jannis92
Goto Top

Authentifizierung am RODC

Moin Moin,
ich bin gerade dabei, eine Zweigstelle von uns mit einem RODC auszustatten.
Mit den Richtlinien usw. Funktioniert auch alles wunderbar. Was ich nun jedoch noch gerne umgesetzt haben möchte ist,
dass sich alle Mitarbeiter in der Zweigstelle auch bei einer fehlenden VPN-Verbindung zum Hauptstandort anmelden und
die lokalen Ressourcen verwenden können.

Dazu habe ich folgende Beiträge schon gelesen:
1) http://blogs.technet.com/b/deds/archive/2010/01/04/read-only-domaenenco ...
2) Wie kann man feststellen, ob ein RODC richtig funktioniert und von den Clients verwendet wird?

Vorweg:
Was AD angeht, verfüge ich lediglich über Grundkenntnisse. Habt erbarmen face-smile :D.

Was ich bis jetzt konfiguriert habe:
Der RODC ist wie gesagt eingerrichtet und befindet sich in der OU=Domain Controllers, OU='Domäne'.
Es wurde für den Standort eine "Site" eingerichtet. Also ein Standort + Subnet.

Damit die Anmeldung erfolgen kann, so habe ich gelesen, müssen die Benutzerkonten + Rechner in der
"Kennwortreplikationsrichtlinie" eingetragen werden (Eigenschaften RODC). Habe ich ebenfalls gemacht.
--> Hier bin ich mir allerdings nicht 100%ig sicher, da ich eine eigene Gruppe hinzugeführt habe, und sie nicht
unter "Zulässige RODC-Kennwortreplikationsgruppe" eingetragen habe. Ist dies "egal"? Öffne ich die Option "Erweitert",
so sehe ich lediglich den RODC (Typ: Computer) + krbtgt_19540 (Typ: Benutzer).

In dem zweiten Link habe ich erfahren, dass über den Befehl: set logonserver
ermittelt werden kann, an welchem "Server" der Client sich Authentifizieren möchte.
Hier erscheint auf dem Client der DC, nicht der RODC.

Ich hoffe ich konnte genug Information übermitteln und dass mit einer bei dem Problem helfen kann.
Vielen Dank face-smile.

Content-Key: 246268

Url: https://administrator.de/contentid/246268

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: Dani
Dani 12.08.2014 um 10:13:25 Uhr
Goto Top
Moin,
da Yusuf's Blog nicht mehr online ist, hier der Artikel "Die Installation eines RODC":
Der Read-Only Domänencontroller ist ein DC der für Standorte konzipiert wurde, die keine physikalische Sicherheit dem DC und somit
auch der Domäne bzw. Gesamtstruktur bieten können. Wie es im Namen bereits zu lesen ist, handelt es sich dabei um einen DC der
ausschließlich nur eine Leseberechtigung auf die Active Directory-Daten hat. Falls Änderungen im Active Directory durchgeführt werden sollen,
leitet der RODC diesen Vorgang auf einen beschreibbaren DC weiter. Das gilt auch für Aktualisierungen im DNS.
Zusätzlich stellt die einseitige (unidirektionale) Replikation eine weitere Sicherheitsfunktion dar. Auf dem RODC findet nur eine
eingehende (Inbound)-Replikation statt. Es wird nichts vom RODC zu einem beschreibbaren DC repliziert. Die einseitige Replikation
wird für die Active Directory-Domain Services und für die DFS-Replikation des SYSVOL-Verzeichnisses angewendet.

