auf bestimmte Server haben, zu denen auch Domänencontroller und andere Server wie Freigabepunkte und Installationspunkte gehören. Bei der Verwaltung von Gruppenrichtlinien wird ebenfalls der Zugriff auf Domänencontroller erforderlich. Zum Suchen und Erkennen dieser Server wird DNS verwendet. Unter Windows Server 2003 ist für Active Directory DNS-Unterstützung erforderlich.

Wenn das Netzwerk funktioniert, Clients oder GPMC-Konsolen jedoch nicht in der Lage sind, die Server zu finden, liegt möglicherweise ein Problem mit dem DNS-System des Netzwerkes vor.

Lösung

Zur Feststellung, ob ein Problem mit DNS vorliegt, suchen Sie den Computer zunächst mithilfe des Tools Ping unter Verwendung des NetBIOS-Namens und anschließend unter Verwendung des vollqualifizierten Domänennamens des Zielcomputers. Wenn der erste Ping erfolgreich funktioniert, der zweite jedoch nicht, weist dies darauf hin, dass wahrscheinlich ein DNS-Problem vorliegt. Verwenden Sie Netdiag.exe, um das Problem näher zu untersuchen.

Probleme mit Domänencontrollern können mit Dcdiag.exe und Probleme mit Clientcomputern mit Netdiag.exe diagnostiziert werden. Diese Tools helfen bei der Erkennung von fehlerhaften DNS-Konfigurationen bei Servern und Clients. Geben Sie zum Ausführen von Dcdiag.exe auf dem Domänencontroller den Befehl dcdiag /v an der Befehlseingabeaufforderung ein. Zum Ausführen von Netdiag.exe auf einer Arbeitsstation oder auf einem Mitgliedsserver geben Sie netdiag /v an der Befehlseingabeaufforderung ein.

Diese Tools sowie weitere Informationen finden Sie unter Erleichtern des Domänenbeitritts und der Domänencontroller-Erstellung in Windows 2000 mit "Dcdiag" und "NetDiag" auf der Microsoft-Website (https://go.microsoft.com/fwlink/?LinkId=43036).

Zum Seitenanfang

Gruppenrichtlinie wird nicht repliziert

In diesem Thema wird die Behandlung von Replikationsproblemen bei Gruppenrichtlinien erläutert.

Ursachen

Nachdem auf einem Domänencontroller eine Änderung vorgenommen wurde, kann es zu einer zeitlichen Verzögerung kommen, bevor die Änderung auf alle Domänencontroller repliziert wurde. Die Weitergabe und Auflösung dieser Änderung im Netzwerk ist ein ständiger Prozess, der Replikationskonvergenz genannt wird.

Solange die Änderungen eines Gruppenrichtlinienobjekts nicht auf den Domänencontroller repliziert wurden, auf den ein Client zugreift, erhält der Client bei der Gruppenrichtlinienaktualisierung die frühere Version des Gruppenrichtlinienobjekts. Wenn Sie sowohl Replikationsprobleme als auch Probleme bei der Gruppenrichtlinienaktualisierung vermuten, sollten Sie zuerst das Replikationsproblem lösen. Aktualisieren Sie dann die Gruppenrichtlinie auf dem Client.

Änderungen der Zugehörigkeit zu Organisationseinheiten von Computern und Benutzern müssen ebenfalls repliziert worden sein, bevor in den Gruppenrichtlinien auf dem Client berücksichtigt werden können. Weitere Informationen finden Sie unter Gruppenrichtlinienobjekt wird nicht auf einen bestimmten Benutzer oder Computer angewendet.

Im Allgemeinen sollte im Idealfall für die ganze Bearbeitung von Gruppenrichtlinienobjekten der gleiche Domänencontroller verwendet oder ein Prozess vereinbart werden, wie z. B. die delegierte Verwaltung von Gruppenrichtlinienobjekten, um die Wahrscheinlichkeit zu minimieren, dass ein Gruppenrichtlinienobjekt gleichzeitig auf einem anderen Domänencontroller bearbeitet wird. Wird ein Gruppenrichtlinienobjekt auf zwei verschiedenen Domänencontrollern bearbeitet, wird die letzte Änderung berücksichtigt. Wenn Sie die Verwaltung eines bestimmten Gruppenrichtlinienobjekts auf eine Benutzergruppe delegieren, sind die Mitglieder dieser Gruppe darüber hinaus eventuell nicht in der Lage, die delegierten Aufgaben durchzuführen, wenn die Berechtigungen noch nicht auf ihre Domänencontroller repliziert wurden.

Obwohl RPC (Remote Procedure Call) für die allgemeine Anwendung von Richtlinieneinstellungen nicht erforderlich ist, setzt FRS die Funktion von RPC auf dem Domänencontroller voraus. Weiterhin setzen Aufrufe von LSA (Local Security Authority) RPC voraus.

Lösungen

Es gibt mehrere Möglichkeiten für die Behandlung von Replikationsproblemen:

• Dem Gruppenrichtliniencontainer und der Gruppenrichtlinienvorlage sind jeweils Versionsnummern zugewiesen, die bei Änderungen des Gruppenrichtlinienobjekts inkrementiert werden. Mit GPOTool können Sie überprüfen, ob die Versionen synchronisiert sind.
• Untersuchen Sie mit der Ereignisanzeige das Ereignisprotokoll für den Verzeichnisdienst auf dem Domänencontroller. Active Directory-Replikationsfehler werden mit der Quelle „KCC“ angezeigt.
• Untersuchen Sie mit der Ereignisanzeige das Ereignisprotokoll für den Dateireplikationsdienst auf dem Domänencontroller. FRS-Fehler werden mit der Quelle „NTFRS“ angezeigt.
• Überprüfen Sie, ob die SYSVOL-Freigabe auf dem Domänencontroller vorhanden ist. Suchen Sie dazu \\Domänencontrollername\SYSVOL, wobei Domänencontrollername der vollqualifizierte Domänenname (nicht der NetBIOS-Name) des Domänencontrollers ist.
• Ermitteln Sie mit Gpotool.exe, ob Inkonsistenzen zwischen der Active Directory-Version und der SYSVOL-Version des Gruppenrichtlinienobjekts auf den Partnerdomänencontrollern vorhanden sind. Anhand dieser Informationen können Sie feststellen, ob eine zeitliche Verzögerung der Replikation dazu führt, dass der Windows-Client nicht die richtige Richtlinie erhält. Ermitteln Sie in diesem Fall mit Replmon.exe und Repadmin.exe (in den Windows 2000-Supporttools enthalten) die Replikationspartner für die Domänencontroller, die der Client als Quelle für die Gruppenrichtlinie verwendet hat, und stellen Sie fest, ob die Replikation erfolgreich ist.
• Überprüfen Sie zur Behandlung von Dateireplikationsproblemen den Status der DFS-Verknüpfungen und -Ziele. Gruppenrichtlinien setzen DFS voraus. Weitere Informationen finden Sie im Hilfe- und Supportcenter für Windows Server 2003 unter “ Check status of a DFS root, DFS link, or target“..
• Mit dem Tool Sonar.exe können Sie den Zustand der SYSVOL-Freigabe überprüfen.

Zum Seitenanfang

| Home | Technische Artikel | Community