Die Anwendung einer Gruppenrichtlinie erzeugt Userenv-Fehler und Ereignisse bei Computern, auf denen Windows Server 2003, Windows XP, oder Windows 2000 ausgeführt wird

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 887303 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
887303 Applying Group Policy causes Userenv errors and events to occur on your computers that are running Windows Server 2003, Windows XP, or Windows 2000
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Es können ein oder mehrere Fehler und Ereignisse auftreten, wenn eine Gruppenrichtlinie auf Computer in Ihrem Netzwerk angewendet wird. Um den Grund für dieses Problem zu finden, müssen Sie die Konfiguration der Computer in Ihrem Netzwerk überprüfen. Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Überprüfen Sie die DNS-Einstellungen und Netzwerkeigenschaften auf den Server- und Clientcomputern.
  2. Überprüfen Sie die SMB-Einstellungen (Server Message Block = SMB) auf den Clientcomputern.
  3. Stellen Sie sicher, dass das TCP/IP-NetBIOS-Hilfsprogramm, der Net Logon-Dienst, und der Dienst Remoteprozeduraufruf (RPC = Remote Procedure Call) auf allen Computern gestartet sind.
  4. Stellen Sie sicher, das der DFS-Dienst (DFS = Distributed File System) auf allen Computern aktiviert ist.
  5. Überprüfen Sie die Inhalte und die Berechtigungen des Ordners "Sysvol".
  6. Stellen Sie sicher, dass die Berechtigungen zum Umgehen der Wechselprüfung für die benötigten Gruppen erteilt sind.
  7. Stellen Sie sicher, dass es auf den Domänencontrollern nicht zu einem Journalumbruch gekommen ist.
  8. Führen Sie den Befehl dfsutil /purgemupcache aus.

Problembeschreibung

Eines oder mehrere der folgenden Symptome treten auf einem Computer auf, auf dem Microsoft Windows Server 2003, Microsoft Windows XP oder Microsoft Windows 2000 ausgeführt wird:
  • Gruppenrichtlinieneinstellungen werden nicht auf die Computer angewendet.
  • Die Replikation der Gruppenrichtlinie wird zwischen den Domänencontrollern und dem Netzwerk nicht abgeschlossen.
  • Sie können Snap-Ins für Gruppenrichtlinien nicht öffnen. Beispielsweise können Sie das Snap-In "Sicherheitsrichtlinie" des Domänencontrollers oder das Snap-In "Sicherheitsrichtlinie für Domänen" nicht öffnen.
  • Wenn Sie versuchen, ein Snap-In für Gruppenrichtlinien zu öffnen, wird möglicherweise eine der folgenden Fehlermeldungen angezeigt (sinngemäß):
    Das Gruppenrichtlinienobjekt konnte nicht geöffnet werden. Möglicherweise verfügen Sie nicht über die erforderlichen Rechte.
    Details: Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.
    Sie haben nicht die Berechtigung diesen Vorgang auszuführen.
    Details: Zugriff verweigert.
    Das Gruppenrichtlinienobjekt konnte nicht geöffnet werden. Möglicherweise verfügen Sie nicht über die erforderlichen Rechte.
    Details: Der angegebene Pfad kann nicht gefunden werden.
  • Wenn Sie versuchen, auf freigegebene Dateien auf einem Domänencontroller zuzugreifen, erhalten Sie folgende Fehlermeldung (sinngemäß): Dieses Symptom tritt auch auf, wenn Sie am Server angemeldet sind, und Sie versuchen, auf eine lokale Freigabe zuzugreifen. Insbesondere betrifft das Symptom auch den Zugang zur SYSVOL-Freigabe eines Domänencontrollers.
  • Wenn Sie versuchen, auf eine Dateifreigabe zuzugreifen, werden Sie wiederholt nach einem Kennwort gefragt.
  • Wenn Sie versuchen, auf eine Dateifreigabe zuzugreifen, wird möglicherweise eine Fehlermeldung angezeigt, die einer der folgenden ähnelt:
    \\Auf Servername\Sharename kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Setzen Sie sich mit dem Administrator dieses Servers in Verbindung, um herauszufinden, ob Sie über Berechtigungen verfügen.
    Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.
    \\Auf Servername\Sharename kann nicht zugegriffen werden.
    Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden.
    Der Netzwerkpfad wurde nicht gefunden.
Wenn Sie sich das Anwendungsprotokoll in der Ereignisanzeige von Windows XP oder Windows Server 2003 ansehen, sehen Sie Ereignisse, die den folgenden ähneln:
Typ: Fehler
Quelle: Userenv
Kategorie: Keine
Ereignis-ID: 1058
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: Benutzername
Computer: Computername
Beschreibung: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Richtlinien,CN=System,DC=Domänenname,DC=com. kann nicht zugegriffen werden. Die Datei muss im Pfad <\\Domänenname.com\sysvol\Domänenname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini> vorhanden sein. (Fehlermeldung). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://support.microsoft.com.
Die Fehlermeldung, die im Platzhalter Fehlermeldung der Ereignis-ID 1058 erscheint, kann jede der folgenden Fehlermeldungen sein:
  • Der Netzwerkpfad wurde nicht gefunden.
  • Zugriff verweigert.
  • Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Der Computer ist entweder nicht verfügbar, oder der Zugriff wurde verweigert.
Typ: Fehler
Quelle: Userenv
Kategorie: Keine
Ereignis-ID: 1030
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: Benutzername
Computer: Computername
Beschreibung: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Bisher wurde eine Fehlermeldung dieser Art im Richtlinienmodul protokolliert. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://support.microsoft.com.
Wenn Ereignis-ID 1058 und Ereignis-ID 1030 auftreten, werden diese in der Regel von Clientcomputern und Mitgliedsservern beim Start des Computers protokolliert. Domänencontroller protokollieren diese Ereignisse alle 5 Minuten.

Wenn Sie sich das Anwendungsprotokoll in der Ereignisanzeige auf einem Computer ansehen, auf dem Windows 2000 ausgeführt wird, sehen Sie Ereignisse, die den folgenden ähneln:
Typ: Fehler
Quelle: Userenv
Kategorie: Keine
Ereignis-ID: 1000
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: Computername
Beschreibung: Auf die Registrierungsinformationen bei \\Domänenname.com\sysvol\Domänenname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol mit (Fehlercode) kann nicht zugegriffen werden.
Der Fehlercode, der im Platzhalter Fehlercode der Ereignis-ID 1000 erscheint, kann jede der folgenden Fehlermeldungen sein:
  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Ursache

Diese Probleme treten auf, wenn sich Computer, die sich in Ihrem Netzwerk befinden, nicht mit einem bestimmten Gruppenrichtlinienobjekt verbinden können. Genauer gesagt, befinden sich diese Objekte im Ordner "Sysvol" Ihres Netzwerkdomänencontrollers.

Lösung

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Um dieses Problem zu lösen, müssen Sie die Fehler in der Konfiguration Ihres Netzwerkes suchen, um den Grund für dieses Problem zu finden, und dann die Konfiguration korrigieren. Führen Sie die folgenden Schritte durch, um dieses Problem zu beheben:

Schritt 1: Überprüfen Sie die DNS-Einstellungen und Netzwerkeigenschaften auf den Server- und Clientcomputern.