Weitere Details zum RODC werden in diesem Artikel erläutert:
Read-Only Domain Controller (RODC)


Die Voraussetzungen um den ersten RODC in der Domäne zu installieren

    Der Modus für die Gesamtstruktur muss sich mindestens auf Windows Server 2003 oder höher befinden,
    damit die Linked Value Replikation (LVR) zur Verfügung steht.
    Der RODC kann sich die Domänenpartition ausschließlich von einem beschreibbaren Windows Server 2008
    oder Windows Server 2008 R2 Domänencontroller replizieren. Daher muss sich bereits ein beschreibbarer
    Windows Server 2008/2008 R2/Core/Core R2 Domänencontroller in der Domäne befinden. Wenn das nicht der Fall wäre,
    würde die Option zum erstellen eines RODC an entsprechender Stelle nicht zur Verfügung stehen.
    Das Active Directory Preparation Tool (ADPREP) muss mit dem Parameter /RODCPREP ausgeführt worden sein.
    Dabei werden die Berechtigungen (Security Descriptor, SD) von allen DNS-Anwendungsverzeichnispartitionen (DomainDNSZones und ForestDNSZones) in der Gesamtstruktur aktualisiert. Der Befehl muss mit Organisations-Administrator Rechten durchgeführt werden und kann auf irgendeinem DC ausgeführt werden. Dieser DC muss auch nicht der Träger der FSMO-Rollen sein. Beim Ausführen von ADPREP /Rodcprep werden die einzelnen Infrastrukturmaster der Domänen kontaktiert, um die Berechtigungen der Anwendungsverzeichnispartitionen DomainDNSZones und ForestDNSZones zu aktualisieren.

    Error message when you run the "Adprep /rodcprep" command in Windows Server 2008: "Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com"
    Wird für die bereitgestellte Installation zuerst das RODC-Computerkonto in der OU Domain Controllers im AD DS erstellt,
    darf der zukünftige RODC nicht bereits Mitglied der Domäne sein.

 

Die Installation eines RODC auf einem Windows Server 2008 (Vollinstallation) durch den DCPROMO-Assistenten

Der Read-Only Domänencontroller kann auf mehrere Varianten bereitgestellt werden.
Die eine Variante wäre die Installation des RODCs durch das Ausführen des DCPROMO-Assistenten. Dies kann von einem
Domänen- bzw. Organisations-Administrator durchgeführt werden. Dabei kann der Server entweder ein standalone- oder
Mitgliedsserver sein. Nach der Betriebssysteminstallation kann der Administrator direkt das DCPROMO aufrufen und somit
den Server zum RODC stufen. Die Installation gestaltet sich nicht sonderlich anders als die Installation eines beschreibbaren DCs.
Es ist lediglich darauf zu achten, dass beim ausführen des DCPROMO-Assistenten die Option
Schreibgeschützter Domänencontroller (RODC) auf der Seite der Domänencontrolleroptionen ausgewählt wird.

Empfehlenswert wäre es, nach dem Aufruf von DCPROMO die Option Installation im erweiterten Modus verwenden auszuwählen.
Ich empfehle diese Option bei jeder DC-Installation zu aktivieren. Erst durch den erweiterten Modus erscheint die zusätzliche
Auswahl (bei einer RODC-Installation) Richtlinie für Kennwortreplikation angeben (Password Replication Policy, kurz PRP),
in der festgelegt werden kann welche Kennwörter auf den RODC repliziert werden dürfen und welche verwehrt bleiben.
Die Replikation der Kennwörter von einzelnen Benutzern, Gruppenmitgliedern oder Computern können auf dem RODC zugelassen
bzw. verwehrt werden. Dabei bleiben standardmäßig die Kennwörter administrativer Konten dem RODC verwehrt.
Wenn dabei ein Benutzerkonto in der abgelehnten- sowie zulässigen RODC-Kennwortreplikationsgruppe Mitglied ist,
so hat die abgelehnte Gruppe Vorrang!

Die Konfiguration der Kennwort-Replikation kann natürlich auch im Nachhinein jederzeit geändert und muss nicht unbedingt während
der Installation festgelegt werden. Weitere Optionen die erst mit aktivieren des erweiterten Installationsmodus erscheinen, wäre die
IFM-Option und die Auswahl eines Quelldomänencontrollers mit dem die Replikation über das Netzwerk durchgeführt werden soll.

