chreat
Goto Top

Replikation inerhalb eines Standortes festlegen

Hallo,

ich habe das Problem das zwei Domänencontroller (DC2 und DC3) inerhalb eines Standortes sich nicht direkt Replizieren sollen, versuchen dies aber immer wieder obwohl ich die Active-Directory Verbindungen lösche. KCC oder wie der Dienst heißt generiert diese Active-Directory Verbindungen einfach automatisch ein paar Minuten nachdem ich diese gelöscht habe.

Der Hintergrund der ganzen fummelei ist, das diese beiden Server in unterschiedlichen Subnetzen sind und nur über einen dritten Server (DC1 - Primärer Domänencontroller) indirekt verbunden sind. Das ganze muss aus Sicherheitsgründen so sein. Sprich ein Ping vom DC2 nach DC3 ist nicht möglich.

Das ganze spielt sich im Snap in Standorte und Dienste ab.

Meine Frage nun:

kann ich es ausschalten das die Active-Directory Verbindungen automatisch generiert werden ? Oder muss ich die Server in unterschiedlichen Standorte packen un über Verbindungsbrücken miteinander koppeln ?

Content-Key: 64327

Url: https://administrator.de/contentid/64327

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: problemsolver
problemsolver 21.07.2007 um 03:25:12 Uhr
Goto Top
Hallo,

ich habe das Problem das zwei
Domänencontroller (DC2 und DC3) inerhalb
eines Standortes sich nicht direkt
Replizieren sollen, versuchen dies aber immer
wieder obwohl ich die Active-Directory
Verbindungen lösche. KCC oder wie der
Dienst heißt generiert diese
Active-Directory Verbindungen einfach
automatisch ein paar Minuten nachdem ich
diese gelöscht habe.

Versuche mal in einem neuen Beitrag vielleicht zu erklären, was genau deine Absichten sind.
Vielleicht kann man deiner Beschreibung nach schon konkreteres sagen. Ist doch recht wage...
aber weiter gehts erstmal...


Der Hintergrund der ganzen fummelei ist, das
diese beiden Server in unterschiedlichen
Subnetzen sind und nur über einen
dritten Server (DC1 - Primärer
Domänencontroller) indirekt verbunden
sind. Das ganze muss aus
Sicherheitsgründen so sein. Sprich ein
Ping vom DC2 nach DC3 ist nicht möglich.


Was für Sicherheitsgründe...? Also meiner Meinung nach ist dieses Verhalten , also die Replikation, ganz normal, wenn die DC's innerhalb einer Domäne sind. MIr ist lediglich bekannt, dass man die Zeitabstände zwischen den Synchronisationen verändern kann, was aber wiederum nicht dein Problem löst.
Und weiter im Text ... face-wink

Das ganze spielt sich im Snap in Standorte
und Dienste ab.

Meine Frage nun:

kann ich es ausschalten das die
Active-Directory Verbindungen automatisch
generiert werden ?

Es sollte vom Prinzip her so gedacht sein, dass das AD eine globale Datenbank für Objekte bzw. Ressourcen etc. innerhalb einer Domäne ist. Dass der Inhalt einer Datenbank und deren Replikate gleich sein sollte, erklärt sich ja von alleine. Deshalb wäre es unklug, wenn man Sie erst manuell synchronisiert. Die Aktualität der Objekte wäre z.B. nicht gegeben. Und ein deaktivierter Benutzer in der AD-Datenbank auf DC2 könnte sich trotzdem noch auf DC2 anmelden, wenn nicht synchronisiert wird!

Oder muss ich die Server
in unterschiedlichen Standorte packen un
über Verbindungsbrücken miteinander
koppeln ?

