Domänencontroller: die Gruppenrichtlinie für das Computerkonto wird nicht geladen.

Laurenzis · 8. Februar 2019

Um das zu analysieren musst Du zunächst einmal schauen, von welchem der beiden DC sich Dein Windows 10 Rechner gerade versucht die Informationen zu ziehen. Das macht er nämlich nicht zwingend vom PDC! Die Rechte müssen entsprechend in den Vereichnissen beider DC gesetzt werden - sowohl im PDC als auch im BDC. Von daher, schau bitte mal, welcher Dein aktueller "Anmeldeserver" ist, dann kann man das weiter betrachten.

Gruß,

Lauri

Nachtrag: Ich habe Dein Problem gerade mal gegoogelt und siehe da - wir sprechen exakt vom Thema "Sysvol-Replication". Dieses ruft das von Dir beschriebene Problem hervor. Daher mein Tip: Lese Dich bitte zu diesem Thema auf den einschlägigen Seiten bzgl. Sysvol-Replication unter Samba und grundsätzlich zum Thema "Sysvol-Replication im AD" ein. Sobald Du dieses Problem behoben hast, ist auch Dein Anmeldeproblem erledigt. Genau genommen weiss Deine Replication derzeit nicht, welcher Deiner beiden DC gerade den Master für Dein Sysvol darstellt und es gibt wohl Unterschiede zwischen den Verzeichnissen bei denen nicht klar ist, welche von beiden jetzt die zu replizierenden, korrekten, Änderungen sind.

orkan95 · 8. Februar 2019

Ah, verstehe.

Wie finde ich raus, welches der Anmeldeserver ist?

Jedenfalls hab ich die Rechte auf dem BDC nun entsprechend gesetzt. Test per Anlegen und Löschen von Dateien war erfolgreich.

Trotzdem bleibt der Fehler beim Lesen der Gruppenrichtlinien.

Noch ne Idee?

Übrigens schrieb der QNAP-Support auf meine entsprechende Fehlermeldung, dass QNAP GPO nicht unterstützen würde, ich einen Microsoft ADS bräuchte und haben auf

https://www.qnap.com/de-de/how…der-domaincontroller-ist/ verwiesen. Ist das tatsächlich so? Mir klingen die früheren Posts so, als würde GPO mit PDC/BDC ausschließlich auf QNAP NAS funktionieren...

Laurenzis · 8. Februar 2019

Schau Dir bitte mal meinen Nachtrag an, dann siehst Du, wo das eigentliche Problem liegt. Zwischen 2 Samba-Servern wird keine automatische Sysvol-Replication durchgeführt, das musst Du manuell machen - Hinweise dazu findest Du im Samba-Wiki. Grundsätzlich kann ich Dir sagen, wenn Du das korrekt einrichtest, dann funktioniert das (ich habe ja selber ein Samba-AD mit mehreren DC am laufen und habe die Replication manuell eingerichtet). Mein Tip, solltest Du das AD erst neu eingerichtet haben:

- Lösche Dein aktuelles AD samt den entsprechenden Sysvol-Verzeichnissen auf den beiden NAS

- Lies Dir durch, was für die Replication unter Samba-Servern notwendig ist

- Richte auf der 1ten NAS das AD komplett neu ein

- Lege den functional-level für Dein AD fest (das musst Du im CLI machen)

- Lege Deine Zugriffsrechte für /sysvol und /netlogon fest

- TESTE Dein AD auf dem 1ten DC - AUCH nach einem Reboot!!!

- Wenn alles läuft, richte Deinen 2ten DC ein

- Lege die Zugriffsrechte für /sysvol und /netlogon exakt wie auf dem 1ten DC an

- richte die sysvol-replication wie im Samba-Wiki beschrieben ein

Wichtig: Je nachdem wie Du die Sysvol-Replication einrichtest, solltest Du GPO immer nur auf einem DC einrichten - auf den 2ten werden diese dann per replication verschoben. Das ist derzeit leider eine der Einschränkungen, wenn Du Dein AD nur unter Samba laufen lässt.

Noch ein kleiner Hinweis: Die Sysvol-Replication hat absolut nichts mit der AD-Replication zwischen den DC zu tun - das sind 2 völlig verschiedene Themen die beide, völlig unabhängig voneinander, funktionieren müssen. Die AD-Replication funktioniert auch zwischen 2 Samba-Servern völlig einwandfrei - daran muss, im Regelfall, nichts getan werden. Man sollte sie lediglich nach der Einrichtung des 2ten DC mal testen (das geht allerdings auch nur mittels CLI).

Gruß,

Lauri

orkan95 · 8. Februar 2019

ohje, jetzt überforderst Du mich. Bin diesebzgl ein Rookie. Was ist CLI? Was ist functional level? Wo genau finde ich denn eine Anleitung, die mir beschreibt, wie ich das alles genau mache?

Ehrlich gesagt würde ich ungerne die AD löschen. Ich vermute, dass ich dann alle Zugriffsrechte auf dem NAS neu einrichten müsste, richtig? Das wäre sehr viel Arbeit. Lieber wäre es mir, wenn ich es auf dem PDC reparieren könnte. Den BDC neu aufzusetzen wäre kein Problem. Der läuft nur zum Zweck von Backups.

Ich freue mich auf weitere Hilfe...