 

Die Installation eines RODC auf einem Windows Server 2008 Core

Der RODC kann ebenfalls auf einer Installation des Windows Server Core bereitgestellt werden. Da das Heraufstufen zu einem
RO-/DC auf einem Windows Server Core nicht wie gewohnt über die GUI des DCPROMO-Assistenten durchgeführt werden kann,
ist der Administrator gezwungen die Installation, entweder durch die einzelne Eingabe der Parameter in der Kommandozeile
(DCPROMO /unattend /ReplicaOrNewDomain=ReadOnlyReplica…) oder mit einer Antwortdatei durchzuführen.

Eine Beispiel-Antwortdatei zum Heraufstufen eines RODCs befindet sich am Ende dieses Artikels:
Windows Server 2008 Core

 

Die bereitgestellte Installation eines RODC

Eine andere Variante wäre die Installation eines RODCs in zwei Schritten durchzuführen. Dabei erstellt ein Domänen- bzw.
Organisations-Administrator im ersten Schritt zuerst das RODC-Computerkonto im Active Directory und bekommt dabei die Möglichkeit,
die vor Ort Installation sowie die Verwaltung des RODCs entweder von einem Domänen-Administrator durchführen zu lassen
oder an einen Benutzer oder besser einer Benutzergruppe dieses Privileg zu delegieren. Zur leichteren Administration sollte
eine Benutzergruppe angegeben werden. Die Delegierung an dieser Stelle hat den positiven Nebeneffekt, dass der Benutzer
oder die Gruppe denen dieses Recht delegiert wurde, gleichzeitig auch der lokale Administrator des Systems ist. Die Änderungen
am System, sei es Treiberaktualisierungen, Softwareinstallationen oder Hardwaretausch kann von nun an von einem normalen Benutzer
durchgeführt werden, der keine Rechte auf das Active Directory hat. In den vorherigen Server-Versionen stellte genau dieses
Szenario in verteilten Umgebungen oftmals ein Problem dar. Im zweiten Schritt wird durch das Ausführen von DCPROMO auf dem
Server die RODC-Installation endgültig abgeschlossen.


Die Vorgehensweise für die bereitgestellte Variante wäre folgende

    In der MMC Active Directory-Benutzer und -Computer ist auf einem beschreibbaren Windows Server 2008 Domänencontroller,
    mit einem Rechtsklick auf der OU Domain Controllers die Option Konto für schreibgeschützten Domänencontroller vorbereiten… auszuwählen.
    Auf der Willkommensseite gilt es die Option Installation im erweiterten Modus verwenden zu aktivieren.
    Im nächsten Schritt bekommt man einen Hinweis bezgl. der Betriebssystemkompatibilität. Der Assistent weißt einen darauf hin,
    das durch die verbesserten Sicherheitseinstellungen im Windows Server 2008 Probleme mit älteren Windows-Betriebssystemen
    (Windows NT) entstehen kann. Es wird dabei auf diesen KB-Artikel verwiesen:

    When a Windows NT 4.0-based computer tries to use the NETLOGON service to establish a security channel to a Windows Server 2008-based domain controller, the operation may fail
    Als nächstes werden die Anmeldeinformationen eines Domänen- oder Organisations-Administrators benötigt. Wenn man auf dem
    System, auf der man das RODC-Computerkonto erstellt als Domänen-Administrator angemeldet ist, reichen die aktuellen
    Anmeldeinformationen aus und es müssen keine alternativen Anmeldeinformationen eingegeben werden. Ansonsten werden
    alternative Anmeldeinformationen benötigt. Wenn die angegebenen Anmeldeinformationen nicht über die benötigten Rechte verfügen,
    folgt eine Warnung mit dem Hinweis, dass das angegebene Benutzerkonto in keines der genannten Gruppen Mitglied ist. Es ist zwar
    trotzdem möglich mit dem Assistenten fortzufahren, aber spätestens nach der Zusammenfassung erscheint erneut der Hinweis,
    dass die eingegeben Anmeldeinformationen nicht ausreichen. Aber auch hier bekommt man dann die Option,
    ein berechtigtes Benutzerkonto einzugeben.
    Auf der nächsten Seite muss der Computername des zukünftigen RODCs eingetragen werden. Des Weiteren wird der Hinweis angezeigt,
    dass der Computername an dieser Stelle vergeben werden muss. Weiterhin wird darauf hingewiesen, dass der Server erst mit Ausführen
    von DCPROMO zur Domäne hinzugefügt werden darf. Falls der Server zu diesem Zeitpunkt bereits Mitglied der Domäne wäre,
    würde an dieser Stelle eine Fehlermeldung erscheinen:




