daabm

Schau Dir die SIDs der Gruppen an. Die "gültigen" liegen im Bereich 500 bis 1000. Die Container sind AFAIK immer englisch.

samAccountName ist indiziert, das ist kein großes Problem... Und in der Tat - Du kannst nicht direkt binden, Du MUSST eine Query verwenden. Wäre schön, wenn es den direkten Zugriff auf User oder Computer auch gäbe, aber so isses halt. CN ist kein Bestandteil der LDAP Query Language. Du kriegst ja nicht mal den Parent per Query raus :-)

Wenn Du per Telnet auch nicht hinkommst -> Firewall (Windows oder extern). Was für ein Portscanner und von wo aus aufgerufen? Hol Dir nen Netzwerker mit dazu :cool: BTW: Firewall-Logging in Windows mußt Du einschalten, ist per default leider aus. wf.msc ist Dein Freund (oder eine Gruppenrichtlinie, aber das Interface ist das gleiche...)

Schema und Domain Naming Master sind keine Funktionen der Child Domain, sondern der Root-Domain. Wenn das falsch ist, dann hat vor langer langer Zeit mal was mit der Replikation der Config-Partition nicht funktioniert... Seizen würde ich da eher nix - schau Dir lieber mal erst die Root-Domain genau an, ob die noch "grün" ist. Und dann schau Dir die AD-Replikation der Child-Domain genau an. Ggf. hilft es schon, die 2 Roles einfach in der Root nur zu transferieren, so daß sich eine Änderung ergibt, die repliziert werden kann.

PortQry kennst Du? Telnet auch? Firewall-Logging schon mal untersucht? Was hängt an Netzwerk-Infrastruktur dazwischen? (Wäre nicht das erste Mal daß ein vergessener Router im Spiel ist...)

Weil er's kann. Und weil Namen Schall und Rauch sind (bis auf ein paar wenige Ausnahmen, ok - das hier gehört aber nicht dazu...)

Sag ich doch... "nicht mit standalone"... :o

Wenn Du noch irgendwo Win7/2008R2 hast: F1 :cool: Ab Win8 haben sie das Hilfesystem der GPP leider zerstört...

Jepp.PAC ist wohl das einfachste in dem Fall, aber wie so oft: "Alle Wege führen nach Rom" :cool: Wenn Du Dich für PAC entscheiden solltest,dann denk auf jeden Fall an die Anwendungen, die das nicht unterstützen - die brauchen dann zusätzlich eine "konventionelle" Proxy-Konfiguration.

...und vielleicht möchtest Du Dich auch mit Homesets ("Basisordner") mal auseinandersetzen :cool:

Aha -. ein Tautologie-Experte? SCNR... :D

DNS-Server werden per DHCP verteilt - und das mußt Du dem DHCP schon sagen, daß Du jetzt 2 DNS-Server (=DCs) hast. Ebenso Default-Gateway, kommt auch per DHCP... Und wenn nur Dein DC1 auch DHCP macht, dann kann das schwierig werden :cool:

Ich scließe mich lefg an - nix ist unangenehmer (ätzender) als seitenlange Log-Posts durchzuschauen. Ich mach's jedenfalls nicht mehr...

So isses - Suchmaschinen helfen. Mein Klarname steht übrigens unten :rolleyes:

Da werd ch schon wieder nicht schlau daraus - vielleicht bin ich zu alt :cool: Geht es jetzt wieder oder nicht?

Als Stichwort: Bei Trusts soll das ja auch nicht der DNS-Server machen, sondern das DNS-Suffixrouting des Trusts. Zonenübertragungen sind nicht erforderlich. Du musst nur entsprechende Forwarder auf den DCs (hoffentlich AD-integriertes DNS?) beider Domänen einrichten.

Du hast wohl ein Problem mit AD Sites und Services (Subnetze nicht gepflegt?)... dssite.msc ist Dein Freund. Und prüfe dort dann auch gleich, ob die 2 DCs sich dann jeweils in den richtigen Sites befinden.

Doso, der TO redet von Chipsatz-RAID :nene:

Ja, so suspekt wie die blöde Idee von MS, "Namespaces" und "Replikation" beides unter "DFS" zusammenzufassen. Jeder denkt immer, das gehöre zusammen :confused:

Aus der Antwort werde ich jetzt nicht wirklich schlau :shock: War das jetzt die Lösung des Problems? Und was genau Du wie genau gemacht hast, verstehe ich auch noch nicht...

WMI remote wäre wohl auch nicht schneller - wie sieht's mit psexec aus? Oder einfach ein geplanter Task LOKAL auf diesem Server, der die geforderten Daten in irgendeiner Form (CSV) erreichbar (Share oder Datenbank) bereitstellt... "Elegant" geht vmtl. nicht.

Seid Ihr sicher, daß Euer Berechtigungskonzept noch zeitgemäß ist? Ich hab ja schon viele delegierte Admins gesehen, die sich in alle verfügbaren Gruppen stecken, aber wesentlich über ca. 150 ist dabei noch keiner gekommen... Und wie kommst Du zu Deiner Aussage bezgl. MaxTokenSIze "ok"? WIe hast Du das verifiziert? "whoami /groups" sagt DIr schon mal die Gruppen, in denen der User laut Token steckt - hast Du das mal mit "dsquery user -samid xyz | dsget user -memberof -expand" abgeglichen? Und die Eventlogs der DCs und der Clients überprüft?

Die DCs stehen in verschiedenen Subnetzen und die Clients stehen im Subnetz von DC1? Dann klappt das so nicht, solange der DC Locator über DNS den "ausgeschalteten" DC seiner Site findet. Lasse mich da aber gerne belehren - das ist zumindest meine Erkenntnis aus der Praxis...

Nicht ganz - Du mußt "irgendwie" dafür sorgen, dass der User nichts ausführen kann, womit er es ändern kann. Das kann AppLocker sein (nur zugelassene Exen und Skripts), das kann aber auch - wie Sunny sagt und VIIEEL einfacher - per GPO - Administrative Vorlagen! - geschenhen. Group Policy Preferences helfen hier NICHT.

err.exe oder winerror.exe liefern Meldungstexte für .soche Fehlercodes, aber 0x80070000 ist keiner, den die kennen. Und ein regulärer Shutdown ist halt ein Shutdown...