Also das hört sich meiner bescheidenen Meinung nach ziemlich unlösbar an. Vielleicht haben noch andere Mitglieder eine Idee?
Wie wär es mit einer anderen einzelene Domäne/Subdomäne , um dann ggf. mit Vertrauensstellungen zu arbeiten... vielleicht gibt dir das schon mehr "Sicherheit"????
*mein-spekuliereisen-raushol* face-wink

Gruß

Markus
Mitglied: Chreat
Chreat 21.07.2007 um 11:32:22 Uhr
Goto Top
Hallo Markus,

danke für deine anteilnahme, ich versuchs mal genauer zu erläutern.

Alles spielt sich an einem Standort ab. 3 Server:
DC1 192.168.1.1
DC2 192.168.1.2
DC3 192.168.10.3

inerhalb dieses Standortes gibt es 2 Physikalisch getrennte Netzwerke. In einem ist DC2, nennen wir ihn mal Chefetage. Und im anderen ist DC3 (Produktion). Internetzugang und Primärer Domänencontroller ist DC1, er ist mit beiden Netzen verbunden.

Das Problem nun ist das DC2 und DC3 versuchen sich zu replizieren. Dies ist aber gar nicht möglich weil die Server ja in Physikalisch getrennten Netzen sind und nur mit DC1 Replizieren können.

Was ich machen könnte ist für jeden Server einen Standort einrichten. Und dann Verbindungsbrücken einrichten von
Standort-DC2 zu Standort-DC1 und von
Standort-DC3 zu Standort-DC1.
Ich erstelle gezielt keine Verbindungsbrücke Zwischen Standort-DC2 und Standort-DC3 und somit würden die beiden Server nicht mehr die direkte Replikation versuchen. Das hat aber den Nachteil das angenommen wird zwischen den Standorten ist eine langsame und zu schonenede Verbindung. Replizierungsvorgänge werden nicht häufig durchgeführt.

Die idee jedem der zwei Netze eine eigene Subdomäne zu geben flog mir auch schon im Kopf rum nur is das Netz, so wie es ist, schon lange in Betrieb und die Umstellung wär bestimmt nicht einfach oder ?
Mitglied: problemsolver
problemsolver 21.07.2007 um 13:13:46 Uhr
Goto Top
Hi,

möglich ist alles. Aber wenn dann würde ich mir an deiner Stelle euren externen Dienstleister hinzuziehen, weil es schwierig und seeeeehr aufwendig ist, das hier alles zu beschreiben.

Ich habe das auch erst einmal selber gemacht - und es liegt verdammt lang zurück. (also das mit den Vertrauensstellungen zum Beispiel. Mit dem "Ausleihen" von Benutzern zu anderen Domänen etc.)

Was ich dir empfehlen könnte, wäre lt. deiner Beschreibung ein VLAN. Also ein virtuelles Netzwerk, so dass du hierbei alle Rechner der Chefetage in einem sind und die anderen Rechner in einem weiteren eigenen VLAN. Die Server müssen in beiden VLANs sein, genauso wie Dein Rechner bzw. andere Admin Rechner. Somit könnten die aus der Produktion nicht die Rechner aus der Chefetage sehen.

Ansonsten hoff ich, dass du noch an dein Ziel kommst.

Gruß und schönes WE

Markus
Mitglied: Chreat
Chreat 30.07.2007 um 08:43:36 Uhr
Goto Top
Hallo Markus,

ich hab das Problem jetzt umgangeen(gelöst) idem ich jedem Server einen eigenen Standort gegeben habe.
Jedem Standort ein Subnetz zugewiesen.
Standortverknüpfungen zwischen DC2->DC1 und DC3-> DC1 erstellt habe.
Und eine Standortverknüpfungsbrücke zwischen den eben erwähnten Standortverknüpfungen.
Doof ist nur das die Replikation nur zyklisch minmal alle 20 minuten durchgeführt wird.
Der Vorteil ist aber auch das DC2 durch die Standortverknüpfungsbrücke direkt mit DC3 Replizieren kann.

Hilfreich und einleutend fand ich diese Seite:
http://www.faq-o-matic.net/content/view/148/45/

mfg

Christian