    Nun muss der Standort ausgewählt werden, an dem der RODC eingesetzt werden soll.
    Im darauffolgenden Schritt ist die Auswahl der zusätzlichen Domänencontrolleroptionen zu treffen. Es stehen insgesamt drei Optionen
    zur Auswahl, wobei die letzte Option Schreibgeschützter Domänencontroller (RODC) aktiviert und ausgegraut ist. Die beiden anderen
    Optionen wären DNS-Server und Globaler Katalog (was vorteilhaft wäre diese aktiviert zu lassen).
    An dem nächsten Punkt angelangt, kann man die Richtlinie für die Kennwortreplikation bearbeiten. Die Kennwortreplikation beeinflusst
    das Anmeldeverhalten eines Benutzers bei nicht erreichen eines beschreibbaren DCs.

    Der genaue Vorgang wird auf diesen Seiten erklärt:
    Appendix B: How the Authentication Process Works with RODCs
    Password Replication Policy

    Wichtig an dieser Stelle wäre zu erwähnen, möchte man das der RODC einen Benutzer (oder Dienstkonto) eigenständig authentifiziert,
    ohne das ein beschreibbarer DC kontaktiert werden soll (z.B. wenn die WAN-Verbindung unterbrochen ist), so muss neben dem Kennwort
    des Benutzerobjekts noch das Computerkontokennwort an dem sich der Benutzer anmeldet, bereits auf den RODC repliziert worden sein.
    Natürlich müssen die betroffenen Benutzer- sowie Computerkonten vorher in der Richtlinie für die Kennwortreplikation zugelassen werden.

    Falls das Kennwort eines Benutzers (und/oder Computerkontos, an dem sich der Benutzer anmeldet) nicht auf den RODC repliziert wurde
    und es entsteht eine WAN-Störung, kann sich der Benutzer zu diesem Zeitpunkt lediglich mit seinen zwischengespeicherten
    Benutzerinformationen (cached Credentials) anmelden. Das kann der Benutzer wiederum nur, wenn er sich vorher einmal von
    dem Computer aus, erfolgreich an der Domäne authentifiziert hat.

    Der RODC trägt sich bekanntermaßen als Key Distribution Center (KDC) im Active Directory für seinen Standort ein und somit kann der
    RODC dem Client das Ticket-Granting Ticket (TGT) ausstellen.

    Die Replikation der Kennwörter lässt sich manuell anstoßen. Zum einen ist das mit Repadmin möglich. Der Befehl dazu lautet:
    Repadmin /Rodcpwdrepl <RODC*> <beschreibbarer DC> <DN des Benutzerkontos> <DN des Clients>

    Repadmin /rodcpwdrepl

    Zum anderen lässt sich die Replikation der Kennwörter auch über die grafische Oberfläche realisieren. Dazu gilt es in der MMC
    Active Directory-Benutzer und -Computer die Eigenschaften des RODC-Computerkontos zu öffnen. Dort im Reiter
    Kennwortreplikationsrichtlinie ist die Option Erweitert auszuwählen. In der erweiterten Kennwortreplikation hat man nun die
    Möglichkeit über die Auswahl von Kennwörter auffüllen… die entsprechenden Kennwörter sofort zu replizieren.




    Der Assistent fragt als nächstes nach einem Benutzer oder einer Gruppe, die das Recht delegiert bekommen sollen den RODC
    fertig zu installieren (durch Ausführen von DCPROMO). Zudem wird darauf hingewiesen das die angegeben Konten über lokale
    Administratorberechtigungen verfügen. Erfolgt an dieser Stelle keine Eingabe, so kann die Installation des RODCs ausschließlich
    von einem Domänen- oder Organisations-Administrator abgeschlossen werden.
    Erneut der Hinweis; Die hier angegebenen Konten bekommen keine weiteren Rechte auf das AD!

