Gruppenrichtlinien – Handbuch für die Problembehebung Beheben von Gruppenrichlinienproblemen mithilfe von Protokolldateien

In diesem Beitrag

Unterkaptitel "Problembehebung"

Überblick Einführung Überprüfen der administrativen Arbeitsstationseinstellungen Schnellkorrekturen Konfigurieren der administrativen Arbeitsstationseinstellungen Problembehebung Zusätzliche Ressourcen

Grundlegende Probleme mit Gruppenrichtlinien Probleme bei Richtlinieneinstellungen für administrative Vorlagen Probleme bei Sicherheitseinstellungen Probleme mit Richtlinieneinstellungen für Skripts Probleme bei Richtlinieneinstellungen für die Softwareinstallation Probleme bei Richtlinieneinstellungen für die Ordnerumleitung Probleme mit der CSE für Datenträgerkontingente Gruppenrichlinien- probleme mithilfe von Protokolldateien beheben

Dieses Thema enthält Informationen zur Diagnose und Behandlung von Gruppenrichtlinienproblemen mithilfe von Protokolldateien.

Auf dieser Seite

Behandlung von Gruppenrichtlinienproblemen mithilfe von Protokolldateien

Interpretieren der UserEnv-Protokolldateien

Interpretieren der Protokolldateien von Sicherheitseinstellungen

Behandlung von Gruppenrichtlinienproblemen mithilfe von Protokolldateien

Wenn andere Tools nicht die erforderlichen Informationen bereitstellen, um Probleme zu ermitteln, die die Anwendung von Gruppenrichtlinien beeinflussen, können Sie die ausführliche Protokollierung aktivieren und die resultierenden Protokolldateien untersuchen. Die ausführliche Protokollierung kann die Leistung beinträchtigen und umfangreichen Speicherplatz belegen. Sie sollten die ausführliche Protokollierung daher nur dann aktivieren, wenn dies unbedingt erforderlich ist.

Durch Aktivieren der Protokollierung für Userenv.dll können Administratoren Informationen zu den Aktionen anzeigen, die bei der Anmeldung eines Benutzers am Computer im Hintergrund ausgeführt werden. Userenv.dll ist Bestandteil des Codes für das Gruppenrichtlinienmodul und wird bei jeder Verarbeitung von Richtlinieneinstellungen aufgerufen.

Clientprotokolldateien

Protokolldateien können vom Kernclientmodul (Userenv) und von jedem CSE mit Ausnahme des CSE für Skripts generiert werden. Die Skriptverarbeitung wird im Anwendungsprotokoll auf dem Client mit der Quelle UserInit protokolliert. Sie können das Anwendungsprotokoll auf dem Client in der Ereignisanzeige anzeigen. Sie können auch im Bericht für Gruppenrichtlinienergebnisse auf der Registerkarte Richtlinienereignisse nach entsprechenden Einträgen suchen.

Die Registerkarte Richtlinienereignisse in Berichten für Gruppenrichtlinienergebnisse, die in GPMC generiert wurden, zeigt die gruppenrichtlinienrelevanten Ereignisse an, die auch in der Ereignisanzeige im Anwendungsprotokoll auf dem Client angezeigt werden, für den der Bericht generiert wurde.

Die folgende Tabelle enthält eine Liste mehrerer Protokolldateien, die Sie auf dem Client generieren können und für die Behandlung von Gruppenrichtlinienproblemen von Bedeutung sind.

Clientprotokolldateien für die Behandlung von Gruppenrichtlinienproblemen
Ausgabe von:	Befindet sich in dieser Datei:	Die ausführliche Protokollierung wird durch Hinzufügen dieses Schlüssels oder Werts…	...zu diesem Registrierungsschlüssel aktiviert.
Gruppenrichtlinienkern (UserEnv) und CSE für Registrierung	%windir%\debug\usermode\UserEnv.log	UserEnvDebugLevel = REG_DWORD 30002	HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon
CSE für die Sicherheit	%windir%\security\logs\winlogon.log	ExtensionDebugLevel = REG_DWORD 0x2	HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon\ GpExtensions\{827d319e-6eac-11d2-a4ea-00c04f79f83a}\
CSE für die Ordnerumleitung	windir%\debug\usermode\fdeploy.log	FdeployDebugLevel = Reg_DWORD 0x0f	HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\ Diagnostics
CSE für die Softwareinstallation	%windir%\debug\usermode\appmgmt.log	Appmgmtdebuglevel=dword:0000009b	HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\ Diagnostics
Windows Installer(bereitstellungsrelevante Aktionen)	%windir%\temp\MSI*.log	Logging = voicewarmup Debug = DWORD: 00000003	HKEY_LOCAL_MACHINE\Software\Policies\ Microsoft\Windows\Installer
Windows Installer(benutzerinitiierte Aktionen)	%temp%\MSI*.log	Logging = voicewarmup Debug = DWORD: 00000003	HKEY_LOCAL_MACHINE\Software\Policies\ Microsoft\Windows\Installer

Serverprotokolldateien

Sie können die Protokollierung von Ereignissen aktivieren, die vom Gruppenrichtlinienobjekt-Editor auf dem Server generiert werden. Es gibt zwei verschiedene Protokolldateien, eine für Ereignisse in Bezug auf die Kernverarbeitung von Gruppenrichtlinien und des CSE für die Registrierung und eine andere für Ereignisse in Bezug auf alle anderen CSEs.

Die folgende Tabelle enthält eine Liste mehrerer Protokolldateien, die Sie auf dem Server generieren können und für die Behandlung von Gruppenrichtlinienproblemen von Bedeutung sind.

Serverprotokolldateien für die Behandlung von Gruppenrichtlinienproblemen
Ausgabe von:	Befindet sich in dieser Datei:	Die ausführliche Protokollierung wird durch Hinzufügen dieses Schlüsselworts…	...zu diesem Registrierungsschlüssel aktiviert.
GPMC: nur Fehlerprotokollierung	%temp%\gpmgmt.log	gpmgmttracelevel=1	HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Diagnostics
GPMC: Fehlerprotokollierung und ausführliche Protokollierung	%temp%\gpmgmt.log	gpmgmttracelevel=2	HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Diagnostics
GPMC: Ausgabe nur in Protokolldatei (nicht an Debugger)	%temp%\gpmgmt.log	gpmgmtlogfileonly=1	HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Diagnostics
Gruppenrichtlinienobjekt-Editor: kernspezifische Einträge	%windir%\debug\usermode\gpedit.log	GPEditDebugLevel = REG_DWORD 0x10002	HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon
Gruppenrichtlinienobjekt-Editor: CSE-spezifische Einträge	%windir%\debug\usermode \gptext.log	GPTextDebugLevel = REG_DWORD 0x10002	HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon

Userenv-Protokollierung

Da Userenv das Gruppenrichtlinienmodul und registrierungsbasierende Gruppenrichtlinien verfolgt, wird diese Protokolldatei bei der Behandlung von Gruppenrichtlinienproblemen am häufigsten verwendet. Userenv ist besonders in einer Windows 2000-Umgebung von Nutzen, da dort keine Richtlinienergebnissätze verwendet werden können. Die meisten Antworten, die auch Richtlinienergebnissätze liefern, befinden sich in userenv.log.

Um userenv.log verwenden zu können, müssen Sie zuerst die ausführliche Protokollierung aktivieren.

So aktivieren Sie die ausführliche Protokollierung

1. Melden Sie sich auf dem Clientcomputer als Administrator an, und führen Sie Regedit aus.
2. Suchen Sie den folgenden Schlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
3. Klicken Sie mit der rechten Maustaste auf Winlogon, wählen Sie Neu, und klicken Sie dann auf DWORD-Wert.
4. Geben Sie den folgenden Namen für den DWORD-Wert ein: UserEnvDebugLevel.
5. Geben Sie 30002 als Hexadezimalwert ein. Dadurch wird userenv in der Datei userenv.log im Verzeichnis \%windir%\debug protokolliert.
6. Führen Sie gpupdate /force aus, damit die gesamte Gruppenrichtlinienverarbeitung vollständig aufgelistet wird.

Zum Seitenanfang

Interpretieren der UserEnv-Protokolldateien

In diesem Thema wird erläutert, wie die UserEnv-Protokolldateien interpretiert werden.

UserEnv-Protokollierung

Auf der Grundlage von UserEnv können Sie eine Debugprotokollierung von Benutzerprofilen und von Systemrichtlinienprozessen vornehmen. Die UserEnv-Protokolldateien enthalten zudem Informationen über den Status jeder Gruppenrichtlinienerweiterung wie Anwendungsbereitstellung, Sicherheit und Ordnerumleitung. Mit UserEnv kann überwacht werden, was bei der Anmeldung eines Benutzers im Hintergrund passiert. UserEnv erweist insbesondere deshalb als nützlich, weil hiermit auch Probleme mit Windows 2000-Betriebssystemen behandelt werden können, unter denen keine Richtlinienergebnissätze (Resultant Set of Policy, RSoP) erstellt werden können. Darüber hinaus sind die UserEnv-Protokolle auch die einzige Problembehandlungsmöglichkeit, wenn die Active Directory-Replikation nicht funktioniert, da in diesem Fall auch keine Richtlinienergebnissätze erstellt werden können. Richtlinienergebnissätze setzen zudem auch auf WMI auf, welche ebenfalls ausfallen kann, sodass auch in dieser Situation die Analyse der UserEnv-Protokolle die einzige Möglichkeit zur Problemdiagnose darstellen. Mit der ausführlichen Protokollierung werden in jeder Sekunde Informationen protokolliert; sollte also irgendetwas ausfallen, können Sie in den UserEnv-Protokollen die mögliche Ursache des Ausfalls finden.

Die UserEnv-Protokolle enthalten Informationen über die folgenden Elemente:

• Gruppenrichtlinieneinstellungen, die nicht wie erwartet verarbeitet oder angewendet werden
• Ordnerumleitungen, die nicht stattgefunden haben
• Laden oder Entladen von Profil- oder Registrierungsstrukturen oder Fehler beim Löschen
• Anmeldeskripts oder Skripts, die nicht wie erwartet angewendet wurden
• Standardverhalten, die auftreten, weil eine langsame Verbindung erkannt wurde
• Probleme mit servergespeicherten Profilen
• Probleme mit verzögerter Anmeldung
• Ob auf ein bestimmtes GPO zugegriffen werden kann, und wenn nicht, warum der Zugriff verweigert wurde
• Den Namen des Domänencontrollers, der auf Sysvol zugreift

Was ist das UserEnv-Protokoll?

In dem Beispiel für das UserEnv-Protokoll in diesem Abschnitt werden die unterschiedlichen Detailtypen zu Fehlern in der grundlegenden Verarbeitung von Gruppenrichtlinien aufgeführt, die im UserEnv-Protokoll angegeben werden. Von links nach rechts gelesen zeigt dieses Protokoll den Verarbeitungscode (z. B. cc.500), die Uhrzeit, zu der die Verarbeitung erfolgt ist (ohne Datum), den Namen des Prozesses sowie eine kurze Erläuterung des Fehlers an. Im UserEnv-Protokoll werden Fehler und Warnungen zur Verarbeitung von Gruppenrichtlinien angezeigt.

Beispiel für das UserEnv-Protokoll

USERENV(178.17c) 13:48:51:089 MyRegUnLoadKey:  Failed to unmount hive 00000005
USERENV(178.17c) 13:48:51:089 DumpOpenRegistryHandle: 3 user registry Handles leaked from 
\Registry\User\S-1-5-21-2127521184-1604012920-1887927527-2193396
USERENV(178.17c) 13:48:51:089 UnloadUserProfileP: Didn't unload user profile <err = 5>
USERENV(178.2e8) 13:52:00:708 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.
USERENV(178.600) 13:52:09:452 GetGPOInfo:  Local GPO's gpt.ini is not accessible, assuming default state.
USERENV(178.4d4) 13:52:15:020 PolicyChangedThread: UpdateUser failed with 6.

Allgemeine Meldungen im UserEnv-Protokoll

Die folgenden Meldungen haben immer die gleiche Bedeutung, ungeachtet, wo sie im Protokoll angezeigt werden:

• Konnte nicht zugewiesen werden…
• Konnte nicht erstellt werden…
• Konnte nicht festgelegt werden…
• Konnte nicht abgerufen werden…
• Diese Fehler weisen in der Regel auf ein Problem mit Systemressourcen hin, das zum Zeitpunkt des Aufrufs aufgetreten ist. Treten mehrere solcher Fehler zum gleichen Zeitpunkt auf, hat der Computer ggf. Integritätsprobleme. Versuchen Sie zur Vermeidung solcher Probleme sicherzustellen, dass sich die Konfiguration des Computers möglichst nahe an der Basisinstallation von Windows befindet, indem Sie alle Softwareprogramme von Drittanbietern entfernen. Wenn diese Möglichkeit für Sie nicht in Betracht kommt, installieren Sie eine neue Version von Windows sowie alle verfügbaren Service Packs auf einem Testcomputer. Wird der Fehler nun nicht mehr in der Protokolldatei angezeigt, installieren Sie schrittweise sämtliche Programme von Drittanbietern. Prüfen Sie nach jeder Programminstallation das UserEnv-Protokoll, um festzustellen, von welchem Programm das Problem verursacht wird.

Die folgenden Meldungen haben ebenfalls immer die gleiche Bedeutung, ungeachtet, wo sie im Protokoll angezeigt werden:

• Funktion <fehlgeschlagene Funktion> wird aufgerufen
• Funktion <zurückgegebene Funktion> wird aufgerufen
• Diese Einträge weisen darauf hin, dass eine zugrundeliegende Funktion aufgerufen wurde und dass bei der Transaktion ein Fehler aufgetreten ist. Ermitteln Sie, welche Funktion den Eintrag verursacht hat, indem Sie den Fehlertext lesen, und suchen Sie dann die fehlgeschlagene Funktion im Protokoll. Nachdem Sie den Eintrag zur fehlgeschlagenen Funktion im Protokoll gefunden haben, stellen Sie den Rückgabecode fest, und beginnen Sie an diesem Punkt mit der Problembehandlung der fehlgeschlagenen Funktion.

ApplyGroupPolicy-Meldungen

ApplyGroupPolicy: Entering. Flags = %x

Flags werden verwendet, um festzustellen, welche Prozesse von Gruppenrichtlinien ausgeführt werden müssen und was einige der clientseitigen Erweiterungen (CSEs) hierbei zu tun haben. Flags sind hexadezimale Bits, die ggf. konvertiert werden müssen, wenn die Zahl größer als neun ist.

Hexadezimal	Beschreibung
0x00000001	Computerrichtlinie (Ohne 1 = Benutzerrichtlinie)
0x00000002	Hintergrundaktualisierung
0x00000004	Verzeichnisdienstrichtlinie anwenden
0x00000008	Nicht auf Netzwerkdienste warten

Die in der folgenden Tabelle aufgeführten Werte werden den Flags nach der Verarbeitung hinzugefügt.