In den "Eigenschaften von LAN-Verbindung" muss "Client für Microsoft-Netzwerke" auf allen Servern und Clientcomputern aktiviert sein. Die Datei- und Druckerfreigabe für Microsoft-Netzwerke muss auf allen Domänencontrollern aktiviert sein.

Zusätzlich muss jeder Computer im Netzwerk DNS-Server verwenden, die SRV-Datensätze und Hostnamen für die Active Directory-Struktur auflösen können, in denen der Computer Mitglied ist. Ein häufiger Konfigurationsfehler ist, dass der Clientcomputer die DNS-Server verwendet, die zu Ihrem Internetdienstanbieter (Internet Service Provider, ISP) gehören.

Überprüfen Sie auf allen Computern, die Userenv-Fehler protokolliert haben, die DNS-Einstellungen sowie die Netzwerkeigenschaften. Zusätzlich sollten Sie die Einstellungen aller Domänencontroller überprüfen, unabhängig davon, ob sie Userenv-Fehler protokollieren.

Gehen Sie folgendermaßen vor, um die DNS-Einstellungen sowie die Netzwerkeigenschaften auf Computern in Ihrem Netzwerk zu überprüfen, auf denen Windows XP ausgeführt wird:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Falls in der Systemsteuerung die Kategorieansicht aktiviert ist, klicken Sie auf Zur klassischen Ansicht wechseln.
  3. Doppelklicken Sie auf Netzwerkverbindungen, klicken Sie mit der rechten Maustaste auf LAN-Verbindung, und klicken Sie anschließend auf Eigenschaften.
  4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Client für Microsoft-Netzwerke.
  5. Klicken Sie auf Internetprotokoll (TCP/IP) und anschließend auf Eigenschaften.
  6. Wenn Folgende DNS-Serveradressen verwenden ausgewählt ist, vergewissern Sie sich, dass die IP-Adressen für den bevorzugten und alternativen DNS-Server die IP-Adressen der DNS-Server sind, die SRV-Datensätze und Hostnamen für die Active Directory-Struktur auflösen können. Insbesondere darf der Computer nicht die DNS-Server verwenden, die zu Ihrem Internetdienstanbieter (ISP) gehören. Wenn die Adressen des DNS-Servers nicht richtig sind, geben Sie die der korrekten DNS-Server in die Felder Bevorzugter Server und Alternativer DNS-Server ein.
  7. Klicken Sie auf Erweitert und anschließend auf die Registerkarte DNS.
  8. Aktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren, klicken Sie dann drei Mal auf OK.
  9. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
  10. Geben Sie ipconfig /flushdns ein, und drücken Sie die [EINGABETASTE]. Geben Sie ipconfig /registerdns ein, und drücken Sie die [EINGABETASTE].
  11. Führen Sie einen Neustart des Computers durch, damit Ihre Änderungen wirksam werden.
Gehen Sie folgendermaßen vor, um die DNS-Einstellungen sowie die Netzwerkeigenschaften auf Computern in Ihrem Netzwerk zu überprüfen, auf denen Windows 2000 ausgeführt wird:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie auf Systemsteuerung.
  2. Doppelklicken Sie auf Netzwerkverbindungen.
  3. Klicken Sie mit der rechten Maustaste auf LAN-Verbindung, und klicken Sie anschließend auf Eigenschaften.
  4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Client für Microsoft-Netzwerke.
  5. Wenn der Computer ein Domänencontroller ist, klicken Sie auf das Kontrollkästchen Datei- und Druckerfreigabe für Microsoft-Netzwerke.

    Hinweis: Auf mehrfach vernetzten RAS-Servern (Remote Access Service) und Servern, die auf Microsoft Internet Security and Acceleration (ISA) basieren, können Sie für den mit dem Internet verbundenen Netzwerkadapter die Datei- und Druckerfreigabe für Microsoft-Netzwerke deaktivieren. Der Client für Microsoft-Netzwerke muss dagegen für alle Netzwerkadapter des Servers aktiviert sein.
  6. Klicken Sie auf Internetprotokoll (TCP/IP) und anschließend auf Eigenschaften.
  7. Wenn Folgende DNS-Serveradressen verwenden ausgewählt ist, vergewissern Sie sich, dass die IP-Adressen für den bevorzugten und alternativen DNS-Server die IP-Adressen der DNS-Server sind, die SRV-Datensätze und Hostnamen für die Active Directory-Struktur auflösen können. Insbesondere darf der Computer nicht die DNS-Server verwenden, die zu Ihrem Internetdienstanbieter (ISP) gehören. Wenn die Adressen des DNS-Servers nicht richtig sind, geben Sie die der korrekten DNS-Server in die Felder Bevorzugter Server und Alternativer DNS-Server ein.
  8. Klicken Sie auf Erweitert und anschließend auf die Registerkarte DNS.
  9. Aktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren, klicken Sie dann drei Mal auf OK.
  10. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  11. Geben Sie ipconfig /flushdns ein, und drücken Sie die [EINGABETASTE]. Geben Sie ipconfig /registerdns ein, und drücken Sie die [EINGABETASTE].
  12. Starten Sie den Computer neu.
Gehen Sie folgendermaßen vor, um die DNS-Einstellungen sowie die Netzwerkeigenschaften auf Computern in Ihrem Netzwerk zu überprüfen, auf denen Windows Server 2003 ausgeführt wird:
  1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und doppelklicken Sie anschließend auf Netzwerkverbindungen.
  2. Klicken Sie mit der rechten Maustaste auf die LAN-Verbindung, und klicken Sie auf Eigenschaften.
  3. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Client für Microsoft-Netzwerke.
  4. Wenn der Computer ein Domänencontroller ist, klicken Sie auf das Kontrollkästchen Datei- und Druckerfreigabe für Microsoft-Netzwerke.

    Hinweis: Auf mehrfach vernetzten RAS-Servern (Remote Access Service) und Servern, die auf Microsoft Internet Security and Acceleration (ISA) basieren, können Sie für den mit dem Internet verbundenen Netzwerkadapter die Datei- und Druckerfreigabe für Microsoft-Netzwerke deaktivieren. Der Client für Microsoft-Netzwerke muss dagegen für alle Netzwerkadapter des Servers aktiviert sein.
  5. Klicken Sie auf Internetprotokoll (TCP/IP) und anschließend auf Eigenschaften.
  6. Wenn Folgende DNS-Serveradressen verwenden ausgewählt ist, vergewissern Sie sich, dass die IP-Adressen für den bevorzugten und alternativen DNS-Server die IP-Adressen der DNS-Server sind, die SRV-Datensätze und Hostnamen für die Active Directory-Struktur auflösen können. Insbesondere darf der Computer nicht die DNS-Server verwenden, die zu Ihrem Internetdienstanbieter (ISP) gehören. Wenn die Adressen des DNS-Servers nicht richtig sind, geben Sie die der korrekten DNS-Server in die Felder Bevorzugter Server und Alternativer DNS-Server ein.
  7. Klicken Sie auf Erweitert und anschließend auf die Registerkarte DNS.
  8. Aktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren, klicken Sie dann drei Mal auf OK.
  9. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
  10. Geben Sie ipconfig /flushdns ein, und drücken Sie die [EINGABETASTE]. Geben Sie ipconfig /registerdns ein, und drücken Sie die [EINGABETASTE].
  11. Führen Sie einen Neustart des Computers durch, damit Ihre Änderungen wirksam werden.
Wenn die Clientcomputer in Ihrem Netzwerk so konfiguriert sind, dass sie ihre IP-Adressen automatisch beziehen, stellen Sie sicher, dass der Computer, auf dem der DHCP-Dienst ausgeführt wird, die IP-Adressen von DNS-Servern zuweist, die SRV-Datensätze und Hostnamen für die Active Directory-Struktur auflösen können.

Um festzulegen, welche IP-Adressen ein Computer für DNS verwendet, gehen Sie folgendermaßen vor:
  1. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Geben Sie ipconfig /all ein, und drücken Sie die [EINGABETASTE].
  3. Beachten Sie die DNS-Einträge, die auf dem Bildschirm aufgelistet werden.
Wenn Computer, die darauf konfiguriert wurden, IP-Adressen automatisch zu beziehen, nicht die korrekten DNS-Server verwenden, sehen Sie in die Dokumentation Ihres DHCP-Servers, um weitere Informationen zu erhalten, wie Sie die DNS-Serveroption konfigurieren können. Stellen Sie zusätzlich sicher, dass jeder Computer die IP-Adresse der Domäne auflösen kann. Geben Sie hierzu an einer Eingabeaufforderung ping Name Ihrer Domäne.Name Ihrer Stammdomäne ein, und drücken Sie anschließend die [EINGABETASTE]. Alternativ können Sie auch nslookup Name Ihrer Domäne.Name Ihrer Stammdomäne eingeben, und drücken Sie anschließend die [EINGABETASTE].

Hinweis: Es wird erwartet, dass dieser Hostname sich zur IP-Adresse einer der Domänencontroller im Netzwerk auflöst. Wenn der Computer diesen Namen nicht auflösen kann, oder wenn der Name sich zur falschen IP-Adresse auflöst, stellen Sie sicher, dass die Forward-Lookupzone für die Domäne gültige Host (A)-Einträge für (identisch mit übergeordnetem Ordner) enthält.

Um sicherzustellen, dass auf einem Computer, auf dem Windows 2000 ausgeführt wird, die Forward-Lookupzone für die Domäne gültige Einträge für (identisch mit übergeordnetem Ordner) Host (A) enthält, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf dem Domänencontroller, auf dem die DNS ausgeführt wird, auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf DNS.
  2. Erweitern Sie Name Ihres Servers, erweitern Sie Forward-Lookupzonen, und klicken Sie dann auf die Forward-Lookupzonen für Ihre Domäne.
  3. Suchen Sie nach Host (A)-Einträgen für (identisch mit übergeordnetem Ordner).
  4. Wenn kein gültiger Host (A)-Eintrag für (identisch mit übergeordnetem Ordner) existiert, befolgen Sie folgende Schritte, um diesen anzulegen:
    1. Klicken Sie im Menü Vorgang auf Neuer Host.
    2. Geben Sie im Feld IP-Adresse die IP-Adresse des lokalen Netzwerkadapters Ihres Domänencontrollers ein.
    3. Aktivieren Sie das Kontrollkästchen Verknüpften PTR-Eintrag erstellen, und klicken Sie dann auf Host hinzufügen.
    4. Wenn die folgende Meldung angezeigt wird, klicken Sie auf Ja:
      (identisch mit übergeordnetem Ordner) ist kein gültiger Hostname. Sind Sie sicher, dass Sie diesen Eintrag hinzufügen wollen?
  5. Doppelklicken Sie den Host (A)-Eintrag für (identisch mit übergeordnetem Ordner).
  6. Vergewissern Sie sich, dass die korrekte IP-Adresse im Feld IP-Addresse angezeigt wird.
  7. Wenn die IP-Adresse im Feld IP-Addresse nicht gültig ist, geben Sie die korrekte IP-Adresse im Feld IP-Addresse ein, und klicken Sie dann auf OK.
  8. Alternativ können Sie auch den Host (A)-Eintrag für (identisch mit übergeordnetem Ordner) löschen, der die ungültige IP-Adresse enthält. Um den Host (A)-Eintrag für (identisch mit übergeordnetem Ordner) zu löschen, markieren Sie diesen, und klicken Sie auf Löschen
  9. Wenn der DNS-Server ein Domänencontroller ist, der ebenfalls ein Routing and Remote Access-Server ist, finden Sie weitere Informationen in diesem Artikel der Microsoft Knowledge Base:
    292822 Namensauflösungs- und Verbindungsprobleme auf einem Windows 2000-Domänencontroller mit installiertem RRAS und DNS
  10. Geben Sie auf allen Computern, auf denen Sie DNS-Einträge hinzufügen, löschen oder ändern, ipconfig /flushdns in eine Eingabeaufforderung ein, und drücken Sie dann die [EINGABETASTE].
Um sicherzustellen, dass auf einem Windows Server 2003-Computer die Domänen-Forward-Lookupzone gültige Einträge für (identisch mit übergeordnetem Ordner) Host (A) enthält, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf dem Domänencontroller, auf dem die DNS ausgeführt wird, auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf DNS.
  2. Erweitern Sie Name Ihres Servers, erweitern Sie Forward-Lookupzonen, und klicken Sie dann auf die Forward-Lookupzonen für Ihre Domäne.
  3. Suchen Sie nach dem Host (A)-Eintrag für (identisch mit übergeordnetem Ordner).
  4. Wenn kein gültiger Host (A)-Eintrag für (identisch mit übergeordnetem Ordner) existiert, befolgen Sie folgende Schritte, um diesen anzulegen:
    1. Klicken Sie im Menü Vorgang auf Neuer Host (A).
    2. Geben Sie im Feld IP-Adresse die IP-Adresse des lokalen Netzwerkadapters Ihres Domänencontrollers ein.
    3. Aktivieren Sie das Kontrollkästchen Verknüpften PTR-Eintrag erstellen, und klicken Sie dann auf Host hinzufügen.
    4. Wenn die folgende Meldung angezeigt wird, klicken Sie auf Ja:
      (identisch mit übergeordnetem Ordner) ist kein gültiger Hostname. Sind Sie sicher, dass Sie diesen Eintrag hinzufügen wollen?
  5. Doppelklicken Sie den Host (A)-Eintrag für (identisch mit übergeordnetem Ordner).
  6. Vergewissern Sie sich, dass die korrekte IP-Adresse im Feld IP-Addresse angezeigt wird.
  7. Wenn die IP-Adresse im Feld IP-Addresse nicht gültig ist, geben Sie die korrekte IP-Adresse im Feld IP-Addresse ein, und klicken Sie dann auf OK.
  8. Alternativ können Sie auch den Host (A)-Eintrag für (identisch mit übergeordnetem Ordner) löschen, der die ungültige IP-Adresse enthält. Um den Host (A)-Eintrag zu löschen, klicken Sie mit der rechten Maustaste auf (identisch mit übergeordnetem Ordner), und klicken Sie auf Löschen
  9. Wenn der DNS-Server ein Domänencontroller ist, der ebenfalls ein Routing and Remote Access-Server ist, finden Sie weitere Informationen in diesem Artikel der Microsoft Knowledge Base:
    292822 Namensauflösungs- und Verbindungsprobleme auf einem Windows 2000-Domänencontroller mit installiertem RRAS und DNS
  10. Geben Sie auf allen Computern, auf denen Sie DNS-Einträge hinzufügen, löschen oder ändern, ipconfig /flushdns in eine Eingabeaufforderung ein, und drücken Sie dann die [EINGABETASTE].

