(0) exportieren Drucken
Alle erweitern

Überprüfen des Gruppenrichtlinieninfrastruktur-Status

Letzte Aktualisierung: Juli 2012

Betrifft: Windows Server 2012

Gruppenrichtlinien stellen eine komplizierte Infrastruktur dar, die es Ihnen ermöglicht, Richtlinieneinstellungen für die Remotekonfiguration eines Computers und der Benutzererfahrung innerhalb einer Domäne anzuwenden. Die meisten Ratschläge zur Problembehandlung stammen von einem reaktiven Standpunkt - Ratschläge für IT-Administratoren, wenn die Gruppenrichtlinie nicht wie erwartet funktioniert. Diese reaktiven Ratschläge helfen aber nicht, wenn Sie Tausende von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) auf Tausende von Computern und Benutzer anwenden.

In einigen Fällen, in denen sich ein großes Unternehmen über mehrere Länder und Zeitzonen erstreckt, kann es eine deutliche Replikationsverzögerung zwischen Domänencontrollern geben. GPO-Diskrepanzen in den Versionsnummern zwischen dem Gruppenrichtliniencontainer (Group Policy Container, GPC) und der Gruppenrichtlinienvorlage (Group Policy Template, GPT) oder GPO-Diskrepanzen zwischen verschiedenen Domänencontrollern können entweder aufgrund einer Replikationsverzögerung normal sein oder auf ein Gruppenrichtlinienproblem hinweisen. In ältereren Versionen von Windows gab es zwar Tools wie GPOtool.exe, zum Anzeigen der GPO-Replikation wurden aber inkonsistente Informationen bereitgestellt.

In Windows Server® 2012 wurde die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verbessert, um einen Bericht zum Gesamtstatus der Gruppenrichtlinieninfrastruktur für eine Domäne bereitzustellen oder um die Statusanzeige auf ein einzelnes GPO zu konzentrieren.

Auf der Registerkarte mit dem GPMC-Domänenstatus, die in Windows Server 2012 hinzugefügt wurde, werden verschiedene Einzelinformationen angezeigt, die auf den Status der Gruppenrichtlinieninfrastruktur im Hinblick auf Domänencontroller, GPO-Replikation und GPO-Versionierung hinweisen. Dieser Status der Gruppenrichtlinieninfrastruktur hilft Ihnen beim Erkennen von Inkonsistenzen und Vorausahnen von Problemen.

Inhalt dieses Dokuments

Sie erfahren, woraus ein GPO besteht und wo die Teile des GPO in einer domänenbasierten Umgebung gespeichert werden. Dann erfahren Sie, wie die Statusinformationen der Gruppenrichtlinieninfrastruktur zum Überwachen von Problemen mit der GPO-Replikation verwendet werden und wie Replikationsprobleme weiter untersucht werden können.

Sie können Statusprüfungen der Gruppenrichtlinieninfrastruktur nur mithilfe der GPMC auf Computern ausführen, die Mitglied der Domäne sind und auf denen Folgendes ausgeführt wird:

  • Windows Server 2012

  • Windows 8 mit Remoteserver-Verwaltungstools für Windows 8

Wenn Sie wissen, wie GPOs in einer Domäne gespeichert werden, können Sie die Daten, die auf der Seite mit dem Infrastrukturstatus angezeigt werden, optimal nutzen.

In einer Domäne, die mehrere Domänencontroller enthält, dauert es eine Weile, bis Gruppenrichtlinieninformationen von einem Domänencontroller an einen anderen weitergeleitet oder repliziert werden. Durch Netzwerkverbindungen mit geringer Bandbreite zwischen Domänencontroller wird die Replikation verlangsamt. Die Gruppenrichtlinieninfrastruktur verfügt über Mechanismen zum Verwalten dieser Probleme

Jedes GPO wird zum Teil in Active Directory und zum Teil in SYSVOL auf dem Domänencontroller gespeichert. Der Teil des GPO, der in Active Directory gespeichert wird, wird Gruppenrichtliniencontainer (Group Policy Container, GPC) genannt, während der Teil des GPO, der in SYSVOL gespeichert wird, Gruppenrichtlinienvorlage (Group Policy Template, GPT) genannt wird. GPMC und der Gruppenrichtlinienverwaltungs-Editor verwalten das GPO als einzelne Einheit. Wenn Sie beispielsweise Berechtigungen für ein GPO in GPMC festlegen, legt GPMC Berechtigungen für Objekte eigentlich in Active Directory und SYSVOL fest. Sie sollten diese separaten Objekte nicht unabhängig außerhalb von GPMC und dem Gruppenrichtlinienverwaltungs-Editor manipulieren. Es ist wichtig, zu verstehen, dass diese zwei separaten Features eines GPO auf verschiedenen Navigationsmechanismen beruhen. Der Dateisystemteil, GPT, wird durch Distributed File Service Replication (DFS-R) oder File Replication Service (FRS) unabhängig von der Replikation, die durch Active Directory, GPC, verarbeitet wird, repliziert.

