TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Überprüfen des Gruppenrichtlinieninfrastruktur-Status

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Gruppenrichtlinien stellen eine komplizierte Infrastruktur dar, die Ihnen ermöglicht, Richtlinieneinstellungen für die Remotekonfiguration eines Computers und der Benutzererfahrung innerhalb einer Domäne anzuwenden. Die meisten Ratschläge zur Problembehandlung, wenn die Gruppenrichtlinie nicht wie erwartet funktioniert, stammen von IT-Administratoren. Diese Ratschläge helfen aber nicht, wenn Sie Tausende von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) auf Tausende von Computern und Benutzer anwenden.

In einigen Fällen, in denen sich ein großes Unternehmen über mehrere Länder und Zeitzonen erstreckt, kann es eine deutliche Replikationsverzögerung zwischen Domänencontrollern geben. GPO-Diskrepanzen in den Versionsnummern zwischen dem Gruppenrichtliniencontainer und der Gruppenrichtlinienvorlage oder GPO-Diskrepanzen zwischen verschiedenen Domänencontrollern können aufgrund einer Replikationsverzögerung normal sein. Sie können auch auf ein Problem mit der Gruppenrichtlinie hinweisen. In älteren Versionen von Windows gab es zwar Tools (wie GPOTool.exe) zum Anzeigen der GPO-Replikation, aber sie lieferten inkonsistente Informationen.

In Windows Server 2012 wurde die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verbessert, um einen Bericht zum Gesamtstatus der Gruppenrichtlinieninfrastruktur für eine Domäne bereitzustellen, oder um die Statusanzeige auf ein einzelnes GPO zu konzentrieren.

Auf der (in Windows Server 2012 hinzugefügten) Registerkarte mit dem GPMC-Domänenstatus werden verschiedene Einzelinformationen angezeigt, die auf den Status der Gruppenrichtlinieninfrastruktur im Hinblick auf Domänencontroller, GPO-Replikation und GPO-Versionierung hinweisen. Dieser Status der Gruppenrichtlinieninfrastruktur hilft Ihnen beim Erkennen von Inkonsistenzen und Voraussehen von Problemen.

Inhalt dieses Dokuments

Sie erfahren, woraus ein GPO besteht und wo die Teile des GPO in einer domänenbasierten Umgebung gespeichert werden. Dann erfahren Sie, wie die Statusinformationen der Gruppenrichtlinieninfrastruktur zum Überwachen von Problemen mit der GPO-Replikation verwendet werden und wie Replikationsprobleme weiter untersucht werden können.

Sie können Statusprüfungen der Gruppenrichtlinieninfrastruktur nur mithilfe der GPMC auf Computern ausführen, die Mitglied der Domäne sind und auf denen Folgendes ausgeführt wird:

  • Windows Server 2012 oder Windows Server 2012 R2

  • Windows 8 oder Windows 8.1 mit Remoteserver-Verwaltungstools für Windows 8

Wenn Sie wissen, wie GPOs in einer Domäne gespeichert werden, können Sie die Daten, die auf der Seite mit dem Infrastrukturstatus angezeigt werden, optimal nutzen.

In einer Domäne, die mehrere Domänencontroller enthält, dauert es eine Weile, bis Gruppenrichtlinieninformationen von einem Domänencontroller an einen anderen weitergeleitet oder repliziert werden. Netzwerkverbindungen mit geringer Bandbreite zwischen Domänencontrollern verlangsamen die Replikation. Die Gruppenrichtlinieninfrastruktur verfügt über Mechanismen zum Verwalten dieser Probleme

Jedes GPO wird zum Teil in Active Directory und zum Teil in SYSVOL auf dem Domänencontroller gespeichert. Der Teil des GPO, der in Active Directory gespeichert wird, wird Gruppenrichtliniencontainer genannt, während der Teil des GPO, der in SYSVOL gespeichert wird, Gruppenrichtlinienvorlage genannt wird. GPMC und Gruppenrichtlinienverwaltungs-Editor verwalten das GPO als einzelne Einheit. Wenn Sie beispielsweise Berechtigungen für ein GPO in der GPMC festlegen, legt die GPMC Berechtigungen für Objekte faktisch in Active Directory und SYSVOL fest. Sie sollten diese separaten Objekte nicht unabhängig außerhalb von GPMC und dem Gruppenrichtlinienverwaltungs-Editor manipulieren. Es ist wichtig, zu verstehen, dass diese zwei separaten Features eines GPO auf verschiedenen Navigationsmechanismen beruhen. Der Dateisystemteil, Gruppenrichtlinienvorlage, wird durch Replikation des verteilten Dateisystems (Distributed File Service Replication, DFS-R) oder Dateireplikationsdienst (File Replication Service, FRS) unabhängig von der Replikation, die durch Active Directory im Gruppenrichtliniencontainer abgewickelt wird, repliziert.

