daabm

Kommunizieren können die problemlos, Rollenübertragung ist auch kein Problem. Was war genau die Frage? :D

Ich wiederhol mich gerne: Ich würde jetzt einen Netzwerktrace machen - auf Server- und Clientseite.

Na, da hat der Mark ja alles richtig gemacht :D

Naja, Google/Bing kennst Du? Und dass es nicht nur ein Eventlog "System" gibt, weißt Du sicher auch. Der Rest findet sich :D

Was hast Du da importiert? Das Exchange-Computerzertifikat? Falsch - da muss Dein CA-Zertifikat rein... Immer noch: Google/Bing sind Freunde...

Betriebssyteme unterscheidest Du nicht im AD, sondern mit WMI-Filtern. Schließlich kann sich ein User ja an Computern mit unterschiedlichem OS anmelden, und ein Computer kann sein OS wechseln: select Name from Win32_OperatingSystem where BuildNumber like "9%" wäre z.B. ein Filter für Win8(.1) und Server 2012. Die Struktur in dem Bild finde ich gut, würde ich genauso machen. Bzw hab ich für's Buch auch genauso gemacht :D Und wenn man das mit der OS-Trennung bzw. "Nicht-Trennung" im Griff hat, macht man ja auch übergreifende GPOs, die an Funktionen hängen - und das geht mit dieser Struktur sehr gut. Woher kommt das Bild?

Lass das mit Loopback bleiben, wenn Du nicht genau weißt, wie es funktioniert - um Probleme zu vermeiden... http://evilgpo.blogspot.de/2012/02/loopback-demystified.html http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

Sollen wir jetzt über vertrauenswürdige Stammzertifizierungsstellen reden, oder schaust Du bei Google/Bing erst mal selbst danach?

Bei DFS/FRS steht im System Eventlog tatsächlich nichts drin - schau bitte in das geeignete Log!

Ja, alles bridged geht natürlich genauso :D

support.microsoft.com hat seit gestern Schluckauf - oft hilft dann support2.microsoft.com...

Lustige Diskussion - wird Euch nicht langsam schwindlig, so wie der TO sich im Kreis dreht? :jau:

Freies Relay? Du bist witzig...

Die VMs müssen in ein "NAT-Netzwerk"...

Erfahrungswette: "Journal Wrap auf dem PDC-Emulator" :D D4 auf dem PDC, D2 auf den beiden anderen. Google/Bing sind Freunde :cool:

PS: Process Monitor (mit seinem Boot Logging) ist ein wunderbares Werkzeug in solchen Fällen...

Wenn sich AutoAdminLogon wieder von 1 auf 0 stellt, wirkt "irgendetwas" auf Deinen Computer - von alleine passiert das nicht. Finde heraus, was es ist, und schalte es ab :D

Heut hat die Familie aufgeräumt, Tisch ist leer, Küche noch nicht ganz sauber, aber das wird schon :-) Jetzt noch ein wenig "Markt" und dann ins Bettchen. Gedimmt ist schon. :thumb1:

SRP/AppLocker mit Whitelisting ist der richtige Ansatz. Hilft aber nicht, wenn eine Lücke zu System-Privilegien verhilft... Dann hilft genau gesagt gar nix...

Naja, abgesehen von dem Einwand von Zahni (den Du ja nicht wirklich entkräftet hast) - "bekomme ich nicht ans Laufen" ist so was von "hochwertige Fehlerbeschreibung" - wer soll Dir da helfen? :D

...Klingt bisher alles sehr wirr... Kenne ich so nicht, hab ich noch nie erlebt, keine Ahnung, was da genau schief ging. Aber ich lese aus den bisherigen Beiträgen grundlegende Schwächen im Vorgehen: a) GPOs immer auf dem OS bearbeiten, für das sie gelten sollen (Ausnahme: Ich weiß genau, was ich tue...) b) GPOs immer per WMI-Filter oder Sicherheitsgruppe auf das OS zielen, für das sie gelten sollen - und idealerweise IMMER kritische Einstellungen (wie Firewall) in OS-spezifische GPOs packen (Ausnahe siehe oben) c) gpresult /h ist unser Freund d) Individuelle Einstellungen gehören NIEMALS in die DDP, und alles, was nicht "Account Policy" ist, gehört nicht auf Domänenebene verknüpft Fragen? Fragen!

...Netzwerktrace gemacht? Aktuelle und auch ältere NW-Kartentreiber getestet? Cross-Test zwischen verschiedenen Clients/Servern gemacht? Fragen über Fragen :D

Zur ersten Frage: Dein Suchbegriff ist "DNS-Suffix" - und das vergibt DHCP. DHCP beantwortet auch keine Anfragen, sondern verteilt nur die IP-Konfiguration (Adresse, Netzmaske, Gateway, DNS-Server und halt Suffixe - bei Bedarf auch noch ein paar andere Optionen...) Zur zweiten Frage: Unsicher, jepp. Domäne wäre sicher - aber nur für Geräte, die Mitglied der Domäne sind.

ADMs natürlich - die ADMX finde ich im Sysvol sehr bequem zu handhaben :cool: Hab ich wohl etwas verworren ausgedrückt...

...wenn jetzt noch jemand die Küche aufräumen würde, das wäre echt lieb! :cool: