9
Active Directory - Windows 2008 R2 - Windows 7 Enterprise - Anmeldeserver in SITES
Hallo Community,
ich habe ein recht komplexes Anliegen, darum hier ein paar Basics:
- Windows 2008 R2 Active Directory Umgebung
- ca. 20 Sites mit Subnetzen konfiguriert und jeder dieser Sites hat einen read only Domain Controller.
- Die "Haupt-Site" hat 2 "normale" DCs und die Konfiguration ist so, dass sich die RO-DCs immer von diesen beiden replizieren sollen.
Die Sache ist nun die:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem ganz anderen Netz suchen als in der Site in der sich der Client befindet was natürlich ewige Anmeldezeiten mit sich bringt, da die WAN Strecken nicht überall sehr performant sind.
Gibt es nun die Möglichkeit, abgesehen von den Sites (wovon wir glauben, dass wir sie richtig konfiguriert haben, aber wir sind da für Tips offen ;) ) eventuell per GPO den Client zu zwingen, den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?
Ich hoffe es ist halbwegs verständlich und es kann uns hier jemand helfen!!!
Vielen Dank!!!!!
Liebe Grüße
Christoph
ich habe ein recht komplexes Anliegen, darum hier ein paar Basics:
- Windows 2008 R2 Active Directory Umgebung
- ca. 20 Sites mit Subnetzen konfiguriert und jeder dieser Sites hat einen read only Domain Controller.
- Die "Haupt-Site" hat 2 "normale" DCs und die Konfiguration ist so, dass sich die RO-DCs immer von diesen beiden replizieren sollen.
Die Sache ist nun die:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem ganz anderen Netz suchen als in der Site in der sich der Client befindet was natürlich ewige Anmeldezeiten mit sich bringt, da die WAN Strecken nicht überall sehr performant sind.
Gibt es nun die Möglichkeit, abgesehen von den Sites (wovon wir glauben, dass wir sie richtig konfiguriert haben, aber wir sind da für Tips offen ;) ) eventuell per GPO den Client zu zwingen, den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?
Ich hoffe es ist halbwegs verständlich und es kann uns hier jemand helfen!!!
Vielen Dank!!!!!
Liebe Grüße
Christoph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 247359
Url: https://administrator.de/contentid/247359
Printed on: April 20, 2024 at 03:04 o'clock
9 Comments
Latest comment
Hallo,
Und auch dein Netzdesign oder dein Routing sollte hier betrachtet werden warum .....
Gruß,
Peter
Zitat von @chrisale:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem
Dir ist schon klar das immer der am Schnellsten antwortende DC dies macht, oder? Warum also macht ein DC aus einen ganz anderen Subnetz die Authentifizierung, ist der eigene RODC etwa zu langsam beim Antworten oder wird er gar nicht erst gefragt? Dein Kabelhai sollte dir da helfen.Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem
(wovon wir glauben,
Verschafft euch Gewissheit, kauft jemand ein der dies Beantworten kann.Und auch dein Netzdesign oder dein Routing sollte hier betrachtet werden warum .....
Gruß,
Peter
yes, danke für die Antwort ...
Gibt es nun die Möglichkeit per GPO den Client zu zwingen den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?
Unabhängig vom Rest.....
Gibt es nun die Möglichkeit per GPO den Client zu zwingen den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?
Unabhängig vom Rest.....
Sers,
wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?
Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
Schreibbare DCs oder DNS müssen im Subnetz nicht eingetragen sein. Der RODC leitet schon selbstständig passend um/weiter bzw. teilt dem Client einen beschreibbaren DNS Servernamen mit.
Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.
Klar muss natürlich sein dass wenn nur ein RODC in der Site steht und der ausfällt dann gar keine Authentifizierung mehr möglich ist. Zumindest bis eingegriffen wurde.
Technet: RODC Technical Reference Topics
Grüße,
Philip
wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?
Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
Schreibbare DCs oder DNS müssen im Subnetz nicht eingetragen sein. Der RODC leitet schon selbstständig passend um/weiter bzw. teilt dem Client einen beschreibbaren DNS Servernamen mit.
Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.
Klar muss natürlich sein dass wenn nur ein RODC in der Site steht und der ausfällt dann gar keine Authentifizierung mehr möglich ist. Zumindest bis eingegriffen wurde.
Technet: RODC Technical Reference Topics
Grüße,
Philip
hi, danke für deine antwort 
DNS Einträge sehen unserer Meinung nach gut aus. Bei jeder Site ist unter _tcp jeweils der _kerberos und der _ldap eintrag vorhanden mit dem RODC von der Site mit Priorität 0 (0 ist höchste, richtig?)
bei den DNS Einträgen zu den Sites ist immer nur der RODC von der Site in diesem Subnetz eingetragen bzw. an der Hauptsite eben die beiden beschreibbaren DC
Replizierung und FRS sind konfiguriert und aktiv.
lg
chris
wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?
DNS Einträge sehen unserer Meinung nach gut aus. Bei jeder Site ist unter _tcp jeweils der _kerberos und der _ldap eintrag vorhanden mit dem RODC von der Site mit Priorität 0 (0 ist höchste, richtig?)
Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
bei den DNS Einträgen zu den Sites ist immer nur der RODC von der Site in diesem Subnetz eingetragen bzw. an der Hauptsite eben die beiden beschreibbaren DC
Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.
Replizierung und FRS sind konfiguriert und aktiv.
lg
chris
Ok, das hört sich doch gut an.
Zur Sicherheit: Die Clients am Standort bekommen die lokalen RODC als DNS (via DHCP) zugewiesen?
Eventuell noch WINS aktiv (und den Clients bekannt) die hier dazwischen funken könnten?
Die RODC haben alle den GC?
:edit: DCdiag hat dir keine Fehler ausgespuckt, richtig?
Zur Sicherheit: Die Clients am Standort bekommen die lokalen RODC als DNS (via DHCP) zugewiesen?
Eventuell noch WINS aktiv (und den Clients bekannt) die hier dazwischen funken könnten?
Die RODC haben alle den GC?
:edit: DCdiag hat dir keine Fehler ausgespuckt, richtig?
hi.
ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie einen anderen.
WINS ist nicht aktiv, nein. Haben wir schon gecheckt.
Und ja, die RODC haben alle den global catalog.
ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie einen anderen.
WINS ist nicht aktiv, nein. Haben wir schon gecheckt.
Und ja, die RODC haben alle den global catalog.
Zitat von @chrisale:
hi.
ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie
einen anderen.
hi.
ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie
einen anderen.
Problem erkannt?
Das wäre schon mal ein Punkt.
:edit:
Was auch nicht unterschätzt werden darf: Während einer Logon Session ändert sich für den Client der Logon Server (%LogonServer%) nicht. Sprich, wenn der RODC die jeweiligen Credentials für die Anmeldung nicht gecached hat, dann wird der Client sich so lange gegen den DC an den er weitergeleitet wurde authentifizieren bis es zur Abmeldung kommt. Beim nächsten Logon kennt der RODC dann die Creds und kann zur Auth genutzt werden, sprich es geht wieder flott.
würde jetzt nicht sagen, dass das ein problem ist.
der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
Zitat von @chrisale:
würde jetzt nicht sagen, dass das ein problem ist.
der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht
ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
würde jetzt nicht sagen, dass das ein problem ist.
der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht
ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
Der Primäre DNS Server hat 1 (eine) Sekunde um die Anfrage zu bearbeiten. Danach kommt der zweite dran.
Bedenke dabei dass der RODC-DNS keine SoA Anmeldungen durchführen kann, und diese an einen schreibbaren AD-NS verweisen wird. Was auf einer WAN Leitung je nach Auslastung von Leitung und Servern durchaus mehr als 1s dauern kann.
Zur SoA Anmeldung kommt es z.B. wenn sich der Client im DNS registrieren möchte.
Hintergrund: Technet: How Read Only Domain Controllers and DNS works