Hexadezimal	Beschreibung
0x00010000	Hintergrundthreadverarbeitung
0x00020000	Änderung an den Einstellungen in der Systemsteuerung
0x00040000	Langsame Netzwerkverbindung
0x00080000	Ausführliche Ausgabe in das Ereignisprotokoll
0x00100000	Erzwungene Aktualisierung
0x00800000	Planungsmodus

CheckGPOs-Meldungen

Die meisten Protokollmeldungen dieser Funktion sind selbsterklärend. Im Folgenden finden Sie den Fehler, der von Benutzern in Verbindung mit CheckGPO-Protokollmeldungen am häufigsten hinterfragt wird.

CheckGPOs: No GPO changes but couldn't read extension %s's status or policy time. (Keine GPO-Änderungen, jedoch konnte der Status oder die Richtlinienzeit von Erweiterung %s nicht gelesen werden)

Gruppenrichtlinien speichern den Status und die Zeit jeder Erweiterung bei Bedarf für den Computer und für jeden Benutzer, der sich an dem Computer anmeldet. Diese Angaben werden an den folgenden Positionen in der Registrierung gespeichert:

MACHINE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List

USER

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\<SID>\Extension-List

Wird dieser Fehler ausgegeben, prüfen Sie die Registrierungsberechtigungen auf irgendwelche expliziten Zurückweisungen von Registrierungseinstellungen. Prüfen Sie zudem, ob dieser Registrierungsschlüssel von irgendwelchen Drittanbieterprogrammen geändert wurde. Es gibt Drittanbieterprogramme, die den Gruppenrichtliniencache sowohl im Dateisystem als auch in der Registrierung ändern, um vorzugeben, dass das Programm über Gruppenrichtlinien verfügt.

EnterCriticalPolicySection-Meldungen

Dies sind potenziell ernst zu nehmende Protokollmeldungen. Sie könnten darauf hinweisen, dass bestimmte Bereiche des Betriebssystems aufgrund von nicht ordnungsgemäßen Systemabschlüssen oder Systemabstürzen beschädigt wurden. Sie könnten außerdem (ähnlich wie die an früherer Stelle aufgeführten Fehler unter "Konnte nicht…") auf ein Problem mit Systemressourcen hinweisen. Entfernen Sie zur Behandlung dieses Problems alle Drittanbietersoftware, um festzustellen, ob ein nicht von Microsoft stammendes Programm die Ursache des Fehlers ist. Wenn sich das Problem hierdurch nicht beheben lässt, spielen Sie eine saubere Installation von Windows auf, installieren Sie alle notwendigen Service Packs, und binden Sie den Computer mit dieser sauberen Installation dann wieder in die Umgebung ein. Überwachen Sie während der Installation aller zusätzlichen Programme das UserEnv-Protokoll, um festzustellen, wodurch der Fehler verursacht wurde.

GPOThread

GPOThread: Next refresh will happen in %d minutes (Nächste Aktualisierung findet in %d Minuten statt)

Dies ist eine Informationsmeldung. Hierbei handelt es sich um die einzige Position im Betriebssystem, an der angezeigt wird, wann die Gruppenrichtlinien zum nächsten Mal aktualisiert werden.

LeaveCriticalPolicySection

Siehe "EnterCriticalPolicySection" an früherer Stelle in diesem Dokument.

LibMain

LibMain: Prozessname: %s

Dies ist eine Informationsmeldung. Die Meldung wird im UserEnv-Protokoll angezeigt, wenn eine Anwendung Userenv.dll lädt. UserEnv verfügt über zahlreiche exportierte Funktionen, die sich mit dem Laden und Entladen des Profils eines Benutzers befassen. Aus diesem Grund müssen viele Anwendungen UserEnv durchlaufen, um für diverse anwendungsspezifische Einstellungen das Profil des aktuell angemeldeten Benutzers abzurufen. Die Meldung gibt an, welche Anwendung eine Instanz von Userenv.dll lädt.

ProcessGPO

ProcessGPO: Found flags of: %d (Flags von %d gefunden)

Dies ist eine Informationsmeldung. Wenn Sie wissen möchten, welches Flag in der Meldung gemeint ist, gehen Sie die folgende Liste durch:

• 0 = Benutzer- und Computerkonfiguration ist aktiviert
• 1 = Benutzerkonfiguration ist deaktiviert
• 2 = Computerkonfiguration ist deaktiviert

ProcessGPO: Found machine version of: GPC is %d, GPT is %d (Computerversion gefunden: GPC ist %d, GPT ist %d)

ProcessGPO: Found user version of: GPC is %d, GPT is %d (Benutzerversion gefunden: GPC ist %d, GPT ist %d)

Diese beiden Meldungen werden im UserEnv-Protokoll falsch interpretiert. Sie geben GPC und GPT an, tatsächlich wird GPT aber nicht gelesen. Stattdessen werden jeweils die Einstellungen des GroupPolicyContainer-Objekts (GPC) und nicht von SYSVOL gelesen. Beim ausgelesenen Attribut handelt es sich um die Versionsnummer, die als ganzzahliger Wert gespeichert ist. Wenn Sie ein Problem mit SYSVOL vermuten, führen Sie GPOTool aus, um festzustellen, wo sich möglicherweise Fehler befinden.

ProcessGPORegistryPolicy

ProcessGPORegistryPolicy: Failed to create archive file with %d (Archivdatei mit %d konnte nicht erstellt werden)

Die fragliche Archivdatei heißt ntuser.pol und befindet sich im Profil des Benutzers. Wenn dieser Fehler im UserEnv-Protokoll angegeben wird, stellen Sie fest, ob es Probleme mit dem Laden oder Entladen von Profilen gibt. Vergewissern Sie sich zudem, dass der Benutzer über Schreibberechtigungen für den Profilordner verfügt, da ntuser.pol im Stamm des Benutzerprofils erstellt wird.

ProcessGPOs: Machine role is %d. (Computerfunktion ist %d)

Dieser Eintrag enthält am Ende eine Dezimalzahl (%d). Wenn Sie feststellen möchten, welche Verarbeitung innerhalb von UserEnv erfolgt, gehen Sie die folgende Liste durch:

• 0 = Eigenständiger Computer ist kein Mitglied einer Verzeichnisdienstdomäne
• 1 = Computer ist Mitglied einer NT4-Domäne
• 2 = Computer ist Mitglied einer Domäne, die Verzeichnisdienste unterstützt
• 3 = Computer ist ein Domänencontroller

Anhand dieser Informationen können Sie feststellen, für welche Art von Computer Sie gegenwärtig eine Problembehandlung durchführen, was ein Indiz dafür sein kann, warum eine Richtlinie ggf. angewendet wird oder nicht.

ProcessGPOs: The DC for domain %s is not available. Aborting (Der DC für Domäne %s ist nicht verfügbar. Vorgang wird abgebrochen)

ProcessGPOs: The DC for domain %s is not available. (Der DC für Domäne %s ist nicht verfügbar)

Diese Meldungen können von Netzwerkproblemen oder von der Windows XP-Optimierungsoption für schnelle Benutzeranmeldung verursacht werden. Versuchen Sie, die Optimierungsoption für schnelle Benutzeranmeldung zu deaktivieren. Wenn sich das Problem hiermit nicht lösen lässt, liegt ggf. ein Netzwerkproblem vor. Versuchen Sie dieses Problem wie jedes andere Netzwerkproblem zu lösen.