Die Synchronisierung zwischen den in Active Directory, GPC, gespeicherten GPO-Daten und den in SYSVOL, GPT, gespeicherten GPO-Daten kann aufgrund der Unterschiede in den Replikationsschemas, die von Active Directory und DFS-R/FRS verwendet werden, vorübergehend fehlen.

Gruppenrichtlinien stellen ein Framework bereit, das es der Gruppenrichtlinienverwaltung ermöglicht, für zusätzliche Features, die als Gruppenrichtlinien-Snap-Ins oder -Erweiterungen bezeichnet werden, erweitert zu werden. Für Gruppenrichtlinienerweiterungen, die Daten nur in einem Datenspeicher (entweder Active Directory oder SYSVOL) speichern, ist dies kein Problem, und die Gruppenrichtlinie wird angewendet, sobald sie gelesen werden kann. Diese Erweiterungen umfassen Verwaltungsvorlagen, Skripts, Ordnerumleitung und die meisten Sicherheitseinstellungen.

Für alle Gruppenrichtlinienerweiterungen, die Daten an beiden Speicherorten speichern (Active Directory und Sysvol), musst die Erweiterung die Möglichkeit, dass die Daten nicht synchronisiert sind, entsprechend verarbeiten. Dies gilt auch für Erweiterungen, die mehrere atomare Objekte in einem einzelnen Speicher benötigen, da kein Speicherort Transaktionen verarbeitet.

Ein Beispiel für eine Erweiterung, die Daten in Active Directory und SYSVOL speichert, ist die Softwareinstallation. Die Skriptdateien werden in SYSVOL gespeichert, und die Windows Installer-Paketdefinition wird in Active Directory gespeichert. Wenn das Skript vorhanden ist, die entsprechenden Active Directory-Features aber fehlen, erfolgt keine Aktion. Wenn die Skriptdatei fehlt, das Paket aber in Active Directory bekannt ist, schlägt die Anwendungsinstallation fehl und wird bei der nächsten Verarbeitung der Gruppenrichtlinie wiederholt.

Die Tools, die zum Verwalten von Active Directory und Gruppenrichtlinien verwendet werden, zum Beispiel GPMC, der Gruppenrichtlinienobjekt-Editor und Active Directory-Benutzer und -Computer, kommunizieren alle mit Domänencontrollern. Wenn mehrere Domänencontroller verfügbar sind, dauert es möglicherweise länger, bis Änderungen, die an Objekten wie Benutzern, Computern, Organisationseinheiten und GPOs vorgenommen werden, auf anderen Domänencontroller angezeigt werden. Je nachdem, auf welchem Domänencontroller zuletzt Änderungen vorgenommen wurden und auf welchem Domänencontroller die Daten aktuell angezeigt werden, sieht der Administrator möglicherweise unterschiedliche Daten.

Idealerweise sollten Sie proaktiv sicherstellen können, dass alle GPOs innerhalb einer Domäne konsistent sind. Früher wurde das GPOTool.exe-Hilfsprogramm für diese Überprüfung verwendet. GPOTool.exe kann allerdings nur die Werte in der Datei "GPT.ini" überprüfen und so lediglich einen Hinweis darauf bereitstellen, ob die Versionen zwischen den GPC- und den GPT-Teilen auf den einzelnen Domänencontroller synchronisiert sind.

In Windows Server 2012 enthält die GPMC jetzt eine umfassendere Replikationsüberprüfung, als zuvor mit GPOTool.exe möglich war.

Neu in Windows Server 2012 ist ein grafisches Berichterstellungsfeature in GPMC, die es Ihnen ermöglicht, einen Basisdomänencontroller für den Vergleich auszuwählen und den aktuellen Gruppenrichtlinien-Replikationsstatus zusammen mit Synchronisierungsdetails anzuzeigen, wenn ein Vergleich eine Abweichung vom grundlegenden Domänencontroller findet.

ImportantWichtig
Sie können den Statusbericht für die Gruppenrichtlinieninfrastruktur nur von der GPMC aus ausführen. Sie können diesen Bericht nicht planen, und es gibt kein Windows PowerShell® oder ein anderes Befehlszeilenäquivalent.

Der Bericht bleibt zwischen GPMC-Sitzungen nicht bestehen. Schließen Sie die GPMC erst, wenn der Berichtssammelvorgang abgeschlossen wurde, um den Verlust der Berichtsinformationen zu vermeiden.

  1. So führen Sie einen Infrastrukturstatusbericht aus:

    1. Suchen Sie für eine gesamte Domäne in der GPMC-Konsolenstruktur die Domäne, für die Sie den Replikationsstatus aller GPOs überprüfen möchten. Klicken Sie auf die ausgewählte Domäne.

    2. Navigieren Sie für ein einzelnes GPO in der GPMC-Konsolenstruktur zum Container der Gruppenrichtlinienobjekte. Erweitern Sie den Container der Gruppenrichtlinienobjekte, und klicken Sie auf das GPO, für das Sie den Replikationsstatus überprüfen möchten.