    Es folgt die Zusammenfassung in der die gewählten Einstellungen überprüft werden können.

    Anschließend wird mit Fertig Stellen der Vorgang zum erstellen des RODC-Computerkontos abgeschlossen.

 

Zum Fertigstellen der RODC-Installation ist es als letzten Schritt notwendig, an dem zukünftigen RODC den DCPROMO-Assistenten auszuführen.


Die Vorgehensweise wäre folgende:

    Mit dem Befehl Dcpromo /UseExistingAccount:Attach gilt es unter Start - Ausführen den DCPROMO-Assistenten aufzurufen.
    Falls man die Installation mit Hilfe einer Install from Media (IFM) -Sicherung durchführen möchte, sollte die Option
    Installation im erweiterten Modus verwenden aktiviert werden. Auch wenn man explizit einen DC auswählen möchte
    von dem die Replikation erfolgen soll, ist der erweiterte Modus zu aktivieren.
    Im nächsten Schritt muss die Domäne angegeben werden zu der der RODC hinzugefügt werden soll. Zusätzlich sind die
    alternativen Benutzerinformationen eines Benutzers anzugeben, der beim erstellen des RODC-Computerkontos das Recht der
    Installation delegiert bekommen hat (siehe oben Punkt 9). Natürlich kann hier auch der Domänen-Administrator angegeben werden.
    Danach muss das bereits erstellte RODC-Computerkonto ausgewählt werden.




    Wurde der erweiterte Modus auf der Willkommensseite ausgewählt, kann an dieser Stelle eine Sicherung angegeben werden.
    Falls keine Sicherung angegeben wird, kann als nächstes ein Quelldomänencontroller ausgewählt werden,
    von dem aus die Replikation ausgeführt wird.
    Auf der nächsten Seite kann der Pfad zur Active Directory-Datenbank, den Protokolldateien und dem SYSVOL-Verzeichnis konfiguriert werden.
    Dann muss ein Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste vergeben werden.
    Zum Schluss erfolgt die Zusammenfassung der Einstellungen die vorgenommen wurden, bevor es dann mit der Installation beginnt.

 

Die Verwaltung des RODC

Die Information wer den RODC lokal administrieren darf wird im Active Directory, genauer, im Attribut managedBy das sich im RODC-Computerkonto
befindet gespeichert. Ist es notwendig die lokale Verwaltung des RODCs an einen anderen Benutzer bzw. Benutzergruppe zu delegieren, so kann
diese Einstellung in den Eigenschaften des RODC-Computerkontos, im Reiter Verwaltet von vorgenommen werden.


 

Oder es wird im Reiter Attribut-Editor der Distinguished Name des Benutzers (oder der Benutzergruppe) direkt im
Attribut managedBy eingetragen, der zukünftig den RODC verwalten soll.

Zusätzlich wird in der Registry auf dem RODC im folgenden Pfad:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RODCROLES

im Schlüssel RepairAdmin die SID des Benutzers/der Benutzergruppe gespeichert, die im Attribut managedBy eingetragen wurde.


Eine andere Variante einen lokalen Administrator zu definieren wäre über die beiden Kommandozeilentools DSMGMT.exe oder NTDSUTIL.exe.
Dadurch können auch feinere Rechte gesetzt werden, in dem z.B. der Domänen-Benutzer in die Gruppe der Sicherungs-Operatoren
oder Server-Operatoren auf dem RODC hinzugefügt wird.

Dieses erreicht man durch folgende Vorgehensweise:

-  Start - Ausführen - DSMGMT.exe oder NTDSUTIL.exe  (die Eingabe der folgenden Befehle gelten sowohl für DSMGMT als auch für NTDSUTIL)
- Local Roles
- Add <DOMÄNE>\<Domänen-Benutzer> Server-Operatoren

Mit Show Role Server-Operatoren können die Mitglieder dieser Gruppe angezeigt werden.
Wenn ein Benutzer über diese Methode zu einer Gruppe hinzugefügt wurde, wird im o.g. Registry-Pfad ein weiterer
Schlüssel erstellt, das als Wert die SID des Benutzers enthält. Der Schlüssel trägt als Namen das letzte Oktett der Well-Known SID von der
entsprechenden Gruppe, in der der Benutzer hinzugefügt wurde. Wird z.B. ein Benutzer zu der Builtin-Gruppe Server-Operatoren hinzugefügt,
so lautet der Name des erstellten Schlüssels 549. Wird hingegen der Benutzer zu der Builtin-Gruppe Konten-Operatoren hinzugefügt,
so trägt der Schlüssel den Namen 548.

Well-known security identifiers in Windows operating systems

Wird der Benutzer mit dem Befehl Remove <DOMÄNE>\<Domänen-Benutzer> <Gruppe>
aus der Gruppe entfernt, bleibt der erstellte Schlüssel zwar bestehen, jedoch wird der als Wert eingetragene SID entfernt.


Gruß,
Dani
Mitglied: Jannis92
Jannis92 12.08.2014 um 10:45:47 Uhr
Goto Top
Hey,
Danke, dass du den "Blog" noch einmal gepostet hast.
Leider hat er meine Frage nicht beantwortet.

Ich habe gerade einen Verdacht, weshalb das Ganze nicht funktioniert:
Es wurde eine Site für den neuen Standort konfiguriert, für den der RODC "ansprechpartner" ist.
Der Rechner/Benutzer befindet sich jedoch in einem Testnetz, wo eine andere Site gilt. Wahrscheinlich
wird deswegen der DC und nicht der RODC angesprochen. Das ist gerade meine Vermutung.
Kann das einer mit dem entsprechenden Hintergrundwissen bestätigen, oder ist das egal? ;o
Mitglied: Dani
Lösung Dani 12.08.2014, aktualisiert am 14.08.2014 um 15:45:29 Uhr
Goto Top
Moin,
der Testclient nimmt den DC, der dem gleichen Standort zugewiesen ist.
Ein Standort unterscheidet sich konzeptionell von einer Domäne unter Windows Server 2003, da ein Standort mehrere Domäne und eine Domäne mehrere Standorte umfassen kann. Standorte sind nicht Teil des Domänennamespaces. Standorte steuern die Replikation von Domänendaten und helfen, die Nähe von Ressourcen zu ermitteln. So wählt beispielsweise eine Arbeitsstation zum Zweck der Authentifizierung einen Domänencontroller (DC) innerhalb des eigenen Standortes. 


Gruß,
Dani
Mitglied: Jannis92
Jannis92 12.08.2014 um 12:28:33 Uhr
Goto Top
Ok, dann wird es das wohl sein.
Vielen Dank für deine Hilfe!

Letzte Frage noch:
Wenn ich dem Testnetzt nun unter "Sites" den neuen Standort zuweise, mit dem auch
der RODC "Verknüpft" ist, so müsste der RODC für die Clients in diesem Subnet als
Anmeldeserver (set logonserver) verwendet werden oder?!

Könnten Komplikationen entstehen, wenn nur ein Testrechner + Benutzer sich im Testnetz befinden und ich
die Standortzuweisung ändere?

Nochmals vielen Dank! face-smile
Mitglied: Jannis92
Jannis92 14.08.2014 aktualisiert um 10:15:36 Uhr
Goto Top
Hey,
ich habe nun den RODC in die "korrekte" Site (Testnetz) verschoben.
der Befehl "set logonserver" gibt nun auch den RODC und nicht mehr den DC aus.
Leider funktioniert die Anmeldung noch immer nicht face-sad.

Wenn ich die VPN Verbindung zum Hauptstandort trenne, kann der Client sich noch
immer nicht am RODC authentifizieren. Hat noch einer eine Idee?

