catao

Das ist direkt die Kundenanforderung. Klingt komisch, ist aber so.

Nur ganz ausgewählte Admins sollen sich zu Wartungszwecken am Server anmelden können und alle anderen eben nicht. Die genaue Anforderung wurde mir so mit auf dem Weg gegeben: Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden. Nein, es gibt für die ausgewählten Admins eine ganz eigene Gruppe.

Hi Jan, ja, bei dem Punkt "Interactive logon: Require smart card", handelt es sich um ein Computer-Scope. Mein Gedanke war, wenn ich Loopback auf Replace setze und mit einer extra Admingruppe arbeite, ich dann "hintenrum" doch zum Ziel komme. Komisch ist, dass ich gestern einmal einen Zustand erreicht habe, in dem ich mit dem "normalen" User nur mit SmartCard anmelden konnte und mit einem User, aus der Admingruppe, zwischen Passwort und Smartcard wählen konnte. Ich weiß noch, dass ich dann noch etwas geändert habe, nur bekomme ich nicht mehr genau zusammen was bzw. wie der vermeintlich funktionierende Zustand war. :/

Hallo Zusammen, ich habe eine GPO, in der ich die Anmeldung (für alle Server, in der OU) nur mittels einer Smartcard erlauben darf. Das funktioniert auch, jedoch gibt es eine bestimmte Admingruppe, welche sich weiterhin mit Benutzernamen und Passwort anmelden soll. In der GPO Delegation habe ich hierzu dieser Admingruppe den Punkt "Apply group policy" auf Deny gesetzt. Mein Problem ist, dass ich eine Anmeldung ohne Smartcard nicht hin bekomme. Den Weg, die Authentifizierte User zu löschen und nur einer bestimmten Usergruppe das Recht "Apply group policy" zu geben, hat mich auch nicht zum Ziel gebracht. Wollte zumindest so testen, ob der Weg funktioniert, in dem ich einer Gruppe das Recht auf die GPO gebe und der anderen verweigere. Nur auch das klappt nicht. Eine andere Idee war, dass ich zwei GPOs anlege/verlinke. In der ersten setze ich die Smartcard Anmeldung auf enable und in der zweiten auf disabled. Von der Priorität die SmartCard vor der Admin GPO und dann wechselseitig die Berechtigungen setzen/verbieten. Das hat leider auch nicht geklappt. Ich habe das Problem, dass entweder nur SmartCard-Authentifizierung möglich ist oder die nach Benutzernamen und Kennwort gefragt wird. Das entweder/oder, in Verbindung mit der Gruppenzugehörigkeit, will nicht funktionieren. Die Frage ist, wo habe ich einen Gedankenfehler? Tausend Dank schon mal im Voraus.  Viele Grüße Sascha

Es geht um die Trennung von meinem eigenen AD-Account und einem (lokalen) Benutzeraccount. Über letzteren arbeite ich für meinen eigentlichen Brötchengeber. So habe ich die Outlook-Profile, Daten etc. sauber voneinander getrennt (war auch Vorgabe). Weitere Gründe würden an dieser Stelle zu weit ins Detail gehen...

Habe jetzt für mich einen Workaround gefunden, der bei allen bisherigen Tests funktioniert hat. Folgendes habe ich hierbei gemacht: "Computerkonfiguration\Administrative Vorlagen\System\Anmelden\Lokale Benutzer auf Computern, die der Domäne angehören, auflisten." [Aktiv] In der GPO habe ich Computer- und Benutzerkonfiguration jeweils unterhalb von "Windows-Einstellungen\Scripts" bei Herunterfahren rsp. Abmelden folgendes gesetzt: C:\Windows\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnDisplayName /t REG_SZ /d "Benutzer der Domäne" /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnSAMUser /t REG_SZ /d "Domain\Benutzer" /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnUser /t REG_SZ /d "Domain\Benutzer" /f DD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnProvider /t REG_SZ /d "{ }" /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnUserSID /t REG_SZ /d " " /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v SelectedUserSID /t REG_SZ /d " " /f LastLoggedOnProvider, LastLoggedOnUserSID und SelectedUserSID habe ich mir aus der Registry geholt, als ich mit dem betreffenden AD-Benutzer angemeldet war. Ob es vielleicht noch einen besseren Weg gibt, kann gut sein, nur ist dieser der einzige den ich aktuell ausmachen konnte und der zudem funktioniert. Vielleicht hilft das ja auch mal jemanden von euch.

