14
Allgemeine Fragen - mehrere Domaincontroller
Servus,
ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.
Wie ich das konfiguriere ist mir im Großen und Ganzen bewusst.
Der DC01 ist natürlich der DNS Server, auch ein NPS ist für RADIUS im Einsatz.
Da fangen die Fragen an:
Welche Einstellungen werden automatisch zwischen den beiden DCs gesynct? Bleiben DNS, NPS, GPO auf beiden Maschinen gleich, oder muss da auf dem sekundären DC dann manuell was nachgetragen werden oder ein Sync angestoßen werden?
Gruß und Danke
ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.
Wie ich das konfiguriere ist mir im Großen und Ganzen bewusst.
Der DC01 ist natürlich der DNS Server, auch ein NPS ist für RADIUS im Einsatz.
Da fangen die Fragen an:
Welche Einstellungen werden automatisch zwischen den beiden DCs gesynct? Bleiben DNS, NPS, GPO auf beiden Maschinen gleich, oder muss da auf dem sekundären DC dann manuell was nachgetragen werden oder ein Sync angestoßen werden?
Gruß und Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 359244
Url: https://administrator.de/contentid/359244
Printed on: April 23, 2024 at 17:04 o'clock
14 Comments
Latest comment
Moin..
ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.
ok..
Wie ich das konfiguriere ist mir im Großen und Ganzen bewusst.
Der DC01 ist natürlich der DNS Server, auch ein NPS ist für RADIUS im Einsatz.
Da fangen die Fragen an:
Welche Einstellungen werden automatisch zwischen den beiden DCs gesynct? Bleiben DNS, NPS, GPO auf beiden Maschinen gleich, oder muss da auf dem sekundären DC dann manuell was nachgetragen werden oder ein Sync angestoßen werden?
wenn du alles richtig machst, wird alles am AD Repliziert!
Frank
Gruß und Danke
ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.
Wie ich das konfiguriere ist mir im Großen und Ganzen bewusst.
Der DC01 ist natürlich der DNS Server, auch ein NPS ist für RADIUS im Einsatz.
Da fangen die Fragen an:
Welche Einstellungen werden automatisch zwischen den beiden DCs gesynct? Bleiben DNS, NPS, GPO auf beiden Maschinen gleich, oder muss da auf dem sekundären DC dann manuell was nachgetragen werden oder ein Sync angestoßen werden?
Frank
Gruß und Danke
Danke dir!
Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
Zitat von @mr.pat.bateman:
Danke dir!
Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
Ja. Dauert aber ein bisschen, bis die sich repliziert haben. Steht aber dann in der Ereignisanzeige Danke dir!
Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
Zitat von @mr.pat.bateman:
Danke dir!
Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
ja.. kann etwas dauern bis Active Directory-Replikation durch ist.Danke dir!
Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
Frank
Moin,
kl. Randbemerkung aus gegebenen Anlass:
Gruß,
Dani
kl. Randbemerkung aus gegebenen Anlass:
ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.
es sei gesagt, dass der ESXi bzwl. die Software ein Single Point of Failure ist. Es gab in der Vergangenheit leider verschiedene Bugs (Sysprep Boot Loop, Memory Leak in Verbindung mit Windows Server 2012R2 als Domain Controller, etc...) welche dir im Worst Case beide VMs "versenken". Die Fehler treten nicht immer gleich auf sondern auch mal 2-3 Tage später. Daher lasse zwischen den Einspielen der VMWare / Windowsupdates zwischen 2-3 Wochen vergehen.Gruß,
Dani
Danke für den Tipp, die Planung geht auch in Richtung 2016 sobald der zweite DC läuft.
Hallo,
es gibt von Microsoft übrigens ein Tool mit dem Du die Replikation prüfen kannst.
https://www.microsoft.com/en-us/download/details.aspx?id=30005
Gruß,
Jörg
es gibt von Microsoft übrigens ein Tool mit dem Du die Replikation prüfen kannst.
https://www.microsoft.com/en-us/download/details.aspx?id=30005
Gruß,
Jörg
Hi,
ich würde die für die DNS Einstellungen folgendes Empfehlen:
Am DC1:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Dritter DNS: 127.0.0.1
Am DC2:
Erster DNS: IP-Adresse des DC2
Zweiter DNS: IP-Adresse des DC1
Dritter DNS: 127.0.0.1
Am Client:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
VG
ich würde die für die DNS Einstellungen folgendes Empfehlen:
Am DC1:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Dritter DNS: 127.0.0.1
Am DC2:
Erster DNS: IP-Adresse des DC2
Zweiter DNS: IP-Adresse des DC1
Dritter DNS: 127.0.0.1
Am Client:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
VG
Ich nicht, ich würde folgendes machen:
Zweiter DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Die DCs trägt man "über Kreuz" ein, und einen dritten DNS habe ich nie gebraucht... http://www.mcseboard.de/topic/114672-dns-frage-2-dcs-mit-dns-server-wel ...
LG tomolpi
Am DC1:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Dritter DNS: 127.0.0.1
Erster DNS: IP-Adresse des DC2Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Dritter DNS: 127.0.0.1
Zweiter DNS: IP-Adresse des DC1
Am DC2:
Erster DNS: IP-Adresse des DC2
Zweiter DNS: IP-Adresse des DC1
Dritter DNS: 127.0.0.1
Erster DNS: IP-Adresse des DC1Erster DNS: IP-Adresse des DC2
Zweiter DNS: IP-Adresse des DC1
Dritter DNS: 127.0.0.1
Zweiter DNS: IP-Adresse des DC2
Am Client:
Lasse ich sowieso per DHCP ausgeben.Die DCs trägt man "über Kreuz" ein, und einen dritten DNS habe ich nie gebraucht... http://www.mcseboard.de/topic/114672-dns-frage-2-dcs-mit-dns-server-wel ...
VG
LG tomolpi
Es wird wohl beides funktionieren
Lasse ich sowieso per DHCP ausgeben.
Du trägst ja am DHCP Server auch ein, welche DNS er dem Client geben soll Zitat von @PK5003:
Es wird wohl beides funktionieren
Ja, stimmt. Las sich so, als ob du das an jedem Client manuell einträgst, da wäre ich zu faul zu Es wird wohl beides funktionieren
Lasse ich sowieso per DHCP ausgeben.
Du trägst ja am DHCP Server auch ein, welche DNS er dem Client geben soll
Hallo,
Ich würde als primären DNS auf einem DC intuitiv immer 127.0.0.1 setzen und alle(!) anderen Einträge leer lassen.
Auf dem 2. DC kann man das natürlich erst nach der Integration einstellen.
Ich lasse mich aber gerne mit Argumenten überzeugen und bin grundsätzlich auch sehr neugierig
Gruß,
Jörg
Ich würde als primären DNS auf einem DC intuitiv immer 127.0.0.1 setzen und alle(!) anderen Einträge leer lassen.
Auf dem 2. DC kann man das natürlich erst nach der Integration einstellen.
Ich lasse mich aber gerne mit Argumenten überzeugen und bin grundsätzlich auch sehr neugierig
Gruß,
Jörg
Moin,
https://blogs.technet.microsoft.com/askds/2010/07/17/friday-mail-sack-sa ...
https://www.faq-o-matic.net/2010/08/03/dns-fr-ad-die-offiziellen-empfehl ...
https://www.faq-o-matic.net/2010/07/18/dns-fr-active-directory-empfehlun ...
https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active ...
Gruß,
Dani
Die DCs trägt man "über Kreuz" ein, und einen dritten DNS habe ich nie gebraucht...
Ein bisschen Lesestoff zum Thema:https://blogs.technet.microsoft.com/askds/2010/07/17/friday-mail-sack-sa ...
https://www.faq-o-matic.net/2010/08/03/dns-fr-ad-die-offiziellen-empfehl ...
https://www.faq-o-matic.net/2010/07/18/dns-fr-active-directory-empfehlun ...
Ich würde als primären DNS auf einem DC intuitiv immer 127.0.0.1 setzen und alle(!) anderen Einträge leer lassen.
Rate ich nach wie vor ab. Nils hat dazu einen passenden Artikel geschrieben, der nach wie vor zutreffend ist.https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active ...
Gruß,
Dani
Hallo,
Nils hat 2007 eine persönliche Meinung dazu abgegeben, diese aber nicht begründet. Das stammt aus einer Zeit, wo viele noch den Server 2003 eingesetzt haben.
Ich vertrete die Auffassung, dass ein Server möglichst autark arbeiten und nur dort an externe Ressourcen gebunden sein soll, wo es erforderlich ist.
Diese Bindung sehe ich bei einem DC in der AD-Replikation. Die IP-Adresse würde ich bereits als externe Ressource sehen und ich kann mir sogar vorstellen, dass der Server so anfälliger wird und z.B. via ARP-Spoofing o.Ä. abgeschossen werden kann.
Gruß,
Jörg
Nils hat 2007 eine persönliche Meinung dazu abgegeben, diese aber nicht begründet. Das stammt aus einer Zeit, wo viele noch den Server 2003 eingesetzt haben.
Ich vertrete die Auffassung, dass ein Server möglichst autark arbeiten und nur dort an externe Ressourcen gebunden sein soll, wo es erforderlich ist.
Diese Bindung sehe ich bei einem DC in der AD-Replikation. Die IP-Adresse würde ich bereits als externe Ressource sehen und ich kann mir sogar vorstellen, dass der Server so anfälliger wird und z.B. via ARP-Spoofing o.Ä. abgeschossen werden kann.
Gruß,
Jörg