ProcessGPOs: DSGetDCName failed with %d. (DSGetDCName mit %d fehlgeschlagen)

DSGetDCName ist eine öffentliche API, mit der Domänencontroller gesucht werden. Die Behandlung dieses Problems dreht sich in den meisten Fällen um die Namensauflösung. Sie können diesen Aufruf mit dem Dienstprogramm nltext.exe simulieren. Führen Sie vor der Verwendung von nltext.exe den Befehl ipconfig /flushdns aus, wenn Sie eine Netzwerkmonitor-Ablaufverfolgung durchführen möchten. Windows verfügt über einen clientseitigen Cache, und Sie möchten bei der Ablaufverfolgung die DNS-Daten erfassen. Die Syntax von nltest lautet wie folgt:

nltest /DSGETDC: Domänenname

ProcessGPOs: GetNetworkName failed with %d. (GetNetworkName mit %d fehlgeschlagen)

Diese Funktion schreibt den FQDN der Domäne in den Gruppenrichtliniencache. Viele CSEs und Komponenten, die mit Richtlinien implementiert werden, suchen im Cache nach diesem Namen. Dieser Rückgabecode sollte in Verbindung mit dem Befehl net verwendet werden, um die Fehlermeldung näher zu bestimmen. Einige der Funktionen der niedrigeren Ebene in diesem Namen sind Aufrufe der Winsock-Bibliothek. Wenn dies eintritt und Sie feststellen, dass einige Richtlinien fehlschlagen, vergewissern Sie sich, dass der Computer frei von Viren, Würmern und anderen Arten von böswilligem Code ist.

ProcessGPOs: Calling GetGPOInfo for normal policy mode (GetGPOInfo wird für den normalen Richtlinienmodus aufgerufen)

Dies ist eine Informationsmeldung. Hiermit werden Sie informiert, dass Richtlinien im normalen Modus verarbeitet werden.

ProcessGPOs: Calling GetGPOInfo for replacement user policy mode (GetGPOInfo wird für den Modus "Benutzerrichtlinie ersetzen" aufgerufen)

Dies ist eine Informationsmeldung. Die Meldung wird angezeigt, wenn sich der Computer im Gruppenrichtlinien-Loopbackmodus befindet. Als Gruppenrichtlinie werden die Benutzerrichtlinieneinstellungen der Position des Computerobjekts verwendet; es werden keine Benutzerrichtlinieneinstellungen basierend auf dem Benutzerobjekt in Active Directory berücksichtigt.

ProcessGPOs: Calling GetGPOInfo for merging user policy mode (GetGPOInfo wird für den Modus "Mit Benutzerrichtlinie zusammenführen" aufgerufen)

Dies ist eine Informationsmeldung. Die Meldung wird angezeigt, wenn sich der Computer im Gruppenrichtlinien-Loopbackmodus befindet. Die Gruppenrichtlinie führt die benutzerspezifischen Richtlinieneinstellungen basierend auf der Speicherposition des Benutzerobjekts in Active Directory mit den computerspezifischen Richtlinieneinstellungen auf Basis der Speicherposition der Computerobjekts in Active Directory zusammen.

ProcessGPOs: Extension %s skipped with flags 0x%x. (Erweiterung %s wird mit Flags 0x%x übersprungen)

Diese Meldung zeigt an, dass eine clientseitige Erweiterung übersprungen wurde. Verwenden Sie die Flagwerte, um festzustellen, warum die Erweiterung übersprungen wurde. Hierbei handelt es sich in der Regel um eine Hintergrundverarbeitung, Sie sollten jedoch sicherstellen, dass die Meldung nicht von einem Fehler verursacht wurde.

ProcessGPOs: Extension %s ProcessGroupPolicy failed, status 0x%x. (Erweiterung %s ProcessGroupPolicy fehlgeschlagen, Status 0x%x)

Diese Meldung wird angezeigt, wenn die Ausführung der Erweiterung tatsächlich fehlgeschlagen ist. Verwenden Sie den Befehl net mit dem Rückgabestatus, um die möglichen Ursachen festzustellen. Aktivieren Sie die zusätzliche Protokollierung für die angegebene Erweiterung, um den Fehler genauer einzugrenzen. Denken Sie daran, dass der an ProcessGPOs zurückgegebene Status einem mehr standardisierten Windows-Fehler zugeordnet wird. Im Debuggingprotokoll der Erweiterung werden ggf. spezifischere Fehler angegeben.

ProcessGPOs: Couldn't read status data for %s. Error %d. Ignoring. (Statusdaten für %s konnten nicht gelesen werden. Fehler %d. Wird ignoriert)

Dies ist eine Informationsmeldung. Bei der Meldung scheint es sich zwar um einen Fehler zu handeln, allerdings verarbeitet das Gruppenrichtlinienmodul die Erweiterung automatisch, weil die Statusdaten nicht gelesen werden können, daher wird am Ende der Meldung "Ignoring" (wird ignoriert) angezeigt.

ProcessGPOs: Computer Group Policy has been applied. (Computergruppenrichtlinie wurde angewendet)

ProcessGPOs: User Group Policy has been applied. (Benutzergruppenrichtlinie wurde angewendet)

Hierbei handelt es sich um Informationsmeldungen. Mit diesen Meldungen wird angegeben, dass die Gruppenrichtlinie die Richtlinie nach besten Möglichkeiten angewendet hat. Dies bedeutet, dass keinerlei Fehler aufgetreten sind.

ProcessGPOs: Leaving with %d. (Verlassen mit %d)

Dies ist eine Informationsmeldung. Wenn der Wert nicht 0 ist, ist bei der Anwendung der Richtlinie ein Problem aufgetreten. Die Tatsache, dass die Meldung im Protokoll angezeigt wird, sowie die beiden obigen Meldungen bedeuten, dass die Gruppenrichtlinie in der Lage war, den Fehler erfolgreich zu verarbeiten und dass die Verarbeitung fortgesetzt wurde.

SearchDSObject

SearchDSObject: Searching <%s> (<%s> wird gesucht)

Diese Funktion wird verwendet, um zu ermitteln, welche Richtlinienobjekte sich bei der Anmeldung des Benutzers oder des Computers innerhalb des Bereichs befinden. Der definierte Name (Distinguished Name, DN) des Objekts in Active Directory sollte angegeben werden. Bei dem DN sollte es sich entweder um ein Standortobjekt, ein Domänenobjekt oder ein OU-Objekt handeln. Dies ist die Position in Active Directory, an der das Gruppenrichtlinienmodul nach verknüpften Richtlinienobjekten sucht.

SearchDSObject: Too many linked GPOs in search. (Zu viele verknüpfte GPOs in der Suche)

Bei dieser Fehlermeldung handelt es sich eigentlich nicht um einen Gruppenrichtlinienfehler, sondern um einen LDAP-Fehler, nämlich LDAP_SIZELIMIT_EXCEEDED. Der Wert wird von der Suchanforderung bestimmt.

SearchDSObject: Found GPO(s): <%s> (Gefundene(s) GPO(s): <%s>)

Hier ein Beispiel aus einer Userenv.log-Datei.

SearchDSObject:  Found GPO(s):  <[LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},
CN=Policies,CN=System,DC=corp,DC=mstep,DC=com;0]>

Beachten Sie, dass sich am Ende der Meldung der Wert ;0] befindet. Dieser Wert hat eine Bedeutung und wird bei jeder verknüpften Richtlinie angezeigt. Ermitteln Sie den Wert anhand der nachstehenden Tabelle:

• 0 = Dies ist die Standardeinstellung. Die Richtlinie ist aktiviert.
• 1 = Die Richtlinie ist deaktiviert.
• 2 = die Richtlinie wird erzwungen oder kann nicht außer Kraft gesetzt werden und setzt sich in allen Punkten gegen die Deaktivierung der Richtlinienvererbung durch.
• 3 = Die Einstellungen 1 und 2 sind jeweils aktiviert, daher wird die Richtlinie deaktiviert.

