daabm

Einfach mal nen HW-Monitor und nen Stresstest gleichzeitig laufen lassen und zuschauen, was mit den Temps passiert

Stimmen die AnnounceFlags? 5 darf nur der PDCe haben, alle anderen haben 10. Wenn andere DCs auch 5 haben, halten sie sich für "always reliable" und ignorieren NT5DS...
Edit: Warum ich das vermute? Weil Du schreibst, daß einer alle FSMO-Rollen außer PDCe hat - also hat da mal wer den PDCe verschoben...

1. Wieso abtippen?
2.
 
Das Kennwort, das DC04 in seiner AD-Datenbank für DC03 hat, ist nicht identisch mit dem, das DC03 hat (AD-Replikation in Ordnung?). Oder das krbtgt-Kennwort ist "out of sync".
Erster Lösungsansatz: Dienst KDC auf allen DCs außer dem PDC-Emulator deaktivieren und stoppen (!!!), dann alle DCs neu starten außer dem PDC. Dann 10 Minuten warten und KDC auf allen DCs wieder aktivieren und starten.
Zweiter Ansatz: DC03 SecureChannel zurücksetzen.
Dritter Ansatz: DC03 neu aufbauen.

Ja, das sollte gehen, solange der alte Server noch online ist. Siehe oben - CNAME erfordert DisableStrictNameChecking. Neue Freigaben hast Du dann immer noch, aber per DFS sind die Clients von der Kenntnis des "realen" Ziels entkoppelt, das Du dann beliebig verschieben kannst. Egal wohin DFS zeigt, der Client sieht nur den DFS-Share. Den Rest macht MUP für ihn

klist erzählt Dir schon mal, welche Tickets du hast. Hat der RDS keine SPNs mehr registriert?
klist get TERMSRV/<FQDNdesRDS>
Und so weiter
BTW - "IPs getauscht", bist Du sicher, daß alle DNS-SRV-Records sauber sind?
nslookup -type=ALL _kerberos._tcp.<DomainFQDN>
liefert was genau? (Spoiler: "ALL" muss hier großgeschrieben werden...)

Ist möglicherweise ein Bug im MSI - das muß die administrative Bereitstellung unterstützen.

Wenn Du noch mal genau drüber nachdenkst, kannst Du es vermutlich selbst beantworten
 
Alle GPOs haben eine Versionsnummer. Ist bei einer davon die Version beim nächsten GPUpdate (Start/Logon/Background) anders, wird alles, was darin an CSEs enthalten ist, erneut verarbeitet (Registry, Security, Ordnerumleitung, Applocker, xyz - gibt glaub 45 Stück).
Ist sie überall gleich wie beim letzten GPUpdate, werden nur die CSEs verarbeitet, bei denen "auch ohne Änderungen" aktiv ist. Ausnahme ist Security, das wird alle (weiß nicht mehr genau) x Stunden auch ohne Änderungen zwangsweise angewendet.
 
 
Und Deine Idee zur Konfiguration ist ok.

gpedit.msc zeigt Dir die Einstellungen der "lokalen Policy" an. Die wird dann ggf. von domain based Policies überschrieben.
Und rsop.msc ist deprecated, das kann zu viel nicht anzeigen.

So gesehen: MS macht da, was es will, ja- ist ja auch "ihr" Betriebssystem. Aber das Ergebnis entspricht exakt dem erwarteten

Ich bin jetzt nicht im Code der SACL-Auswertung verbuddelt, aber: Je mehr Einträge die hat, um so mehr Prüfungen müssen bei Änderungen gemacht werden, ob eine davon grad zutrifft.
 
Ist immer ein Trade-Off: Bist Du sehr granular und damit zielgenau, hast Du sehr lange ACLs (S und D), deren Auswertung entsprechend länger dauert. Zielst Du ungenau, bist Du da zwar schneller, erzeugst aber mehr Logeinträge. Ich würde mich im Zweifel für zweiteres entscheiden, weil es im Handling einfacher ist und Event Logging ein erstaunlich lastarmer Mechanismus.
 
Aber probier's einfach aus und überwache die CPU- und Storage-Auslastung der DCs. Unsere haben kaum AD-Auditing, erzeugen aber trotzdem so viele Security Events, daß das 4 GB Security Eventlog in 4 Stunden Rollover macht. Darauf hängt dann natürlich auch noch der Splunk Agent, und trotzdem merkt man das nicht in Perfmon.

Die gleiche Diskussion hatten wir doch grad schon mal Du kannst die Verzeichnisse problemlos umbenennen und dann in der Registry den Profilpfad korrigieren. Der User darf da nur grad nicht angemeldet sein - Shutdown-Skript z.B. Danach noch ntuser.dat laden und Environment/Volatile Environment überprüfen und ggf. korrigieren (wobei das bei Volatile Environment unnötig sein sollte). Ob das ein Domänen- oder lokaler Account ist, ist dabei wurscht.
 
In eurer Automation habt Ihr halt leider die falschen Variablen ausgesucht.

Kannst Du machen wie Du willst. Am Ende muß es auf den Domain Controllern ankommen. Meinereiner macht das in einer GPO, die mit Domain Controllers verknüpft ist. DDP/DDCP ändere ich nicht - Stichwort "dcgpofix". Und die DDP hat "eigenartige" Beziehungen zu secpol.msc auf dem PDC-Emulator

Jepp. "Theoretisch" wird es erst im Domänenkonto geändert, und wenn das erfolgreich war, wird die lokale Version aktualisiert.

Wenn in der bestehenden FR-GPO das hier gesetzt ist

dann kannst Du die Umleitung nicht einfach durch das Entfernen dieser GPO rückgängig machen, ohne daß die Daten wieder zurückkopiert werden. Daher "Konter-GPO"...

Ist normal - Test-Path hat Schwierigkeiten mit Hidden und System Files. Wenn Du auf der sicheren Seite sein willst: Get-ChildItem -Force oder https://stackoverflow.com/questions/46678676/powershell-test-for-hidden-and-system-files

BTW - über wie viele GPOs reden wir hier eigentlich und über wie viele Settings darin? Möglicherweise ist es am einfachsten, HTML-Reports zu erstellen und einfach anzuschauen....
powershell -command "get-gporeport -all -reporttype html -path <dateinamewoauchimmerdiereportsgespeichertwerdensollen.html>"  

Die Lösung von MS ist eigentlich recht einfach: https://support.microsoft.com/en-us/kb/290762
Und man könnte mal die Umstellung auf DFS angehen

Einmal bearbeiten, dann Änderung wieder rückgängig machen reicht auch - das stößt sowohl die AD- als auch die Sysvol-Replikation erneut an.

Mit NTLM ja, mit Kerberos nein.

Bin bei Jan. Wenn man skripten kann, sind Skripts nach wie vor die einzige tragbare Lösung für das Zuordnen/Trennen von Laufwerken und Druckern.
 
Wenn Du das per GPP lösen willst: Immer 2 Preferences erstellen, eine die den Drucker verbindet, eine die ihn löscht. ILT dazu "ist nicht". Und da das das Problem vermutlich noch nicht lösen wird- GPP Debug Logging aktivieren und schauen - https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555
 
Du hast aber die Windows-Verwaltung des Standarddruckers deaktiviert?

Nein, das geht nicht. Du kannst mit dem reinen Exe-Namen arbeiten, aber in Verbindung mit einem Pfad bist Du auf Umgebungsvariablen als einzigen variablen Bestandteil festgelegt.
Du kannst das aber mit einem etwas "quirky" Trick dynamisch lösen Group Policy Preferences Registry und Zielgruppenadressierung. Mit der Zielgruppenadressierung kannst Du den Installationspfad in eine Variable schreiben, die Du in einem Reg-Wert verwenden kannst.

Ja. Das ist ein 32 Bit Wert. Die unteren 16 Bit (also "1") sind die Computer-Version, die oberen (also 65536 = 2^16) die User-Version. Mit 65537 erhöhst Du beides um 1, sorgst damit für eine auf jeden Fall höhere Version, die dann auch angewendet wird.

Sind auf den Domain CLients lokale FW-Ausnahmen zugelassen? Ich würde vermuten "nein" - dann kann man nämlich per netsh beliebig weitere lokale Regeln anlegen, nur interessiert das niemand . Dann wäre die Lösung von @Sunny61 wohl passend. Wenn ja, ginge es per scheduled Task.

Tote Server einfach löschen, ja. Hinterher noch DNS prüfen. Wenn Du mehr Infos brauchst, such mal nach "Metadata Cleanup"
Umbenennen völlig schmerzfrei - die meisten wissen nicht mal, was Sites eigentlich sind... Sie sollten nur mit ihren IP-Netzen die korrekte Topologie abbilden, damit AD die Replikation optimal einrichten kann (macht es dann i.d.R. selbst so gut, daß Du nichts anfassen mußt).

Warum bist Du darauf angewiesen?
 
Und Windows mag den garantiert nie, weil in der Registry unter ProfileList für Deinen Login ein neuer Eintrag erstellt wird. Dort wird auch das Profilverzeichnis eingetragen, und wenn das schon existiert -> neues. Kannst jetzt natürlich anfangen, das existierende Verzeichnis und die Registry so zu befuddeln, daß es auch zu einem Profil gehört, aber davon würde ich abraten...

Ich empfehle da immer streams.exe von Sysinternals Da ist das vergleichsweise einfach mit -s -d