IThome

Hast Du einen Ordner "Default User" im Netlogon-Share des DCs (nur dann holt er von dort das Initialprofil, anderenfalls aus dem Default User des Rechners) ?

Welcher Virenscanner ? Tritt das Problem etwa alle 2 Wochen auf ?

Das sieht nach doppeltem SPN bzw. einem falschen DNS-Eintrag (z.B. ein Alias für einen alten Server z.B., dessen Computerobjekt sich noch im Verzeichnis befindet) aus ... http://www.eventid.net/display.asp?eventid=4&eventno=1968&source=Kerberos&phase=1

Ist Flowcontrol ausgeschaltet ?

Ich würde erstmal DNS gerade ziehen (notfalls mit der Holzhammermethode): Die Holzhammermethode: Beide haben ausschliesslich den DC04 (oder DC02) als primären DNS-Server eingetragen und keinen anderen. Auf dem DC04 (oder DC02) löschst Du alle Einträge unterhalb der Forward Lookupzonen und der Reverse Lookupzone (nicht die Zonen selbst). Dann führst Du auf beiden DCs NETDIAG /FIX und IPCONFIG /REGISTERDNS aus und dann heisst es warten, bis sich die Zonen wieder füllen. Dann prüfst Du mit NETDIAG und DCDIAG auf beiden DCs, ob noch Fehler auftauchen (bitte Ausgaben posten). Wenn alles gerade ist, konfigurierst Du auf DC02 den DC04 als primären DNS und sich selbst als sekundären, auf dem DC04 genau andersrum und dann wieder warten und Ereignisanzeigen kontrollieren ...

Der DHCP-Server ist nicht das Problem, er verteilt die Suffixe als Option 015 ja (an die Windows-Clients). Offensichtlich können die Drucker damit nichts anfangen ...

Würdest Du bitte die Ausgaben via Copy und Paste einfügen, nicht per Anhang (wir schalten solche Anhänge nicht frei) ... :) Ist auf dem DC02 kein DNS-Server installiert ?

Poste bitte mal IPCONFIG /ALL beider Server ...

Hast Du eventuell DNS-Aliases erstellt (irgendwann mal) ?

Vorschläge ? Du hast doch schon geschrieben, wie man es in Deinem Fall machen kann ...

Wichtig für den Eintrag im DNS ist ein Suffix (primäres Suffix oder Verbindungssuffix). Ausserdem musst Du den Haken "DNS-A- und -PTR-Einträge für DHCP-Clients, die keine Updates anfordern (z. B. Clients, die Windows NT 4.0 ausführen)" setzen ...

Entweder bekommen die Clients einen primären DNS-Suffix oder Du konfigurierst auf ihnen, dass sie auch den Verbindungssuffix registrieren ("DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden") ...

Von Computergruppenrichtlinien ganz zu schweigen ... ;)

Hm, ich sehe gerade, dass Du Dich auch schon an einem anderen PC angemeldet hast (hab ich überlesen) ... Hängende Sitzung kann es auch nicht sein, da der Terminalserver schon neu gestartet wurde ... Dann würde ich auch zu einem defekten Profil auf dem TS tendieren ...

Der zweite Benutzer meldet sich am selben PC an wie der, bei dem es nicht funktioniert ?

Entferne einen der beide Klone aus der Domäne, entferne dessen Computerkonto aus der Domäne, führe auf ihm NewSID aus und füge ihn der Domäne erneut zu ...

2 Domänen in einem Forest ? Active Directory integrierte Zonen ? Was meinst Du mit primärem/sekundärem DNS (meinst Du primäre/sekundäre Zonen ?) ? Warum arbeitest Du nicht einfach mit bedingten Weiterleitungen ? Poste bitte auch mal IPCONFIG /ALL von den DNS-Servern der beiden Domänen ...

Nochmal ganz langsam, welcher DNS welcher Domäne hostet welche Zonen ? Sind bedingte Weiterleitungen, Stubzonen oder sekundäre Zonen angelegt ?

Wenn Du ein "eigenes" Problem hast, dann erstelle auch einen eigenen Thread ...

Wegen der einzigartigen SIDs (Security Identifier) kannst Du geklonte Rechner nicht einfach nebeneinander betreiben. Es gibt Tools wie Newsid, die die SID ändern können. Das sollte passieren, bevor solch ein Rechner einer Domäne zugefügt wird. Sicher kannst Du einen DNS auch auf einem Member-Server installieren und betreiben ... es gibt ja auch die Möglichkeit mit primären und sekundären Zonen zu arbeiten ...i

Du gibst z.B. NSLOOKUP SRV.DOMAIN.LOCAL ein und hast die 192.168.1.1 (z.B. DNSSERVER.DOMAIN.LOCAL) als bevorzugten DNS-Server eingetragen. NSLOOKUP möchte den abgefragten DNS-Server (in diesem Beispiel 192.168.1.1/DNSSERVER.DOMAIN.LOCAL) reverse auflösen, nicht den Host der eigentlichen Abfrage (SRV.DOMAIN.LOCAL), Deswegen muss für den abgefragten DNS-Server ein PTR-Eintrag in der Reverse Lookup Zone vorhanden sein ...

Hm, nach dieser Aussage müsste eine geeignete Suffixsuchliste vorhanden sein ... Das wiederum ist eine spezielle Verhaltensweise von NSLOOKUP, welches nach der ersten Antwort sofort beendet, ob positiv oder negativ ...

Nicht nur das, auch ein Eintrag des DNS-Server in ihr ;) Der von Dir gepostete Fehler ist eine Eigenart von NSLOOKUP, die den abgefragten DNS-Server (nicht den abgefragten Host) reverse auflösen möchte ...

Ist eine Reverse Lookup Zone vorhanden und der Exchange dort auch eingetragen ? Wenn ja, wie ist er eingetragen ? Eine Forward Lookupzone für "firma-ort.de" scheint es ja zu geben (mit einem Eintrag für den Exchange), ebenso wie eine geeignete Suffixsuchliste ...

Ist das ein ANY-Tunnel ? Wie verbindest Du Dich mit den Laufwerken, wie mit dem Exchange (via Name oder IP-Adresse) ? Funktioniert die Namensauflösung auf die andere Seite überhaupt ?