IThome

Das servergespeicherte Profil wird aus dem lokalen Benutzerprofil erzeugt (ohne Alluser). Also im Grunde das, was aus dem Default User in das lokale Profil kopiert wird, wenn sich der User das erste Mal anmeldet. Für verbindliche Profile änderst Du weder im Default User noch im AllUser, sondern erstellst Dir ein Profil, wie Du es haben möchtest, machst es verpflichtend und weist es dann Benutzern zu. Weiterhin gibt es eine Gruppenrichtlinie, mit denen sich Profile verbindlich machen lassen ("Propagierung von Änderungen an servergespeicherten Profilen auf den Server verhindern") How to assign a mandatory user profile in Windows XP HOW TO: Assign a Mandatory User Profile in Windows 2000

Ich habe mir gerade noch mal IPCONFIG des Servers angesehen und mir ist doch noch was aufgefallen. Auf dem Server läuft ein RRAS, dessen Adressbreich für die PPP-Verbindung gleich dem Bereich der LAN-Karte ist. In dieser Kombination kann es zu Problemen mit der Namensauflösung kommen ... Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS Allerdings hat der TO wohl eher ein Problem mit dem Client, einstellen sollte man sowas auf dem Server aber in jedem Fall ...

Niemand registriert sich wirklich im DNS, auch der/die Server nicht. Daher solltest Du die Einstellungen laut Artikel vornehmen (dann läuft das wieder) ... Führe NETDIAG und DCDIAG erneut durch, wenn DNS gefixed ist ...

Das Active Directory neu machen mit einem anderen Namen ... Das ist aber auch keine Krücke, nur eine Installationsanpassung an den unglücklich gewählten Namen ...

Ziemlich sicher sogar ... Konfiguriere mal so ... Information about configuring Windows for domains with single-label DNS names

XP-Home Maschinen kann man via Remotedesktop nicht ansprechen. XP-Home Maschinen können via Remotedesktop Client allerdings geeignete Maschinen (XP Professional, 200x Server z.B.) ansprechen ...

Was mich nur wieder darin bestätigt, sowas selbst zu machen ... :)

Und an welchen der beiden anderen, wenn es 3 DCs sind (darauf zielte meine Frage eigentlich ;)) ?

Ich mache das auch lieber zu Fuss, da weiss ich wenigstens, dass es auch passiert. Was passiert eigentlich, wenn ich 3 DCs habe und den FSMO-Träger mit DCPROMO demote, ohne die Rollen vorher übertragen zu haben ?

Okay, aber Ihr hattet sicher auch ne Menge Arbeit :D

Kenne ich jetzt zwar nicht, kenne aber auch keinen VPN-Client ausser den Windows-Client, wo man das einstellen müsste ... Wenn sich entweder Initiator oder Responder hinter einem NAT-Gerät befinden, kommt NAT-T zum Tragen ... sonst nicht, dann allerdings IP-Protokoll 50 (ESP) ...

Aber bei Dir hat man´s gleich gesehen ... Die Bengel haben G und H vertauscht, da dauerte die Suche ein wenig länger ... :D

Ähm, was ja ?

... und mir Schüler, die 2 Tasten der Tastatur gegeneinander getauscht haben ... :D

UDP 4500 für IPSec NAT-Traversal ... Wenn der Windows-Client benutzt wird, muss der Regkey "AssumeUDPEncapsulationContextOnSendRule" angepasst werden. Ist es ein 3rd Party VPN-Client, muss das eigentlich nicht gemacht werden ...

Versuche auf einem Client mal direkt vor dem Anmelden die Zeit mit dem Server via NET TIME \\<Server> /SET /YES zu synchronisieren ... Schau auch mal hier ... http://www.mcseboard.de/windows-forum-allgemein-28/servergestuetzte-profil-aenderungen-bleiben-bestehen-95633.html

Es passieren merkwürdige Dinge, wenn das Scalable Networking Pack installiert ist ... https://www.mcseboard.de/tipps-links-5/microsoft-deaktiviert-rss-toe-scalable-networking-pack-per-131231.htm Passen die Zeiten zwischen Server und Client ?

Eigentlich schon ... :D

MTU-Fehler machen sich eigentlich so bemerkbar, dass grosse Pakete (ICMP-Pakete Standard gehören da nicht zu) Schwierigkieten machen. Also dass Internetseiten nur teilweise geöffnet werden, Downloads abbrechen oder ähnlich. Ein Problem mit dem Stack ist natürlich möglich und das kannst ja auch schnell probieren/beheben. Du kannst natürlich auch testweise den MTU-Wert mit DrTCP auf z.B. 1400 verkleinern, wobei ich allerdings nicht glaube, dass das Erfolg hat ...

Kontrolliere mal, ob die Zeiten der Clients sich von der des Servers unterscheiden (besonders zur besagten Zeit, ob die Zeit also im Laufe des Tages immer weiter auseinander geht). Schaue Dir auch die Ereignisanzeige der Clients an und suche nach Kerberos Fehlern. Machst Du eventuell den Zeitabgleich via NET TIME ... in einem Script ? Was bedeutet "einfrieren" ? Sie können nicht mehr auf den Server zugreifen oder "frieren" die Clients wirklich ein ?

Naja, das sind Gruppen von Richtlinien, nicht Richtlinien für Gruppen ...

Ich denke schon ...

Naja, aber oft anzutreffen eigentlich auch nicht ...

Gruppe in der OU erzeugt ? Wozu ? Wenn Du die Benutzerrichtlinie anwenden willst, dann müssen sich auch Benutzerobjekte in dessen Reichweite befinden, keine Gruppen (mit Gruppen kann man sicherheitsfiltern, mehr aber auch nicht) ... Aber vielleicht habe ich Dich auch falsch verstanden ...

z.B. konnte ich von einem SBS weder über den installierten Exchange noch über das lokal installierte Outlook Express Mails grösser 4 MB verschicken (der Smarthost hat die Verbindung zurückgesetzt) ... Oder Sage Handwerk 2008 ist krötenlangsam (das ist generell nicht sehr performant, aber das ging gar nich ...) ...