Die Synchronisierung zwischen den in Active Directory gespeicherten GPO-Daten (Gruppenrichtliniencontainer) und den in SYSVOL gespeicherten GPO-Daten (Gruppenrichtlinienvorlage) kann temporär aussetzen. Grund hierfür sind die Unterschiede in den Replikationsschemas, die von Active Directory und DFS-R bzw. FRS verwendet werden

Die Gruppenrichtlinie bietet ein Framework, das die Gruppenrichtlinienverwaltung um zusätzliche Features erweitert. Diese Komponenten werden als Gruppenrichtlinien-Snap-ins oder Erweiterungen bezeichnet. Für Gruppenrichtlinienerweiterungen, die Daten nur in einem Datenspeicher (entweder Active Directory oder SYSVOL) speichern, ist dies kein Problem, und die Gruppenrichtlinie wird angewendet, sobald sie gelesen werden kann. Diese Erweiterungen umfassen Verwaltungsvorlagen, Skripts, Ordnerumleitung und die meisten Sicherheitseinstellungen.

Für alle Gruppenrichtlinienerweiterungen, die Daten an beiden Speicherorten speichern (Active Directory und SYSVOL), muss die Erweiterung die Möglichkeit, dass die Daten nicht synchronisiert sind, entsprechend verarbeiten. Dies gilt auch für Erweiterungen, die mehrere atomische Objekte in einem einzelnen Speicher benötigen, da kein Speicherort Transaktionen verarbeitet.

Ein Beispiel für eine Erweiterung, die Daten in Active Directory und SYSVOL speichert, ist die Softwareinstallation. Die Skriptdateien werden in SYSVOL gespeichert, und die Windows Installer-Paketdefinition wird in Active Directory gespeichert. Wenn das Skript vorhanden ist, die entsprechenden Active Directory-Features aber fehlen, erfolgt keine Aktion. Wenn die Skriptdatei fehlt, das Paket aber in Active Directory bekannt ist, schlägt die Installation fehl und wird bei der nächsten Verarbeitung der Gruppenrichtlinie wiederholt.

Die Tools, die zum Verwalten von Active Directory und Gruppenrichtlinien verwendet werden, z. B. GPMC, der Gruppenrichtlinienobjekt-Editor und Active Directory-Benutzer und -Computer, kommunizieren über Domänencontroller. Wenn mehrere Domänencontroller verfügbar sind, dauert es möglicherweise länger, bis Änderungen, die an Objekten (Benutzern, Computern, Organisationseinheiten und GPOs) vorgenommen werden, auf anderen Domänencontroller angezeigt werden. Je nachdem, auf welchem Domänencontroller zuletzt Änderungen vorgenommen wurden, und auf welchem Domänencontroller die Daten aktuell angezeigt werden, kann der Administrator vielleicht unterschiedliche Daten sehen.

Idealerweise sollten Sie proaktiv sicherstellen, dass alle GPOs innerhalb einer Domäne konsistent sind. In der Vergangenheit wurde GPOTool.exe für diese Überprüfung verwendet. GPOTool.exe kann allerdings nur die Werte in der Datei GPT.ini überprüfen und so lediglich angeben, ob die Versionen in Gruppenrichtliniencontainer und Gruppenrichtlinienvorlage auf den einzelnen Domänencontrollern synchronisiert sind.

In Windows Server 2012 und Windows Server 2012 R2 enthält die GPMC jetzt eine umfassendere Replikationsüberprüfung, als zuvor mit GPOTool.exe möglich war.

Windows Server 2012 enthält ein grafisches Berichterstellungsfeature in GPMC, mit dem Sie einen Basisdomänencontroller für den Vergleich auswählen können. Sie sehen den aktuellen Gruppenrichtlinien-Replikationsstatus zusammen mit Synchronisierungsdetails, wenn ein Vergleich eine Abweichung vom Basisdomänencontroller findet.

System_CAPS_importantWichtig

Sie können den Statusbericht für die Gruppenrichtlinieninfrastruktur nur von der GPMC aus ausführen. Sie können diesen Bericht nicht planen, und es gibt kein Windows PowerShell oder ein anderes Befehlszeilenäquivalent.

Der Bericht bleibt zwischen GPMC-Sitzungen nicht bestehen. Schließen Sie die GPMC erst, wenn der Berichtssammelvorgang abgeschlossen wurde, um den Verlust der Berichtsinformationen zu vermeiden.

So erstellen und analysieren Sie einen Infrastrukturstatusbericht

  1. Führen Sie einen Infrastrukturstatusbericht für eine Domäne oder ein GPO aus:

    1. Für eine gesamte Domäne: Klicken Sie in der GPMC-Konsolenstruktur auf den Namen der Domäne, für die Sie den Replikationsstatus aller GPOs überprüfen möchten.

    2. Für eine gesamte Domäne: Gehen Sie in der GPMC-Konsolenstruktur zum Container der Gruppenrichtlinienobjekte. Erweitern Sie den Container der Gruppenrichtlinienobjekte, und klicken Sie auf das GPO, für das Sie den Replikationsstatus überprüfen möchten.

  2. Klicken Sie im Ergebnisbereich auf die Registerkarte Status.

  3. Klicken Sie auf die Schaltfläche Jetzt ermitteln, um den Infrastrukturstatus aller Domänencontroller in dieser Domäne abzurufen.