SearchDSObject: <%s> has the Block From Above attribute set (Für <%s> wurde das Attribut "Block From Attribute" festgelegt)

Das Attribut "Block from Attribute" verhindert, dass eine verknüpfte Richtlinie von einem untergeordneten Standort, einer untergeordneten Domäne oder OU geerbt wird. Im Allgemeinen wird dieses Attribut nur auf OU-Ebene festgelegt, die Option steht jedoch überall dort zur Verfügung, wo eine Richtlinien verknüpft werden kann. Die Einstellung wird ebenso wie die mit dem Container verknüpften Richtlinien im eigentlichen Containerobjekt gespeichert. Dieser spezielle Wert kann auch in Verbindung mit dem Attribut "Gpoption" vorgefunden werden. Bei dem Attribut handelt es sich um einen ganzzahligen Wert, der nur zwei Einstellungen aufweist: Null (0) (Standard) gibt an, dass die Richtlinie normal an den Container weitergegeben wurde, und Eins (1) aktiviert die Option Richtlinienvererbung deaktivieren, wodurch verhindert wird, dass Richtlinien aus höheren Ebenen der Struktur auf den Container oder auf Objekte im Container angewendet werden. Eine Richtlinie, für die Kein Außerkraftsetzen oder Erzwingen festgelegt wurde, ignoriert das Flag Richtlinienvererbung deaktivieren und wird angewendet.

RÜCKGABECODES

Dieser Abschnitt enthält die Rückgabecodes, die in Userenv.log enthalten sein können. Anhand dieses Abschnitts können Sie feststellen, was die Codes bedeuten und in welcher Beziehung sie zu den speziellen Funktionen stehen, die diese Codes zurückgeben.

Allgemeine Regeln

Die meisten Funktionen geben wahr, falsch oder einen Statuscode zurück. In dieser Dokumentation wird "wahr" oder "erfolgreich" durch eine 0 und "falsch" oder "nicht erfolgreich" durch eine 1 dargestellt. Statuscodes können unterschiedliche Bedeutungen haben. Im vorliegenden Abschnitt werden die bekanntesten Statusmeldungen dokumentiert.

Für die meisten Rückgabecodes kann nach der Konvertierung von Hexadezimal in Dezimal mithilfe des Befehls net eine Erläuterung gefunden werden. Die Befehlszeilensyntax sieht folgendermaßen aus:

NET HELPMSG Zahl

Meldungen, die mit 0xC oder ähnlich beginnen, funktionieren in der Regel mit dem Befehl net nicht und werden in der Tabelle "Rückgabecodes, die mit dem Befehl "net" nicht umgewandelt werden können" an späterer Stelle in diesem Dokument erläutert.

Rückgabecodes

Rückgabecode	Beschreibung
1332	Nicht zugeordnet. Dies bedeutet in der Regel, dass entweder in der Gruppenrichtlinie oder in der Sicherheitsrichtlinie eine SID angegeben wurde, die in der Domäne nicht mehr gültig ist. Dies passiert normalerweise, wenn in der Domäne ein Benutzer oder eine Gruppe erstellt und einer bestimmten Einstellung zugewiesen wird, der oder die später aus der Domäne gelöscht wird, ohne dass die Richtlinie aktualisiert wird, um den Benutzer oder die Gruppe zu löschen. Normalerweise tritt dies in Verbindung mit einem Benutzer- oder Gruppenkonto und nicht in Verbindung mit einem Computerkonto auf. In der Regel können Sie die Ereignisprotokolle durchsehen und das Ereignis mit dem Rückgabecode 1332 suchen. Die Meldung wird auch als 0x534 dargestellt. Suchen Sie zur Lösung des Problems den Eintrag mit dem Benutzer- oder Gruppennamen oder einer SID, die nicht zu einem Benutzernamen aufgelöst werden kann, und löschen Sie diesen.
1355	Domäne nicht gefunden. Hierbei handelt es sich in der Regel um ein Namensauflösungsproblem, das in den meisten Fällen mit DNS zusammenhängt. Es gibt mehrere Funktionen, die 1355 zurückgeben. Wenn Sie mit einem älteren Betriebssystem wie Windows NT arbeiten, sind diese Meldungen nicht so ernst zu nehmen wie unter den Betriebssystemen Windows 2000, Windows XP oder Windows Server 2003. Eine weitere mögliche Ursache ist NetBIOS. In einigen Umgebungen greifen DNS-Lookups für die Namensauflösung auf einen WINS-Server zu. Wenn Sie sicher sind, dass Sie keine Namensauflösung zulassen, starten Sie eine Netzwerk-Ablaufverfolgung, um festzustellen, von wo der Computer den Kontakt herstellen möchte, und beginnen Sie die Problembehandlung an diesem Punkt. Dieser Fehler wird auch als 0x54b dargestellt.
1722	RPC-Server nicht verfügbar. Dieser Fehler kann mehrere unterschiedliche Bedeutungen haben. Prüfen Sie zunächst, ob ein Problem mit der Namensauflösung vorliegt. Dies ist eine häufige Ursache für diesen Fehler. Verwenden Sie im nächsten Schritt ein Dienstprogramm wie Port Query oder RPC Ping, um sicherzustellen, dass Client und Zielserver miteinander kommunizieren können. Aufgrund der Abhängigkeit von Windows von RPC können alle Fehler in RPC negative Auswirkungen haben. Vergewissern Sie sich, dass wichtige Dienste wie die RPC-Endpunktzuordnung und RPCSS aktiviert sind. Stellen Sie zudem sicher, dass Port 135 nicht gesperrt ist, sodass Clients die Bindung und die Verbindung zur Endpunktzuordnung herstellen können. Abschließend können Sie eine Netzwerk-Ablaufverfolgung durchführen, um sich zu vergewissern, dass keine Probleme mit der RPC-Konnektivität vorliegen. Da der RPC-Verkehr normalerweise verschlüsselt wird, brauchen Sie jemanden, der weiß, wie man in einer Netzwerk-Ablaufverfolgung RPC herausfiltert.
14	Für diesen Vorgang ist nicht genügend Speicher verfügbar. Hierbei handelt es sich in der Regel um ein Ressourcenproblem, das speziell mit der Speicherzuordnung zusammenhängt. Vergewissern Sie sich, dass der Computer über ausreichend Ressourcen zum Erledigen seiner Aufgaben verfügt. Wenn ein gestarteter Prozess das Limit des virtuellen Arbeitsspeichers überschreitet, kann diese Meldung ausgegeben werden. Das Problem lässt sich normalerweise mit einem Neustart lösen, wobei diese Lösung jedoch ggf. nur eine temporäre sein und das Problem weiterhin auftreten kann. Überwachen Sie die Leistung des Computers nach dem Neustart, und versuchen Sie herauszufinden, wodurch die übermäßige Ressourcenauslastung verursacht wird. Verwenden Sie den Systemmonitor, um eine Basislinie sowie Momentaufnahmen der Speichernutzungstrends zu erstellen.
1908	Für die Domäne konnte kein Domänencontroller gefunden werden. Verwenden Sie die gleichen Problembehandlungsmethoden wie für die Fehlermeldung 1355.
5	Zugriff verweigert. Es gibt eine Sicherheitsbeschreibung, die verhindert, dass mit den aktuellen Anmeldeinformationen auf die Ressource zugegriffen werden kann. Es könnte sich auch um Zugriffsrecht handeln, das verweigert wird. Beispielsweise gestattet SeNetworkLogonRight Sicherheitsprinzipalen die Herstellung der Verbindung zum Computer und den Zugriff auf Ressourcen. Wenn ein Benutzer nicht über dieses Recht verfügt, wird der Fehler "Zugriff verweigert" ausgegeben. Prüfen Sie die Berechtigungen für die Ressource. Wenn die Funktion auf die Registrierung zugreift, finden Sie heraus, auf welchen Registrierungsschlüssel zugegriffen werden soll. Wenn versucht wird, auf eine Datei zuzugreifen, prüfen Sie die Zugriffsberechtigungen für die Datei. Nachdem Sie alle Möglichkeiten zur Prüfung von Zugriffsberechtigungen ausgeschöpft haben, prüfen Sie die Sicherheitsrichtlinie auf ordnungsgemäße Rechte.
1115	Computer wird heruntergefahren. Das System wird heruntergefahren. Dieses Ereignis setzt die meisten Ereignisse außer Kraft, die im Betriebssystem auftreten. Wenn der Systemabschluss unerwartet erfolgt, prüfen Sie die Ereignisprotokolle, um herauszufinden, warum das System heruntergefahren wird.
1326	Unbekannter Benutzername oder falsches Kennwort. Prüfen Sie den Benutzernamen und das Kennwort, mit dem Sie angemeldet sind. Wenn das Kennwort geändert wurde, melden Sie sich ab und mit dem neuen Kennwort wieder an, um zu prüfen, ob sich das Problem hiermit beheben lässt.
1753	In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar. Beginnen Sie damit, die Dienste von Drittanbietern zu beenden, da dieser Fehler normalerweise auftritt, wenn eine RPC-Anwendung alle verfügbaren Endpunkte für sich in Anspruch nimmt oder der Server ausgelastet ist. Führen Sie danach die Schritte zur Problembehandlung durch, die in Verbindung mit Fehler 1722 aufgeführt sind.
1317	Der angegebene Benutzer ist nicht vorhanden. Dieser Fehler tritt normalerweise auf, wenn eine SID nicht mehr zu einem Benutzernamen aufgelöst werden kann, weil sie entweder gelöscht wurde, oder weil es sich um die SID aus einer vertrauenswürdigen Domäne handelt, bei der die Vertrauensstellung nicht funktioniert. Es könnte auch sein, dass Sie über einen Benutzernamen verfügen, der nicht in eine SID umgewandelt werden kann. Sie können entweder das Dienstprogramm name2sid.exe oder das Dienstprogramm lua.exe verwenden, um zu prüfen, ob der Benutzername in der aktuellen Domäne und in vertrauenswürdigen Domänen gültig ist.
1398	Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client. Vergewissern Sie sich, dass der Zeitunterschied zwischen Client, Server und KDC nicht mehr als 5 Minuten beträgt. Prüfen Sie zudem, dass Zeitzonen und Datum richtig sind. Prüfen Sie das Ereignisprotokoll auf irgendwelche W32time-Fehler. Kerberos gestattet standardmäßig Zeitunterschiede von bis zu 5 Minuten. Bei sämtlichen Zeitunterschieden, die 5 Minuten überschreiten, wird ein Fehler zurückgegeben.
2	Das System kann die angegebene Datei nicht finden. Diese Meldung ist mit der Fehler 3-Meldung vergleichbar, und die Problembehandlung sollte auf die gleiche Weise erfolgen. Die Meldung weist darauf hin, dass der Computer entweder die angegebene Datei oder den angegebenen Pfad nicht finden kann. Der Fehler tritt auf, wenn Sie versuchen, die Verbindung zu einem ungültigen UNC-Pfad herzustellen (wenn z. B. eine Richtlinie von SYSVOL gelesen werden soll). Suchen Sie den fraglichen Pfad oder die fragliche Datei, und versuchen Sie, mit den ordnungsgemäßen Anmeldeinformationen zu diesem Pfad zu navigieren. Wenn Sie unter dem Computerkontext zu dem Pfad navigieren möchten, geben Sie auf der Befehlszeile /interactive ein. Wenn Sie im Verlauf des Ereignisses eine Netzwerk-Ablaufverfolgung durchführen, erhalten Sie einige nützliche Zusatzinformationen zu dem Problem.
3	Das System kann den angegebenen Pfad nicht finden. Weitere Informationen finden Sie unter Fehler 2.
53	Der Netzwerkpfad wurde nicht gefunden. Diese Meldung weist in der Regel auf ein Problem mit der Namensauflösung hin und bezieht sich in den meisten Fällen auf ein Problem mit der NetBIOS-Namensauflösung. Vergewissern Sie sich, dass der NetBIOS-Cache unter Verwendung des Tools nbtstat nicht den Fehler verursacht. Prüfen Sie zudem, dass sich auf dem Computer keine LMHOSTS-Datei befindet; falls diese Datei vorhanden ist, vergewissern Sie sich, dass sie gültig ist. Stellen Sie abschließend sicher, dass WINS ordnungsgemäß konfiguriert ist. Wenn Sie die NetBIOS-Auflösung erschöpfend geprüft haben, vergessen Sie nicht, die DNS-Auflösung zu prüfen, da auch DNS das Nachschlagen von Namen in WINS beeinflussen kann und umgekehrt. Sie können auch den Pfad feststellen und versuchen, über die IP-Adresse darauf zuzugreifen. Darüber hinaus kann diese Fehlermeldung auch von IPSec erzeugt werden. Wenn IPSec auf einem Computer deaktiviert ist und dieser versucht, mit einem Computer zu kommunizieren, auf dem IPSec aktiviert ist, kann dieser Fehler ebenfalls auftreten.
32	Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Ein anderer Prozess hat die Datei gesperrt und verhindert den Zugriff auf die Datei. Das Problem lässt sich in der Regel durch einen Neustart beheben. Wenn Sie feststellen, dass Sie häufig einen Neustart durchführen müssen, sollten Sie den Prozess ermitteln, der die Datei nicht freigibt. Sie können ein Tool wie OH.exe oder ProcessExplorer von Sysinternals.com verwenden, um den problematischen Prozess zu ermitteln. Nachdem Sie den Prozess ermittelt haben, benötigen Sie Hilfe seitens des Anbieters, um festzustellen, warum der Prozess die Datei nicht freigibt. Vergewissern Sie sich, dass es keine Benutzermodusanwendungen gibt, die den Prozess offen halten. Versuchen Sie zur Behebung des Problems auch, Dienste wie Echtzeitvirenscanner und Agenten zum Öffnen von Dateien zu beenden.

Rückgabecodes, die mit dem Befehl "net" nicht umgewandelt werden können

Rückgabecode	Beschreibung
0xc000015b	Angeforderter Anmeldetyp wurde nicht zugelassen. Windows stellt mehrere Anmeldetypen bereit. Mit der interaktiven Anmeldung erfolgt die Anmeldung an der Konsole des Computers. Mit der Netzwerkanmeldung erfolgt die Herstellung der Verbindung zu einer Ressource auf einem Remotecomputer. Die Funktion hat eine Anmeldung mit bestimmten Anmeldeinformationen angefordert, die für den angeforderten Anmeldetyp nicht gültig sind.
0xc000023c	Das Netzwerk ist nicht verfügbar. Hier liegt ein Netzwerkproblem zugrunde. Beginnen Sie mit der Problembehandlung der grundlegenden Konnektivität. Vergewissern Sie sich bei Verwendung von TCP/IP, dass Adresse, Subnetzmaske und Gateway richtig sind. Ermitteln Sie die Position des Problems mit dem Dienstprogramm Ping, und geben Sie zunächst einen Ping auf den Loopbackadapter, dann auf die IP-Adresse des aktuellen Computers, der das Problem aufweist, anschließend auf das Standardgateway und schließlich auf eine Adresse, die hinter dem Gateway liegt.
0xc000026d	DFS ist nicht verfügbar. Führen Sie eine Problembehandlung der grundlegenden Verbindungsmöglichkeit zu DFS-Freigaben durch. Verwenden Sie wenn möglich einen Netzwerksniffer wie den Netzwerkmonitor, um zu prüfen, ob das Problem vom Server oder vom Client verursacht wird.
0xc00000be	Fehlerhafter Netzwerkpfad. Der Pfad, der zur Herstellung der Verbindung zu einem anderen Computer verwendet wurde, ist ungültig, oder es liegt ein Problem mit der Namensauflösung vor. Prüfen Sie, dass der Pfad keine ungültigen Zeichen aufweist. Suchen Sie im Protokoll nach weiteren Fehlern, die für ein Problem mit der Namensauflösung sprechen. Zu diesen Fehlern gehören 53 und 1355. Versuchen Sie, über die Eingabeaufforderung in dem Pfad ein Verzeichnis zu erstellen, und verwenden Sie hierfür den vollqualifizierten Namen, den NetBIOS-Namen und zuletzt die IP-Adresse selbst. Schließen Sie auch mögliche von IPSec verursachte Fehler aus.
0xc0000064	Benutzer nicht gefunden. In einer Anforderung wurde ein Benutzerkonto angegeben, das sich nicht auf dem System befindet, auf das sich die Funktion bezieht. Vergewissern Sie sich, dass der Benutzer vorhanden ist. Wenn der angeforderte Benutzer in Active Directory vorhanden ist, prüfen Sie, dass die Active Directory-Replikation funktioniert und dass der Benutzer auch auf dem für die Authentifizierung verwendeten Domänencontroller vorhanden ist.
0xc000006a	Falsches Kennwort. Die Funktion hat versucht, ein ungültiges Kennwort für die Anmeldeinformationen zu verwenden, deren Identität angenommen werden sollte oder in deren Kontext gearbeitet werden sollte. Prüfen Sie und vergewissern Sie sich, dass die Active Directory-Replikation funktioniert. Eine Vielzahl dieser Ereignisse kann sich auf ein Dienstkonto beziehen, für das eine Kennwortänderung vorgenommen wurde, wobei der Eintrag auf dem Computer jedoch nicht mit dem neuen Kennwort aktualisiert wurde. Daneben können Kontosperrungen erfolgen, wenn diese Ereignisse häufiger auftreten.
0x80090303	Ziel unbekannt. Dieser Fehler tritt normalerweise auf, wenn eine Sicherheitsfunktion fehlschlägt. Beginnen Sie die Problembehandlung, indem Sie die aufrufende Funktion prüfen und feststellen, welchen Prozess die Gruppenrichtlinie ausführen wollte, als die sicherheitsrelevante Funktion aufgerufen wurde. Prüfen Sie die Ereignisprotokolle, um zu sehen, ob auf dem Computer weitere sicherheitsrelevante Probleme aufgetreten sind, wie nicht angewendete Richtlinien, Probleme mit der Anmeldung oder Aufforderungen zur Eingabe der Anmeldeinformationen, obwohl die Anmeldeinformationen eigentlich in Ordnung sind. Ein weiterer Bereich, in dem dies geprüft werde kann, ist Kerberos, wenn der Name des angeforderten Sicherheitsprinzipals nicht in der Datenbank aufgeführt wird. Führen Sie eine Netzwerk-Ablaufverfolgung durch, um zu prüfen, ob dies die Ursache ist. Aktivieren Sie darüber hinaus die Kerberos-Protokollierung auf dem Zielcomputer.
0x8009030c	Anmeldung verweigert. Gruppenrichtlinien nehmen die Identität des Computers und die des Benutzers an, wenn der Bereich der Richtlinie ermittelt wird, was bedeutet, dass die Gruppenrichtlinien im Namen des Benutzers agieren. Hierbei könnte es sich um ein Computerkonto handeln, dessen Kennwort zurückgesetzt werden muss, oder um ein Benutzerkonto, das ein Problem aufweist. Prüfen Sie in Active Directory, dass das Benutzerkonto ordnungsgemäß eingerichtet ist. Verwenden Sie ein Dienstprogramm wie netdom oder nltest, um das Kennwort des Computerkontos zu prüfen.
0x80090324	Zeitverzerrung. Hierbei handelt es sich mehrheitlich um ein Kerberos-Problem. Vergewissern Sie sich, dass der Zeitunterschied zwischen Client, Server und KDC nicht mehr als 5 Minuten beträgt. Prüfen Sie darüber hinaus, dass auch Zeitzonen und Datum richtig sind. Prüfen Sie das Ereignisprotokoll auf irgendwelche W32time-Fehler. Kerberos gestattet standardmäßig Zeitunterschiede von bis zu 5 Minuten. Bei sämtlichen Zeitunterschieden, die 5 Minuten überschreiten, wird ein Fehler zurückgegeben.
0x80090311	Keine Authentifizierungsautorität. Dies bedeutet in der Regel, dass der Computer keine Verbindung zu einem Domänencontroller herstellen kann (oder, aus der Kerberos-Perspektive, zu einem KDC). Aktivieren Sie zur Behebung dieses Problems die Kerberos-Protokollierung, und führen Sie eine Netzwerk-Ablaufverfolgung durch, um festzustellen, zu welchen DC der Computer zum Zwecke der Authentifizierung versucht, die Verbindung herzustellen. Wenn Sie eine Vertrauensstellung passieren müssen, melden Sie sich mit Netlogon an den Domänencontrollern in beiden Domänen an, und führen Sie wenn möglich eine simultane Ablaufverfolgung durch, um den Fehler besser eingrenzen zu können.

LDAP-FEHLERCODES

Von einigen Meldungen werden LDAP-Fehlercodes zurückgegeben. Sie erkennen diese Fehlercodes daran, dass die Funktion in der Regel mit ldap beginnt.

Fehlercode	Beschreibung
85	Zeitüberschreitung. Überprüfen Sie die Netzwerkkonnektivität. Geben Sie ein Ping auf den Zielcomputer, und prüfen Sie die Antwortzeit. Vergewissern Sie sich, dass der Zielserver auf Port 389 und Port 3268 antwortet, wenn es sich um einen globalen Katalogserver handelt.
82	Lokaler Fehler. Prüfen Sie das Ereignisprotokoll von Active Directory, und vergewissern Sie sich, dass Active Directory auf diesem Computer problemlos ausgeführt wird. Prüfen Sie den Speicherverbrauch sowie die CPU-Zeit von LSASS. Wenn sich im Rahmen dieser Prüfungen keine weiteren Fehler ergeben, aktivieren Sie die Verzeichnisdienstprotokollierung.
53	Ausführung verweigert. Der spezielle Befehl wurde vom LDAP-Server zurückgewiesen. Der direkte Weg zum Auffinden des Problems besteht darin, die Verzeichnisdienstprotokollierung auf dem Zielserver zu aktivieren, der die Fehlermeldung zurückgegeben hat. Mithilfe einer gleichzeitigen Netzwerkmonitor-Ablaufverfolgung können Sie die Anforderung ermitteln, die der Client an den Server übergibt. Die zusätzliche Protokollierung hilft bei der Feststellung, warum der Server die Meldung zurückgibt. Hierbei handelt es sich nicht immer um eine Fehlermeldung. Obwohl es ungewöhnlich ist, kann es vorkommen, dass mit Gruppenrichtlinien eine Anforderung an den Computer gerichtet wird, die dieser nicht erfüllen kann, wodurch der Fehler verursacht wird.
7	Authentifizierungsmethode nicht unterstützt. Prüfen Sie die Authentifizierungsmethode, die für die Herstellung der Verbindung zum Ziel-LDAP-Server verwendet wird. In den meisten Fällen empfiehlt es sich, die Problembehandlung mit Kerberos beginnnen. Aktivieren Sie die Kerberos-Protokollierung auf dem Client und auf dem KDC. Darüber hinaus kann auch eine Netzwerk-Ablaufverfolgung beim Auffinden des Problems helfen.
81	Server heruntergefahren. Der Ziel-LDAP-Server antwortet nicht. Prüfen Sie das Netzwerk, die ordnungsgemäßen LDAP-Ports für den gegebenen Server sowie alle Routerverbindungen. Beginnen Sie mit der Untersuchung des Zustands des Zielservers.

