Danke fürs Mitdenken. Das Thema hat sich erledigt. Das Root-CA fehlte dem Client auch im Lan (der Kunde machte unterschiedliche Aussagen...). Dies wurde ihm nicht per GPO verteilt, weil der Client nicht sauber in der Domäne aufgenommen wurde.
Fehlermeldungen im Log sind:
Die Sitzungseinrichtung von Computer HORST konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten:
Zugriff verweigert
Die Sitzung konnte vom Computer "HORST" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "HORST$" entsprechend dem angegebenen Computer enthält.
USER ACTION
Wenn dieses Ereignis das erste Mal für den angegebenen Computer vorkommt, ist das eventuell ein vorübergehendes Problem, auf das zurzeit nicht geachtet werden muss. Wenn dies ein schreibgeschützter Domänencontroller ist und "HORST$" das legitime Computerkonto für den Computer "HORST" ist, dann sollte "HORST" für diesen Standort für die Zwischenspeicherung gewählt werden, falls erforderlich, oder gewährleisten Sie die Konnektivität mit einem Domänencontroller, der die Anforderung bearbeiten kann (z.B. ein beschreibbarer Domänencontroller). Andernfalls kann dieses Problem anhand der folgenden Schritte gelöst werden:
Wenn "HORST$" das legitime Computerkonto für den Computer "HORST" ist, sollte "HORST" erneut der Domäne hinzugefügt werden.
Wenn "HORST$" das legitime domänenübergreifende Vertrauenskonto ist, sollte die Vertrauensstellung neu erstellt werden.
Im Falle, dass "HORST$" kein legitimes Konto ist, sollte Folgendes für "HORST" veranlasst werden:
Wenn "HORST" ein Domänencontroller ist, sollte die hiermit verbundene Vertrauensstellung "HORST$" gelöscht werden.
Wenn "HORST" kein Domänencontroller ist, sollte es von der Domäne entfernt werden.