Um die Konsistenz zwischen dem Basis- und jedem einzelnen Domänencontroller zu validieren, vergleicht die GPMC die in Active Directory (Gruppenrichtliniencontainer) gespeicherten Gruppenrichtlinieninformationen und vergleicht separat die in SYSVOL (Gruppenrichtlinienvorlage) auf allen Domänencontrollern in der ausgewählten Domäne gespeicherten Gruppenrichtlinieninformationen.

Es folgt eine Liste der durchgeführten Vergleiche:

  • ACL für jeden Gruppenrichtliniencontainer

  • Versionsnummernattribut jeder Gruppenrichtlinienvorlage

  • Anzahl der Gruppenrichtliniencontainer-Objekte

  • ACL auf jeder Gruppenrichtlinienvorlage

  • In der Datei "gpt.ini" in jedem Gruppenrichtliniencontainer gespeicherte Versionsnummer

  • Anzahl der Gruppenrichtlinienvorlagen-Ordner und -Dateien

  • Dateihash für jede Datei in Gruppenrichtlinienvorlagen-Ordnern

Wenn während des Sammelvorgangs für den Statusbericht der Gruppenrichtlinieninfrastruktur die GPMC einen Domänencontroller nicht kontaktieren kann, oder wenn ein Domänencontroller nicht mit dem Basisdomänencontroller konsistent ist, wird der fragliche Domänencontroller der Liste Domänencontroller mit Replikation, die momentan ausgeführt wird hinzugefügt.

So überprüfen Sie die GPO-Replikationskonsistenz für alle Domänencontroller

  1. Wenn der Sammelvorgang für den Statusbericht zur Infrastruktur abgeschlossen ist, klicken Sie auf die Registerkarte Status, und vergewissern Sie sich, dass im Abschnitt Statusdetails keine Domänencontroller aus der Liste Domänencontroller mit Replikation, die momentan ausgeführt wird aufgeführt sind.

  2. Die Gruppenrichtlinienanwendung erfordert, dass Clients auf angegebene Server zugreifen, darunter Domänencontroller und andere Server, z. B. solche zur Freigabe von Dokumenten, und die als Installationspunkte dienen. Die Gruppenrichtlinienverwaltung benötigt außerdem Zugriff auf Domänencontroller.

    Wird für einen Domänencontroller unter Statusdetails im Abschnitt Domänencontroller mit Replikation, die momentan ausgeführt wird der Status Zugriff nicht möglich angezeigt, überprüfen Sie Folgendes:

    1. Der Domänencontroller funktioniert und der Zugriff über das Netzwerk ist möglich.

    2. Die Ereignisprotokolle und Betriebsprotokolle des Domänencontrollers melden keine Fehler, die dazu führen können, dass der Server nicht auf Netzwerkanforderungen reagiert.

    3. SYSVOL und Active Directory sind über den als unzugänglich aufgelisteten Domänencontroller verfügbar.

  3. Wird ein Domänencontroller aufgrund von Inkonsistenzen im Gruppenrichtliniencontainer-Teil des GPO in Domänencontroller mit Replikation, die momentan ausgeführt wird aufgelistet, lesen Sie die Informationen unter „Schritt 3: Überprüfen von Active Directory-Replikationsproblemen.

  4. Wird ein Domänencontroller aufgrund von Inkonsistenzen im Gruppenrichtlinienvorlage-Teil des GPO in Domänencontroller mit Replikation, die momentan ausgeführt wird aufgelistet, lesen Sie die Informationen unter Schritt 4: Überprüfen von Dateidienst-Replikationsproblemen.

Eingehende oder ausgehende Replikationsfehler können dazu führen, dass Active Directory-Objekte, die die Replikationstopologie, den Replikationszeitplan, Domänencontroller, Benutzer, Computer, Kennwörter, Sicherheitsgruppen, Gruppenmitgliedschaften und Gruppenrichtlinien darstellen, zwischen Domänencontrollern inkonsistent sind.

Wenn Sie glauben, dass ein Problem mit der Active Directory-Replikation vorliegt, finden Sie Informationen zur Funktionsweise dieser Mechanismen und zur Problembehandlung in den Ressourcen zu folgenden Themen:

Der Gruppenrichtlinienvorlage-Teil der Gruppenrichtlinie befindet sich in SYSVOL. Die Gruppenrichtlinie hängt davon ab, dass die SYSVOL-Replikation ordnungsgemäß funktioniert, und dass die Gruppenrichtlinienvorlage zwischen Domänencontrollern in einer Domäne konsistent bleibt. Die SYSVOL-Replikation hängt von der DFS-R oder dem FSR ab, je nachdem, wie Sie Ihre Domänencontroller konfiguriert haben.

Wenn Sie glauben, dass ein Problem mit der SYSVOL-Replikation vorliegt, finden Sie Informationen zur Funktionsweise dieser Mechanismen und zur Problembehandlung in den Ressourcen zu folgenden Themen:

Anzeigen:
© 2016 Microsoft