Zum Seitenanfang

Interpretieren der Protokolldateien von Sicherheitseinstellungen

In diesem Thema werden die ersten Schritte bei der Interpretation der Protokolldateien von Sicherheitseinstellungen erläutert.

Verwenden von "Winlogon.log"

Wenn Sie die Protokollierung für die clientseitige Erweiterung für Sicherheitseinstellungen aktivieren, wird im Ordner %SYSTEMROOT%\Security\Logs eine Datei mit Namen Winlogon.log erstellt. Winlogon.log stellt Debugprotokollierungsinformationen für Sicherheitsereignisse und Fehler (Scecli.dll) bereit.

In der Protokolldatei Winlogon.log können Sie nach Fehlern in Verbindung mit der Sicherheitskonfiguration wie den folgenden Ausschau halten:

• Zuordnungsprobleme zwischen Kontonamen und Sicherheitskennungen
• Ungeeignete Berechtigungen für das Ausführen von Aufgaben (Zugriff verweigert)
• Probleme mit Vertrauensstellungen zwischen der primären Domäne und vertrauenswürdigen Domänen
• Erweiterte Fehler. Diese beziehen sich auf generische Fehler, die von einer Reihe unterschiedlicher Probleme verursacht werden können.

Aktualisieren Sie die Richtlinieneinstellungen, um den Richtlinienfehler zu reproduzieren, indem Sie an der Befehlseingabeaufforderung Folgendes eingeben: gpudate /force.

Beispiel

Nachdem Sie die Protokollierung für SceCli aktiviert haben, können Sie die Datei Winlogon.log auf Fehler wie ein Konto prüfen, das einen SceCli-Fehler verursacht, oder eine falsche Richtlinie, die auf den Computer angewendet wird. Beispielsweise können Sie feststellen, ob ein Konto aus einer Richtlinie entfernt oder gelöscht wurde, ob der Kontoname Tippfehler enthält oder ob ein Kontoname von der Richtlinie Eingeschränkte Gruppen nicht aufgelöst wird und dementsprechend die Sicherheitsrichtlinieneinstellungen nicht angewendet werden.

Führen Sie zum Erkennen des problematischen Kontos, der problematischen Einstellung und des problematischen GPOs die folgenden Schritte durch:

1. Wenn Sie das problematische Konto finden möchten, geben Sie Folgendes an der Befehlseingabeaufforderung ein, und drücken Sie die EINGABETASTE:

   find /I "cannot find" %SYSTEMROOT%\security\logs\winlogon.log

   Mit der Ausgabe Find werden problematische Kontonamen identifiziert, wie "Cannot find MichaelAlexander". In diesem Beispiel ist das Benutzerkonto "MichaelAlexander" in der Domäne nicht vorhanden oder weist eine andere Schreibweise wie "MichelleAlexander" auf.

   Stellen Sie fest, warum dieses Konto nicht aufgelöst werden kann. Suchen Sie nach Problemen wie Schreibfehlern, einem gelöschten Konto, einer falschen Richtlinie, die auf diesen Computer angewendet wird, oder einem Problem mit der Vertrauensstellung. Sie können auch zu dem Schluss gelangen, dass das Konto aus der Richtlinie entfernt werden muss.

2. Nachdem Sie das Kontoproblem gefunden haben, können Sie sich mit der Suche nach der betroffenen Richtlinieneinstellung und dem GPO befassen. Geben Sie zu diesem Zweck Folgendes an der Befehlseingabeaufforderung des Computers ein, auf dem der SceCli-Fehler auftritt:

   "c:\>find /i ?<Kontoname>? %SYSTEMROOT%\security\templates\policies\gpt*.*" (ohne die Anführungszeichen).

   Im folgenden Beispiel wird die Syntax des Befehls Find und werden die Ergebnisse dargestellt:

   c:\>find /i "MichaelAlexander" %SYSTEMROOT%\security\templates\policies\gpt*.*

   D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

   D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

   D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelAlexander,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548

   D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM

   Im vorliegenden Fall ist GPT00002.INF die zwischengespeicherte Sicherheitsvorlage des GPOs, das die problematische Sicherheitseinstellung enthält. Hiermit wird zudem auch die problematische Einstellung als SeInteractiveLogonRight identifiziert. Der angezeigte Name für SeInteractiveLogonRight lautet Logon locally.

   Weitere Informationen über die Konstanten von Sicherheitseinstellungen (wie SeInteractiveLogonRight) und den diesen zugeordneten angezeigten Namen (wie Logon locally) finden Sie im Resource Kit von Windows 2000 Server unter "Distributed Systems Guide" (englischsprachig). Die Zuordnung der Konstanten von Sicherheitseinstellungen finden Sie im Abschnitt "User Rights" im Anhang.

3. Nachdem Sie die zwischengespeicherte Sicherheitsvorlage gefunden haben, können Sie feststellen, welches GPO die problematische Einstellung enthält, indem Sie in der zwischengespeicherten Sicherheitsvorlage nach dem Text "GPOPath=" suchen.

   Im vorliegenden Beispiel würde Folgendes angezeigt: GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE. Die GUID des GPOs lautet also {6AC1786C-016F-11D2-945F-00C04FB984F9}.

4. Mithilfe des Tools GPOTool.exe aus dem Resource Kit können Sie den angezeigten Namen der GPO-GUID finden. Geben Sie Folgendes an der Befehlseingabeaufforderung ein, und drücken Sie dann die EINGABETASTE: gpotool /verbose.

   Durchsuchen Sie die Ausgabe nach der GUID, die Sie in Schritt 3 ermittelt haben. Die vier Zeilen, die auf die GUID folgen, enthalten den angezeigten Namen der Richtlinie. Beispiel:

   Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}

   Policy OK

   Details:

   ------------------------------------------------------------

   DC: domcntlr1.wingtiptoys.com

   Friendly name: Default Domain Controllers Policy

Das Tool GPOTool.exe gehört zum Lieferumfang des Resource Kits von Microsoft Windows 2000 Server und steht auch als kostenloser Download unter Gpotool.exe: Group Policy Verification Tool (englischsprachig) auf der Microsoft-Website (https://go.microsoft.com/fwlink/?LinkId=17911) zum Abruf bereit. Weitere Informationen finden Sie im Windows 2000 Server Resource Kit.

Zum Seitenanfang

| Home | Technische Artikel | Community