Schritt 2: Überprüfen Sie die SMB-Einstellungen (Server Message Block, SMB) auf den Clientcomputern und Mitgliedservern.

Die SMB-Einstellungen legen fest, ob die Computer im Netzwerk ihre Kommunikation digital signieren. Wenn die SMB-Einstellungen nicht korrekt konfiguriert sind, kann es sein, dass die Clientcomputer, oder die Mitgliedsserver sich nicht mit dem Domänencontroller verbinden können.

Beispielsweise könnte die SMB-Signierung für die Domänencontroller erforderlich sein, dieses aber auf den Clientcomputern deaktiviert sein. Wenn dieses Problem auftritt, können Gruppenrichtlinien nicht korrekt angewendet werden. Daher protokollieren Clientcomputer Fehler in der Benutzerumgebung (Userenv) im Anwendungsprotokoll.
Manchmal stehen auch die SMB-Einstellungen für den Serverdienst und den Arbeitsstationsdienst auf einem Domänencontroller miteinander in Konflikt.

Beispielsweise, wenn die SMB-Signierung für den Arbeitsstationsdienst des Domänencontrollers deaktiviert ist, dieses aber für den Serverdienst des Domänencontrollers erforderlich ist. In diesem Szenario können Sie eine oder mehrere der lokalen Datenfreigaben des Domänencontrollers öffnen, wenn Sie auf dem Server angemeldet sind. Zusätzlich können Sie Snap-Ins für Gruppenrichtlinien nicht öffnen, wenn Sie auf dem Server angemeldet sind. Weitere Informationen zur Behandlung dieses Problems auf einem Domänencontroller finden Sie in folgendem Artikel der Microsoft Knowledge Base:
839499 Dateifreigaben oder Gruppenrichtlinien-Snap-Ins können nicht geöffnet werden, wenn die SMB-Signatur für die Arbeitsstation oder Server-Dienst auf einem Domänencontroller deaktiviert ist
Wenn Fehler in den Gruppenrichtlinien nur auf Clientcomputern und Mitgliedsservern auftreten, oder wenn Sie feststellen, dass Artikel 839499 der Knowledge Base nicht auf Ihre Situation zutrifft, fahren Sie mit der Fehlersuche fort.

Standardmäßig ist die SMB-Signierung für alle Client-Kommunikation auf Clientcomputern und Mitgliedsservern aktiviert, auf denen Windows XP, Windows 2000, oder Windows Server 2003 ausgeführt wird. Dies wird aber nicht benötigt. Es wird empfohlen, die Standardkonfiguration zu verwenden, da die Clientcomputer SMB-Signierung verwenden können, wenn dies möglich ist, trotzdem aber noch mit Servern kommunizieren können, bei denen SMB-Signierung deaktiviert ist.

Um Clientcomputer und Mitgliedsserver so zu konfigurieren, dass SMB-Signierung aktiviert ist, aber nicht vorausgesetzt wird, müssen Sie einige Änderungen an Registrierungseinträgen vornehmen. Führen Sie folgende Schritte durch, um die Registrierungseinträge an den Clientcomputern vorzunehmen.
  1. Klicken Sie auf Start, klicken Sie auf Ausführen. Geben Sie im Feld Öffnen den Befehl regedit ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf enablesecuritysignature, und klicken Sie dann auf Ändern.
  4. Geben Sie im Feld Wert den Wert 0 ein, und klicken Sie anschließend auf OK.
  5. Klicken Sie mit der rechten Maustaste auf requiresecuritysignature, und klicken Sie dann auf Ändern.
  6. Geben Sie im Feld Wert den Wert 0 ein, und klicken Sie anschließend auf OK.
  7. Erweitern Sie den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. Klicken Sie im rechten Bereich mit der rechten Maustaste auf enablesecuritysignature, und klicken Sie dann auf Ändern.
  9. Geben Sie im Feld Wert den Wert 1 ein, und klicken Sie anschließend auf OK.
  10. Klicken Sie mit der rechten Maustaste auf requiresecuritysignature, und klicken Sie anschließend auf Ändern.
  11. Geben Sie im Feld Wert den Wert 0 ein, und klicken Sie anschließend auf OK.
Nachdem Sie diese Registrierungswerte geändert haben, starten Sie die Server- und Arbeitstationsdienste neu. Starten Sie den Computer nicht neu, dies könnte dazu führen, dass Gruppenrichtlinien angewendet werden, diese Gruppenrichtlinieneinstellungen könnten Konflikte verursachende Werte konfigurieren.

Nach der Änderung der Registrierungswerte und dem Neustart des Servers und der Arbeitstationsdienste auf den betroffenen Computern, führen Sie folgende Schritte durch:
  1. Überprüfen Sie die Gruppenrichtlinieneinstellungen für das Gruppenrichtlinienobjekt bzw. die Gruppenrichtlinienobjekte, das bzw. die sich auf die betroffenen Computer bezieht bzw. beziehen.
  2. Stellen Sie sicher, dass die Gruppenrichtlinien nicht mit den erforderlichen Registrierungseinträgen in Konflikt stehen.
  3. Verwenden Sie den Editor für Gruppenrichtlinienobjekte, um die Richtlinieneinstellungen in den folgenden Ordnern anzusehen:
    Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen
Auf Computern, auf denen Windows Server 2003 ausgeführt wird, haben die Gruppenrichtlinien-Einstellungen der SMB-Signatur folgende Namen:
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
  • Microsoft-Netzwerk (Server): Kommunikation digital signieren (Wenn Client zustimmt)
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)
  • Microsoft-Netzwerk (Client): Kommunikation digital signieren (Wenn Server zustimmt)
Auf Computern, auf denen Windows 2000 Server ausgeführt wird, haben die Gruppenrichtlinien-Einstellungen der SMB-Signatur folgende Namen:
  • Serverkommunikation digital signieren (immer)
  • Serverkommunikation digital signieren (wenn möglich)
  • Clientkommunikation digital signieren (immer)
  • Clientkommunikation digital signieren (wenn möglich)
In der Regel sind die Gruppenrichtlinien-Einstellungen der SMB-Signatur als "Nicht definiert" konfiguriert. Wenn Sie die Gruppenrichtlinien-Einstellungen der SMB-Signatur festlegen, stellen Sie sicher, dass Sie verstehen, welche Auswirkungen diese Einstellungen auf Ihre Netzwerkverbindung haben kann. Weitere Informationen zu den SMB-Einstellungen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
823659 Nach dem Ändern von Sicherheitseinstellungen und Benutzerrechten können Inkompatibilitäten mit Clients, Diensten und Programmen auftreten
Wenn Sie die Einstellungen für Gruppenrichtlinienobjekte auf einem Domänecontroller ändern, auf dem Windows 2000 Server ausgeführt wird, befolgen Sie diese Schritte:
  1. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Geben Sie secedit /refreshpolicy machine_policy ein, und drücken Sie anschließend die [EINGABETASTE].
  3. Starten Sie die betroffenen Clientcomputer neu.
  4. Überprüfen Sie noch einmal die Werte der SMB-Signierung in der Registrierung der Clientcomputer, um sicher zu stellen, dass keine unerwarteten Änderungen aufgetreten sind.
Wenn Sie die Einstellungen für Gruppenrichtlinienobjekte auf einem Domänecontroller ändern, auf dem Windows Server 2003 ausgeführt wird, befolgen Sie diese Schritte:
  1. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Geben Sie gpupdate /force ein, und drücken Sie die [EINGABETASTE].
  3. Starten Sie die betroffenen Clientcomputer neu.
  4. Überprüfen Sie noch einmal die Werte der SMB-Signierung in der Registrierung der Clientcomputer, um sicher zu stellen, dass keine unerwarteten Änderungen aufgetreten sind.
Wenn sich die Werte der SMB-Signierung in der Registrierung der Clientcomputer unerwartet ändern, nachdem Sie die Clientcomputer neu gestartet haben, verwenden Sie eine der folgenden Methoden, um die angewendeten Richtlinieneinstellungen anzusehen, die auf einen Clientcomputer angewendet werden:
  • Verwenden Sie auf einem Computer, auf dem Windows-XP ausgeführt wird, das Snap-In "Richtlinienergebnissatz" (Rsop.msc). Weitere Informationen über den Richtlinienergebnissatz finden Sie auf der folgenden Webseite von Microsoft:
    http://technet2.microsoft.com/WindowsServer/en/library/1180b465-ea3b-4a73-8670-81fa5871a3c71033.mspx?mfr=true
  • Verwenden Sie unter Windows 2000 das Befehlszeilen-Tool "Gpresult.exe", um die Gruppenrichtlinienergebnisse anzusehen. Gehen Sie hierzu folgendermaßen vor:
    1. Installieren Sie Gpresult.exe aus dem Windows 2000 Resource Kit.

      Alternativ können Sie auch die Datei Gpresult.exe von folgender Webseite von Microsoft "Gpresult.exe: Group Policy Results" herunterladen:
      http://support.microsoft.com/kb/927229
    2. Geben Sie in der Eingabeaufforderung gpresult /scope computer ein, und drücken Sie die [EINGABETASTE].
    3. Beachten Sie im Abschnitt "Angewendete Gruppenrichtlinienobjekte" der Ausgabe die Gruppenrichtlinienobjekte, die auf das Computerkonto angewendet werden.
    4. Vergleichen Sie die Gruppenrichtlinienobjekte, die auf das Computerkonto angewendet werden, das die Gruppenrichtlinien-Einstellungen der SMB-Signatur auf dem Domänencontroller für diese Gruppenrichtlinienobjekte hat.

Schritt 3: Stellen Sie sicher, dass das TCP/IP-NetBIOS-Hilfsprogramm auf allen Computern gestartet wird.

Auf allen Computern im Netzwerk muss das TCP/IP-NetBIOS-Hilfsprogramm ausgeführt werden.

Um zu überprüfen, dass das TCP/IP-NetBIOS-Hilfsprogramm auf einem Windows XP-Computer ausgeführt wird, befolgen Sie die folgenden Schritte:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Falls in der Systemsteuerung die Kategorieansicht aktiviert ist, klicken Sie auf Zur klassischen Ansicht wechseln.
  3. Doppelklicken Sie auf Verwaltung.
  4. Doppelklicken Sie auf Dienste.
  5. Klicken Sie in der Liste Dienste auf TCP/IP-NetBIOS-Hilfsprogramm. Überprüfen Sie, dass der Eintrag in der Spalte Status Gestartet lautet. Überprüfen Sie, dass der Eintrag in der Spalte Autostarttyp Automatisch lautet. Wenn die Einträge für Status oder Autostarttyp nicht korrekt sind, befolgen Sie diese Schritte:
    1. Klicken Sie mit der rechten Maustaste auf TCP/IP-NetBIOS-Hilfsprogramm, dann auf Eigenschaften.
    2. Klicken Sie in der Liste Starttyp auf Automatisch.
    3. Wenn der Dienst nicht gestartet ist, klicken Sie im Bereich Dienststatus auf Starten.
    4. Klicken Sie auf OK.
Um zu überprüfen, dass das TCP/IP-NetBIOS-Hilfsprogramm auf einem Computer ausgeführt wird, auf dem Windows Server 2003 ausgeführt wird, befolgen Sie die folgenden Schritte:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Dienste.
  2. Klicken Sie in der Liste Dienste auf TCP/IP-NetBIOS-Hilfsprogramm. Überprüfen Sie, dass der Eintrag in der Spalte Status Gestartet lautet. Überprüfen Sie, dass der Eintrag in der Spalte Autostarttyp Automatisch lautet. Wenn die Einträge für Status oder Autostarttyp nicht korrekt sind, befolgen Sie diese Schritte:
    1. Klicken Sie mit der rechten Maustaste auf TCP/IP-NetBIOS-Hilfsprogramm, dann auf Eigenschaften.
    2. Klicken Sie in der Liste Starttyp auf Automatisch.
    3. Wenn der Dienst nicht gestartet ist, klicken Sie im Bereich Dienststatus auf Starten.
    4. Klicken Sie auf OK.
Um zu überprüfen, dass das TCP/IP-NetBIOS-Hilfsprogramm auf einem Computer ausgeführt wird, auf dem Windows 2000 ausgeführt wird, befolgen Sie die folgenden Schritte:
  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Dienste.
  2. Klicken Sie in der Liste Dienste auf TCP/IP-NetBIOS-Hilfsprogramm. Überprüfen Sie, dass der Eintrag in der Spalte Status Gestartet lautet. Überprüfen Sie, dass der Eintrag in der Spalte AutostarttypAutomatisch lautet. Wenn die Einträge für Status oder Autostarttyp nicht korrekt sind, befolgen Sie diese Schritte:
    1. Klicken Sie mit der rechten Maustaste auf TCP/IP-NetBIOS-Hilfsprogramm, dann auf Eigenschaften.
    2. Klicken Sie in der Liste Starttyp auf Automatisch.
    3. Wenn der Dienst nicht gestartet ist, klicken Sie im Bereich Dienststatus auf Starten.
    4. Klicken Sie auf OK.
Stellen Sie zusätzlich sicher, dass Sie nicht einen oder mehrere der benötigten Systemdienste mithilfe eines Gruppenrichtlinienobjekts deaktiviert haben. Verwenden Sie den Editor für Gruppenrichtlinienobjekte, um die Richtlinieneinstellungen im Ordner "Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Systemdienste" anzusehen.

Unter Windows Server 2003 und Windows XP können Sie das MMC-Snap-In Richtlinienergebnissatz (Rsop.msc) verwenden, um alle angewendeten Richtlinieneinstellungen anzusehen, die auf einen Computer angewendet werden. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie rsop.msc in das Feld Öffnen ein, und klicken Sie anschließend auf OK.

Unter Windows 2000, verwenden Sie das Befehlszeilen-Tool "Gpresult.exe", um die Gruppenrichtlinienergebnisse anzusehen. Gehen Sie hierzu folgendermaßen vor:
  1. Installieren Sie Gpresult.exe aus dem Windows 2000 Resource Kit.

    Alternativ können Sie auch die Datei Gpresult.exe von folgender Webseite von Microsoft "Gpresult.exe: Group Policy Results" herunterladen:
    http://support.microsoft.com/kb/927229
  2. Geben Sie in der Eingabeaufforderung gpresult /scope computer ein, und drücken Sie die [EINGABETASTE].
  3. Beachten Sie im Abschnitt "Angewendete Gruppenrichtlinienobjekte" der Ausgabe die Gruppenrichtlinienobjekte, die auf das Computerkonto angewendet werden.
  4. Vergleichen Sie die Gruppenrichtlinienobjekte, die auf das Computerkonto angewendet werden, das die Gruppenrichtlinien-Einstellungen der SMB-Signatur auf dem Domänencontroller für diese Gruppenrichtlinienobjekte hat.
Hinweis: Wenn das TCP/IP-NetBIOS-Hilfsprogramm an vielen Arbeitsplätzen deaktiviert ist, können Sie folgendes Microsoft Visual Basic-Beispielskript verwenden, um das TCP/IP-NetBIOS-Hilfsprogramm auf allen Computern einer Organisationseinheit (Organizational Unit, OU) gleichzeitig zu starten.

Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionalität sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Spezialisten von Microsoft Product Support Services können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind. Wenn Sie über begrenzte Programmiererfahrungen verfügen, wenden Sie sich an einen von Microsoft zertifizierten Partner. Weitere Informationen über von Microsoft zertifizierte Partner finden Sie auf der folgenden Seite im World Wide Web:
http://directory.microsoft.com/resourcedirectory/Solutions.aspx
Weitere Informationen zur Kontaktaufnahme mit Microsoft und den verfügbaren Supportoptionen finden Sie auf folgender Website von Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Set objDictionary = CreateObject("Scripting.Dictionary") i = 0 

Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName, 
DC=OUName,DC=CompanyName, 
DC=com") 
objOU.Filter = Array("Computer") 
For Each objComputer In objOU 
        objDictionary.Add i, objComputer.CN 
        i = i + 1 
Next 
For Each objItem In objDictionary 
        strComputer = objDictionary.Item(objItem) 
        Set objWMIService = 
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & 
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _ 
                ("Select * from Win32_Service where Name = 'LmHosts'") 
        For Each objService In colServices 
                If objService.StartMode = "Disabled" Then 
                        objService.Change( , , , , "Automatic") 
                End If 
        Next 
Next 

Schritt 4: Stellen Sie sicher, das der DFS-Dienst (DFS = Distributed File System) auf allen Computern aktiviert ist.

Auf allen Domaincontrollern muss der DFS-Dienst ausgeführt werden, da die SYSVOL-Freigabe ein DFS-Volume ist. Zusätzlich muss der DFS-Client in der Registrierung aller Computer aktiviert sein.

Um sicher zu stellen, dass der DFS-Dienst auf Domänencontrollern ausgeführt wird, auf denen Windows Server 2003 ausgeführt wird, befolgen Sie diese Schritte:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Dienste.
  2. Klicken Sie in Liste Dienste auf Verteiltes Dateisystem (DFS). Überprüfen Sie, dass der Eintrag in der Spalte Status Gestartet lautet. Überprüfen Sie, dass der Eintrag in der Spalte Autostarttyp Automatisch lautet. Wenn die Einträge für Status oder Autostarttyp nicht korrekt sind, befolgen Sie diese Schritte:
    1. Klicken Sie mit der rechten Maustaste auf Verteiltes Dateisystem (DFS), danach auf Eigenschaften.
    2. Klicken Sie in der Liste Starttyp auf Automatisch.
    3. Wenn der Dienst nicht gestartet ist, klicken Sie im Bereich Dienststatus auf Starten.
    4. Klicken Sie auf OK.
Um sicher zu stellen, dass der Dienst Verteiltes Dateisystem (DFS) auf Domänencontrollern ausgeführt wird, auf denen Windows Server 2000 ausgeführt wird, befolgen Sie diese Schritte:
  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Dienste.
  2. Klicken Sie in Liste Dienste auf Verteiltes Dateisystem (DFS). Überprüfen Sie, dass der Eintrag in der Spalte Status Gestartet lautet. Überprüfen Sie, dass der Eintrag in der Spalte Autostarttyp Automatisch lautet. Wenn die Einträge für Status oder Autostarttyp nicht korrekt sind, befolgen Sie diese Schritte:
    1. Klicken Sie mit der rechten Maustaste auf Verteiltes Dateisystem (DFS), danach auf Eigenschaften.
    2. Klicken Sie in der Liste Starttyp auf Automatisch.
    3. Wenn der Dienst nicht gestartet ist, klicken Sie im Bereich Dienststatus auf Starten.
    4. Klicken Sie auf OK.
Weitere Informationen zu einem verwandten Thema finden Sie in folgendem Artikel der Microsoft Knowledge Base:
834649 Wenn DFS nicht auf einem Windows 2000-Domäne-Controller gestartet wird, zeichnet Clientcomputer Event ID 1030 und Event ID 1058 auf
Um sicher zu stellen, dass der DFS-Client auf allen Clientcomputern aktiviert ist, befolgen Sie diese Schritte:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen. Geben Sie im Feld Öffnen den Befehl regedit ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie den folgenden Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Klicken Sie auf Mup, und suchen Sie im rechten Fenster den Eintrag DWORD, der DisableDFS benannt ist.
  4. Wenn der Eintrag DisableDFS vorhanden ist und 1 lautet, doppelklicken Sie auf DisableDFS. Geben Sie im Feld Wert den Wert 0 ein, und klicken Sie anschließend auf OK. Wenn der Eintrag "DisableDFS" bereits 0 lautet, oder wenn der Eintrag DisableDFS nicht vorhanden ist, führen Sie keine Änderungen durch.
  5. Beenden Sie den Registrierungs-Editor.
  6. Wenn Sie den Eintrag DisableDFS geändert haben, starten Sie den Computer neu.
Weitere Informationen zu einem verwandten Thema finden Sie in folgendem Artikel der Microsoft Knowledge Base:
314494 Gruppenrichtlinien werden nicht wie erwartet angewendet; Fehler "Ereigniskennung 1058" und "Ereigniskennung 1030" im Anwendungsprotokoll

Schritt 5: Überprüfen Sie die Inhalte und die Berechtigungen des Ordners "Sysvol".

