daabm

Firewall auf TS und Client aktiv? Was sagt deren Log dazu? Ping/Tracert sind wertfrei - Portqry/Test-NetConnection auf den TS Port 3389 wäre hilfreicher.

Habt Ihr Registry- oder Dateisystem-Berechtigungen in GPOs drin, die auf Domain Controller wirken? Das kann ganz komisch werden, wenn die noch aus 2003-Zeiten stammen...

Nichts einfacher als das. Aber warum verwendet Ihr die DDP überhaupt für solche Sachen? https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Wenn Du damit nicht klarkommst, melde Dich wieder. Und Tipp: Für lokale Benutzer einfach nicht den Object Picker nehmen ("..."), sondern schlicht reinschreiben...

Verweiscache ist das eine - Offlinecache das andere. Beides spielt eine Rolle.

Intellectual property theft - Norbert, wo soll das enden?

Ich zitier mich mal selber - eine Antwort darauf wäre vmtl. hilfreich.

Ich glaub, er hat's nicht so mit lesen. Den Link zu den GP-Settings für RUP-Pfade hatte ich auch schon gepostet...

Schön, daß andere den gleichen alten Müll in ihren Umgebungen finden Darfst meinen Post gerne als Antwort markieren, das ehrt mich dann...

regedit ist Dein Freund. HKLM\System\CurrentControlSet\Services\<ServiceName> ersatzlos entsorgen... Und der Dienstname sollte sich im Eventlog finden BTW: Irgendeinen Namen wirst Du ja haben, den Anzeigenamen z.B. Und mit sc kann man sich dazu auch den Dienstnamen anzeigen lassen. Spoiler: "getkeyname"...

Ja. Der unterste Eintrag wäre jetzt interessant. Aber egal was in dem drin steht, falsch ist es auf jeden Fall

Ich glaub, ich red grad chinesisch... Wichtig ist grad nicht, was im Profilpfad im AD steht, sondern welche NTFS-Rechte auf \\Server\TS-Profile vergeben wurden. Du willst nicht lesen, oder? Steht alles in dem MS-Artikel oben...

Die Ordner erstellt nicht der Server, sondern der User. Hast Du meinen Link mal aufmerksam gelesen? Ich weiß grad nicht, was Windows bei fehlschlagenden RDS-Profilen macht - wenn ich das programmiert hätte, würde ich einen Fallback auf das "normale" Profil implementieren.

Ja, schön Und welche Rechte hat dieser User auf dem Profilshare/-verzeichnis? (Also Share- und NTFS-Rechte...)

Das macht ja auch nicht der Server, das macht der User. Sind die Rechte da so gesetzt, wie es für die Auto-Erstellung von RUP-Ordnern erforderlich ist? https://docs.microsoft.com/de-de/windows-server/storage/folder-redirection/deploy-roaming-user-profiles

Ich werf mal ne ganz andere Frage in die Runde: Woraus schließt der TO, daß der Client "nur auf DC2" angelegt wird? Wenn es tatsächlich so ist, daß Du bei dsquery|get-adcomputer|dsa.msc beide DCs nacheinander auswählst und der Client nur auf DC2 zu finden ist, dann funktioniert Deine Replikation eben NICHT. Und das liegt i.d.R. an fehlenden SRV-Records im DNS. Externes DNS bei AD ist nix für zuhause, das müssen Profis machen - IMHO. Und sogar die haben ihre Probleme damit.

So als Code-Sample: Get-DistributionGroup | Foreach { Get-Irgendwas -Identity $_ } Und Tante Google ist bei Powershell ÄUSSERST aussagefreudig

Aktion "löschen" wäre glaub einfacher gewesen

Hast Du das Profil nur im AD-Konto definiert? Das kann man auch per GPO (computerbezogen) festlegen... https://gpsearch.azurewebsites.net/#2587 https://gpsearch.azurewebsites.net/#2500

Waren da Berechtigungen auf Registry "RPC" mit drin? Dann kann ich das Verhalten bestätigen, das haben "hochqualifizierte Admins" früher gerne gemacht. Inzwischen sind aber neue Standardgruppen dazu gekommen (konkret "Alle Anwendungspakete"), und wenn die fehlen, tritt der von Dir beschriebene Fehler auf. Woher ich das weiß? Hab selber so eine GPO geerbt...

Ich seh auch nur Pixelsalat - und eine dreizeilige Taskleiste. Damit kann niemand viel anfangen.

Ne, die Surfaces kommen ab Werk mit aktiviertem TPM und aktivierter Verschlüsselung. Ich kann mich aber nicht mehr genau erinnern, wie das initial auf die Speicherung des Recovery Key hingewiesen hat - ich glaube, ich hab mich schon direkt mit dem MS-Konto angemeldet. Und das ganze "Kleingedruckte" liest ja niemand mehr, weil es einfach zu viel geworden ist :-(

Nur Home kann nicht sein - meiner ist von einen Surface Pro3, das kam mit Professional. Aber "non domain joined" und "nicht Enterprise" kann sein - ich hab grad genauer geschaut, der Key ist von 2013 und damit hoffnungslos veraltet. Ich hab das Pro3 damals erst mal so in Betrieb genommen und später erst auf Enterprise und Domain umgestellt. Kann sein, daß der Key noch von "davor" übrig ist. Man lernt jeden Tag dazu

Damit machst Du Dir halt das Leben auch extrem schwer - wenn zum Boot eine PIN erforderlich ist, rennst dann bei jedem Patchday stundenlang (virtuell) auf den ILOs rum und tippst die überall ein? Ich würd ja sagen "nicht praktikabel"...

Die Webservices von MS interessieren sich glücklicheweise nicht für groß oder klein Und Home oder Enterprise ist egal, hier ist es Enterprise.