Änderung Gruppenmitgliedschaft verzögert wirksam

10/10/2007 - 12:48 von Dennis Bistron | Report spam
Hallo allerseits,

ich hatte schoneinmal einen Artikel zu diesem Thema gepostet, finde ihn
aber leider nicht wieder... daher nochmal:

In unserer Domàne werden zur Berechtigung auf Ordner und auf
Gruppenrichtlinienobjekte Gruppen benutzt (was ja nichts ungewöhnliches
ist). Nur ist es leider so, daß ein, einer Gruppe neu zugeordneter,
Benutzer/Computer i.d.R. erst nach mehreren Stunden (man kann bald sagen
eigentlich erst am nàchsten Morgen) die Zugriffsberechtigung auf das Objekt
bekommt.

Domàne - ein Standort - Teil eines Forest:

4 DCs:
DC1 = Global Catalogue
DC2 = Infrastructure Master
DC3 = RID-Master
DC4 = PDC Emulator

Was ich mithilfe der GPMC und der Gruppenrichtlinienmodellierung beobachten
konnte:

Ich habe einen Benutzer/Computer einer Gruppe, die den Zugriff auf ein GPO
ermöglicht, zugeordnet und dann in regelmàßigen Abstànden (5-10 Min.) die
Abfrage auf jedem einzelnen DC erneut ausgeführt.

Nach etwa 10 Minuten war bei Ausführung der Abfrage auf dem DC1 das GPO für
den überprüften Benutzer/Computer verfügbar - auf allen anderen war das
Ergebnis "Zugriff verweigert". Nach etwa einer weiteren Stunde auf dem DC2
und wieder in etwa eine Stunde auf dem DC3 etc.

Bei Wiederholung war im Endeffekt nur gleich, daß der DC1 als erstes
"Bescheid wußte"; die anderen DCs haben es selbst nach 4 Stunden noch nicht
mitbekommen, daß sich die Gruppenzugehörigkeit geàndert hat.


Das geànderte Gruppenobjekt habe ich daraufhin auch überprüft, ob es
ordentlich zwischen den DCs repliziert wird - innerhalb von ~30 Sekunden
haben alle DCs die Änderung des Gruppenobjektes erhalten.


Auf Verdacht hin haben wir dann einfach mal den Infrastructure Master auf
einen anderen DC verlagert - keine Besserung.


Welche Ursache könnte dieses Verhalten (Replikation des Gruppenobjektes
funktioniert 100%ig, aber "Verknüpfung Benutzer - Gruppe" stark verzögert)
haben/wie kann man sie weiter eingrenzen?
Und vor allen was kann man dagegen tun?

Dann schonmal Danke im voraus für jeden Hinweis...

MfG
Dennis
 

Lesen sie die antworten

#1 Dennis Bistron
10/10/2007 - 12:57 | Warnen spam
4 DCs:
DC1 = Global Catalogue
DC2 = Infrastructure Master
DC3 = RID-Master
DC4 = PDC Emulator



Ergànzung:
alles Windows 2003 Server
Domàne im native Mode

Ähnliche fragen