Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active Directory - Windows 2008 R2 - Windows 7 Enterprise - Anmeldeserver in SITES

Frage Microsoft Windows Server

Mitglied: chrisale

chrisale (Level 1) - Jetzt verbinden

25.08.2014, aktualisiert 16.09.2014, 2093 Aufrufe, 9 Kommentare

Hallo Community,

ich habe ein recht komplexes Anliegen, darum hier ein paar Basics:

- Windows 2008 R2 Active Directory Umgebung
- ca. 20 Sites mit Subnetzen konfiguriert und jeder dieser Sites hat einen read only Domain Controller.
- Die "Haupt-Site" hat 2 "normale" DCs und die Konfiguration ist so, dass sich die RO-DCs immer von diesen beiden replizieren sollen.

Die Sache ist nun die:

Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem ganz anderen Netz suchen als in der Site in der sich der Client befindet was natürlich ewige Anmeldezeiten mit sich bringt, da die WAN Strecken nicht überall sehr performant sind.

Gibt es nun die Möglichkeit, abgesehen von den Sites (wovon wir glauben, dass wir sie richtig konfiguriert haben, aber wir sind da für Tips offen ;) ) eventuell per GPO den Client zu zwingen, den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?

Ich hoffe es ist halbwegs verständlich und es kann uns hier jemand helfen!!!

Vielen Dank!!!!!

Liebe Grüße
Christoph
Mitglied: Pjordorf
25.08.2014 um 14:45 Uhr
Hallo,

Zitat von chrisale:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem
Dir ist schon klar das immer der am Schnellsten antwortende DC dies macht, oder? Warum also macht ein DC aus einen ganz anderen Subnetz die Authentifizierung, ist der eigene RODC etwa zu langsam beim Antworten oder wird er gar nicht erst gefragt? Dein Kabelhai sollte dir da helfen.

(wovon wir glauben,
Verschafft euch Gewissheit, kauft jemand ein der dies Beantworten kann.

Und auch dein Netzdesign oder dein Routing sollte hier betrachtet werden warum .....

Gruß,
Peter
Bitte warten ..
Mitglied: chrisale
25.08.2014 um 14:52 Uhr
yes, danke für die Antwort ...

Gibt es nun die Möglichkeit per GPO den Client zu zwingen den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?

Unabhängig vom Rest.....
Bitte warten ..
Mitglied: psannz
LÖSUNG 25.08.2014, aktualisiert 16.09.2014
Sers,

wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?

Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
Schreibbare DCs oder DNS müssen im Subnetz nicht eingetragen sein. Der RODC leitet schon selbstständig passend um/weiter bzw. teilt dem Client einen beschreibbaren DNS Servernamen mit.

Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.

Klar muss natürlich sein dass wenn nur ein RODC in der Site steht und der ausfällt dann gar keine Authentifizierung mehr möglich ist. Zumindest bis eingegriffen wurde.

Technet: RODC Technical Reference Topics

Grüße,
Philip
Bitte warten ..
Mitglied: chrisale
25.08.2014 um 15:12 Uhr
hi, danke für deine antwort

wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?

DNS Einträge sehen unserer Meinung nach gut aus. Bei jeder Site ist unter _tcp jeweils der _kerberos und der _ldap eintrag vorhanden mit dem RODC von der Site mit Priorität 0 (0 ist höchste, richtig?)

Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.

bei den DNS Einträgen zu den Sites ist immer nur der RODC von der Site in diesem Subnetz eingetragen bzw. an der Hauptsite eben die beiden beschreibbaren DC

Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.

Replizierung und FRS sind konfiguriert und aktiv.

lg
chris
Bitte warten ..
Mitglied: psannz
LÖSUNG 25.08.2014, aktualisiert 16.09.2014
Ok, das hört sich doch gut an.

Zur Sicherheit: Die Clients am Standort bekommen die lokalen RODC als DNS (via DHCP) zugewiesen?
Eventuell noch WINS aktiv (und den Clients bekannt) die hier dazwischen funken könnten?

Die RODC haben alle den GC?

:edit: DCdiag hat dir keine Fehler ausgespuckt, richtig?
Bitte warten ..
Mitglied: chrisale
25.08.2014 um 16:28 Uhr
hi.

ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie einen anderen.

WINS ist nicht aktiv, nein. Haben wir schon gecheckt.

Und ja, die RODC haben alle den global catalog.
Bitte warten ..
Mitglied: psannz
LÖSUNG 25.08.2014, aktualisiert 16.09.2014
Zitat von chrisale:

hi.

ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie
einen anderen.


Problem erkannt?

Das wäre schon mal ein Punkt.

:edit:
Was auch nicht unterschätzt werden darf: Während einer Logon Session ändert sich für den Client der Logon Server (%LogonServer%) nicht. Sprich, wenn der RODC die jeweiligen Credentials für die Anmeldung nicht gecached hat, dann wird der Client sich so lange gegen den DC an den er weitergeleitet wurde authentifizieren bis es zur Abmeldung kommt. Beim nächsten Logon kennt der RODC dann die Creds und kann zur Auth genutzt werden, sprich es geht wieder flott.
Bitte warten ..
Mitglied: chrisale
26.08.2014 um 08:30 Uhr
würde jetzt nicht sagen, dass das ein problem ist.

der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
Bitte warten ..
Mitglied: psannz
LÖSUNG 26.08.2014, aktualisiert 16.09.2014
Zitat von chrisale:

würde jetzt nicht sagen, dass das ein problem ist.

der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht
ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"

Der Primäre DNS Server hat 1 (eine) Sekunde um die Anfrage zu bearbeiten. Danach kommt der zweite dran.

Bedenke dabei dass der RODC-DNS keine SoA Anmeldungen durchführen kann, und diese an einen schreibbaren AD-NS verweisen wird. Was auf einer WAN Leitung je nach Auslastung von Leitung und Servern durchaus mehr als 1s dauern kann.
Zur SoA Anmeldung kommt es z.B. wenn sich der Client im DNS registrieren möchte.

Hintergrund: Technet: How Read Only Domain Controllers and DNS works
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Oracle ODBC Treiber in Windows 2008 R2 (3)

Frage von kschi12 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 Backup Domaincontroller als Primary DC heraufstufen (2)

Frage von adrian138 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 RODC zum DC machen (4)

Frage von derLenhart zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...