Troubleshooting mit der Brechstange - wenn Logik nicht weiterhilft
Es gibt Fehler und Verhaltensweisen an einen System, die können nicht mit Logik erklärt werden. Besonders Restriktionen/Richtlinien und allgemeine Konfigurationen des Internet Explorer tauchen häufig auf meiner persönlichen Highscore Liste auf.
Grundsätzlich stehen Gruppenrichtlinien unter Generalverdacht wenn etwas nicht so funktioniert. Sie manipulieren das Ziel und das macht sie verdächtig. So ganz sicher ist man sich oft nicht, ob eine restriktive Explorer Einstellung nicht auch Auswirkungen auf bestimmte Datei/Öffnen Dialoge oder gar Zugriffe auf Ressource im Netzwerk hat?
Gerade IE Zonen Einstellungen sind eine Art Schwarzes Loch ...
Am Ende steht ihr da und habt überhaupt keine Idee, wo der Fehler ist. Ihr dreht euch im Kreis, probiert ein paar Dinge aus und nach 3 Stunden gibt man genervt auf, weil auch der Hersteller keine Ahnung hat, wie der IE für sein Produkt konfiguriert sein muss oder noch schlimmer er weiss es, ihr habt es so konfiguriert, aber es geht trotzdem nicht, aber "bei ihm" geht immer alles ...
Hier kommt jetzt die Lösung, die zu 100% zum Erfolg führt.
Das einzige Problem ist: Sie ist lästig, sie kostet Zeit und es macht keinen Spass
Der Weg wäre schneller als die 3 Stunden rumprobieren, aber man mag ihn nicht gehen.
Wir gehen den klassischen Weg der IT Lösungen: Fehlersuche durch Ausschlussverfahren, wir probieren alles der Reihe nach aus, was Fehler verursachen kann und am Ende bleibt einer übrig.
1. Erstellung einer Testumgebung, damit der Betrieb nicht gestört wird, wenn ihr das noch nicht habt: Erstellung einer Testumgebung als Abbild der Produktiven
Zusätzlich solltet ihr immer eine OU haben, die frei von allen Richtlinien ist, bzw. frei von Richtlinien ist, die stören können. Kennwortrichtlinien machen in der Regel keine IE Phänomene ;-)
2. Ob das Problem Computerspezifisch oder Benutzerspezifisch ist ist leicht geklärt: Anmeldung des Benutzers an anderem Computer, ist der Fehler noch vorhanden, ist es Benutzerspezifisch. Anmeldung eines anderen Benutzers an dem Computer, ist der Fehler noch vorhanden ist es computerspezifisch.
Für das das weitere Fehlersuchen und Ändern der GPO Konfiguration gilt:
- Bei Computerfehler nach Änderung gpupdate.exe - neustarten
- Bei Benutzerfehler nach Änderung gpupdate.exe - abmelden - anmelden
... Replikation abwarten!
3. Testcomputer und Testuser, die das Fehlerbild haben, werden in die GPO freie OU verschoben.
Fehler noch vorhanden? Prima die Richtlinien sind es nicht, jemand andere ist schuld! :-)
Fehler beseitigt, dann weiter zum nächsten Schritt.
4. Ihr deaktiviert die verlinkten Richtlinien, zB pro OU, erst auf der ersten OU (gpupdate/neustarten/ab-anmelden), dann auf der nächsten OU, bis der Fehler weg ist. Dann aktiviert ihr wieder eine GPO nach der anderen (gpupdate/neustarten/ab-anmelden) bis ihr die schuldige GPO gefunden habt.
5. Jetzt beginnt das hässliche Spiel innerhalb der GPO. Für den Bereich der Administrativen Vorlagen könnt ihr z. B. pro Category (gelbe Ordner) vorgehen und jeden Wert auf "Nicht konfiguriert" stellen. Irgendwann habt ihr den Fehler gefunden, aber ihr wisst nicht welche der 20 Richtlinien letztlich verantwortlich war.
6. Falls ihr nicht mehr ganz nachvollziehen könnt, welche Richtlinien aktiviert/deaktiviert waren, dann verwendet einfach eine neue Kopie der originalen Richtlinie. Verlinkt diese an die Stelle der Kopie, die ihr gerade noch bearbeitet habt. Ihr wisst jetzt daß es eine der zB 20 Einstellungen einer bestimmten Category sein muss.
7. Es geht wieder mit der Näherung über die Hälfte: 10 Richtlinien auf "Nicht konfiguriert" setzen, Fehler noch da? Von den verbleibenden 10 Policies 5 weitere auf "Nicht konfiguriert" setzen, oder wenn der Fehler beseitigt war, von den 10 "nicht konfigurierten" wieder 5 "aktivieren/deaktivieren", je nach vorheriger Konfiguration. Das gleiche Spiel dann mit 5, 3, 2, 1 Richtlinien ...
Das Vorgehen macht keinen Spass, ist lästig und kostet Zeit, aber es führt zu 100% zur Lösung und das vor allem schneller und damit am Ende effektiver, als jedes rumprobieren oder googlen.