daabm

...und wenn der TO sich für OUs entscheidet: Du sollst _nicht_ die Abteilungsstruktur abbilden, sondern dein AD damit organisieren. Dafür sind sie nämlich da...

> Leistungsindikatoren wurden nicht gestartet Na, dann starte sie doch einfach...

Norbert, das Stimmt nur bezüglich "unsupported". Wenn Du den Startmodus auf deaktiviert setzt und neu bootest, dann geht das durchaus :cool: Wenn Du ihn einfach nur stoppst, dann landet der Computer allerdings in der Boot Time Protection und läßt gar nix mehr durch :rolleyes:

Procmon kannst Du ohne Adminrechte gar nicht starten... Aber er kann nicht an die Aktivitäten von Filtertreibern andocken - k.a. was dieser Defragmenter genau benutzt :cool:

...und wenn das nur ein "One time task" ist: Schau Dir psexec mal genauer an...

"Profile geöffnet" - wo? Lokal oder auf dem Remote-Server? Hol Dir einen Netzer dazu... Die Netzwerkkarte ist absolut unwahrscheinlich.

Dein DNS funktioniert nicht (erstes Event), deshalb funktioniert auch Kerberos nicht. FRS hat ein eigenes Eventlog, da steht mehr dazu drin, dürfte aber auch ein DNS-Problem sein. Ursache ist meist, daß ein einzelner DC sowohl DNS als auch alles andere macht. Und DNS startet zu spät.

Guck an, man lernt nie aus :rolleyes: Mal schauen, ob ich mir das merken kann, bis ich's mal wieder brauche.

Der Thread ist 10 Jahre alt... Bitte mach einen neuen auf.

Schau Dir die SIDs der Gruppen an. Die "gültigen" liegen im Bereich 500 bis 1000. Die Container sind AFAIK immer englisch.

samAccountName ist indiziert, das ist kein großes Problem... Und in der Tat - Du kannst nicht direkt binden, Du MUSST eine Query verwenden. Wäre schön, wenn es den direkten Zugriff auf User oder Computer auch gäbe, aber so isses halt. CN ist kein Bestandteil der LDAP Query Language. Du kriegst ja nicht mal den Parent per Query raus :-)

Wenn Du per Telnet auch nicht hinkommst -> Firewall (Windows oder extern). Was für ein Portscanner und von wo aus aufgerufen? Hol Dir nen Netzwerker mit dazu :cool: BTW: Firewall-Logging in Windows mußt Du einschalten, ist per default leider aus. wf.msc ist Dein Freund (oder eine Gruppenrichtlinie, aber das Interface ist das gleiche...)

Schema und Domain Naming Master sind keine Funktionen der Child Domain, sondern der Root-Domain. Wenn das falsch ist, dann hat vor langer langer Zeit mal was mit der Replikation der Config-Partition nicht funktioniert... Seizen würde ich da eher nix - schau Dir lieber mal erst die Root-Domain genau an, ob die noch "grün" ist. Und dann schau Dir die AD-Replikation der Child-Domain genau an. Ggf. hilft es schon, die 2 Roles einfach in der Root nur zu transferieren, so daß sich eine Änderung ergibt, die repliziert werden kann.

PortQry kennst Du? Telnet auch? Firewall-Logging schon mal untersucht? Was hängt an Netzwerk-Infrastruktur dazwischen? (Wäre nicht das erste Mal daß ein vergessener Router im Spiel ist...)

Weil er's kann. Und weil Namen Schall und Rauch sind (bis auf ein paar wenige Ausnahmen, ok - das hier gehört aber nicht dazu...)

Sag ich doch... "nicht mit standalone"... :o

Wenn Du noch irgendwo Win7/2008R2 hast: F1 :cool: Ab Win8 haben sie das Hilfesystem der GPP leider zerstört...

Jepp.PAC ist wohl das einfachste in dem Fall, aber wie so oft: "Alle Wege führen nach Rom" :cool: Wenn Du Dich für PAC entscheiden solltest,dann denk auf jeden Fall an die Anwendungen, die das nicht unterstützen - die brauchen dann zusätzlich eine "konventionelle" Proxy-Konfiguration.

...und vielleicht möchtest Du Dich auch mit Homesets ("Basisordner") mal auseinandersetzen :cool:

Aha -. ein Tautologie-Experte? SCNR... :D

DNS-Server werden per DHCP verteilt - und das mußt Du dem DHCP schon sagen, daß Du jetzt 2 DNS-Server (=DCs) hast. Ebenso Default-Gateway, kommt auch per DHCP... Und wenn nur Dein DC1 auch DHCP macht, dann kann das schwierig werden :cool:

Ich scließe mich lefg an - nix ist unangenehmer (ätzender) als seitenlange Log-Posts durchzuschauen. Ich mach's jedenfalls nicht mehr...

So isses - Suchmaschinen helfen. Mein Klarname steht übrigens unten :rolleyes:

Da werd ch schon wieder nicht schlau daraus - vielleicht bin ich zu alt :cool: Geht es jetzt wieder oder nicht?

Als Stichwort: Bei Trusts soll das ja auch nicht der DNS-Server machen, sondern das DNS-Suffixrouting des Trusts. Zonenübertragungen sind nicht erforderlich. Du musst nur entsprechende Forwarder auf den DCs (hoffentlich AD-integriertes DNS?) beider Domänen einrichten.