Die SYSVOL-Freigabe befindet sich standardmäßig im Ordner "%systemroot%". Der Ordner "SYSVOL" enthält die Gruppenrichtlinienobjekt, die SYSVOL- und NETLOGON-Freigaben sowie den Stagingordner des Dateireplikationsdienstes (FRS).

Wenn die Freigaben für den Ordner "SYSVOL" oder die SYSVOL-Freigabe zu restriktiv sind, können Gruppenrichtlinien nicht korrekt angewendet werden und führen zu Fehlern in der Benutzerumgebung (Userenv). Zusätzlich können Fehler in der Benutzerumgebung (Userenv) auftreten, wenn die SYSVOL-Freigabe oder Gruppenrichtlinienobjekte nicht vorhanden sind.
Um sicher zu stellen, dass die SYSVOL-Freigabe verfügbar ist, geben Sie den Befehl net share auf jedem Domänencontroller in eine Eingabeaufforderung ein. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie in das Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie anschließend auf OK.
  2. Geben Sie net start ein, und drücken Sie die [EINGABETASTE].
  3. Suchen Sie SYSVOL und NETLOGON in der Ordnerliste.
Wenn die SYSVOL- und NETLOGON-Freigaben auf einem oder mehreren Domänencontrollern fehlen, müssen Sie das Problem beheben. Weitere Informationen zur Behandlung von fehlenden Netlogon- und Sysvol-Freigaben in Windows 2000 Server finden Sie in folgendem Artikel der Microsoft Knowledge Base:
257338 Problembehandlung bei fehlenden SYSVOL- und NETLOGON-Freigaben auf Windows 2000-Domänencontrollern
Weitere Informationen, wie Sie die SYSVOL-Freigabe in Windows Server 2003 wiederherstellen, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
315457 Kann wie neu erstellen die Struktur SYSVOL und seinen Inhalt in einer Domäne
Nachdem Sie sicher gestellt haben, dass die SYSVOL-Freigabe verfügbar ist, stellen Sie sicher, dass der Ordner "Sysvol" und das Stammverzeichnis, in dem der Ordner "Sysvol" enthalten ist, mit den richtigen Berechtigungen konfiguriert ist. Weitere Informationen zu den Berechtigungen, die die SYSVOL-Freigabe und der Ordner "Sysvol" erfordern, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
290647 Ereignis-IDs 1000 und 1001 werden alle fünf Minuten im Anwendungsprotokoll aufgezeichnet
Zusätzlich muss die Gruppe "Jeder" in Windows 2000 Server die Berechtigung "Vollzugriff" auf das Stammverzeichnis des Volumes haben, das den Ordner "Sysvol" enthält. In Windows Server 2003 muss die Gruppe "Jeder" die spezielle Berechtigung "Lesen, Ausführen" für "Nur diesen Ordner" haben, und die Gruppe Domäne\Benutzer muss die folgenden Standardberechtigungen besitzen:
  • Lesen & ausführen
  • Ordnerinhalt auflisten
  • Lesen
Zusätzlich muss die Gruppe Domäne\Benutzer auf Windows Server 2003 die folgenden speziellen Berechtigungen besitzen:
  • Berechtigung "Lesen & ausführen" für "Diesen Ordner, Unterordner und Dateien".
  • Erstellen Sie eine Berechtigung "Ordner erstellen / Daten anhängen" für "Diesen Ordner und Unterordner".
  • Berechtigung "Dateien erstellen/Daten schreiben" für "Nur Unterordner".
Nachdem Sie die SYSVOL-Berechtigungen überprüft haben, stellen Sie sicher, dass der Ordner "Sysvol" die erforderlichen Gruppenrichtlinienobjekte enthält. Um die erforderlichen Gruppenrichtlinienobjekte zu finden, verwenden Sie das Programm "Gpotool.exe" des Resource Kits aus Windows 2000 oder Windows Server 2003.

Um das Programm "Gpotool.exe" für Windows 2000 Server herunterzuladen, rufen Sie die folgende Website "Gpotool.exe: Group Policy Verification Tool" von Microsoft auf:
http://support.microsoft.com/kb/927229
Um das Resource Kit für Windows Server 2003 herunterzuladen, rufen Sie die folgende Website "Windows Server 2003 Resource Kit Tools" von Microsoft auf:
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
Wenn Sie das Programm Gpotool.exe ohne Optionen ausführen, überprüft es alle Gruppenrichtlinienobjekte auf allen Domänencontrollern in der Domäne. Wenn Sie den Parameter /checkacl einbeziehen, überprüft das Programm auch die SYSVOL-Zugriffssteuerungsliste (Sysvol access control list, ACL). Für eine detaillierte Ausgabe während Sie das Programm "Gpotool.exe" ausführen, markieren Sie den Parameter /verbose.

Alternativ können Sie auch das individuelle Gruppenrichtlinienobjekt im Ordner "Sysvol" überprüfen. Wenn beispielsweise die Ereignisbeschreibung in der Benutzerumgebung (Userenv) 1058 den Namen eines Gruppenrichtlinienobjekts auflistet, können Sie dieses individuelle Gruppenrichtlinienobjekt manuell im Ordner "Sysvol" überprüfen. Sie können dies tun, um sicher zu stellen, dass es die Ordner "USER" und "MACHINE" sowie eine Datei Gpt.ini enthält. Um das individuelle Gruppenrichtlinienobjekt im Ordner "Sysvol" zu überprüfen, gehen Sie folgendermaßen vor:
  1. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Geben Sie at Uhrzeit /interactive /next: cmd.exe ein, und drücken Sie dann die [EINGABETASTE]. Uhrzeit sollte hierbei 1 oder 2 Minuten später als der gegenwärtige Zeitpunkt sein, im 24-Stunden-Format geschrieben. 3 Minuten nach 1:00 p.m. wäre 13:03 im 24-Stunden-Format.
  3. Zu dem im vorangegangenen Befehl festgelegten Zeitpunkt öffnet sich eine Eingabeaufforderung. Geben Sie net use j: \\domainname.com\sysvol\domainname.com\Policies\{GUID} ein, und drücken Sie dann die [EINGABETASTE]. Hierbei ist GUID die "GUID" des Gruppenrichtlinienobjektes, das sich in der Ereignisbeschreibung der Benutzerumgebung (Userenv) befindet. Wenn beispielsweise in der Ereignisbeschreibung der Benutzerumgebung (Userenv) 1058 steht "The file must be present at the location <\\Domänenname.com\sysvol\Domänenname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>", würden Sie in diesem Befehl die GUID 31B2F340-016D-11D2-945F-00C04FB984F9 verwenden.
  4. Geben Sie dir j:\*.* ein, und drücken Sie danach die [EINGABETASTE].
  5. Stellen Sie sicher, dass die Ordner "USER", "MACHINE" und eine Datei Gpt.ini in der Ordnerliste des Laufwerks I aufgelistet sind. Wenn einer dieser Ordner oder Dateien fehlt, werden die Computer im Netzwerk höchstwahrscheinlich Fehler in der Benutzerumgebung (Userenv) im Anwendungsprotokoll protokollieren.
Wenn eines oder mehrere dieser Gruppenrichtlinienobjekte im Ordner "Sysvol" fehlen, führen Sie das Hilfsprogramm zur Wiederherstellung der Gruppenrichtlinien (Default Group Policy Restore Utility, Dcgpofix.exe) von Windows Server 2003 aus. Alternativ können Sie auch das Hilfsprogramm zur Wiederherstellung der Gruppenrichtlinien (Default Group Policy Restore Utility, Recreatedefpol.exe) von Windows 2000 verwenden, um die Standard-Gruppenrichtlinienobjekte wiederherzustellen.

Das Programm "Dcgpofix.exe" ist in Windows Server 2003 enthalten. Für weitere Informationen zum Programm "Dcgpofix.exe", geben Sie den Befehl dcgpofix /? in eine Eingabeaufforderung ein.

Weitere Informationen zum Programm "Dcgpofix.exe" finden Sie auf der Webseite von Microsoft "Windows 2000 Default Group Policy Restore Tool":
http://www.microsoft.com/downloads/details.aspx?familyid=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&displaylang=en
Achten Sie darauf, die empfohlenen Ausschlüsse vorzunehmen, wenn Sie das SYSVOL-Laufwerk mit einer Antivirussoftware überprüfen. Das Überprüfen mit einer Antivirussoftware kann den Zugriff auf benötigte Dateien blockieren, beispielsweise die Datei "Gpt.ini". Sie müssen diese Ausschlüsse für alle Echtzeit-, geplante- und manuelle Antivirusüberprüfungen konfigurieren. Weitere Informationen zu den empfohlenen Ausschlüssen für Antivirusüberprüfungen auf Servern, auf denen Windows ausgeführt wird, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
822158 Virus, der Domäne-Windows Server 2003-Empfehlungen auf einem Windows 2000 oder einem Controller scannt

Schritt 6: Stellen Sie sicher, dass die Berechtigungen zum Umgehen der Wechselprüfung für die benötigten Gruppen gestattet ist.

Die Berechtigungen zum Umgehen der Wechselprüfung muss für alle der folgenden Gruppen und Domänencontrollern erteilt werden:
  • Administratoren
  • Authentifizierte Benutzer
  • Jeder
  • Prä-Windows 2000 kompatibler Zugriff
Um zu überprüfen, dass die Berechtigungen zum Umgehen der Wechselprüfung auf einem Domänencontroller erteilt wurde, auf dem Windows Server 2003 ausgeführt wird, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Sicherheitsrichtlinie für Domänencontroller.
  2. Erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Zuweisen von Benutzerrechten.
  3. Doppelklicken Sie auf Wechselprüfung umgehen.
  4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
  5. Überprüfen Sie, dass die Gruppen "Administratoren, Authentifizierte Benutzer, Jeder und Prä-Windows 2000 kompatibler Zugriff" für diese Richtlinieneinstellung aufgeführt sind. Wenn eine dieser Gruppen fehlt, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Benutzer oder Gruppe hinzufügen.
    2. Geben Sie im Feld Benutzer- und Gruppennamen den Namen der fehlenden Gruppe ein, und klicken Sie anschließend auf OK.
  6. Klicken Sie auf OK, um diese Richtlinieneinstellung zu schließen.
  7. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  8. Geben Sie gpupdate /force ein, und drücken Sie die [EINGABETASTE].
Um zu überprüfen, dass die Berechtigungen zum Umgehen der Wechselprüfung auf einem Domänencontroller erteilt wurde, auf dem Windows 2000 Server ausgeführt wird, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie auf Sicherheitsrichtlinie für Domänencontroller.
  2. Erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.
  3. Doppelklicken Sie auf Wechselprüfung umgehen.
  4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
  5. Überprüfen Sie, dass die Gruppen "Administratoren, Authentifizierte Benutzer, Jeder und Prä-Windows 2000 kompatibler Zugriff" für diese Richtlinieneinstellung aufgeführt sind. Wenn eine dieser Gruppen fehlt, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Hinzufügen.
    2. Geben Sie im Feld Benutzer- und Gruppennamen den Namen der fehlenden Gruppe ein, und klicken Sie anschließend auf OK.
  6. Klicken Sie auf OK, um diese Richtlinieneinstellung zu schließen.
  7. Öffnen Sie die Eingabeaufforderung. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  8. Geben Sie secedit /refreshpolicy machine_policy ein, und drücken Sie anschließend die [EINGABETASTE].

Schritt 7: Stellen Sie sicher, dass die Domänencontroller nicht zu einem Journalumbruch gekommen ist.

Um zu sehen, ob es bei einem Domänencontroller zu einem Journalumbruch gekommmen ist, sehen Sie in das Protokoll des Dateireplikationsdienstes, und suchen Sie nach der NTFRS-Ereignis-ID 13568. Die Meldung zur Ereignis-ID 13568 sieht etwa so wie folgende Ereignis-ID aus:

Typ: Warnung
Quelle: NtFrs
Kategorie: Keine
Ereignis-ID: 13568
Datum: Datum
Uhrzeit: Uhrzeit
Benutzer: Nicht zutreffend
Computer: Servername
Beschreibung: Der Dateireplikationsdienst hat ermittelt, dass der Replikatssatz "<1>" sich in JRNL_WRAP_ERROR befindet. Replikatssatzname: "<1>" Replikatstammpfad: "<2>" Replikatstammvolume: "<3>"

Wenn die NTFRS-Ereignis-ID 13568 auf einem Domänencontroller protokolliert wurde, finden Sie im folgenden Artikel der Microsoft Knowledge Base Informationen dazu, wie Sie Journalumbruch-Fehler beheben können:
292438 So Beheben von journal_wrap-Fehler auf Sysvol- und DFS-Replikat-Gruppen

Schritt 8: Führen Sie den Befehl dfsutil /purgemupcache aus.

Führen Sie das Programm "Dfsutil.exe" mit der Option /PurgeMupCache aus, um die lokalen DFS/MUP-Informationen im Zwischenspeicher zu leeren. Das Programm "Dfsutil.exe" ist Bestandteil der Microsoft Windows Server 2000- und Windows Server 2003-Supporttools. Weitere Informationen zu einem verwandten Thema finden Sie in folgendem Artikel der Microsoft Knowledge Base:
830676 Gruppenrichtlinienverarbeitung scheitert in Windows Server 2003 mit Ereignissen 1058 und 1030

Eigenschaften

Artikel-ID: 887303 - Geändert am: Donnerstag, 8. Februar 2007 - Version: 4.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Keywords: 
kbtshoot kbprb kbwinservperf kbmgmtservices KB887303
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com