Neuer Job, kaputte DC-Gruppenrichtlinie, kaputter Terminalserver

[MichaelaD 11]

Ich habe am Freitag durch Glück einen neuen Job bekommen und wurde gleich vor ein ernsthaftes Problem gestellt. Den alten Administrator kann ich nicht mehr fragen, der wurde fristlos entlassen und ich bin der Ersatz. Die Dokumentation ist dürftig und irgendwie funktioniert nichts richtig.

 

Ich soll die vorhandenen DCs zu Terminalservern ändern, damit die Mitarbeiter damit arbeiten können. Vorhanden ist eine Domäne (2000er Modus) mit 3 Standorten. Pro Standort ein DC und sonst keine weiteren Server. Die Replikation der Standorte untereinander habe ich ordentlich konfiguriert, es repliziert jeder mit jedem und das funktioniert auch. Beim Test wurden alle Änderungen in den AD-integrierten DNS-Zonen und alle neuen Benutzer übertragen.

 

Standort 1: Ein Windows Server 2000 Standard mit Terminalserver im Anwendungsmodus. Er wurde als Terminal-Lizenz-Server aktiviert, es sind noch keine CALS vorhanden. Drei temporäre Lizensen (das war ich von drei verschiedenen Rechnern mit 3 verschiedenen Benutzern) wurden erstellt. Jeder Domänenbenutzer kann sich am Terminalserver anmelden. Er ist als einziger Mitglied der Gruppe Terminalserver-Lizenzserver.

 

Standort 2: Ein Windows Server 2003 mit Terminalserver. An ihm kann sich niemand anmelden, weil "Die Verbindung wurde getrennt, weil kein Lizenzserver gefunden wurde" angezeigt wird. Man bekommt also nicht einmal die Anmeldemaske. In seiner Registry steht aber Server1 als Lizenzserver drin und wenn ich die TSLizensierung starte kann ich Server1 auch finden (muss ihn aber erst verbinden, denn automatisch findet er nichts).

 

Woran könnte es liegen, dass er den Lizenzserver nicht findet? Wenn ich zeitgleich auf dem Server2 bin (direkt) kann ich ihn ja schließlich auch über die TSLizensierung finden!

 

Müsste er nicht eigentlich temporäre TS-Lizensen austeilen, wenn er keinen Lizenzserver findet?

 

Standort 3: Ein Windows Server 2003 mit Terminalserver. An ihm können sich nur Administratoren anmelden, alle anderen bekommen den bekannten "interaktive Anmeldung nicht möglich" Fehler.

 

Mein größtes Problem: Es gibt keine Default DC Policy! Der Container mit den drei DCs hat keine Gruppenrichtlinie zugeordnet. Es existiert eine Domänenrichtlinie und die lokalen Richtlinien. Ich kann aber an den beiden 2003er Servern über Programme -> Verwaltung -> Sicherheitsrichtlinie für DC irgendwelche Gruppenrichtlinien bearbeiten. Aber welche bearbeitet ich denn hier?

 

Kann ich eine DC Policy wieder irgendwie mit den vorherigen Einstellungen widerherstellen? Mir ist nicht bekannt wann die alte Richtlinie entfernt wurde. Aber irgendwelche Richtlinien müssen ja noch vorhanden sein, sonst würde doch gar nichts gehen.

 

Ich habe ersatzweise eine neue DC-Gruppenrichtlinie erstellt und den Benutzern erlaubt sich lokal anzumelden. Es hilft nichts. Dabei ist mir aufgefallen, dass es eine Gruppe "Remotedesktopbenutzer" gibt, in der alle TS-Benutzer drin sind. An beiden 2003er Servern hat diese Sicherheitsgruppe in den RDP-TCP-Einstellungen der TS-Konfiguration Benutzerrechte. Es existiert beim Zuordnen von Rechten weiterhin eine Gruppe "TERMINALSERVERBENUTZER". Was ist das? Wo kann man dieser Gruppe Mitglieder hinzufügen? Ich finde sie nirgends in AD.

 

Beim Editieren von Richtlinien bekomme ich gleich beim Start etwa 60 Fehlerfenster angezeigt. Mir wird ständig was von "Administrativen Vorlagen" gesagt und das [string] wegen Überlänge abgeschnitten wurde. Bild anbei. Der Text der ersten Zeile ist in allen Meldungen gleich, aber der Rest variiert in allen Formen und Worten. Wie bekomme ich diesen Fehler weg?

 

CU Michaela

[Dr.Melzer 191]

Der Lizenzserver muss auch ein Server 2003 sein, sonst bekommst du Probleme mit der Lizenzierung. Zudem brauchst du für alle Rechner windows 2003 CAL´s und für alle Rchner die auf dem TS arbeiten sollen W2K3 Terminalserver CAL´s. Dann sollte es funzen.

[Lian 2.334]

Attachment gelöscht - Meldung bitte abtippen.