Userenv-Fehler treten auf, und Ereignisse werden protokolliert, nachdem Sie Gruppenrichtlinie auf Computer mit Windows Server 2003, Windows XP oder Windows 2000 angewendet haben.

  • Artikel

Dieser Artikel bietet eine Lösung für Probleme, bei denen Computer in Ihrem Netzwerk keine Verbindung mit den Gruppenrichtlinie-Objekten (GPO) in den Sysvol-Ordnern auf Ihren Netzwerkdomänencontrollern herstellen können.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 887303

Zusammenfassung

Es kann ein oder mehrere Fehler und Ereignisse auftreten, wenn Gruppenrichtlinie auf die Computer in Ihrem Netzwerk angewendet wird. Um die Ursache des Problems zu ermitteln, müssen Sie die Konfiguration der Computer in Ihrem Netzwerk beheben. Führen Sie die folgenden Schritte aus, um die Ursache des Problems zu beheben:

  1. Untersuchen Sie die DNS-Einstellungen und Netzwerkeigenschaften auf den Servern und Clientcomputern.
  2. Überprüfen Sie die Einstellungen für die Server message Block-Signatur auf den Clientcomputern.
  3. Stellen Sie sicher, dass der TCP/IP-NetBIOS-Hilfsdienst, der Net Logon-Dienst und der RPC-Dienst (Remote Procedure Call) auf allen Computern gestartet werden.
  4. Stellen Sie sicher, dass distributed File System (DFS) auf allen Computern aktiviert ist.
  5. Untersuchen Sie den Inhalt und die Berechtigungen des Sysvol-Ordners.
  6. Stellen Sie sicher, dass den erforderlichen Gruppen das Recht "Durchlaufüberprüfung umgehen" gewährt wird.
  7. Stellen Sie sicher, dass sich die Domänencontroller nicht in einem Journalumbruchzustand befinden.
  8. Führen Sie den Befehl dfsutil /purgemupcache aus.

Symptome

Auf einem Computer, auf dem Microsoft Windows Server 2003, Microsoft Windows XP oder Microsoft Windows 2000 ausgeführt wird, tritt mindestens eines der folgenden Symptome auf:

  • Gruppenrichtlinie Einstellungen werden nicht auf die Computer angewendet.

  • Gruppenrichtlinie Replikation zwischen den Domänencontrollern im Netzwerk nicht abgeschlossen wird.

  • Sie können Gruppenrichtlinie-Snap-Ins nicht öffnen. Beispielsweise können Sie das Snap-In "Sicherheitsrichtlinie für Domänencontroller" oder das Snap-In "Domänensicherheitsrichtlinie" nicht öffnen.

  • Wenn Sie versuchen, ein Gruppenrichtlinie-Snap-In zu öffnen, erhalten Sie eine der folgenden Fehlermeldungen:

    Fehler beim Öffnen des Gruppenrichtlinie Object. Möglicherweise verfügen Sie nicht über die entsprechenden Rechte.
    Details: Das Konto ist nicht berechtigt, sich von dieser Station aus anzumelden.

    Sie sind nicht berechtigt, diesen Vorgang auszuführen.
    Details: Der Zugriff wird verweigert.

    Fehler beim Öffnen des Gruppenrichtlinie Object. Möglicherweise verfügen Sie nicht über die entsprechenden Rechte.
    Details: Das System kann den angegebenen Pfad nicht finden.

  • Wenn Sie versuchen, auf freigegebene Dateien auf einem beliebigen Domänencontroller zuzugreifen, erhalten Sie eine Fehlermeldung. Dieses Symptom tritt auch auf, wenn Sie am Server angemeldet sind und versuchen, auf eine lokale Freigabe zuzugreifen. Insbesondere kann sich dieses Symptom auf den Zugriff auf die Sysvol-Freigabe eines Domänencontrollers auswirken.

  • Wenn Sie versuchen, auf eine Dateifreigabe zuzugreifen, werden Sie wiederholt zur Eingabe eines Kennworts aufgefordert.

  • Wenn Sie versuchen, auf eine Dateifreigabe zuzugreifen, erhalten Sie eine Fehlermeldung, die einer der folgenden Fehlermeldungen ähnelt:

    \\Server_name\Share_Name ist nicht zugänglich. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Setzen Sie sich mit dem Administrator dieses Servers in Verbindung, um herauszufinden, ob Sie über Berechtigungen verfügen.
    Das Konto ist nicht berechtigt, sich von dieser Station aus anzumelden.

    \\Server_name\Share_Name ist nicht zugänglich.
    Das Konto ist nicht berechtigt, sich von dieser Station aus anzumelden.

    Der Netzwerkpfad wurde nicht gefunden.

Wenn Sie das Anwendungsprotokoll in Ereignisanzeige unter Windows XP oder Windows Server 2003 anzeigen, werden Ereignisse angezeigt, die den folgenden Ereignissen ähneln:

Ereignistyp: Fehler

Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereignis-ID: 1058

Datum: Datum
Zeit:
Time
Benutzer:
User_name
Computer:
Computername
Beschreibung: Windows kann nicht auf die Datei zugreifengpt.ini für GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= domainname,DC=com . Die Datei muss am Speicherort <\\domänenname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>vorhanden sein. (Error_Message). Gruppenrichtlinie verarbeitung abgebrochen. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter https://support.microsoft.com.

Die Fehlermeldung, die im Error_Message Platzhalter in Ereignis-ID 1058 angezeigt wird, kann eine der folgenden Fehlermeldungen sein:

  • Der Netzwerkpfad wurde nicht gefunden.

  • Der Zugriff wurde verweigert.

  • Konfigurationsinformationen konnten nicht vom Domänencontroller gelesen werden, weil der Computer nicht verfügbar ist oder der Zugriff verweigert wurde.

Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereignis-ID: 1030
Datum:
Date
Zeit:
Time
Benutzer:
User_name
Computer:
Computername
Beschreibung: Windows kann die Liste der Gruppenrichtlinie-Objekte nicht abfragen. Eine Meldung, die den Grund dafür beschreibt, wurde zuvor von der Richtlinien-Engine protokolliert. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter https://support.microsoft.com.

Wenn ereignis-ID 1058 und Ereignis-ID 1030 auftreten, werden diese in der Regel von Clientcomputern und Mitgliedsservern protokolliert, wenn der Computer gestartet wird. Domänencontroller protokollieren diese Ereignisse alle fünf Minuten.

Wenn Sie das Anwendungsprotokoll in Ereignisanzeige auf einem Windows 2000-basierten Computer anzeigen, werden Ereignisse angezeigt, die den folgenden Ereignissen ähneln:

Ereignistyp: Fehler
Ereignisquelle: Userenv

Ereigniskategorie: Keine
Ereignis-ID: 1000
Datum:
Date
Zeit:
Time
Benutzer: NT AUTHORITY\SYSTEM
Computer:
Computername
Beschreibung: Windows kann nicht auf die Registrierungsinformationen unter \\ Domänenname.com\sysvol\domänenname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F 9}\Machine\registry.pol mit (Error_Code) zugreifen.

Der Fehlercode, der im Error_Code Platzhalter in Ereignis-ID 1000 angezeigt wird, kann einer der folgenden Fehlercodes sein:

  • 5
  • 51
  • 53
  • 1231
  • 1240
  • 1722

Ursache

Diese Probleme treten auf, wenn die Computer in Ihrem Netzwerk keine Verbindung mit bestimmten Gruppenrichtlinie-Objekten herstellen können. Insbesondere befinden sich diese Objekte in den Sysvol-Ordnern auf den Domänencontrollern Ihres Netzwerks.

Lösung

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Um dieses Problem zu beheben, müssen Sie die Konfiguration Ihres Netzwerks beheben, um die Ursache des Problems einzugrenzen, und dann die Konfiguration korrigieren. Führen Sie die folgenden Schritte aus, um die mögliche Ursache dieses Problems zu beheben:

Schritt 1: Untersuchen der DNS-Einstellungen und Netzwerkeigenschaften auf den Servern und Clientcomputern

In den Lokalen Bereichsverbindungseigenschaften muss Client für Microsoft-Netzwerke auf allen Servern und Clientcomputern aktiviert sein. Die Komponente Datei- und Druckerfreigabe für Microsoft-Netzwerke muss auf allen Domänencontrollern aktiviert sein.

Darüber hinaus muss jeder Computer im Netzwerk DNS-Server verwenden, die SRV-Einträge und Hostnamen für die Active Directory-Gesamtstruktur auflösen können, in der der Computer Mitglied ist. In der Regel besteht ein häufiger Konfigurationsfehler darin, dass die Clientcomputer die DNS-Server verwenden, die zu Ihrem Internetdienstanbieter (ISP) gehören.

Überprüfen Sie auf allen Computern, auf denen die Userenv-Fehler protokolliert wurden, die DNS-Einstellungen und Netzwerkeigenschaften. Überprüfen Sie außerdem diese Einstellungen auf allen Domänencontrollern, ob userenv-Fehler protokolliert werden.

Führen Sie die folgenden Schritte aus, um DNS-Einstellungen und Netzwerkeigenschaften auf Windows XP-basierten Computern in Ihrem Netzwerk zu überprüfen:

  1. Wählen Sie Start und dann Systemsteuerung aus.
  2. Wenn Systemsteuerung auf Kategorieansicht festgelegt ist, wählen Sie Zur klassischen Ansicht wechseln aus.
  3. Doppelklicken Sie auf Netzwerk Connections, klicken Sie mit der rechten Maustaste auf Verbindung mit lokalem Bereich, und wählen Sie dann Eigenschaften aus.
  4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Client für Microsoft-Netzwerke .
  5. Wählen Sie Internetprotokoll (TCP/IP) und dann Eigenschaften aus.
  6. Wenn Die folgenden DNS-Serveradressen verwenden ausgewählt ist, stellen Sie sicher, dass die IP-Adressen für die bevorzugten und alternativen DNS-Server die IP-Adressen von DNS-Servern sind, die SRV-Einträge und Hostnamen in Active Directory auflösen können. Insbesondere darf der Computer nicht die DNS-Server verwenden, die zu Ihrem ISP gehören. Wenn die DNS-Serveradressen nicht korrekt sind, geben Sie die IP-Adressen der richtigen DNS-Server in die Felder Bevorzugter DNS-Server und Alternativer DNS-Server ein.
  7. Wählen Sie Erweitert und dann die Registerkarte DNS aus.
  8. Aktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren , und wählen Sie dann dreimal OK aus.
  9. Starten Sie eine Eingabeaufforderung. Wählen Sie dazu Start aus, wählen Sie Ausführen aus, geben Sie cmd ein, und klicken Sie dann auf OK.
  10. Geben Sie ipconfig /flushdns ein, und drücken Sie dann die EINGABETASTE. Geben Sie ipconfig /registerdns ein, und drücken Sie dann die EINGABETASTE.
  11. Starten Sie den Computer neu, damit Ihre Änderungen wirksam werden.

Führen Sie die folgenden Schritte aus, um DNS-Einstellungen und Netzwerkeigenschaften auf Windows 2000-basierten Computern in Ihrem Netzwerk zu überprüfen:

  1. Wählen Sie Start aus, zeigen Sie auf Einstellungen, und wählen Sie dann Systemsteuerung aus.

  2. Doppelklicken Sie auf Netzwerk und DFÜ Connections.

  3. Klicken Sie mit der rechten Maustaste auf Verbindung mit lokalem Bereich, und wählen Sie dann Eigenschaften aus.

  4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Client für Microsoft-Netzwerke .

  5. Wenn es sich bei dem Computer um einen Domänencontroller handelt, aktivieren Sie das Kontrollkästchen Datei- und Druckerfreigabe für Microsoft-Netzwerke .

    Hinweis

    Auf Remotezugriffsservern mit mehreren Homed- und ISA-Servern (Microsoft Internet Security and Acceleration) können Sie die Komponente Datei- und Druckerfreigabe für Microsoft-Netzwerke für den Netzwerkadapter deaktivieren, der mit dem Internet verbunden ist. Die Komponente Client für Microsoft-Netzwerke muss jedoch für alle Netzwerkadapter des Servers aktiviert sein.

  6. Wählen Sie Internetprotokoll (TCP/IP) aus, und klicken Sie dann auf Eigenschaften.

  7. Wenn Die folgenden DNS-Serveradressen verwenden ausgewählt ist, stellen Sie sicher, dass die IP-Adressen für die bevorzugten und alternativen DNS-Server die IP-Adressen von DNS-Servern sind, die SRV-Einträge und Hostnamen in Active Directory auflösen können. Insbesondere darf der Computer nicht die DNS-Server verwenden, die zu Ihrem ISP gehören. Wenn die DNS-Serveradressen nicht korrekt sind, geben Sie die IP-Adressen der richtigen DNS-Server in die Felder Bevorzugter DNS-Server und Alternativer DNS-Server ein.

  8. Wählen Sie Erweitert und dann die Registerkarte DNS aus.

  9. Aktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren , und wählen Sie dann dreimal OK aus.

  10. Starten Sie eine Eingabeaufforderung. Wählen Sie hierzu Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.

  11. Geben Sie ipconfig /flushdns ein, und drücken Sie dann die EINGABETASTE. Geben Sie ipconfig /registerdns ein, und drücken Sie dann die EINGABETASTE.

  12. Starten Sie den Computer neu.

Führen Sie die folgenden Schritte aus, um DNS-Einstellungen und Netzwerkeigenschaften auf Windows Server 2003-basierten Computern in Ihrem Netzwerk zu überprüfen:

  1. Wählen Sie Start aus, zeigen Sie auf Systemsteuerung, und doppelklicken Sie dann auf Netzwerk Connections.

  2. Klicken Sie mit der rechten Maustaste auf die Verbindung mit dem lokalen Bereich, und wählen Sie dann Eigenschaften aus.

  3. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Client für Microsoft-Netzwerke .

  4. Wenn es sich bei dem Computer um einen Domänencontroller handelt, aktivieren Sie das Kontrollkästchen Datei- und Druckerfreigabe für Microsoft-Netzwerke .

    Hinweis

    Auf Remotezugriffsservern mit mehreren Homed- und ISA Server-basierten Servern können Sie die Komponente Datei- und Druckerfreigabe für Microsoft-Netzwerke für den Netzwerkadapter deaktivieren, der mit dem Internet verbunden ist. Die Komponente Client für Microsoft-Netzwerke muss jedoch für alle Netzwerkadapter des Servers aktiviert sein.

  5. Wählen Sie Internetprotokoll (TCP/IP) und dann Eigenschaften aus.

  6. Wenn Die folgenden DNS-Serveradressen verwenden ausgewählt ist, stellen Sie sicher, dass die IP-Adressen für die bevorzugten und alternativen DNS-Server die IP-Adressen von DNS-Servern sind, die SRV-Einträge und Hostnamen in Active Directory auflösen können. Insbesondere darf der Computer nicht die DNS-Server verwenden, die zu Ihrem ISP gehören. Wenn die DNS-Serveradressen nicht korrekt sind, geben Sie die IP-Adressen der richtigen DNS-Server in die Felder Bevorzugter DNS-Server und Alternativer DNS-Server ein.

  7. Wählen Sie Erweitert und dann die Registerkarte DNS aus.

  8. Aktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren , und wählen Sie dann dreimal OK aus.

  9. Starten Sie eine Eingabeaufforderung. Wählen Sie dazu Start aus, wählen Sie Ausführen aus, geben Sie cmd ein, und klicken Sie dann auf OK.

  10. Geben Sie ipconfig /flushdns ein, und drücken Sie dann die EINGABETASTE. Geben Sie ipconfig /registerdns ein, und drücken Sie dann die EINGABETASTE.

  11. Starten Sie den Computer neu, damit Ihre Änderungen wirksam werden.

Wenn die Clientcomputer in Ihrem Netzwerk so konfiguriert sind, dass sie ihre IP-Adressen automatisch abrufen, stellen Sie sicher, dass der Computer, auf dem der DHCP-Dienst ausgeführt wird, die IP-Adressen von DNS-Servern zuweist, die SRV-Einträge und Hostnamen in Active Directory auflösen können.

Führen Sie die folgenden Schritte aus, um zu ermitteln, welche IP-Adressen ein Computer für DNS verwendet:

  1. Starten Sie eine Eingabeaufforderung. Wählen Sie hierzu Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
  2. Geben Sie ipconfig /all ein, und drücken Sie dann die EINGABETASTE.
  3. Beachten Sie die DNS-Einträge, die auf dem Bildschirm aufgeführt sind.

Wenn Computer, die zum automatischen Abrufen von IP-Adressen konfiguriert sind, nicht die richtigen DNS-Server verwenden, finden Sie in der Dokumentation für Ihren DHCP-Server Informationen zum Konfigurieren der Option DNS-Server. Stellen Sie außerdem sicher, dass jeder Computer die IP-Adresse der Domäne auflösen kann. Geben Sie dazu ping Your_Domain_Name ein. Your_Domain_Root an einer Eingabeaufforderung, und drücken Sie dann die EINGABETASTE. Geben Sie stattdessen nslookup Your_Domain_Name ein. Your_Domain_Root, und drücken Sie dann die EINGABETASTE.

Hinweis

Es wird erwartet, dass dieser Hostname in die IP-Adresse eines der Domänencontroller im Netzwerk aufgelöst wird. Wenn der Computer diesen Namen nicht auflösen kann oder wenn der Name in die falsche IP-Adresse aufgelöst wird, stellen Sie sicher, dass die Forward-Lookupzone für die Domäne gültige (wie der übergeordnete Ordner) Host (A)-Einträge enthält.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Forward-Lookupzone für die Domäne gültige (wie der übergeordnete Ordner) Host (A)-Einträge auf einem Windows 2000-basierten Computer enthält:

  1. Wählen Sie auf einem Domänencontroller, auf dem DNS ausgeführt wird, Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann DNS aus.

  2. Erweitern Sie Your_Server_Name, erweitern Sie Forward-Lookupzonen, und wählen Sie dann die Forward-Lookupzone für Ihre Domäne aus.

  3. Suchen Sie (wie der übergeordnete Ordner) nach Host (A)-Einträgen.

  4. Wenn kein Host (A)-Eintrag (identisch mit dem übergeordneten Ordner) vorhanden ist, führen Sie die folgenden Schritte aus, um einen Datensatz zu erstellen:

    1. Wählen Sie im Menü Aktion die Option Neuer Host aus.
    2. Geben Sie im Feld IP-Adresse die IP-Adresse des lokalen Netzwerkadapters des Domänencontrollers ein.
    3. Aktivieren Sie das Kontrollkästchen Zugeordneten Zeiger (PTR)-Datensatz erstellen , und wählen Sie dann Host hinzufügen aus.
    4. Wenn Sie die folgende Meldung erhalten, wählen Sie Ja aus:

      (identisch mit übergeordnetem Ordner) ist kein gültiger Hostname. Möchten Sie diesen Datensatz wirklich hinzufügen?

  5. Doppelklicken Sie auf den Host (A)-Eintrag (identisch mit dem übergeordneten Ordner).

  6. Vergewissern Sie sich, dass die richtige IP-Adresse im Feld IP-Adresse aufgeführt ist.

  7. Wenn die IP-Adresse im Feld IP-Adresse ungültig ist, geben Sie die richtige IP-Adresse in das Feld IP-Adresse ein, und wählen Sie dann OK aus.

  8. Stattdessen können Sie den Host (A)-Eintrag (identisch mit dem übergeordneten Ordner) löschen, der eine ungültige IP-Adresse enthält. Um den Host (A)-Eintrag (wie der übergeordnete Ordner) zu löschen, klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann Löschen aus.

  9. Wenn der DNS-Server ein Domänencontroller ist, der auch ein Routing- und RAS-Server ist, finden Sie weitere Informationen unter Namensauflösung und Konnektivitätsprobleme auf einem Routing- und RAS-Server, auf dem auch DNS oder WINS ausgeführt wird.

  10. Geben Sie auf allen Computern, auf denen Sie DNS-Einträge hinzufügen, löschen oder ändern, ipconfig /flushdns an einer Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Forward-Lookupzone für die Domäne gültige (wie der übergeordnete Ordner) Host (A)-Einträge auf einem Windows Server 2003-basierten Computer enthält:

  1. Wählen Sie auf einem Domänencontroller, auf dem DNS ausgeführt wird, Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann DNS aus.

  2. Erweitern Sie Your_Server_Name, erweitern Sie Forward-Lookupzonen, und wählen Sie dann die Forward-Lookupzone für Ihre Domäne aus.

  3. Suchen Sie nach dem (identisch mit dem übergeordneten Ordner) Host (A)-Eintrag.

  4. Wenn der Host (A)-Eintrag (identisch mit dem übergeordneten Ordner) nicht vorhanden ist, führen Sie die folgenden Schritte aus, um einen Datensatz zu erstellen:

    1. Wählen Sie im Menü Aktion die Option Neuer Host (A)aus.
    2. Geben Sie im Feld IP-Adresse die IP-Adresse des lokalen Netzwerkadapters des Domänencontrollers ein.
    3. Aktivieren Sie das Kontrollkästchen Zugeordneten Zeiger (PTR)-Datensatz erstellen , und wählen Sie dann Host hinzufügen aus.
    4. Wenn Sie die folgende Meldung erhalten, wählen Sie Ja aus:

      (identisch mit übergeordnetem Ordner) ist kein gültiger Hostname. Möchten Sie diesen Datensatz wirklich hinzufügen?

  5. Doppelklicken Sie auf den Host (A)-Eintrag (identisch mit dem übergeordneten Ordner).

  6. Vergewissern Sie sich, dass die richtige IP-Adresse im Feld IP-Adresse aufgeführt ist.

  7. Wenn die IP-Adresse im Feld IP-Adresse ungültig ist, geben Sie die richtige IP-Adresse in das Feld IP-Adresse ein, und wählen Sie dann OK aus.

  8. Stattdessen können Sie den Host (A)-Eintrag (identisch mit dem übergeordneten Ordner) löschen, der die ungültige IP-Adresse enthält. Um den Host (A)-Eintrag zu löschen, klicken Sie mit der rechten Maustaste (wie der übergeordnete Ordner), und wählen Sie dann Löschen aus.

  9. Wenn der DNS-Server ein Domänencontroller ist, der auch ein Routing- und RAS-Server ist, finden Sie weitere Informationen unter Namensauflösung und Konnektivitätsprobleme auf einem Routing- und RAS-Server, auf dem auch DNS oder WINS ausgeführt wird.

  10. Geben Sie auf allen Computern, auf denen Sie DNS-Einträge hinzufügen, löschen oder ändern, ipconfig /flushdns an einer Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.

Schritt 2: Untersuchen der Signatureinstellungen für den Server message Block auf den Clientcomputern und Mitgliedsservern

Die SMB-Signatureinstellungen (Server Message Block) definieren, ob die Computer im Netzwerk die Kommunikation digital signieren. Wenn die SMB-Signatureinstellungen nicht ordnungsgemäß konfiguriert sind, können die Clientcomputer oder die Mitgliedsserver möglicherweise keine Verbindung mit den Domänencontrollern herstellen.

Beispielsweise kann die SMB-Signatur für die Domänencontroller erforderlich sein, aber die SMB-Signatur kann auf den Clientcomputern deaktiviert sein. Wenn dieses Problem auftritt, können Gruppenrichtlinie nicht ordnungsgemäß angewendet werden. Daher protokollieren die Clientcomputer Benutzerumgebungsfehler (Userenv) im Anwendungsprotokoll. Manchmal können die SMB-Signatureinstellungen für den Serverdienst und den Arbeitsstationsdienst auf einem Domänencontroller in Konflikt stehen.

Beispielsweise kann die SMB-Signatur für den Arbeitsstationsdienst des Domänencontrollers deaktiviert sein, aber die SMB-Signatur ist für den Serverdienst des Domänencontrollers erforderlich. In diesem Szenario können Sie eine oder mehrere lokale Dateifreigaben des Domänencontrollers nicht öffnen, wenn Sie beim Server angemeldet sind. Darüber hinaus können Sie Gruppenrichtlinie-Snap-Ins nicht öffnen, wenn Sie am Server angemeldet sind.
Weitere Informationen zur Problembehandlung auf einem Domänencontroller finden Sie unter Sie können keine Dateifreigaben oder Gruppenrichtlinie Snap-Ins auf einem Domänencontroller öffnen.

Wenn Gruppenrichtlinie Fehler nur auf Clientcomputern und Mitgliedsservern auftreten oder wenn Sie feststellen, dass Sie keine Dateifreigaben öffnen oder Gruppenrichtlinie Snap-Ins auf einem Domänencontroller nicht für Ihre Situation gelten, fahren Sie mit der Problembehandlung fort.

Standardmäßig ist die SMB-Signatur aktiviert, aber nicht für die Clientkommunikation auf Clientcomputern und Mitgliedsservern erforderlich, auf denen Windows XP, Windows 2000 oder Windows Server 2003 ausgeführt wird. Es wird empfohlen, die Standardkonfiguration zu verwenden, da die Clientcomputer die SMB-Signatur verwenden können, wenn dies möglich ist, aber weiterhin mit Servern kommunizieren, auf denen die SMB-Signatur deaktiviert ist.

Um die Clientcomputer und Mitgliedsserver so zu konfigurieren, dass die SMB-Signatur aktiviert, aber nicht erforderlich ist, müssen Sie die Werte für einige Registrierungseinträge ändern. Führen Sie die folgenden Schritte aus, um die Registrierungsänderungen auf den Clientcomputern vorzunehmen:

  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf enablesecuritysignature, und wählen Sie dann Ändern aus.
  4. Geben Sie im Feld Wertdaten den Wert 0 ein, und wählen Sie dann OK aus.
  5. Klicken Sie mit der rechten Maustaste auf requiresecuritysignature, und wählen Sie dann Ändern aus.
  6. Geben Sie im Feld Wertdaten den Wert 0 ein, und wählen Sie dann OK aus.
  7. Erweitern Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
  8. Klicken Sie im rechten Bereich mit der rechten Maustaste auf enablesecuritysignature, und wählen Sie dann Ändern aus.
  9. Geben Sie im Feld Wertdaten den Wert 1 ein, und wählen Sie dann OK aus.
  10. Klicken Sie mit der rechten Maustaste auf requiresecuritysignature, und wählen Sie dann Ändern aus.
  11. Geben Sie im Feld Wertdaten den Wert 0 ein, und wählen Sie dann OK aus.

Nachdem Sie die Registrierungswerte geändert haben, starten Sie die Server- und Arbeitsstationsdienste neu. Starten Sie die Computer nicht neu, da dies dazu führen kann, dass Gruppenrichtlinien angewendet werden und die Gruppenrichtlinie Einstellungen möglicherweise erneut in Konflikt stehende Werte konfigurieren.

Nachdem Sie die Registrierungswerte geändert und die Server- und Arbeitsstationsdienste auf den betroffenen Computern neu gestartet haben, führen Sie die folgenden Schritte aus:

  1. Zeigen Sie die Gruppenrichtlinie Einstellungen für das Gruppenrichtlinienobjekt oder die Gruppenrichtlinienobjekte an, die für die betroffenen Computerkonten gelten.
  2. Stellen Sie sicher, dass die Gruppenrichtlinien nicht mit den erforderlichen Registrierungseinstellungen in Konflikt treten.
  3. Verwenden Sie die Gruppenrichtlinie Object Editor, um die Richtlinieneinstellungen im folgenden Ordner anzuzeigen:Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options

Auf einem Computer, auf dem Windows Server 2003 ausgeführt wird, weisen die Einstellungen für die SMB-Signatur Gruppenrichtlinie die folgenden Namen auf:

  • Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)
  • Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt)
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)
  • Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt)

Auf einem Computer, auf dem Windows 2000 Server ausgeführt wird, weisen die Einstellungen für die SMB-Signatur Gruppenrichtlinie die folgenden Namen auf:

  • Digitales Signieren der Serverkommunikation (immer)
  • Digitales Signieren der Serverkommunikation (sofern möglich)
  • Digitales Signieren der Clientkommunikation (immer)
  • Digitales Signieren der Clientkommunikation (sofern möglich)

In der Regel werden die Einstellungen für die SMB-Signierung Gruppenrichtlinie als "Nicht definiert" konfiguriert. Wenn Sie die Einstellungen für die SMB-Signatur Gruppenrichtlinie definieren, stellen Sie sicher, dass Sie verstehen, wie sich die Einstellungen auf die Netzwerkkonnektivität auswirken können.
Weitere Informationen zu den SMB-Signatureinstellungen finden Sie unter Client-, Dienst- und Programmprobleme können auftreten, wenn Sie Sicherheitseinstellungen und Zuweisungen von Benutzerrechten ändern.

Wenn Sie die GPO-Einstellungen auf einem Domänencontroller ändern, auf dem Windows 2000 Server ausgeführt wird, führen Sie die folgenden Schritte aus:

  1. Starten Sie eine Eingabeaufforderung. Wählen Sie hierzu Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
  2. Geben Sie secedit /refreshpolicy machine_policy /enforce ein, und drücken Sie dann die EINGABETASTE.
  3. Starten Sie die betroffenen Clientcomputer neu.
  4. Überprüfen Sie die SMB-Signaturwerte in der Registrierung auf den Clientcomputern erneut, um sicherzustellen, dass sie sich nicht unerwartet geändert haben.

Wenn Sie die GPO-Einstellungen auf einem Domänencontroller ändern, auf dem Windows Server 2003 ausgeführt wird, führen Sie die folgenden Schritte aus:

  1. Starten Sie eine Eingabeaufforderung. Wählen Sie hierzu Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
  2. Geben Sie gpupdate /force ein, und drücken Sie dann die EINGABETASTE.
  3. Starten Sie die betroffenen Clientcomputer neu.
  4. Überprüfen Sie die SMB-Signaturwerte in der Registrierung auf den Clientcomputern erneut, um sicherzustellen, dass sie sich nicht unerwartet geändert haben.

Wenn sich die SMB-Signaturwerte in der Registrierung nach dem Neustart der Clientcomputer unerwartet ändern, verwenden Sie eine der folgenden Methoden, um die angewendeten Richtlinieneinstellungen anzuzeigen, die auf einen Clientcomputer angewendet werden:

  • Verwenden Sie auf einem Windows XP-basierten Computer das MMC-Snap-In "Resultant Set of Policy" (Rsop.msc). Weitere Informationen zum Resultierenden Satz von Richtlinien finden Sie unter Resultant Set of Policy.

  • Verwenden Sie unter Windows 2000 das Befehlszeilentool Gpresult.exe, um die Gruppenrichtlinie Ergebnisse zu untersuchen. Gehen Sie dazu wie folgt vor:

    1. Installieren Sie Gpresult.exe aus dem Windows 2000 Resource Kit.

    2. Geben Sie an einer Eingabeaufforderung gpresult /scope computer ein, und drücken Sie dann die EINGABETASTE.

    3. Beachten Sie im Abschnitt Angewendete Gruppenrichtlinie Objekte der Ausgabe die Gruppenrichtlinie Objekte, die auf das Computerkonto angewendet werden.

    4. Vergleichen Sie die Gruppenrichtlinie Objekte, die auf das Computerkonto angewendet werden, das über die SMB-Signaturrichtlinieneinstellungen auf dem Domänencontroller für diese Gruppenrichtlinie-Objekte verfügt.

Schritt 3: Stellen Sie sicher, dass der TCP/IP-NetBIOS-Hilfsdienst auf allen Computern gestartet wird.

Alle Computer im Netzwerk müssen den TCP/IP-NetBIOS-Hilfsdienst ausführen.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der TCP/IP-NetBIOS-Hilfsdienst auf einem Windows XP-basierten Computer ausgeführt wird:

  1. Wählen Sie Start und dann Systemsteuerung aus.
  2. Wenn sich Systemsteuerung in der Kategorieansicht befindet, wählen Sie Zur klassischen Ansicht wechseln aus.
  3. Doppelklicken Sie auf Verwaltung.
  4. Doppelklicken Sie auf Dienste.
  5. Wählen Sie in der Liste Dienstedie Option TCP/IP NetBIOS Helper aus. Vergewissern Sie sich, dass der Wert unter der Spalte Statusgestartet ist. Vergewissern Sie sich, dass der Wert unter der Spalte Starttypautomatisch ist. Wenn die Werte Status oder Starttyp nicht korrekt sind, führen Sie die folgenden Schritte aus:
    1. Klicken Sie mit der rechten Maustaste auf TCP/IP NetBIOS Helper, und wählen Sie dann Eigenschaften aus.
    2. Wählen Sie in der Liste Starttypdie Option Automatisch aus.
    3. Wählen Sie im Bereich Dienst status die Option Start aus, wenn der Dienst nicht gestartet wurde.
    4. Wählen Sie OK aus.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der TCP/IP-NetBIOS-Hilfsdienst auf einem Windows Server 2003-basierten Computer ausgeführt wird:

  1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Dienste aus.
  2. Wählen Sie in der Liste Dienstedie Option TCP/IP NetBIOS Helper aus. Vergewissern Sie sich, dass der Wert unter der Spalte Statusgestartet ist. Vergewissern Sie sich, dass der Wert unter der Spalte Starttypautomatisch ist. Wenn die Werte Status oder Starttyp nicht korrekt sind, führen Sie die folgenden Schritte aus:
    1. Klicken Sie mit der rechten Maustaste auf TCP/IP NetBIOS Helper, und wählen Sie dann Eigenschaften aus.
    2. Wählen Sie in der Liste Starttypdie Option Automatisch aus.
    3. Wählen Sie im Bereich Dienst status die Option Start aus, wenn der Dienst nicht gestartet wurde.
    4. Wählen Sie OK aus.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der TCP/IP-NetBIOS-Hilfsdienst auf einem Windows 2000-basierten Computer ausgeführt wird:

  1. Wählen Sie Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Dienste aus.
  2. Wählen Sie in der Liste Dienstedie Option TCP/IP NetBIOS-Hilfsdienst aus. Vergewissern Sie sich, dass der Wert unter der Spalte Statusgestartet ist. Vergewissern Sie sich, dass der Wert unter der Spalte Starttypautomatisch ist. Wenn die Werte Status oder Starttyp nicht korrekt sind, führen Sie die folgenden Schritte aus:
    1. Klicken Sie mit der rechten Maustaste auf TCP/IP NetBIOS-Hilfsdienst, und wählen Sie dann Eigenschaften aus.
    2. Wählen Sie in der Liste Starttypdie Option Automatisch aus.
    3. Wählen Sie im Bereich Dienst status die Option Start aus, wenn der Dienst nicht gestartet wurde.
    4. Wählen Sie OK aus.

Stellen Sie außerdem sicher, dass Sie mindestens einen der erforderlichen Systemdienste nicht mithilfe von Gruppenrichtlinie-Objekten deaktiviert haben. Zeigen Sie diese Richtlinieneinstellungen mithilfe des Gruppenrichtlinie Object-Editor im Computer Configuration/Windows Settings/Security Settings/System Services Ordner an.

Unter Windows Server 2003 und Windows XP können Sie das MMC-Snap-In "Resultant Set of Policy" (Rsop.msc) verwenden, um alle angewendeten Richtlinieneinstellungen zu überprüfen, die auf einen Computer angewendet werden. Wählen Sie dazu Start, wählen Sie Ausführen aus, geben Sie rsop.msc in das Feld Öffnen ein, und wählen Sie dann OK aus.

Verwenden Sie unter Windows 2000 das Befehlszeilentool Gpresult.exe, um die Gruppenrichtlinie Ergebnisse zu untersuchen. Gehen Sie dazu wie folgt vor:

  1. Installieren Sie Gpresult.exe aus dem Windows 2000 Resource Kit.
  2. Geben Sie an einer Eingabeaufforderung gpresult /scope computer ein, und drücken Sie dann die EINGABETASTE.
  3. Beachten Sie im Abschnitt Angewendete Gruppenrichtlinie Objekte der Ausgabe die Gruppenrichtlinie Objekte, die auf das Computerkonto angewendet werden.
  4. Vergleichen Sie die Gruppenrichtlinie Objekte, die auf das Computerkonto angewendet werden, mit den SMB-Signaturrichtlinieneinstellungen auf dem Domänencontroller für diese Gruppenrichtlinie-Objekte.

Hinweis

Wenn der TCP/IP-NetBIOS-Hilfsdienst auf vielen Desktops deaktiviert ist, können Sie das folgende Microsoft Visual Basic-Beispielskript verwenden, um den TCP/IP NetBIOS-Hilfsdienst auf allen Computern in einer Organisationseinheit gleichzeitig zu starten.

Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Dies enthält, ohne Beschränkung, die stillschweigenden Garantien von Marktfähigkeit oder Eignung für einen bestimmten Zweck. Dieser Artikel setzt voraus, dass Sie sich mit der Programmiersprache auskennen, die hier gezeigt wird, und mit den Tools, die zum Erzeugen von Verfahren und zur Fehlerbeseitigung daran benutzt werden. Microsoft-Supporttechniker können ihnen helfen, die Funktionalität eines bestimmten Verfahrens zu erklären, aber sie ändern diese Beispiele nicht, um zusätzliche Funktionen bereitzustellen oder Verfahren zu erstellen, die Ihren spezifischen Anforderungen entsprechen.

Set objDictionary = CreateObject("Scripting.Dictionary") 
i = 0
Set objOU = GetObject("LDAP://OU=Computers, OU=OUName, OU=OUName, DC=OUName,
DC=OUName,DC=CompanyName,
DC=com")
objOU.Filter = Array("Computer")
For Each objComputer In objOU
        objDictionary.Add i, objComputer.CN
        i = i + 1
Next
For Each objItem In objDictionary
        strComputer = objDictionary.Item(objItem)
        Set objWMIService =
GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")

        Set colServices = objWMIService.ExecQuery _
                ("Select * from Win32_Service where Name = 'LmHosts'")
        For Each objService In colServices
                If objService.StartMode = "Disabled" Then
                        objService.Change( , , , , "Automatic")
                End If
        Next
Next

Schritt 4: Stellen Sie sicher, dass das verteilte Dateisystem (Distributed File System, DFS) auf allen Computern aktiviert ist.

Alle Domänencontroller müssen den Dienst verteiltes Dateisystem ausführen, da die Sysvol-Freigabe ein DFS-Volume ist. Darüber hinaus muss der DFS-Client in der Registrierung auf allen Computern aktiviert sein.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass der Verteilte Dateisystemdienst auf Windows Server 2003-basierten Domänencontrollern ausgeführt wird:

  1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Dienste aus.
  2. Wählen Sie in der Liste Dienste die Option Verteiltes Dateisystem aus. Vergewissern Sie sich, dass der Wert unter der Spalte Statusgestartet ist. Vergewissern Sie sich, dass der Wert unter der Spalte Starttypautomatisch ist. Wenn die Werte Status oder Starttyp nicht korrekt sind, führen Sie die folgenden Schritte aus:
    1. Klicken Sie mit der rechten Maustaste auf Verteiltes Dateisystem, und wählen Sie dann Eigenschaften aus.
    2. Wählen Sie in der Liste Starttypdie Option Automatisch aus.
    3. Wählen Sie im Bereich Dienst status die Option Start aus, wenn der Dienst nicht gestartet wurde.
    4. Wählen Sie OK aus.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass der Verteilte Dateisystemdienst auf Windows 2000 Server-basierten Domänencontrollern ausgeführt wird:

  1. Wählen Sie Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Dienste aus.
  2. Wählen Sie in der Liste Dienste die Option Verteiltes Dateisystem aus. Vergewissern Sie sich, dass der Wert unter der Spalte Statusgestartet ist. Vergewissern Sie sich, dass der Wert unter der Spalte Starttypautomatisch ist. Wenn die Werte Status oder Starttyp nicht korrekt sind, führen Sie die folgenden Schritte aus:
    1. Klicken Sie mit der rechten Maustaste auf Verteiltes Dateisystem, und wählen Sie dann Eigenschaften aus.
    2. Wählen Sie in der Liste Starttypdie Option Automatisch aus.
    3. Wählen Sie im Bereich Dienst status die Option Start aus, wenn der Dienst nicht gestartet wurde.
    4. Wählen Sie OK aus.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass der Client für verteiltes Dateisystem auf allen Clientcomputern aktiviert ist:

  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie den folgenden Unterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
  3. Wählen Sie Mup aus, und suchen Sie dann im rechten Bereich nach einem DWORD-Werteintrag namens DisableDFS.
  4. Wenn der Eintrag DisableDFS vorhanden ist und die Wertdaten 1 sind, doppelklicken Sie auf DisableDFS. Geben Sie im Feld Wertdaten den Wert 0 ein, und wählen Sie dann OK aus. Wenn die DisableDFS-Wertdaten bereits 0 sind oder der DisableDFS-Eintrag nicht vorhanden ist, nehmen Sie keine Änderung vor.
  5. Schließen Sie den Registrierungs-Editor.
  6. Wenn Sie die DisableDFS-Wertdaten geändert haben, starten Sie den Computer neu.

Schritt 5: Untersuchen des Inhalts und der Berechtigungen des Sysvol-Ordners

Standardmäßig befindet sich der Sysvol-Ordner im %systemroot% Ordner. Der Sysvol-Ordner enthält die Gruppenrichtlinie Objekte der Domäne, die Sysvol- und Netlogon-Freigaben und den Dateireplikationsdienst-Stagingordner (File Replication Service, FRS).

Wenn die Berechtigungen für den Sysvol-Ordner oder die Sysvol-Freigabe zu restriktiv sind, können Gruppenrichtlinien nicht ordnungsgemäß angewendet werden und verursachen Fehler in der Benutzerumgebung (Userenv). Darüber hinaus können Userenv-Fehler auftreten, wenn die Sysvol-Freigabe oder Gruppenrichtlinie-Objekte fehlen.
Um sicherzustellen, dass die Sysvol-Freigabe verfügbar ist, führen Sie den Befehl net share an einer Eingabeaufforderung auf jedem Domänencontroller aus. Gehen Sie dazu wie folgt vor:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
  2. Geben Sie net share ein, und drücken Sie dann die EINGABETASTE.
  3. Suchen Sie sysvol und NETLOGON in der Liste der Ordner.

Wenn die Sysvol- oder Netlogon-Freigaben auf einem oder mehreren Domänencontrollern fehlen, müssen Sie die Ursache des Problems beheben.
Weitere Informationen zur Problembehandlung der fehlenden Sysvol- und Netlogon-Freigaben in Windows 2000 Server finden Sie unter Problembehandlung bei fehlenden SYSVOL- und NETLOGON-Freigaben auf Windows-Domänencontrollern.

Weitere Informationen zum Neuerstellen der Sysvol-Freigabe in Windows Server 2003 finden Sie unter Neuerstellen der SYSVOL-Struktur und ihres Inhalts in einer Domäne.

Nachdem Sie sichergestellt haben, dass die Sysvol-Freigabe verfügbar ist, stellen Sie sicher, dass der Sysvol-Ordner, die Sysvol-Freigabe und der Stammordner des Volumes, das den Sysvol-Ordner enthält, mit den richtigen Berechtigungen konfiguriert sind.

Darüber hinaus muss unter Windows 2000 Server der Gruppe Jeder die Berechtigung Vollzugriff für den Stammordner des Volumes gewährt werden, das den Sysvol-Ordner enthält. Unter Windows Server 2003 muss der Gruppe Jeder die Spezielle Berechtigung Lesen & Ausführen für "Nur dieser Ordner" gewährt werden, und der Gruppe domäne\Benutzer müssen die folgenden Standardberechtigungen erteilt werden:

  • Lesen & Ausführen
  • Ordnerinhalt auflisten
  • Lesen

Darüber hinaus muss die Gruppe Domäne\Benutzer unter Windows Server 2003 über die folgenden speziellen Berechtigungen verfügen:

  • Lesen Sie & Berechtigung Ausführen für "Dieser Ordner, Unterordner und Dateien".
  • Berechtigung "Ordner erstellen/Daten anfügen" für "Dieser Ordner und Unterordner".
  • Berechtigung "Dateien erstellen/Daten schreiben" für "Nur Unterordner"

Nachdem Sie die Sysvol-Berechtigungen überprüft haben, stellen Sie sicher, dass der Sysvol-Ordner die erforderlichen Gruppenrichtlinie -Objekte enthält. Um nach den erforderlichen Gruppenrichtlinie-Objekten zu suchen, verwenden Sie das Gpotool.exe-Programm aus dem Windows 2000- oder Windows Server 2003 Resource Kit.

Wenn Sie das Gpotool.exe Programm ohne Optionen ausführen, sucht es nach allen Gruppenrichtlinie Objekten auf allen Domänencontrollern in der Domäne. Wenn Sie den /checkacl Schalter einschließen, überprüft das Tool auch die Sysvol-Zugriffssteuerungsliste (ACL). Für eine ausführliche Ausgabe beim Ausführen des Gpotool.exe-Programms verwenden Sie den /verbose Schalter.

Stattdessen können Sie das einzelne Gruppenrichtlinienobjekt manuell im Ordner SYSVOL überprüfen. Wenn beispielsweise die Beschreibung im Userenv 1058-Ereignis den Namen eines Gruppenrichtlinienobjekts auflistet, können Sie das einzelne Gruppenrichtlinienobjekt manuell im SysVOL-Ordner überprüfen. Dadurch können Sie sicherstellen, dass er einen USER-Ordner, einen MACHINE-Ordner und eine Gpt.ini Datei enthält. Führen Sie die folgenden Schritte aus, um das einzelne Gruppenrichtlinienobjekt im Ordner SYSVOL manuell zu überprüfen:

  1. Starten Sie eine Eingabeaufforderung. Wählen Sie hierzu Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
  2. Geben Sie bei Uhrzeit/interaktiv/weiter: cmd.exe ein, und drücken Sie dann die EINGABETASTE, wobei Time 1 oder 2 Minuten später als die aktuelle Zeit ist und im 24-Stunden-Zeitformat geschrieben wird. Beispielsweise wären 3 Minuten nach 13:00 Uhr 13:03 im 24-Stunden-Zeitformat.
  3. Zu dem Zeitpunkt, den Sie im vorherigen Befehl angeben, wird ein neues Eingabeaufforderungsfenster geöffnet. Geben Sie net use j:\\domainname.com\sysvol\domainname.com\Policies\{GUID} ein, und drücken Sie dann die EINGABETASTE, wobei GUID die GUID des Gruppenrichtlinienobjekts ist, das sich in der Userenv-Ereignisbeschreibung befindet. Wenn beispielsweise in der Userenv 1058-Ereignisbeschreibung folgendes angezeigt wird: "Die Datei muss am Speicherort <\\Domain_Name.com\sysvol\Domain_Name.com\Policies\{31B2F340-016D-11D2-945F-00C04 vorhanden sein. FFB984 F9}\gpt.ini>, die GUID, die Sie im Befehl verwenden würden, ist 31B2F340-016D-11D2-945F-00C04FB984F9.
  4. Geben Sie dir j:\*.* ein, und drücken Sie dann die EINGABETASTE.
  5. Vergewissern Sie sich, dass ein USER-Ordner, ein MACHINE-Ordner und eine Gpt.ini-Datei in der Ordnerliste für das Laufwerk I aufgeführt sind. Wenn einer dieser Ordner und Dateien fehlt, protokollieren die Computer im Netzwerk wahrscheinlich Userenv-Fehler im Anwendungsprotokoll.

Wenn ein oder mehrere Gruppenrichtlinie Objekte im Sysvol-Ordner fehlen, führen Sie das Windows Server 2003 Default Gruppenrichtlinie Restore Utility (Dcgpofix.exe) oder das Windows 2000 Default Gruppenrichtlinie Restore Tool (Recreatedefpol.exe) aus, um die standardbasierten Gruppenrichtlinie-Objekte neu zu erstellen.

Das Dcgpofix.exe-Programm ist in Windows Server 2003 enthalten. Um weitere Informationen zum Dcgpofix.exe-Programm zu erfahren, führen Sie den dcgpofix /? Befehl an einer Eingabeaufforderung aus.

Stellen Sie sicher, dass Sie die empfohlenen Ausschlüsse festlegen, wenn Sie das Sysvol-Laufwerk mit Antivirensoftware scannen. Die Überprüfung mit Antivirensoftware kann den Zugriff auf die erforderlichen Dateien blockieren, z. B. die Gpt.ini-Datei. Sie müssen diese Ausschlüsse für alle echtzeitbasierten, geplanten und manuellen Antivirenscans konfigurieren.

Schritt 6: Stellen Sie sicher, dass den erforderlichen Gruppen das Recht "Durchlaufüberprüfung umgehen" gewährt wird.

Das Durchlaufüberprüfungsrecht umgehen muss den folgenden Gruppen auf den Domänencontrollern gewährt werden:

  • Administratoren
  • Authentifizierte Benutzer
  • Jeder
  • Vor Windows 2000 kompatibler Zugriff

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Recht "Durchlaufüberprüfung umgehen" auf einem Windows Server 2003-basierten Domänencontroller erteilt wurde:

  1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Domänencontroller-Sicherheitsrichtlinie aus.
  2. Erweitern Sie Lokale Richtlinien, und wählen Sie dann Zuweisung von Benutzerrechten aus.
  3. Doppelklicken Sie auf Durchlaufüberprüfung umgehen.
  4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren .
  5. Vergewissern Sie sich, dass die Gruppen Administratoren, Authentifizierte Benutzer, Jeder und Vor Windows 2000-kompatibler Zugriff für diese Richtlinieneinstellung aufgeführt sind. Wenn eine dieser Gruppen fehlt, führen Sie die folgenden Schritte aus:
    1. Wählen Sie Benutzer oder Gruppe hinzufügen aus.
    2. Geben Sie im Feld Benutzer- und Gruppennamen den Namen der fehlenden Gruppe ein, und wählen Sie dann OK aus.
  6. Wählen Sie OK aus, um die Richtlinieneinstellung zu schließen.
  7. Starten Sie eine Eingabeaufforderung. Wählen Sie hierzu Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
  8. Geben Sie gpupdate /force ein, und drücken Sie dann die EINGABETASTE.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Recht "Durchlaufüberprüfung umgehen" auf einem Windows 2000 Server-basierten Domänencontroller erteilt wurde:

  1. Wählen Sie Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Domänencontroller-Sicherheitsrichtlinie aus.
  2. Erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und wählen Sie dann Zuweisung von Benutzerrechten aus.
  3. Doppelklicken Sie auf Durchlaufüberprüfung umgehen.
  4. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren .
  5. Vergewissern Sie sich, dass die Gruppen Administratoren, Authentifizierte Benutzer, Jeder und Vor Windows 2000-kompatibler Zugriff für diese Richtlinieneinstellung aufgeführt sind. Wenn eine dieser Gruppen fehlt, führen Sie die folgenden Schritte aus:
    1. Wählen Sie Hinzufügen.
    2. Geben Sie im Feld Benutzer- und Gruppennamen den Namen der fehlenden Gruppe ein, und wählen Sie dann OK aus.
  6. Wählen Sie OK aus, um die Richtlinieneinstellung zu schließen.
  7. Starten Sie eine Eingabeaufforderung. Wählen Sie hierzu Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und wählen Sie dann OK aus.
  8. Geben Sie secedit /refreshpolicy machine_policy /enforce ein, und drücken Sie dann auswählen.

Schritt 7: Stellen Sie sicher, dass sich die Domänencontroller nicht in einem Journalumbruchzustand befinden.

Um festzustellen, ob sich ein Domänencontroller in einem Journalumbruchzustand befindet, zeigen Sie das Protokoll des Dateireplikationsdiensts in Ereignisanzeige an, und suchen Sie nach NTFRS-Ereignis-ID 13568. Die Ereignis-ID 13568 ähnelt der folgenden Ereignis-ID:
Wenn die NTFRS-Ereignis-ID 13568 auf einem Domänencontroller protokolliert wird, finden Sie weitere Informationen zur Problembehandlung von Journalumbruchfehlern unter Behandeln von journal_wrap Fehlern in Sysvol- und DFS-Replikatgruppen.

Schritt 8: Ausführen des Befehls Dfsutil /PurgeMupCache

Führen Sie das Dfsutil.exe-Programm mit dem /PurgeMupCache Schalter aus, um die zwischengespeicherten lokalen DFS/MUP-Informationen zu leeren. Das Dfsutil.exe-Programm ist in den Windows 2000 Server-Supporttools und den Windows Server 2003-Supporttools enthalten.