[2003] RSOP - Security Mislukt

Pagina: 1
Acties:

  • hellie-
  • Registratie: Februari 2004
  • Laatst online: 08-04-2024
Situatie:

1 Windows 2003 Svr Domaincontroller
10 Windows Pro XP Clients (SP1 installed)

Wanneer ik de client lid maak van het domein, vervolgens inlog en het rsop.msc commando uitvoer krijg ik computer en gebruikersconfiguratie te zien.

Bij de computerconfiguratie staat echter een geel uitroepingsteken. Wanneer ik de eigenschappen opvraag van de computerconfiguratie zie ik default domain policy staan. Ik klik op het tabblad Foutgegevens waarna ik merk dat er bij de status van het onderdeel Security Mislukt staat.

Wanneer deze wordt aangeklikt krijg ik volgende informatie:

Security verwerkt. Het registreren van de gegevens van de resulterende verzameling beleidsregels is mislukt.

In het logboek staat niet meteen een melding hierover. Ik heb SP2 geïnstalleerd maar met hetzelfde resultaat. Op andere client computers (met andere hardware) krijg ik dit probleem niet. Dus een probleem aan de domaincontroller lijkt me uitgesloten.

Ik heb al enkele uurtjes gegoogled maar oplossingen zoeken van nederlandstalige foutberichten is niet eenvoudig. Ik zie niet meteen de engelse tekst hiervan voor ogen om wat gerichter te kunnen zoeken.

Misschien iemand die mij op weg kan helpen?

Alvast bedankt.

[ Voor 4% gewijzigd door hellie- op 13-09-2005 23:40 ]


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Welke opties zijn daar allemaal geconfigureerd? Misschien perongeluk account password policies ingesteld in andere policies? Voor zover ik weet waren die ook in 2003 enkel in de default domain policy in te stellen :) Misschien geeft dat problemen :P SP1 op de server en SP2 op de clients installeren misschien?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • hellie-
  • Registratie: Februari 2004
  • Laatst online: 08-04-2024
sanfranjake schreef op dinsdag 13 september 2005 @ 23:53:
Welke opties zijn daar allemaal geconfigureerd? Misschien perongeluk account password policies ingesteld in andere policies? Voor zover ik weet waren die ook in 2003 enkel in de default domain policy in te stellen :) Misschien geeft dat problemen :P SP1 op de server en SP2 op de clients installeren misschien?
Op de server staat SP1 geïnstalleerd. Op Clients stond SP1, toen had ik ook al die fout, daarna overgeschakeld (upgrade) op SP2 en had ik nog steeds die fout.

Op andere clients loopt het prima, helemaal geen fouten.

Wat betreft de account password policies staat dit ingesteld (default domain policy):

Maximale wachtwoordduur: 0
Minimale wachtwoordduur: 0 dagen
Minimale wachtwoordlengte: niet gedefinieerd
Uniekheid van wachtwoorden forceren door laatste wachtwoord(en) te onthouden: 0 wachtwoorden onthouden
Wachtwoorden moeten voldoen aan complexiteitsvereisten: Uitgeschakeld
Wachtwoorden opslaan met omkeerbare codering: Niet gedefineerd


Er staan geen andere account wachtwoord policies ingesteld in andere policies.

Toch al bedankt voor de snelle reactie.

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

GPMC installeren.
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx

daarbij zit ook RSoP, maar dan krijg je in ieder geval een duidelijker melding in je rapportage wat er dan niet toegepast wordt (in keurig HTML formaat).

Meestal is het iets als een Restricted Group die niet goed toegepast kan worden, dat zijn Machine policies.
Kijk ze eens goed na met GPMC?

[ Voor 40% gewijzigd door alt-92 op 14-09-2005 00:19 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • hellie-
  • Registratie: Februari 2004
  • Laatst online: 08-04-2024
BackSlash32 schreef op woensdag 14 september 2005 @ 00:15:
GPMC installeren.
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx

daarbij zit ook RSoP, maar dan krijg je in ieder geval een duidelijker melding in je rapportage wat er dan niet toegepast wordt (in keurig HTML formaat).

Meestal is het iets als een Restricted Group die niet goed toegepast kan worden, dat zijn Machine policies.
Kijk ze eens goed na met GPMC?
GPMC stond er al op dus heb ik het gewoon kunnen gebruiken.

Wat krijg ik te zien:

Bij de Summary staat een geel uitroepingsteken bij Component Status.
Ik klik op Show en vervolgens staat er:

Component Name > Security
Status > In Progress

En dan een grijs kadertje met wat uitleg:

Security failed due to the error listed below and failed to log resultant set of policy information.

Additional information may have been logged. Review the Policy Events tab in the console or
the application event log for events from 13/09/2005 23:02:14


Als ik klik op het tabblad Policy Events zie ik 2 informatie meldingen:

Source: SceCli
Event ID: 1704
Description: Beveiligingsbeleid in groepsbeleidsobjecten is toegepast

Source: Application Management
Event ID: 308
Description: Wijzigingen van de instellingen voor de installatie van de software zijn toegepast

Op zich niets vreemd al is het laatste voor de installatie van software wel raar daar ik nog nooit op dergelijke manier software heb geïnstalleerd op de clients.

  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 10:45

Kabouterplop01

chown -R me base:all

doe eens een gpupdate /force

Krijg je dan dezelfde foutmelding?

  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Heb je in een policy ergens dan ooit Software policies ingesteld? Of misschien de opties ervan geconfigureerd als default package location, default deployment method enzo? Ik kan niet veel raars ontdekken eigenlijk aan die meldingen, die zouden van een werkende policy kunnen komen. Ligt een beetje aan je auditlevel :P

http://www.eventid.net/di...134&source=SceCli&phase=1 overigens al gezien? Daar staat dat het wel eens aan een sysprep regkey zou kunnen liggen die gpo refreshes forceert. Op 2000 dan, maar zou ook voor XP/2003 op kunnen gaan? :P

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • hellie-
  • Registratie: Februari 2004
  • Laatst online: 08-04-2024
Kabouterplop01 schreef op woensdag 14 september 2005 @ 11:16:
doe eens een gpupdate /force

Krijg je dan dezelfde foutmelding?
Wanneer ik gpupdate /force op een client computer uitvoer krijg ik volgende melding:

Vernieuwingsbeleid...

De vernieuwing van het beleid (User) is voltooid.
De vernieuwing van het beleid (Computer) is voltooid.

Er is computerbeleid ingeschakeld dat alleen bij het opstarten kan worden uitgev
oerd.

Opnieuw opstarten? (J/N)


Wanneer ik zeg JA en na het opstarten terug rsop.msc uitvoer is alles ok. Geen uitroepingstekens meer. Dus zoals het moet.

Wanneer ik hetzelfde doe op de Domaincontroller krijg ik dezelfde melding "dat hij opnieuw wil opstarten".

Als ik dan terug aanlog met een client en terug rsop.msc uitvoer staat het uitroepingsteken er terug.

Zeer vreemd. Ik ben er echt zeker van dat ik nog nooit software heb geïnstalleerd via policies. Ook is er onder Software Instellingen van de verschillende policies geen waarde ingesteld of te vinden.
Pagina: 1