Wenn ich bei einer nicht bestehenden VPN Verbindung den Befehl "nltest /dsgetsite" ausführe,
erhalte ich folgende Meldung:
"Fehler beim Abrufen des Domänencontrollernamens: Status = 1919 0x77f ERROR_NO_SITENAME"

Bei einer bestehenden VPN Verbindung erhalte ich die korrekte Site.
--> Was ist hier los?! ;o

Anschließend habe ich noch einmal versucht, auf die freigegebenen Laufwerke über die Konsole zuzugreifen
(net use \\RODC). Anschließend fordert er mich auf, einen Benutzernamen einzugeben. Wenn ich den Benutzernamen eingebe,
mit dem ich auch angemeldet bin, erhalte ich folgende Meldung:
"Der angegebene
Benutzername ist identisch mit dem Benutzernamen, mit dem Sie angemeldet
sind. Dieser Name wurde bereits ausprobiert. Es kann kein
Domänencontroller zum Bestätigen diesen Namens gefunden werden"

Ein Ping geht jedoch (auch mit leichter Verzögerung) an den RODC.

Ich brauche wirklich bitte dringend Hilfe face-sad.
Vielen Dank.
Mitglied: Dani
Dani 14.08.2014 aktualisiert um 10:39:20 Uhr
Goto Top
Moin,
  • was passiert wenn du zuvor die Replikation der Kennwörter manuell anstößst? Gleiches Problem?
  • Die Kennwortreplikationsrichtlinie hast du konfiguriert?
  • Hast du dich am Client einmal angemeldet vebevor du die VPN-Verbindung unterbrochen hast?


Gruß,
Dani
Mitglied: Jannis92
Jannis92 14.08.2014 um 11:18:48 Uhr
Goto Top
Hey,
die Kennwortrichtlinie sollte korrekt konfiguriert wurden sein.
Zumindest erscheinen dort die Benutzerkonten + Rechner.

Auch die Anmeldung bei einer bestehenden VPN Verbindung habe ich vorher durchgeführt (So hatte ich
es gelesen und auch verstanden ;p).

Ich habe noch einmal die Ereignisanzeige von Windows durchsucht. Hier viel mir auf, dass der Client bei der Anmeldung (one VPN
Verbindung) folgende Meldung ausgibt:

"Warnung, DNS Client Events --> Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc_msdcs.<clientFQDN>
Natürlich habe ich Google dazu befragt: http://technet.microsoft.com/de-de/library/cc816903%28v=ws.10%29.aspx

Nachdem ich die drei Schritte durchgeführt habe....
1) nslookup
2) set q=SRV
3) _ldap._tcp.dc._msdcs.<AD_DS_domain_name>
... habe ich festgestellt, dass er einen DNS Request Time out ausgibt und versucht, den DC zu kontaktieren.
Ist das so korrekt?! ;o

Nochmal: also Logonserver wird auf dem Client der RODC ausgegeben. Ein Ping an den Client funktioniert. Versucht Windows
dennoch den DC für die Anmeldung zu kontaktieren?
Mitglied: Jannis92
Jannis92 14.08.2014 um 12:25:26 Uhr
Goto Top
Ok, neue Erkenntnis.
Wenn ich über die IP-Adresse auf die Freigabe gehe, funktioniert es.
Also versucht er tatsächlich den DC für die Auflösung _ldap._tcp.dc._msdcs.<AD_DS_domain_name> zu kontaktieren,
oder sehe ich das falsch?
Mitglied: Jannis92
Jannis92 14.08.2014 um 15:44:56 Uhr
Goto Top
Ok Leute,
ich bedanke mich bei allen für ihre Hilfe face-smile.

Lösung des Problems:
Es war tatsächlich ein Problem mit der Namensauflösung.
Auf dem Router wurde nun als zweiter DNS (so hätte ich es eigentlich von vornherein erwartet)
der RODC als DNS eingetragen. Anschließend funktioniert die Anmeldung ohne eine bestehenden Internet/VPN
Verbindung.

VIelen Dank noch einmal (=