  2. Klicken Sie im Ergebnisbereich auf die Registerkarte Status.

  3. Klicken Sie auf die Schaltfläche Jetzt ermitteln, um den Infrastrukturstatus aller Domänencontroller in dieser Domäne abzurufen.

Um die Konsistenz zwischen dem grundlegenden und jedem einzelnen Domänencontroller zu validieren, vergleicht die GPMC die in Active Directory (GPC) gespeicherten Gruppenrichtlinieninformationen und vergleicht separat die in SYSVOL (GPT) auf allen Domänencontroller in der ausgewählten Domäne gespeicherten Gruppenrichtlinieninformationen.

Es folgt eine Liste der durchgeführten Vergleiche:

  • ACL für jeden GPC

  • Versionsnummernattribut jeder GPT

  • Anzahl der GPC-Objekte

  • ACL in jeder GPT

  • In der Datei "gpt.ini" in jedem GPC gespeicherte Versionsnummer

  • Anzahl der GPT-Ordner und -Dateien

  • Dateihash für jede Datei in GPT-Ordnern

Wenn während des Sammelvorgangs für den Statusbericht der Gruppenrichtlinieninfrastruktur die GPMC einen Domänencontroller nicht kontaktieren kann, oder wenn ein Domänencontroller nicht mit dem Basisdomänencontroller konsistent ist, wird der fragliche Domänencontroller der Liste Domänencontroller mit Replikation, die momentan ausgeführt wird hinzugefügt.

  1. Wenn der Sammelvorgang für den Statusbericht zur Infrastruktur abgeschlossen ist, stellen Sie sicher, dass sich keine Domänencontroller mit Replikation, die momentan ausgeführt wird im Abschnitt Statusdetails der Registerkarte Status befinden.

  2. Die Gruppenrichtlinienanwendung erfordert, dass Clients auf angegebene Server zugreifen, darunter Domänencontroller und andere Server, zum Beispiel Freigabe- und Installationspunkte. Die Gruppenrichtlinienverwaltung benötigt außerdem Zugriff auf Domänencontroller.

    Wird für einen Domänencontroller unter Statusdetails im Abschnitt Domänencontroller mit Replikation, die momentan ausgeführt wird der Status Zugriff nicht möglich angezeigt, gehen Sie wie folgt vor:

    1. Überprüfen Sie, ob der Domänencontroller funktioniert und ob der Zugriff über das Netzwerk möglich ist.

    2. Überprüfen Sie die Ereignisprotokolle und Betriebsprotokolle des Domänencontrollers auf Fehler, die dazu führen können, dass der Server nicht auf Netzwerkanforderungen reagiert.

    3. Überprüfen Sie, ob SYSVOL und Active Directory über den als unzugänglich aufgelisteten Domänencontroller verfügbar sind.

  3. Wird ein Domänencontroller aufgrund von Inkonsistenzen im GPC-Teil des GPOs unter Statusdetails im Abschnitt Domänencontroller mit Replikation, die momentan ausgeführt wird aufgelistet, lesen Sie die Informationen unter Schritt 3: Überprüfen von Active Directory-Replikationsproblemen

  4. Wird ein Domänencontroller aufgrund von Inkonsistenzen im GPC-Teil des GPOs unter Statusdetails im Abschnitt Domänencontroller mit Replikation, die momentan ausgeführt wird aufgelistet, lesen Sie die Informationen unter Schritt 4: Überprüfen von Dateidienst-Replikationsproblemen.

Eingehende oder ausgehende Replikationsfehler können dazu führen, dass Active Directory-Objekte, die die Replikationstopologie, den Replikationszeitplan, Domänencontroller, Benutzer, Computer, Kennwörter, Sicherheitsgruppen, Gruppenmitgliedschaften und Gruppenrichtlinien darstellen, zwischen Domänencontrollern inkonsistent sind.

Wenn Sie glauben, ein Problem mit der Active Directory-Replikation zu haben, finden Sie Informationen zur Funktionsweise dieser Mechanismen und zur Problembehandlung in den Ressourcen zu folgenden Themen:

Der GPT-Teil der Gruppenrichtlinie befindet sich auf SYSVOL. Die Gruppenrichtlinie hängt davon ab, dass die SYSVOL-Replikation ordnungsgemäß funktioniert und dass die GPT zwischen Domänencontroller in einer Domäne konsistent bleibt. Die SYSVOL-Replikation hängt von der verteilten Dateisystemreplikation (Distributed File System Replication (DFS-R) oder dem Dateireplikationsdienst (File Replication Service, FSR) ab, je nachdem, wie Sie Ihre Domänencontroller konfiguriert haben.

Wenn Sie glauben, ein Problem mit der SYSVOL-Replikation zu haben, finden Sie Informationen zur Funktionsweise dieser Mechanismen und zur Problembehandlung in den Ressourcen zu folgenden Themen:

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft