diff --git a/articles/2025/default-domain-policy-kann-nicht-gelesen-werden.md b/articles/2025/default-domain-policy-kann-nicht-gelesen-werden.md new file mode 100644 index 0000000..4b84b59 --- /dev/null +++ b/articles/2025/default-domain-policy-kann-nicht-gelesen-werden.md @@ -0,0 +1,128 @@ + +## Problembeschreibung + +Leider kommt es häufiger vor, dass Administratoren vor dem Problem stehen, dass Clients die konfigurierten Gruppenrichtlinien nicht korrekt verarbeiten. +Die konfigurierten Richtlinien werden von einem oder mehreren Clients oder Servern in unregelmäßigen Abständen nicht angewendet. +Nach einem Neustart oder manchmal auch nach einiger Zeit hat der Client die Richtlinie auf magische Weise doch verarbeitet. + +Die Fehlersuche kann zeitaufwändig sein und den Administrator zur Verzweiflung bringen. +Ich versuche hier die naheliegendsten Möglichkeiten aufzuzeigen und einen Leitfaden zur systematischen Lösung des Problems bereitzustellen. + +## Mögliche Ursachen + +* **Namens- oder Netzwerkauflösung**: Der Client kann den zuständigen Domänencontroller nicht erreichen +* **SYSVOL-Replikation**: Die Replikation des DFS dauert lange und verzögert die Bereitstellung +* **DFS-Client deaktiviert**: Der Dienst auf dem Client ist beendet oder deaktiviert +* **Berechtigungen / SMB-Signatur**: Authentifizierte Benutzer haben keine Leserechte oder die SMB-Signaturpflicht wird misachtet +* **Zeit- / Kerberos-Probleme**: Die konfigurierte Zeit von Client und Domänencontroller weicht stark ab + +## Warum es später trotzdem doch klappt + +* **Namens- oder Netzwerkauflösung**: Der Client findet einen anderen Domänencontroller oder einen anderen Server per DNS +* **SYSVOL-Replikation**: Nach Abschluss der Replikation ist die Datei *gpt.ini* wieder vorhanden und kann gelesen werden +* **DFS-Client deaktiviert**: Der Client meldet sich an einem Domänencontroller, an dem SMB direkt funktioniert +* **Berechtigungen / SMB-Signatur**: Nach administrativen Korrekturen oder der Zuweisung eines anderen Domänencontrollers wird der Zugriff erlaubt +* **Zeit- / Kerberos-Probleme**: *W32Time* synchronisiert sich und der nächste Versuch wird positiv bearbeitet + +## Lösungsansätze + +📈 Wir ordnen nun die Lösungsschritte nach Schwierigkeit und Warscheinlichkeit + +### 1. Systemzeit prüfen + +Der einfachste Schritt ist, die Systemzeit des Clients zu verifizieren. +Weicht die Zeit des Clients um mehr als 5 Minuten vor der des Domänencontrollers ab, so werden Anfragen durch Kerberos verweigert. + +✅ **Lösung**: Öffnen Sie eine Konsole und geben den Befehl ```w32tm /resync``` ein. Der Client wird aufgefordert, die Zeit erneut zu synchronisieren. + +### 2. Prüfen der Erreichbarkeit von DNS-Servern und Domänencontroller + +Was Sie auch einfach mit einer Konsole vom problematischen Client aus erledigen können ist die Konnektivität in Hinsicht auf DNS und Namensauflösung zu testen. +Kann der Client die Domänencontroller einer Domäne nicht auflösen, so schlägt die Aktualisierung der Gruppenrichlinie ebenfalls fehl. +Beliebte Fehler sind vergessene DNS-Server im DHCP, Artefakte alter Domänencontroller im Active-Directory und DNS. + +✅ **Lösung**: + +* Prüfen sie die dem System konfigurierten DNS-Server einfach mit dem Befehl ```ipconfig /all```. +Führen Sie für jeden der Server einen Ping-Befehl aus. +Ist ein Server nicht erreichbar, sollten Sie hier weiter forschen und das System aus den DNS-Einstellungen des Clients entfernen. +Werden die DNS-Server über DHCP verteilt, so müssen Sie die Zone über Ihren DHCP-Server bearbeiten. + +* Ausgabe der konfigurierten Domänencontroller +Untersuchen Sie, ob es in Ihrem Active Directory verwaiste Einträge gibt. +Öffnen Sie eine Konsole und geben folgenden Befehl ein: +``` +nslookup -type=SRV _ldap._tcp.dc._msdcs. +``` +Führen Sie für jeden der Server einen Ping-Befehl aus. + +### 3. Prüfen des Datei-Zugriffs + +Jeder Benutzer- und Computeraccount einer Domäne muss lesenden Zugriff auf die Objekte der Gruppenrichtlinie haben. +Ist dies aus einem Grund nicht zutreffend, so kann die Richlinie nicht verarbeitet werden. +Eine einfache möglichkeit ist, die Stammdatei einfach im Explorer zu öffnen. +Der Inhalt der Datei ist dabei erstmal unerheblich. + +✅ **Lösung**: + +Öffnen Sie ein neues Explorer-Fenster auf dem betroffenen Computer und fügen Sie den folgenden Pfad (angepasst auf Ihre Domäne) ein: +```\\\SYSVOL\\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini``` +Öffnet sich die Datei, so kann davon ausgegangen werden, das hier kein Problem vorliegt. + +### 4. Diagnostizieren der Gruppenrichtlinien-Verarbeitung + +Prüfen Sie noch einmal ganz genau, was exakt bei der Verarbeitung fehlschlägt. +Nicht immer muss die gesamte Richlinie betroffen sein. In einigen Fällen scheitern nur Bestandteile des Richliniensatzes in der Verarbeitung. + +✅ **Lösung**: + +Öffnen Sie auf dem betroffenen Client eine neue Konsole und laden Sie die Richtlinie erneut mit dem Kommando ```gpupdate /force```. +Danach lassen Sie sich das Ergebnis der Richtlinienverarbeitung ausgeben: +``` +gpresult /h C:\Temp\report.html +``` +Es wird im genannten Pfad ```C:\Temp``` eine Datei mit dem Namen ```report.html``` erzeugt, welche Sie mit einem Browser Ihrer Wahl öffnen können. +Nicht angewendete Gruppenrichtlinien mit dem dazugehörigen Fehlercode werden hier protokolliert. + +### 5. Ereignisprotokoll durchsuchen + +Auch das Windows-Eventlog kann eine nützliche Informationsquelle sein. + +✅ **Lösung**: Suchen Sie im Protokoll ```System``` nach Einträgen mit den Event-IDs ```1058``` und ```1030```. + +### 6. Prüfungen am Domänen-Controller + +Auch wenn ein Problem an einem Client nicht unbedingt auf ein Problem des DCs hinweist, kann die Prüfung auch nicht schaden. +Hierzu gibt es einige nützliche Befehle, die Sie in einer Konsole auf einem Domänencontroller ausführen können: + +* **dcdiag /v** gibt Auskunft über die generelle Gesundheit Ihres Active Directory +* **repadmin /replsummary** gibt Auskunft über Rückstände in der Replikation +* **dfsrdiag backlog /rgname:"Domain System Volume"** gibt Auskunft über Rückstände in der Replikation +* **net share** gibt Auskunft, ob auch die Notwendigen Freigaben (SYSVOL und NETLOGON) auf dem DC vorhanden sind + +Zusätzlich kann ein Prüfen des Dienste-Status helfen. Folgende Dienste müssen gestartet sein: + +* Netlogon +* DFS-R +* DNS +* RPC +* TCP/IP NetBIOS + +### 7. Zusätzliche Möglichkeiten + +* Langsame Netzwerkverbindungen können die Ausführung der Gruppenrichtline negativ beeinflussen +* Der Client hat ein defektes Computerkonto oder die Vertrauensstellung ist beeinträchtigt +* Der Domänencontroller ist über Wifi nicht erreichbar +* Firewall-Einstellungen verhindern den Zugriff auf den Domänencontroller + +✅ **Lösung**: + +* Verbinden Sie