daabm

OMG.... Hab das mal bis Seite 57 (von 159) überflogen, das ist für den Enterprise-Einsatz untauglich und voll von behördlichem Geschwafel und Wiederholung von Bekanntem. Wenn das BSI nix besseres zu bieten hat...

Stochwort KCC - wenn Sites korrekt sind, baut der die links automatisch auf. Und Norbert hat IMHO nicht ganz recht. Pflege in Sites JEDES Subnetz und JEDEN Standort,den du hast. Damit hältst Du erstens das netlogon.log sauber und zweitens braucht auch DFS diese Infos. Bei BranchCache bin ich mir grad nicht sicher...

Laufwerke ausblenden: Secirity by obscurity... Loopback: wenn mans braucht, ok. Mandatory profile: was trägt das bitte zur sicherheit bei? genauso vielmwie folder redirection: gar nix :D Terminal Server macht man auf die gleiche weise sicher wie jeden anderen server und client auch :) Schau Dir den SCM an (Security Compliance Manager)

Und womit wohl auch klar ist, dass man in Umgebungen mit hohen Revisionsanforderungen entweder keine Accounts löscht oder irgendwoanders noch nachvollziehen kann, wem die SID mal gehört hat :)

...ich auch nicht wirklich - hab halt dann immer und damit schon über hundert Mal D2 gemacht :D :D :D

Er meint halt "in meine DFS-Infrastruktur aufgenommen" :p

...und was für eine Latenz hat die Leitung?

UPnP, SSDP, Browser, AX-Installer, alles mögliche von Apple, Blackberry etc., Google Updater, Intel (jede Menge), da hilft im Zweifel nur "einzeln ausprobieren". Spart aber nebenbei auch noch etliche MB ein ;)

"Schwupp in der Domäne" - wie soll das gehen? Und für Dein Szenario eignet sich ein Terminalserver ganz hervorragend :D

Richtig - es gibt mit Ausnahme des Virenscanners NUR überflüssige 3rd party Dienste ;)

Was Norbert mit seinem Post sagen wollte, erschließt sich mir nicht ganz - er will wohl betonen, dass es eben NICHT reicht, nur den Client aufzuräumen, sondern du MUSST auch GPO/AD bereinigen, s.u. :rolleyes: Die Eventmeldung von AppMgmt kannst ignorieren. Was ich meinte: Entweder lösche die ganze GPO oder entferne AppMgmt aus gPCUserExtensionNames und aus gPCMachineExtensionNames. Und den AD-Container von AppMgmt mußt auch noch aufräumen - welcher das ist, weiß ich grad nicht auswendig, steht aber im Buch - wäre vielleicht gut investiertes Geld :D

So, und ich muß jetzt auswendig wissen, was Deine anfangs erwähnten Event-IDs genau bedeuten? repadmin kannst Du getrost links liegen lassen - das ist nur AD-Replikation. Wenn da noch ein alter DC rumlungert: Suche nach Metadata Cleanup. Und entferne ihn aus dssite.msc... Und dann prüfe das DFSR-Eventlog auf genauere Meldungen. Dann können wir reden :D

...bei mir ist das auch nur noch ein gutes halbes Jahr. Bei uns rumpelt es jetzt schon regelmäßig, weil alle nur noch auf 2008R2 und 2012R2 entwicklen und testen und dabei die leider noch vorhandenen 2003 übersehen :D

Jepp, MSI per User-GPO macht man auf jeden Fall nicht. Bei mir hat das allerdings - noch zu XP-Zeiten, und der User war KEIN Admin - immer ganz gut funktioniert. Aber das soll uns jetzt nicht weiter beschäftigen :D

"Einen nach dem anderen" heißt die Devise, wenn man sich nicht sicher ist :D

Such mal nach "Split Brain DNS" - und prüfe die Konfiguration der Forwarder und DNS-Server. BTW: Wie kann Dein "interner" Server die "öffentliche" Zone auflösen? Steht der auch im INet?

Er braucht Zugriff auf UserAccountControl, damit das geht...

...darfst gern auf den Technet-Thread hinweisen, dazu hast Du Dich sogar beim Registrieren hier verpflichtet :D

Naja, Eventlog filtern nach 4740 sollte jetzt nicht die riesen Herausforderung sein bei nur 4 DCs...

Stimmt so nicht... "Immer mit erhöhten Rechten installieren" :D

...einer der Gründe, warum man Softwareverteilung nicht mit GPOs machen sollte... Du wirst nicht umhin kommen, den AppMgmt-Key in der Registrierung zu löschen. Und Deine GPO um die AppMgmt-CSE zu bereinigen.

Noch mal genau hinschauen... Und warum "Master"?

Ergänzend zu dem, was andere schon geschrieben haben (unnötige Drittanbieter-Dienste abschalten war schon immer eine gute Idee...): http://sysprosoft.com/policyreporter.shtmlanalysiert sehr übersichtlich die Verarbeitungszeiten von GPOs. Und achte darauf, dass Skripts - wenn möglich - asynchron laufen.

Genau wie Tesso schreibt: MDT mit dem LTI-Deployment ("Light Touch Installation" - mit "wenigen" Benutzereingaben). Das andere Szenario von MDT nennt sich ZTI - Zero Touch :D

"Lokale Konten auf Terminalserver" - und davon 500 Stück? Das muß ein ziemlich dicker Terminalserver sein... :confused: