Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active Directory - Windows 2008 R2 - Windows 7 Enterprise - Anmeldeserver in SITES

Frage Microsoft Windows Server

Mitglied: chrisale

chrisale (Level 1) - Jetzt verbinden

25.08.2014, aktualisiert 16.09.2014, 2331 Aufrufe, 9 Kommentare

Hallo Community,

ich habe ein recht komplexes Anliegen, darum hier ein paar Basics:

- Windows 2008 R2 Active Directory Umgebung
- ca. 20 Sites mit Subnetzen konfiguriert und jeder dieser Sites hat einen read only Domain Controller.
- Die "Haupt-Site" hat 2 "normale" DCs und die Konfiguration ist so, dass sich die RO-DCs immer von diesen beiden replizieren sollen.

Die Sache ist nun die:

Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem ganz anderen Netz suchen als in der Site in der sich der Client befindet was natürlich ewige Anmeldezeiten mit sich bringt, da die WAN Strecken nicht überall sehr performant sind.

Gibt es nun die Möglichkeit, abgesehen von den Sites (wovon wir glauben, dass wir sie richtig konfiguriert haben, aber wir sind da für Tips offen ;) ) eventuell per GPO den Client zu zwingen, den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?

Ich hoffe es ist halbwegs verständlich und es kann uns hier jemand helfen!!!

Vielen Dank!!!!!

Liebe Grüße
Christoph
Mitglied: Pjordorf
25.08.2014 um 14:45 Uhr
Hallo,

Zitat von chrisale:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem
Dir ist schon klar das immer der am Schnellsten antwortende DC dies macht, oder? Warum also macht ein DC aus einen ganz anderen Subnetz die Authentifizierung, ist der eigene RODC etwa zu langsam beim Antworten oder wird er gar nicht erst gefragt? Dein Kabelhai sollte dir da helfen.

(wovon wir glauben,
Verschafft euch Gewissheit, kauft jemand ein der dies Beantworten kann.

Und auch dein Netzdesign oder dein Routing sollte hier betrachtet werden warum .....

Gruß,
Peter
Bitte warten ..
Mitglied: chrisale
25.08.2014 um 14:52 Uhr
yes, danke für die Antwort ...

Gibt es nun die Möglichkeit per GPO den Client zu zwingen den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?

Unabhängig vom Rest.....
Bitte warten ..
Mitglied: psannz
LÖSUNG 25.08.2014, aktualisiert 16.09.2014
Sers,

wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?

Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
Schreibbare DCs oder DNS müssen im Subnetz nicht eingetragen sein. Der RODC leitet schon selbstständig passend um/weiter bzw. teilt dem Client einen beschreibbaren DNS Servernamen mit.

Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.

Klar muss natürlich sein dass wenn nur ein RODC in der Site steht und der ausfällt dann gar keine Authentifizierung mehr möglich ist. Zumindest bis eingegriffen wurde.

Technet: RODC Technical Reference Topics

Grüße,
Philip
Bitte warten ..
Mitglied: chrisale
25.08.2014 um 15:12 Uhr
hi, danke für deine antwort

wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?

DNS Einträge sehen unserer Meinung nach gut aus. Bei jeder Site ist unter _tcp jeweils der _kerberos und der _ldap eintrag vorhanden mit dem RODC von der Site mit Priorität 0 (0 ist höchste, richtig?)

Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.

bei den DNS Einträgen zu den Sites ist immer nur der RODC von der Site in diesem Subnetz eingetragen bzw. an der Hauptsite eben die beiden beschreibbaren DC

Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.

Replizierung und FRS sind konfiguriert und aktiv.

lg
chris
Bitte warten ..
Mitglied: psannz
LÖSUNG 25.08.2014, aktualisiert 16.09.2014
Ok, das hört sich doch gut an.

Zur Sicherheit: Die Clients am Standort bekommen die lokalen RODC als DNS (via DHCP) zugewiesen?
Eventuell noch WINS aktiv (und den Clients bekannt) die hier dazwischen funken könnten?

Die RODC haben alle den GC?

:edit: DCdiag hat dir keine Fehler ausgespuckt, richtig?
Bitte warten ..
Mitglied: chrisale
25.08.2014 um 16:28 Uhr
hi.

ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie einen anderen.

WINS ist nicht aktiv, nein. Haben wir schon gecheckt.

Und ja, die RODC haben alle den global catalog.
Bitte warten ..
Mitglied: psannz
LÖSUNG 25.08.2014, aktualisiert 16.09.2014
Zitat von chrisale:

hi.

ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie
einen anderen.


Problem erkannt?

Das wäre schon mal ein Punkt.

:edit:
Was auch nicht unterschätzt werden darf: Während einer Logon Session ändert sich für den Client der Logon Server (%LogonServer%) nicht. Sprich, wenn der RODC die jeweiligen Credentials für die Anmeldung nicht gecached hat, dann wird der Client sich so lange gegen den DC an den er weitergeleitet wurde authentifizieren bis es zur Abmeldung kommt. Beim nächsten Logon kennt der RODC dann die Creds und kann zur Auth genutzt werden, sprich es geht wieder flott.
Bitte warten ..
Mitglied: chrisale
26.08.2014 um 08:30 Uhr
würde jetzt nicht sagen, dass das ein problem ist.

der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
Bitte warten ..
Mitglied: psannz
LÖSUNG 26.08.2014, aktualisiert 16.09.2014
Zitat von chrisale:

würde jetzt nicht sagen, dass das ein problem ist.

der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht
ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"

Der Primäre DNS Server hat 1 (eine) Sekunde um die Anfrage zu bearbeiten. Danach kommt der zweite dran.

Bedenke dabei dass der RODC-DNS keine SoA Anmeldungen durchführen kann, und diese an einen schreibbaren AD-NS verweisen wird. Was auf einer WAN Leitung je nach Auslastung von Leitung und Servern durchaus mehr als 1s dauern kann.
Zur SoA Anmeldung kommt es z.B. wenn sich der Client im DNS registrieren möchte.

Hintergrund: Technet: How Read Only Domain Controllers and DNS works
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows 2008 R2 Enterprise - Licence -
Frage von hhapfelkuchenWindows Server4 Kommentare

Nutze eine Windows 2008 r2 Enterprise Lizenz auf einem Server. Soviel ich weiss, darf man insgesamt 4 Virtuele Server ...

Windows Server
Windows Server 2012 R2 - Umzug des Active Directory
gelöst Frage von MrFloppyWindows Server9 Kommentare

Hallo Zusammen, wir sollen in der weihnachtsfreien Zeit einen neuen DC bekommen, weil bei der Firmengründung damals der DC ...

Windows 10
Windows 10 und Active Directory
Frage von Herbi1984Windows 105 Kommentare

Hi Zusammen, beim Upgrade wurde der Client fürs AD nicht übernommen. Sprich wenn ich jetzt auf die Gruppenrichtlinien unserer ...

Windows Installation
Upgrade von Windows Enterprise auf Windows 7 Enterprise
gelöst Frage von isostarWindows Installation9 Kommentare

Hallo Zusammen, habe folgende Fragen zum oben genannten Thema A) ist es möglich ein Upgrade durchzuführen ohne Daten und ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...