IThome

Wenn ich mich recht erinnere, habe ich keine einzige Frage bezüglich irgendwelcher Kommandozeilentools gehabt (was aber nichts heissen muss, denn die Prüfungen sind recht verschieden) ...

Die Anzeige von NSLOOKUP, dass er den Server nicht findet, ist aber auch nicht weiter schlimm. NSLOOKUP versucht den angesprochenen DNS-Server revers aufzulösen und mangels Reverse-Zone schlägt es fehl (das ist also in erster Linie ein NSLOOKUP-Problem). Das Active Directory benötigt nicht zwingend eine konfigurierte Reverse Lookup Zone ...

Und schreib noch mal genau die Fehlermeldung, welche beim Aufruf von NSLOOKUP kommt ...

Hm, der Link funktioniert nicht ...

Existiert eine Reverse Lookupzone und wenn ja, hat der Server dort einen PTR-Record eingetragen ? Passiert dieser Fehler nur, wenn der Server neu gestartet wurde ? Funktioniert eigentlich alles ?

Überhaupt kein Problem, manchmal sieht man sowas einfach nicht ...

Erstelle eine Reverse, dann ist es vollständig.

Der Router sollte nicht als DNS-Server angegeben werden! Was ist das für ein DNS-Server bzw. welches Betriebssystem läuft auf ihm ? Wenn er dynamische Updates unterstützt, sollte er als bevorzugter DNS-Server bei allen Rechnern eingetragen werden (der Router gar nicht)

Wenn sie auf "Nur sichere" konfiguriert ist, muss es eine AD-Zone sein. Poste bitte mal IPCONFIG /ALL des Servers und eines Clients ...

Wüsste nicht, wie man so die Zeit abgleichen könnte ...

Was für ein Proxy ? Die Zeit gleicht 2003 via NTP mit einer externen Quelle ab ...

Heisst denn die Zone so wie Deine Active Directory Domäne ? Ist in den Eigenschaften der Zone eingestellt, dass sie dynamische Updates zulässt (entweder "Nur sichere" oder "Nicht sichere und sichere") ? Haben ALLE Rechner die IP-Adresse des DNS-Servers/DCs als bevorzugten DNS-Server eingetragen ? Hast Du auf dem DC schon mal den Anmeldedienst neu gestartet und IPCONFIG /REGISTERDNS durchgeführt ? Oder habe ich das jetzt falsch verstanden und Du hast gar keine Zone eingerichtet und nutzt den DNS-Server als Caching-Only ?

Was heisst "nur als Forward-DNS" ? Du hast keine Zonen eingerichtet ? Welcher DNS-Server hält die SRV-Ressource Records und A- bzw. PTR-Records ?

Mit dieser Richtlinie kannst Du meines Wissens nur zusätzlich zu den standardmässig ausgeschlossenen Teilen des Profils weitere (normalerweise enthaltene) Profilteile ausschliessen. Die Teile, die ausgeschlossen werden, stehen hier

NTUSER.INI

und in der Registry (XP)

HKEYCURRENTUSER/SOFTWARE/MICROSOFT/WINDOWS NT/CURRENTVERSION/WINLOGON/"ExcludeProfileDirs"

Auf einem DC nicht, da muss das Benutzerrecht "Anmelden über Terminaldienste zulassen" den Remotedesktopbenutzern gewährt werden (ist auf Membern Standard) ...

Wer hat denn die 214 und die 201 ?

Gute Idee, die werden Dir sicher besser helfen können ...

Das sehe ich aber auch so, im RDP-Verbindungsobjekt stehen ja auch die Remotedesktopbenutzer, wie soll er sich verbinden, wenn man die ACL des Verbindungsobjekt nicht auch ändert ?

Was sind denn die Voraussetzungen des Herstellers für diese Software, eine Domäne ? Hast Du im Dienstemanager nach den Abhängigkeiten geschaut ?

Du könntest alternativ auch den Dienst so konfigurieren, dass er nicht vom Anmeldedienst abhängig ist. Welchen Dienst meinst Du denn ? Der Anmeldienst braucht auf einem Standalone nicht laufen, sondern nur auf Domänenmembern.

Du kannst Deine IPSec-Richtlinien ja auch nur bestimmten OUs zur Verfügung stellen .

Du kannst , wenn Du eine Unternehmens-CA hast, die Zertifikate automatisch verteilen oder der User kann sich die Zertifikate mit dem Zertifikate-Snapin anfordern.

Kerberos wird für die Authentifizierung in der Phase 1 benutzt. Diese Art der Authentifizierung kann nur in der Domäne benutzt werden.

Die Frage ist ja auch, warum die Terminaldienste installiert wurden. Der Haken unter Remote reicht. Habe ich keinen Lizenzserver, kommt man da nach 120 tagen gar nicht mehr rauf ...

Manchmal wirkt ein Neustart Wunder, schön dass es doch noch geklappt hat, ohne Operation am offenen Herzen ... :)

Hm, wenn es den Benutzer nicht gibt, erscheint eigentlich schon eine Aufforderung , wenn ich mich mit \\<Server> verbinde (wenn der Gastaccount nicht aktiv ist bzw. wenn er aktiv ist und ein Kennwort hat). Wenn man sich aber so verbinden kann, passt entweder Benutzername/Kennwort zu einem auf dem Gerät angelegten User oder es wird über die Gastauthentifizierung gemacht. In beiden Fällen wird dann verweigert, wenn das entsprechende Konto der ACL nicht zugefügt wurde ...

Kommt ja auf den Server und die geforderte Laufzeit an, kannst ja mal den Selektor ausprobieren

http://www.apcc.com/tools/ups_selector/index.cfm?lid=Gehe%20zu%20USV%20Selector

Hm, naja, einen zweiten Versuch hast Du ja (umsonst) noch, jetzt weisst Du ja auch, wo es noch fehlt ... Viel Erfolg beim nächsten Mal ... :)