Mit der GPO-Rule "Computerkonfiguration\Administrative Vorlagen\System\Anmelden\Lokale Benutzer auf Computern, die der Domäne angehören, auflisten." bin ich schon weitergekommen. Nun werden alle lokalen Benutzer angezeigt. Auch mein AD-Benutzer wird angezeigt, jedoch nur dann, wenn ich mich als letztes mit diesem Account angemeldet habe. Nehme ich einen lokalen Benutzer, wird der AD-User nicht mehr angezeigt und muss wieder manuell eingegeben werden.

Die GPO habe ich auf dem DC schon geprüft, wobei ich auf den ersten Blick nichts finden konnte, was dem gewünschten Ziel im Wege stehen könnte. Gibt es eine Möglichkeit trotz AD-Memeber die Benutzerauswahl zu realisieren?

Guten Morgen Zusammen Habe bei meinem Notebook mehrere lokale Benutzer angelegt und zudem ist es in der AD angemeldet. Wenn ich jetzt den Anmeldebildschirm habe, wird mir immer nur der letzte angemeldete Benutzer (lokal oder AD-Benutzer) angezeigt. Bei meinem Surface habe ich auch mehrere Benutzer angelegt, die mir bei der Anmeldung auch zur Auswahl angezeigt werden. Hier muss ich aber sagen, dass das nicht in der AD angemeldet ist. Ob dieser Unterschied für das "Problem" verantwortlich ist, weiß ich nicht. Es ist sicherlich kein Problem den entsprechenden Benutzer manuell immer einzugeben, jedoch ist es etwas nervig. Alles was ich in Verbindung "Multiple User on Startup/Sign-In Screen" finden konnte, bin ich schon durchgegangen. Userswitch ist auf enable=1, die GPO habe ich kontrolliert und so weiter. Auch habe den Weg versucht über "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" und dort die Benutzernamen aufzuführen, jedoch brachte mich das nicht weiter. Hat jemand eine Idee, wie ich alle angelegten Benutzer bein Anmeldebildschirm sehe und auswählen kann? Tausend Dank schon mal im Voraus. Viele Grüße Sascha

Danke schon mal für eure Anregungen. Der Adobe Reader ist wie bei so vielen Umgebungen, wie auch in dieser gesetzt. Die Isolierung der Treiber bin ich durch durchgegangen, ohne Erfolg. Die Druckertreiber selbst sind über den Druckserver/Treiber installiert worden. Druckerprobleme, in Verbindung mit den RDS kenne ich eigentlich eher aus XenApp Umgebungen, wobei sich das auch schon "verbessert" hat. Die lokale Druckerinstallation werde ich einmal testen...

Hallo Jan, auf dem Server sind neben UTAX auch Keyocara (ist im Kern ja identisch) "Universal Printing System (UTAX/TA)" bzw. "KX Driver for Universal Printing" oder Konica " Konica Minolta Universal PCL" aber auch HP, Brother Drucker installiert. Es ist absolut gleich, über welchen Drucker gedruckt wird oder welcher beim Benutzer als Standarddrucker hinterlegt ist. Ist schon verwunderlich. Wenn es bei einem Drucker langsam ist okay, aber bei allen?? Viele Grüße Sascha Ps. Es sind die x86 und x64 Druckertreiber installiert worden.....

Hallo Zusammen, ich habe einen Windows 2016 Server, (AD und File-Server...) auf dem etwa 12 Drucker (UDP-Treiber) installiert und freigegeben sind und einen Terminalserver 2012. Die Drucker werden via LoginScript in die User Session gemappt, was auch problemlos funktioniert. Das Problem ist jedoch, dass es beispielsweise beim Adobe Reader lange dauert, bis der Druckdialog überhaupt angezeigt wird - nachdem man auf drucken gegangen ist. Klickt man einfach auf OK bzw. hat zuvor den betreffenden Drucker ausgewählt, dann dauert es selbst bei einer Seite bis zu 20 Sekunden, bis der nachfolgende Druckdialog weg ist und der Drucker druckt. In den Druckereinstellungen habe ich die Option "Druck auf Client....." schon herausgenommen, jedoch ohne das es eine Änderung brachte. Es gibt Arbeitsplätze die drucken 500-600 Belege pro Tag und da ist es enorm nervig, wenn es zu solchen langen Wartezeiten kommt. Was zudem sehr merkwürdig ist, ist der Umstand das spez. bei einem Drucker die Schachtauswahl (Fach 2) immer über den 1. Schacht druckt (selbst wenn man zuvor über die Eigenschaften die Einstellungen kontrolliert hat). Die UTAX UDP-Druckertreiber sind aktuell. Insgesamt ist der Drucker 3 mal im System (Schacht 1, Schacht 2 und Schacht 3). Irgendwas läuft da schief... Komisch ist, es gibt noch einen alten Terminalserver (2008), auf dem die Drucker direkt installiert sind und da gibt es diese Probleme (Geschwindigkeit & Schachtansteuerung) nicht. Hat jemand von euch ganz spontan eine Idee? Viele Grüße und 10000 Dank schon einmal im Voraus Sascha

@lefg Die Festplatte wurde mit mehreren Tools geprüft, ohne das Auffälligkeiten angezeigt wurden. Staubsauger und Co kann ich natürlich nicht ausschließen. Mit den Windows Boradmitteln habe ich die HDD auch schon einmal überprüfen lassen. Klar könnte es die Platte oder ein Schuss auf dem SATA-Bus vorhanden sein. Wenn es neben dem wiederkehrenden Profil Problemen auch noch andere Störungen aufgekommen wären, hätte ich hier schon intensiver geschaut. Bin mit den Tools von Tool House über die Hardware gegangen, nur war hier auch alles in Ordnung. Klar der Teufel ist ein Eichhörnchen .... nichts ist unmöglich .... @Esta Das mit dem Schnellstart muss ich mir morgen einmal anschauen. Die fehlerhaften Profile wurden gelöscht (inkl. auf Fileebene). Was die SID angeht, müsste ich jetzt lügen. Laut Kunde wurde zuvor nichts (de)installiert.

Hat jemand noch eine Idee??

Das es an der Installationsquelle liegen könnte kann ich nicht so recht glauben, da ja im Kern schon von zwei unterschiedlichen Quellen installiert wurde.

Die erste Windows 10 stammt aus einer früheren Windows 7 Installation. Bei der Neuinstallation wurde die Recovery DVD von Fujitsu verwendet.

Nein, solche Dinge sind dem Rechner unbekannt. Aktuell läuft Panda Cloud Protection, als Schutzsoftware drauf. Bevor der Rechner neu installiert wurde, war Eset drauf. Die geschilderte Problematik war dieselbe.

Mehr als genug frei... Meine es waren über 400GB noch frei.

Folgende Events waren zu finden: Anwendung User Profile Service - 1508 Die Registrierung konnte nicht geladen werden. Dieses Problem wird oft durch zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht. Details - Die Datenbank der Konfigurationsregistrierung ist beschädigt. for C:\Users\Profilname\ntuser.dat User Profile Service - 1502 Das lokal gespeicherte Profil kann nicht geladen werden. Mögliche Fehlerursachen sind nicht ausreichende Sicherheitsrechte oder ein beschädigtes lokales Profil. Details - Die Datenbank der Konfigurationsregistrierung ist beschädigt. User Profile Service - 1515 Dieses Benutzerprofil wurde gesichert. Bei der nächsten Anmeldung dieses Benutzers wird automatisch versucht, dieses gesicherte Profil zu verwenden. User Profile Service - 1511 Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren. Application Error 1000 Name der fehlerhaften Anwendung: DllHost.exe, Version: 10.0.14393.0, Zeitstempel: 0x5789917a Name des fehlerhaften Moduls: ntdll.dll, Version: 10.0.14393.479, Zeitstempel: 0x58256ca0 Ausnahmecode: 0xc0000374 Fehleroffset: 0x000d9d11 ID des fehlerhaften Prozesses: 0x1324 Startzeit der fehlerhaften Anwendung: 0x01d2afa3415852fa Pfad der fehlerhaften Anwendung: C:\WINDOWS\SysWOW64\DllHost.exe Pfad des fehlerhaften Moduls: C:\WINDOWS\SYSTEM32\ntdll.dll Berichtskennung: 514907f1-16b4-4fb2-80d4-788775140859 Vollständiger Name des fehlerhaften Pakets: Anwendungs-ID, die relativ zum fehlerhaften Paket ist: System DistributedCOM 10016 Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\Lokaler Dienst" (SID: S-1-5-19) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID {3185A766-B338-11E4-A71E-12E3F512A338} und der APPID {7006698D-2974-4091-A424-85DD0B909E23} im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden. DistributedCOM 10016 Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "DESKTOP-SLKMLM2\Profilname" (SID: S-1-5-21-2429035649-2739490316-3933958218-1005) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} und der APPID {260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E} im Anwendungscontainer "Microsoft.Windows.ShellExperienceHost_10.0.14393.953_neutral_neutral_cw5n1h2txyewy" (SID: S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.

Bin gerade auf dem System und lt. CrystalDiskInfo ist die Festplatte in Ordnung. Wenn du von überlangen Dateinamen sprichst, von welcher Zeichenanzahl sprichst du dabei? Habe das alte/defekte Benutzerprofil einmal durchsuchen lassen und da war keine Datei über 90 Zeichen lang. Sicherlich sind 90 Zeichen bei einer Datei schon nicht wenig, nur sollte das Windows 10 doch locker können. Im Profilroot konnte ich so auch keine Auffälligkeiten ausmachen.

Moinsen, es handelt sich um einen standalone Rechner und somit um ein lokales Profil. An dem Rechner wird mit einer kleinen Praxis-Software gearbeitet und das Windows Mail wird zudem genutzt; also nichts besonderes. Was möglicherweise überlangen Dateinamen, unterhalb von Downloads, Dokumente etc. betrifft, muss ich schauen. Bisher wurde ein neuer Benutzer angelegt, die eigenen Dateien etc. von dem defekten Profil in das neue kopiert und Windows Mail eingerichtet. Nachdem alles drüben war, wurde das defekte Profil gelöscht. Das Merkwürdige ist einfach, dass das Profil mal nach einigen Wochen, Monaten oder wie jetzt aktuell nach 2 Tagen sich verabschiedet. Das nervt nicht nur mich, sondern auch den Kunden.

Hallo Zusammen, ich habe einen Windows 10 Prof. Rechner, bei dem sich mit einer gewissen Regelmäßigkeit das Profil selbst zerlegt. Abends fährt man den Rechner ganz normal herunter und morgens, nach dem man sein Kennwort eingegeben hat steht "Windows wird vorbereitet" wird ein temporäres Profil geladen und nicht das eigentliche, des angemeldeten Benutzers. Als Meldung kommt auch, dass das Profil nicht geladen werden konnte. Man kann sich dann abmelden oder diese Meldung schließen. Im Netz habe ich zu diesem Thema so einiges gefunden und alle möglichen Tricks (Registry bearbeiten etc.), haben bislang nicht geholfen, um das eigentliche Benutzerprofil wieder zum laufen zu bekommen. In der Benutzerprofilübersicht steht bei dem betroffenen Benutzer "Status: Sicherung". Letztlich musste ich immer ein neues Benutzerkonto anlegen, die Daten kopieren und so weiter. Das hat dann eine unbestimmte Zeit gehalten, bis das Problem erneut aufgetreten ist. Vor etwa einem halben Jahr, habe ich den Rechner deswegen auch schon einmal komplett neu installiert, nur tritt der Fehler immer wieder auf. Hat das Problem jemand von Euch schon mal gehabt und kennt eine dauerhafte Lösung? Viele Grüße Sascha

Hallo Zusammen, wenn ich jemanden eine E-Mailschreibe, sieht der Empfänger im SMTP-Mail-Header den internen Namen des Exchange-Servers sowie die IP-Adresse. Da mich dies stört, möchte ich es irgendwie verhindern, indem genau solche Informationen darin nicht auftauchen. Sofern möglich, gebe ich einfach nur so viele Infos raus, die unabdingbar wichtig sind. Ansonsten sollte alles unter Verschluss bleiben - bin in dem Fall gelegentlich etwas komisch veranlagt. Received: from E2K10 (10.10.1.12) by mail.domainB.de (10.10.1.12) with Microsoft SMTP Server id 14.3.195.1; Tue, 31 Mar 2015 13:57:17 +0200 Return-Path: <absender@domainA.de> X-Original-To: empfaenger@domainB.de Delivered-To: abc@xxx.provider.de Received: from mxp0.nicgate.com (mxp0.nicgate.com [188.40.69.76]) by xxx.provider.de (Postfix) with ESMTPS id 0CD9A1A8F20A for <empfaenger@domainB.de>; Tue, 31 Mar 2015 13:56:09 +0200 (CEST) Received: from xxx.provider.de (xxx.provider.de [IPv6:2a01:4f8:120:1282:e5d5:3945:7e34:8b]) by mxp0.nicgate.com (Postfix) with ESMTPS id D77ABE4405D for <empfaenger@domainB.de>; Tue, 31 Mar 2015 13:56:06 +0200 (CEST) Received: from BS-MEX.ad.domain.de (i59F686A3.versanet.de [000.000.000.000]) by xxx.provider.de (Postfix) with ESMTPSA id 3DDDA4F5E29C for <empfaenger@domainB.de>; Tue, 31 Mar 2015 13:56:07 +0200 (CEST) Received: from BS-MEX.ad.domain.de (10.11.1.4) by BS-MEX.ad.domain.de (10.11.1.4) with Microsoft SMTP Server (TLS) id 15.0.847.32; Tue, 31 Mar 2015 13:54:41 +0200 Received: from BS-MEX.ad.domain.de ([fe80::f53a:d7a3:909a:42bc]) by BS-MEX.ad.domain.de ([fe80::f53a:d7a3:909a:42bc%12]) with mapi id 15.00.0847.030; Tue, 31 Mar 2015 13:54:28 +0200 From: Absender <absender@domainA.de> To: "empfaenger@domainB.de" <empfaenger@domainB.de> Subject: Testnachricht 1 Thread-Topic: Testnachricht 1 Thread-Index: AQHQa6lwY6bw4nT0SU2OOKbvjKXCbg== Date: Tue, 31 Mar 2015 11:54:27 +0000 Message-ID: <bfa786d8577b4020aa431e27b2c2ac09@BS-MEX.ad.domain.de> Accept-Language: de-DE, en-US Content-Language: de-DE X-MS-Has-Attach: X-MS-TNEF-Correlator: x-originating-ip: [fe80::f53a:d7a3:909a:42bc%12] Content-Type: multipart/alternative; boundary="_000_bfa786d8577b4020aa431e27b2c2ac09BSMEXaddomainde_" MIME-Version: 1.0 X-Proxy-MailScanner-Information: Please contact the ISP for more information X-Proxy-MailScanner-ID: D77ABE4405D.AB076 X-Proxy-MailScanner: Found to be clean X-Proxy-MailScanner-SpamCheck: not spam, SpamAssassin (not cached, score=0.003, required 5.75, autolearn=disabled, HTML_MESSAGE 0.00, MIME_HTML_MOSTLY 0.00, TVD_SPACE_RATIO 0.00) X-Proxy-MailScanner-From: absender@domainA.de X-Proxy-MailScanner-To: empfaenger@domainB.de X-Spam-Status: No, hits=-1.5, required=4.5, autolearn=unavailable, shortcircuit=no X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) * on EIS-APPS-E2K10.evion.local * at Tue, 31 Mar 2015 13:57:12 +0200 X-Spam-Report: * -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1% * [score: 0.0000] * 0.4 MIME_HTML_MOSTLY BODY: Multipart message mostly text/html MIME * 0.0 HTML_MESSAGE BODY: HTML included in message * 0.0 TVD_SPACE_RATIO TVD_SPACE_RATIO X-MS-Exchange-Organization-AuthSource: E2K10.ads.local X-MS-Exchange-Organization-AuthAs: Anonymous X-EXCLAIMER-MD-CONFIG: f1b4d9d6-fc5a-4437-979d-28b9b79a7be1 Zum Einsatz kommt ein ganz frisch installierter Exchange 2013 SP1 Server. Hat jemand von Euch eine Idee? Im Voraus schon einmal vielen Dank. :) Gruß Sascha Ps. Den Banner habe ich via [set-ReceiveConnector "Default Frontend Server" -Banner "220 mail.firma.de"] bereits angepasst gehabt.

Stimmt, die AD soll umbenannt werden bzw. habe ich das in einer Demoumgebung auch bereits machen können. Nach dem was ich zuvor Rund um das Thema Rename gelesen bzw. verstanden habe, brauche ich ADMT für die Member, um ihnen den neuen AD Namen mit auf dem Weg zu geben. Habe rein weg zum testen einen Member einfach in die neue Domäne "gezogen". Das lief auch problemlos und anmelden konnte ich mich auch. In den Eventlogs konnte ich soweit auch keine Fehler feststellen und das Computerkonto wurde auch korrekt angepasst. Naja mit den Eventlogs passt nicht so kann, denn auf Security habe ich keine Berechtigung. Bei der Fehlersuche bin ich darauf gestoßen, dass meine Berechtigungen auf %SystemRoot%\System32\winevt\logs nicht mehr stimmen. Zwar stehen die Berechtigungen dort noch, nur greifen diese nicht. Schaue ich auf die Live Maschine ist alles gut. Nur scheint ein re-join zum neuen Domainnamen zumindest dieses Problem mit sich führen. Was darüber hinaus noch gegeben ist, kann ich aktuell noch nicht sagen. Was das re-join angeht, habe ich es einmal über Computer > Einstellungen für Computernamen, Domäne ... durchgeführt und bei einer anderen VM via netdom. Irgendwie muss es doch eine Möglichkeit geben .... :( Ob mein Rename der AD nicht sauber gelaufen sind, weil die Member nicht den Weg finden?! Die Evenlogs auf dem DC geben keinen Anlass, dort ist alles in Ordnung und auch auf den Members kann ich nicht wirklich einen entsprechenden Eintrag finden. Habe auf dem DC dcdiag und setspn angeworfen.... dcdiag /v /q Gibt keine Fehlermeldung zurück. setspn -l pag-dc Registrierte Dienstprinzipalnamen (SPN) für CN=PAG-DC,OU=Domain Controllers,DC=ad,DC=neuesunternehmen,DC=de: HOST/PAG-DC/ad.neuesunternehmen.de ldap/PAG-DC/ForestDnsZones.ad.neuesunternehmen.de ldap/PAG-DC/DomainDnsZones.ad.neuesunternehmen.de GC/PAG-DC/ad.neuesunternehmen.de ldap/PAG-DC/ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /NEUESUNTERNEHMEN HOST/pag-dc.ad.neuesunternehmen.de /NEUESUNTERNEHMEN GC/pag-dc.ad.neuesunternehmen.de /ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /ForestDnsZones.ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /DomainDnsZones.ad.neuesunternehmen.de HOST/pag-dc.ad.neuesunternehmen.de /ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de /ad.neuesunternehmen.de DNS/pag-dc.ad.neuesunternehmen.de ldap/pag-dc.ad.neuesunternehmen.de TERMSRV/pag-dc.ad.neuesunternehmen.de WSMAN/pag-dc.ad.neuesunternehmen.de NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/pag-dc.ad.neuesunternehmen.de RestrictedKrbHost/pag-dc.ad.neuesunternehmen.de HOST/pag-dc.ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/NEUESUNTERNEHMEN HOST/PAG-DC.exemplar.local/NEUESUNTERNEHMEN ldap/46287903-8f52-41ad-89a0-559770abbf0f._msdcs.ad.neuesunternehmen.de ldap/PAG-DC/NEUESUNTERNEHMEN HOST/PAG-DC/NEUESUNTERNEHMEN RPC/46287903-8f52-41ad-89a0-559770abbf0f._msdcs.ad.neuesunternehmen.de GC/PAG-DC.exemplar.local/ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/ForestDnsZones.ad.neuesunternehmen.de E3514235-4B06-11D1-AB04-00C04FC2DCD2/46287903-8f52-41ad-89a0-559770abbf0f/ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/DomainDnsZones.ad.neuesunternehmen.de HOST/PAG-DC.exemplar.local/ad.neuesunternehmen.de ldap/PAG-DC.exemplar.local/ad.neuesunternehmen.de DNS/PAG-DC.exemplar.local RPC/46287903-8f52-41ad-89a0-559770abbf0f._msdcs.exemplar.local ldap/PAG-DC ldap/PAG-DC.exemplar.local TERMSRV/PAG-DC.exemplar.local TERMSRV/PAG-DC Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/PAG-DC.exemplar.local WSMAN/PAG-DC WSMAN/PAG-DC.exemplar.local RestrictedKrbHost/PAG-DC HOST/PAG-DC RestrictedKrbHost/PAG-DC.exemplar.local HOST/PAG-DC.exemplar.local Wie man im unteren Bereich sehen kann, steht dort noch der alte AD Namen drin, weshalb ich vermute, das dort etwas nicht sauber gelaufen ist. Liegt es womöglich daran, das ich im DNS noch die alte Domäne drin habe??? Was meint ihr? Da Nobert meinte die Member bekommen den neuen Namen mit, was auch in der von ihm genannten Anleitung steht, habe ich irgendwann nach mehrmaligen Neustart einer VM versucht mich direkt mit dem neuen Domainnamen "neuesunternehmen\administrator" anzumelden und bekam diese Fehlermeldung: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung. Schon klar, wenn ich mir das Computerkonto anschaue, dann steht dort ja auch noch der alte AD Name

@Norbert Inwiefern bekommen die Member das selbst mit? Wenn ich das von dir genannte HowTo anschaue sind in diesem der Zertifikatsserver, Exchange (...) noch berücksichtigt. Da beides nicht gegeben ist, scheinen sich beide HowTo's auf dem ersten Blick zu decken. @Nils Es gibt immer ein für und wieder. Hintergrund ist der, dass beiden 2012er Server erst vor kurzem neu aufgebaut wurden und das zu wiederholen und mit den ganzen Fachanwendungen, Berechtigungen etc. wäre ein enormer Aufwand (Wahnsinn). Hinzukommt, dass das Zeitfenster für die gesamte Umstellung sehr klein ist. Aus diesem Grund erschien/erscheint mir der Weg via Rename zu gehen, als "echte" Alternative - verglichen zum totalen Neuaufbau.