Laurenzis · 8. Februar 2019

Damit sind wir leider wieder bei einem leidigen Thema: AD ohne wirkliches Wissen wie das funktioniert. Es ist naürlich richtig, dass die Zugriffsrechte alle weg sind, sobald Du das AD löschst. Erst einmal zu Deinen Fragen:

- CLI = Command Line Interface (sprich, wenn Du Dich z.B. per Putty auf Deine NAS verbindest erhältst Du eine Linux-Shell in der Du Befehle eingeben kannst, ähnlich der Eingabeaufforderung von Windows)

- Functional-Level = Im AD hast Du grundlegend 2 functional Level, 1 für die "domain" und 1 für Deinen "forest". In aller Regel werden diese gleich gesetzt und stellen Dir unterschiedliche AD-Funktionalitäten zur Verfügung. Mit den unterschiedlichen Serverversionen von M$ wurden auch unterschiedliche (erweiterte) functional-level eingeführt mit denen Du dann Zugriff auf erweiterte Funktionalitäten innerhalb Deines AD erhältst. Je nachdem was Du mit Deinem AD anstellen und welche Funktionen Du nutzen möchtest, musst Du dieses 1x auf Deinem PDC einstellen (so gibt es z.B. 2003, 2008, 2008R2, 2012, 2016, 2019 - wobei Samba derzeit nur die Level bis 2016 unterstützt). Bei der Einrichtung eines PDC unter Windows wirst Du im übrigen direkt nach dem Funktional-Levels gefragt, bei Samba ist dieser, je nach Version, voreingestellt, kann aber (auch nachträglich) geändert werden.

Anleitungen (auf englisch) erhältst Du zu diesem Themen im Samba-Wiki und würden hier, innerhalb eines Foren-Threads, etwas zu weit führen - zumal das sehr sehr individuell ist. Leider komme ich im Moment auch nicht dazu, mein Blog bzgl. Samba auf dem Raspberry Pi weiter zu schreiben - da ist nämlich genau dieses Thema (AD auf mehreren Samba-Servern) Kern des Blogs. Unabhängig davon, dass Du das auf 2 NAS machen möchtest ist unter der Haube genau das selbe was passiert: Du hast mehrere Samba-Server die ein AD zur Verfügung stellen. Von daher wäre mein Vorschlag, dass Du im Samba-Wiki mal nach dem Thema "sysvol-replication" suchst, das wird dort extra beschrieben.

Deinen BDC "einfach löschen" kannst Du natürlich, musst dann aber im AD noch einiges machen. So müssen die Einträge für den BDC sowohl aus den AD-Informationen, als auch aus dem DNS vollständig entfernt werden. Auch dies ist übrigens im Samba-Wiki ausführlich erklärt. Da Du hier einige Schritte durchführen musst (und auch die Einbindung des DNS ins AD exakt kennen musst) wäre es tatsächlich leichter, beide Samba-Server neu aufzusetzen. Ich kann Dir zwar gerne die grundlegenden Schritte auflisten, allerdings besteht (ohne Hintergundwissen) dabei ein hohes Risiko, dass Du dabei Dein AD zerlegst ohne das direkt zu merken und stösst dann später auf mehr oder weniger unlösbare Probleme.

Gruß,

Lauri

orkan95 · 8. Februar 2019

Verstehe. Trotzdem ganz lieben Dank für Deine Zeit!!!

Was ich allerdings nicht verstehe ist, warum das nicht von vornherein funktioniert, wenn man die Domäne aufsetzt. Dabei hat sogar der QNAP Support geholfen, weil das wohl zu der Zeit buggy war. Ok, das dürfte dann auch der Grund dafür sein, dass ich jetzt auf die nächsten Probleme stoße. Sehr frustrierend...

Laurenzis · 8. Februar 2019

Wie gesagt, grundsätzlich ist das Thema "AD" kein QNAP-Thema sondern ein Samba-Thema. QNAP stellt zwar (mittels einer Oberfläche) den Benutzern eine Möglichkeit zur Verfügung, ein AD rudimentär einzurichten, aber alles weitere muss der Benutzer dann selbst machen. Wie gesagt, auch wenn Du Samba unter Linux komplett selbst installierst, funktioniert die Sysvol-Replication nicht - das musst Du komplett selbst machen. Sprich, ob das nun auf einer NAS oder auf einer selbst installierten Linux-Maschine läuft - ab diesem Moment kommst Du nicht umhin, diese Einstellungen selbst vorzunehmen. Da es unterschiedlichste Installationen gibt, kann Dir ab dieser Stelle auch QNAP nichts zur Verfügung stellen - das wäre an dieser Stelle auch völlig unseriös. Damit das automatisch funktioniert, muss Samba ran. Das steht zwar auch auf deren Roadmap - aber wann das umgesetzt wird, steht in den Sternen. Unterm Strich darf man nicht vergessen, dass die meisten Entwickler bei Samba unentgeltlich in Ihrer Freizeit daran arbeiten. Man kann natürlich Änderungen bei Samba "kaufen" - sprich, die Entwicklungszeit dafür bezahlen, aber da ist es für Dich definitiv billiger, Dir 2 Windows-Maschinen inkl. der Lizenzen hinzustellen

Bei der ganzen Sache ist eines ganz wichtig: Samba ist nichts anderes als ein "Reverse-Engineering" vom Active-Directory. Da steht nicht etwa M$ hintendran und sagt den Jungs was sie machen müssen - das müssen die selbst herausfinden - und dafür läuft es wirklich gut. Aber perfekt und zu 100% identisch zu "echten" Windows-Servern ist es halt eben nicht. Aber immerhin so gut, dass so ziemlich jeder Hersteller von Linux-Geräten Samba nutzt, um Netzwerkshares für Windows zur Verfügung zu stellen.

Gruß,

Lauri

Domänencontroller: die Gruppenrichtlinie für das Computerkonto wird nicht geladen.

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

Zu hohe RAM Auslastung! Wie finde ich den Schuldigen?

AppCenter - Kodi

Fenstergröße speichern?

Kein Zugriff auf Einzellaufwerk

Alert: Massive Zugriffs- oder Einbruchsversuche auf dem QNAP-NAS von außen

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur