GPO wordt niet geactiveerd vanuit server 2016

Heb al even gezocht op Tweakers, maar niets kunnen vinden, dus toch maar een nieuw topic.

Heb een nieuwe server ingericht met Windows 2016 essentials. Gebruikers en enkele Group policys aangemaakt.
De clients zijn ingericht met Windows 10 pro.
Maar bij inloggen word de GPO niet geladen.
Als ik GPUpdate /force uitvoer krijg ik de melding:
"Het groepsbeleid is niet verwerkt door een gebrek aan netwerkconnectiviteit met een domeincontroller."

Ben uiteraard al op het net aan het zoeken geweest, maar nog geen oplossing kunnen vinden.

Op de server is DNS ingesteld, op de client computers verwijst de dns naar de server.

Bij Delegation heb ik de gebruikers en domain computers toegevoegd (die laatste kwam ik ergens op een tutorial tegen als mogelijke oplossing)

De mapping die in het userprofiel staat wordt netjes toegewezen en de gebruikers hebben daar ook toegang toe.

Iemand enig idee waar ik dit probleem moet zoeken?

[ Voor 8% gewijzigd door Sakura_nl op 03-06-2017 17:22 ]

Heb in ieder geval dankzij nog eens kijken naar ipconfig alvast 1 probleem verholpen. Op dit moment heb ik de server en de client aan mijn eigen netwerk hangen. Beide stonden op dhcp en kregen dus een ip adres en dns gegevens van de Fritzbox. Vragen om problemen dus. Bij wisselen van gebruiker vaak de melding dat het domain niet te vinden was.

Beide heb ik nu een vast ip adres gegeven, en de client als primary dns de server en als secondary dns de fritzbox.
De DNS van de server heb ik naar de fritzbox en naar de dns server van Xs4all laten verwijzen.

gpresult dump is leeg, maakt wel netjes een html file aan, maar zonder settings.


ipconfig van de server:
==============
Windows IP Configuration

Host Name . . . . . . . . . . . . : Server-1
Primary Dns Suffix . . . . . . . : serv-2.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : serv-2.local

Ethernet adapter Embedded LOM 1 Port 2:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Physical Address. . . . . . . . . : 28-80-23-1C-89-A1
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Embedded LOM 1 Port 1:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physical Address. . . . . . . . . : 28-80-23-1C-89-A0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2001:980:1d7d:1:882d:9c3c:b89e:a26d(Preferred)
Link-local IPv6 Address . . . . . : fe80::882d:9c3c:b89e:a26d%10(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.178.200(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::c225:6ff:fe6a:a234%10
192.168.178.1
DHCPv6 IAID . . . . . . . . . . . : 52985891
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-20-A8-E1-B7-28-80-23-1C-89-A0
DNS Servers . . . . . . . . . . . : ::1
192.168.178.1
194.109.6.66
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter Teredo Tunneling Pseudo-Interface:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{D5D95CBC-63B6-44AE-A6FB-4CD37CBDE074}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{8D5C6D9F-2402-41F3-8C5C-D46D37847FB5}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
=============

ipconfig van de client

================

Windows IP Configuration

Host Name . . . . . . . . . . . . : serv-012
Primary Dns Suffix . . . . . . . : serv-2.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : serv-2.local

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physical Address. . . . . . . . . : 70-8B-CD-56-22-69
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2001:980:1d7d:1:dcb2:2364:5292:313d(Preferred)
Temporary IPv6 Address. . . . . . : 2001:980:1d7d:1:694f:5ec5:8f04:d00b(Preferred)
Link-local IPv6 Address . . . . . : fe80::dcb2:2364:5292:313d%3(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.178.212(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::c225:6ff:fe6a:a234%3
192.168.178.200
DHCPv6 IAID . . . . . . . . . . . : 40930253
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-20-C3-7B-BB-70-8B-CD-56-22-69
DNS Servers . . . . . . . . . . . : fd00::c225:6ff:fe6a:a234
192.168.178.200
8.8.8.8
NetBIOS over Tcpip. . . . . . . . : Enabled
=========

[ Voor 0% gewijzigd door Sakura_nl op 04-06-2017 07:28 . Reden: namen uit de log verwijderd ]

Ik had de pc al volledig afgesloten en opnieuw opgestart zonder dat de policys geladen werden.

GPUpdate /force geeft nu geen foutmelding, maar de dump blijft leeg.

User GPO, omdat ik ook restricties leg op bv config openen.
De user heb ik bij Sercurity filtering en Delegation toegevoegd. Ook "Domain computers" heb ik bij Delegation toegevoegd.

Oh ja, en er zijn 2 GPO's toegewezen

[ Voor 9% gewijzigd door Sakura_nl op 03-06-2017 21:39 . Reden: toevoeging ]

Ik heb geen OU aangemaakt, maar alle users direct onder Users aangemaakt. Kan dat problemen geven dat ik dat op die manier gedaan heb?

Bedoel jij met koppelen wat anders dan onder de GPO de users toevoegen Security filtering en Delegation?

downtime schreef op zaterdag 3 juni 2017 @ 21:51:
[...]

Van security filtering en delegation moet je in de meeste gevallen afblijven tenzij je weet wat je doet. Link an existing GPO is de functie die je moet hebben. En de GPO moet in jouw geval aan de OU Users gelinkt worden.

Bij Delegation zet je toch juist neer welke users de betreffende policy moeten krijgen?

downtime schreef op zaterdag 3 juni 2017 @ 21:57:
[...]

Nope. Daarmee stel je in wie de policy mogen wijzigen (standaard staan er alleen admin groepen en system).

Klopt idd, heb users toegevoegd onder tabje Scope/ Security Filtering. Delegation vult daarna zichzelf.

Downloader_NL schreef op zaterdag 3 juni 2017 @ 21:51:
[...]


Yes je hoef standaard niks met users toevoegen te doen enzo zorg dat de gpo gekoppeld is aan je User ou

To link an existing GPO, right-click the domain or OU within the domain, and then click Link an Existing GPO . In the Select GPO dialog box, click the GPO that you want to link, and then click OK.

https://technet.microsoft...ry/cc732979(v=ws.11).aspx

Onder welke ou heb je de gpo nu aangemaakt dan ?

Ik heb de policys direct onder de Group Policy Objects aangemaakt. Wat ik even snel op een link zag is dat er onder die map nieuwe ou aangemaakt worden. Dat heb ik dus anders (verkeer?) gedaan.

(en overbodig te zeggen, ik ben geen echte IT-er qua server configuratie )

/edit

Kom net dit filmpje tegen YouTube: Create and Link a Group Policy Object in Windows Server 2016 Daar zie ik al een behoorlijke fout die ik gemaakt heb.
Ga eerst die maar eens volgen

[ Voor 13% gewijzigd door Sakura_nl op 03-06-2017 22:32 ]

Van alles geprobeerd, maar nog steeds zonder succes.

Even in het kort.
Ik heb meerdere users aangemaakt, en enkele security groups. Users zijn lid van 1 of meerdere security groups.

In GPO manager heb ik 3 GPO's aangemaakt, en een OU. In die OU staan de GPO's gelinkt. Bij Delegation en Scope/Security filtering staat de betreffende security group vemeld.
Naar mijn idee zou die GPO dus aktief moeten worden voor de security group waar op zijn beurt de users van die groep de GPO weer naar zich toe moeten krijgen.


Als ik dan via gpresult de html bekijk, is die leeg. Het enige vreemde wat ik dan weer zie is onderstaand:
===============
Toegepaste GPO's


Geweigerde GPO's


Lokaal groepsbeleid [LocalGPO]


Koppelingslocatie Local
Uitbreidingen geconfigureerd
Afgedwongen Nee
Uitgeschakeld Geen
Beveiligingsfilters
Revisie AD (0), SYSVOL (0)
WMI-filter
Reden geweigerd Leeg
==============

Hier loop ik echt helemaal vast. Zelfs met GPUpdate /force komt de GPO niet binnen.

/update

Ook al getest met UNC hardening timeout in te stellen en zelfs uit te schakelen middels reg key :
===
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ
===

Nog steeds zonder resultaat.

/update
heb als test een nieuwe GPO gemaakt die alleen de klok van je werkbalk afhaalt. Verder alle default settings laten staan. Filtering en delegation staan dus naar Authenticated users.
Link aangemaakt in de OU. Maar zelfs die wordt niet geactiveerd. gpresult blijft melden dat die geweigerd is omdat die leeg is.

[ Voor 29% gewijzigd door Sakura_nl op 04-06-2017 12:41 . Reden: toevoeging ]

hoe voeg ik users toe dan aan de ou, of moeten de users in de usersmanager ook in een ou groep zitten, dat heb ik namelijk niet gedaan.

/edit
even aan het testen, nieuwe ou aangemaakt in usersmananger. Naam verschijnt gelijk in policiymanager.
Ga nu alle users en policys naar die nieuwe ou over zetten.

/edit

helaas, zelfde probleem

[ Voor 88% gewijzigd door Sakura_nl op 04-06-2017 13:25 ]

NeoAtomic schreef op zondag 4 juni 2017 @ 20:16:
Of ik heb er over heen gelezen, maar welke policy's heb je aangezet die je de gebruikers wilt serveren?

Als eerste even, omdat ik het helemaal zat was, heb ik alle policys weggegooid.
Heb een nieuwe OU gemaakt, alle users daarnaartoe verplaatst en een test policy aangemaakt. Die lijkt nu plots gewoon te werken.

Maar om antwoord op je vraag te geven, niet al te ingewikkelde denk ik.
Laat ik even beginnen met wat te verduidelijken waar die server en 6 werkstations komen te staan, dat praat wat makkelijker denk ik.
We zijn een vereniging met pakweg 12 werkgroepen die elk hun eigen ding doen binnen de vereniging. Een werkgroep heeft soms meer dan 15 leden die allemaal van dezelfde inlognaam gebruik moeten maken. De usernames zijn dus de namen van de werkgroepen.

Alle werkgroepen moeten bij elkaar in de directory's kunnen kijken zonder de mogelijkheid te hebben daar iets te kunnen wijzigen en hebben dus alleen in hun eigen directory schrijfrechten. Dan is er nog een directory voor de digitale aanwinsten waar alle werkgroepen iets in mogen zetten, maar er niets mogen wijzigen. En dan is er weer 1 werkgroep die die aanwinsten beheert en wel mag wijzigen.
En dan zijn er enkele privacy gevoelige werkgroepen waar niemand behalve de werkgroep zelf in mag kijken.

En verder is er slechts 1 werkgroep die de email beheert en mag gebruiken. Oh ja, en die heeft wel weer schrijfrechten in meerdere directorys

Hele complexe structuren, maar dat is uiteraard niet in een policy maar in "simpele" security rechten op de betreffende directory's.

Maar de policys.
Elke policy koppel ik aan security groep. Users maak ik dan al of niet lid van 1 of meerdere van die security groepen.
In de 1ste GPO wijs ik de default mapping X: en Y: voor 2 verschillende bestandsdirectory's toe.
In een 2de GPO blokkeer ik het gebruik van outlook.exe.
De 3de GPO is wat uitgebreider. Daar wijs ik een standaard printer toe, en omdat er nogal veel 'smart users' rondlopen blokkeer ik bijvoorbeeld toegang tot systeeminstellingen, wijzigingen aan de desktop, stel een startpagina voor InternetExplorer in en nog wat klein bier. En ik roep vanuit deze GPO nog een batch file als loginscript en 1 als logoutscript aan.

Question Mark schreef op maandag 5 juni 2017 @ 10:17:
[...]

Da's nog steeds niet goed dus. De client mag alleen de DNS van de server gebruiken, dat is immers de enige DNS server in je omgeving die de AD-records host.

Klopt, dat is tijdelijk omdat ik nu tbv installatie de server en de client aan mijn eigen netwerk heb hangen waar de Fritzbox tevens de DHCP server is.

Op de uiteindelijke plaats zal de server als DHCP ingesteld worden en de ip adressen uit gaan delen. Ook de DNS zal dan via de server gaan lopen.

Question Mark schreef op maandag 5 juni 2017 @ 21:47:
[...]

Sorry, maar ik overdrijf niet... Het kan nu voorkomen dat je clients AD gerelateerde DNS query's naar je fritzbox sturen, die deze niet kan beantwoorden...
[...]

Dat weet je niet.... Een client gebruikt een bepaald algoritme of een DNS-server te gaan gebruiken. Oa op basis van response tijden. Dat sommige DNS-servers primary, en andere secondary zijn wil nog niet zeggen dat de DNS-client dat ook zo beschouwd. Dat bepaalt de DNS-resolver zelf.

Regel het nu gewoon netjes, kan een hoop ellende schelen.

Verwijder die secondary DNS-server, en richt een forwarder in op je DNS-server

https://technet.microsoft...ry/cc754941(v=ws.11).aspx

iig bedankt voor de link, ga er even induiken. Moet uiteindelijk toch op die manier geconfigureerd gaan worden. Weet alleen niet zeker of dat ook gaat werken als de server aan mijn eigen netwerk hangt. Maar ga het iig toch even proberen.

[ Voor 6% gewijzigd door Sakura_nl op 05-06-2017 21:52 ]

@akimosan Security filtering heb ik idd aan moeten passen, anders werkte het niet. Policys heb ik opnieuw aangemaakt en de default instellingen heb ik verder niet meer aangezeten.

@downtime 1 ding weet ik wel heel zeker, jij (en de meerderheid van de overige posters op tweakers.net) weten meer van DNS dan ikzelf
Wist bijvoorbeeld niet dat de DNS-sen niet netjes op volgorde gebruikt worden. Dat veranderd opeens heel erg veel in mijn (karige) begrip van DNS-sen.

Ben op dit moment naar de DNS forwarder instellingen van de server aan het kijken, en die lijkt al goed te staan. Dus kan ik simpelweg de secondary DNS op de clients verwijderen.

/edit

Nog even een vraagje, heeft het zin om als forwarder niet alleen de fritzbox, maar ook bijvoorbeeld 194.109.6.66 (Xs4all DNS) toe te voegen, en misschien nog enkele DNS-sen?

[ Voor 11% gewijzigd door Sakura_nl op 05-06-2017 22:13 ]

Zal morgen eens diep in dat artikel duiken.

Heb iig alvast de 2nd DNS bij de client verwijderd. Internet werkt nog steeds prima, dus dat staat allemaal al goed ingesteld en gaat dus via de server.

Voor nu hou ik het even voor gezien. Morgen weer een dag.