den Client mit einem Kabel direkt in das Netzwerks des Domänencontrollers +* Deaktivieren Sie temporär die Firewall auf dem Client +* Entfernen Sie den Client aus der Domäne und fügen Sie den Client neu hinzu + +## Zusammenfassung + +Clients, welche die Gruppenrichtlinie nicht mehr korrekt verarbeiten, stellen ein großes Maß an Aufwand dar. +Die Fehlerursachen sind vielfältig. +In der Regel liegen größere Probleme zu Grunde, welche evaluiert werden sollten. diff --git a/articles/2025/open-source-im-unternehmen/1-open-source-als-innovationsmotor-warum-unternehmen-auf-offene-software-setzen.md b/articles/2025/open-source-im-unternehmen/1-open-source-als-innovationsmotor-warum-unternehmen-auf-offene-software-setzen.md index 099a127..d0ec679 100644 --- a/articles/2025/open-source-im-unternehmen/1-open-source-als-innovationsmotor-warum-unternehmen-auf-offene-software-setzen.md +++ b/articles/2025/open-source-im-unternehmen/1-open-source-als-innovationsmotor-warum-unternehmen-auf-offene-software-setzen.md @@ -1,4 +1,4 @@ - + **Open Source als Innovationsmotor: Warum Unternehmen auf offene Software setzen** In einer Welt, in der Technologiezyklen immer kürzer werden und Innovation der Schlüssel zum Wettbewerbsvorteil ist, setzen immer mehr Unternehmen und Organisationen auf **Open Source**. Doch warum gilt offene Software als Innovationsmotor – und welche Rolle spielt sie nicht nur in der Wirtschaft, sondern auch im öffentlichen Sektor? diff --git a/articles/2025/open-source-im-unternehmen/2-kosten-vs-kontrolle-ist-open-source-wirklich-guenstiger.md b/articles/2025/open-source-im-unternehmen/2-kosten-vs-kontrolle-ist-open-source-wirklich-guenstiger.md index 04fcb40..e57d591 100644 --- a/articles/2025/open-source-im-unternehmen/2-kosten-vs-kontrolle-ist-open-source-wirklich-guenstiger.md +++ b/articles/2025/open-source-im-unternehmen/2-kosten-vs-kontrolle-ist-open-source-wirklich-guenstiger.md @@ -1,4 +1,4 @@ - + Open Source gilt oft als „kostenlose Alternative“ zu proprietärer Software – aber stimmt das wirklich? Wer nur auf den Kaufpreis schaut, übersieht schnell wichtige Faktoren wie Wartung, Support, Schulung und Sicherheit. In diesem Beitrag analysieren wir umfassend, **ob Open Source tatsächlich günstiger ist** – und warum „günstiger“ nicht nur mit Kosten, sondern auch mit Kontrolle und strategischen Vorteilen zu tun hat. diff --git a/articles/2025/open-source-im-unternehmen/3-strategien-fuer-sicheres-und-regelkonformes-management.md b/articles/2025/open-source-im-unternehmen/3-strategien-fuer-sicheres-und-regelkonformes-management.md index ab63392..74b2c6d 100644 --- a/articles/2025/open-source-im-unternehmen/3-strategien-fuer-sicheres-und-regelkonformes-management.md +++ b/articles/2025/open-source-im-unternehmen/3-strategien-fuer-sicheres-und-regelkonformes-management.md @@ -1,4 +1,4 @@ - + Open Source bietet große Chancen – aber auch erhebliche Herausforderungen. Wer Open-Source-Software (OSS) in Unternehmen oder im öffentlichen Dienst einsetzt, muss sicherstellen, dass Nutzung, Anpassung und Verteilung regelkonform, sicher und strategisch erfolgen. diff --git a/static/img/default-domain-policy-kann-nicht-gelesen-werden.webp b/static/img/default-domain-policy-kann-nicht-gelesen-werden.webp new file mode 100644 index 0000000..864eb3f Binary files /dev/null and b/static/img/default-domain-policy-kann-nicht-gelesen-werden.webp differ