Habt ihr mal versucht, die Secure Server Pol mit einzubinden?
Es sollte ja eigendlich so sein, dass der Server dann nur sichere Verbindungen annimmt, die andere GPO also erst dann wirklich zieht. Sonst würde ja nur der Client IPSec initialisieren. Stell das aber morgen auch mal nach.