Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Neuer DC in bestehende Domäne (FSMO Frage)

Frage Microsoft Windows Server

Mitglied: gilldex

gilldex (Level 1) - Jetzt verbinden

02.07.2010 um 11:20 Uhr, 6557 Aufrufe, 6 Kommentare

Hallo zusammen,

ich habe einen neuen Job in einem mittleren Unternehmen angefangen, welches ca. 180 Clients aufweist.
Als Domänencontroller haben wir 2 x Win 2008 Server im Einsatz.

Jetzt ist allerdings der Betriebsmaster (der leider alle FSMO Rollen hatte) ausgefallen und wird in der Form nie mehr ans Netz gehen.
Die Anmeldungen und Gruppenrichtlinien laufen noch über den zweiten DC.
Ich möchte nun den einen neuen DC erstellen und diesen wieder als Betriebsmaster einsetzen. Anschliessend, wenn ich wieder etwas mehr Zeit habe, ist mein Plan dass ich die FSMO Rollen auf 3 DC's verteile.

Nun meine Frage:

Sollte ich die FSMO Rollen auf den zweiten DC im Moment zwanghaft übernehmen und anschliessend wenn der zukünftige Betriebsmaster wieder online ist, die Rollen wieder übernehmen?
Oder was passiert wenn ich die Rollen vorher nicht dem zweiten DC zuordne und einfach den neuen Server in die Domäne einbinde, wird dieser die FSMO Rollen übernehmen?

Wie sieht da die korrekte vorgehensweise aus?

Vielen Dank für eure Hilfe.
Mitglied: 2hard4you
02.07.2010 um 11:23 Uhr
Moin,


der 2. DC muß die Rollen halten, sonst gibt es keine Kerberostickets etc. mehr - danach kannste noch nen DC hinzufügen und neu verteilen.

Gruß

24
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
02.07.2010 um 11:42 Uhr
Moin,

Zitat von 2hard4you:
der 2. DC muß die Rollen halten, sonst gibt es keine Kerberostickets etc. mehr

aha... das ist ja was ganz neues was ich erfahre. Und ich dachte all die Jahre immer, dass die FSMO-Rollen mit der Benutzerauthentisierung rein garnichts zu tun haben
und es für das Ausstellen der Tickets, der KDC (Key Distribution Center) der standardmäßig auf jedem DC läuft zuständig ist und mit den FSMO-Rollen überhaupt nichts zu tun hat.

Dann lag ich wohl immer falsch.


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
02.07.2010 um 11:48 Uhr
Servus,

Zitat von gilldex:
Jetzt ist allerdings der Betriebsmaster (der leider alle FSMO Rollen hatte) ausgefallen und wird in der Form nie mehr ans Netz
gehen.

wenn der DC nicht ordnungsgemäß mit DCPROMO heruntergestuft werden konnte, solltest du den DC zwingend aus den Metadaten des AD entfernen.
Wie das geht, steht hier:

[LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...

Ich möchte nun den einen neuen DC erstellen und diesen wieder als Betriebsmaster einsetzen. Anschliessend, wenn ich wieder
etwas mehr Zeit habe, ist mein Plan dass ich die FSMO Rollen auf 3 DC's verteile.

Kannst du zwar machen, aber in den meisten Umgebungen ist es sinnvoll alle Rollen auf EINEM DC zu belassen.

Sollte ich die FSMO Rollen auf den zweiten DC im Moment zwanghaft übernehmen und anschliessend wenn der zukünftige
Betriebsmaster wieder online ist, die Rollen wieder übernehmen?

Wann installierst du denn den neuen DC? Ein paar (wenige) Tage kommt eine Domäne auch wunderbar ohne die FSMO-Rollen aus.
Spätestens wenn der DC keine RIDs mehr hat und somit keine neuen Objekte mehr erstellt werden können, wirds höchste Zeit die Rollen auf einen DC zu "seizen".

[LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx

Oder was passiert wenn ich die Rollen vorher nicht dem zweiten DC zuordne und einfach den neuen Server in die Domäne
einbinde, wird dieser die FSMO Rollen übernehmen?

Wenn du das zeitnah durchfühst, sollte nichts passieren. Du kannst dann die Rollen direkt dem dritten DC zuordnen.
Warum eigentlich drei DCs?



Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: gilldex
05.07.2010 um 10:59 Uhr
Erstmal möchte ich danke sagen für die guten Antworten.

Das mit den Metadaten wusste ich noch nicht, bei genauerem überlegen macht das aber durchaus Sinn.
Ich werde dann also die Metadaten bereinigen gemäss der Anleitung und anschliessend den neuen DC hinzufügen.

Des weiteren habe ich mich nochmals um das Konzept bemüht und habe mich in das Thema FSMO Rollen nochmals weiter eingelesen. Ich werde es so wie bis jetzt auf 2 DC's beruhen lassen.
Warum 3 DC's? Das war ein Konzept was ich mir von meiner alten Firma gewohnt war. Der Grund dafür? Nun ja, ich arbeite nicht mehr da, aber nachdem was ich gelesen habe ist das eine berechtigte Frage bei dieser Grösser der Struktur.
Ich muss dazu sagen dass ich meine Ausbildung vor kurzem abgeschlossen habe und in den ersten Monaten danach mit vielen Neuerungen konfrontiert wurde. Es ist schon interessant wie verschiedenen einzelne Konzepte doch ausfallen können.

Noch kurz etwas zu dem KDC, laut Microsoft läuft das aber auf jedem Server mit AD installiert:
http://msdn.microsoft.com/en-us/library/aa378170%28VS.85%29.aspx

Es gibt allerdings zwischen den FSMO Rollen und dem KDC den Zusammenhang, dass Kerberos vom Zeitdienst abhängig ist, welcher ja wiederum vom PDC-Emulator abhängig ist. Es könnte dann doch zu Konstellationen kommen, bei welchen es Probleme gibt, wenn man neue Kerberos Tickets "anfordert". Das kann nach meiner Auffassungsgabe aber nur gesehenen wenn ein Zeit Problem vorhanden ist.

Vielen Dank nochmals für eure Hilfe.
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
05.07.2010 um 14:12 Uhr
Zitat von gilldex:
Das mit den Metadaten wusste ich noch nicht, bei genauerem überlegen macht das aber durchaus Sinn.

Das meine ich aber auch.

Ich werde dann also die Metadaten bereinigen gemäss der Anleitung und anschliessend den neuen DC hinzufügen.

Genau.

Des weiteren habe ich mich nochmals um das Konzept bemüht und habe mich in das Thema FSMO Rollen nochmals weiter eingelesen.
Ich werde es so wie bis jetzt auf 2 DC's beruhen lassen.

Kannst du zwar, aber wozu? In einem Netz mit 180 Clients müssen die FSMO-Rollen nicht verteilt werden.
Die Rollen verteilt man eher in größeren Umgebungen wo die Rollen unter Last stehen. Ich der genannten Umgebung ist das keineswegs notwendig.
Aber wenn du die Rollen schon trennst, achte darauf weldhe Rolleb besser zusammen bleiben sollten:

[LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx

Warum 3 DC's? Das war ein Konzept was ich mir von meiner alten Firma gewohnt war. Der Grund dafür?

Naja, mit der Zeit sollte man "neue Erkenntnisse" gewinnen.

nicht mehr da, aber nachdem was ich gelesen habe ist das eine berechtigte Frage bei dieser Grösser der Struktur.

Als "reine" DCs würden in deiner Größe zwei DCs völlig ausreichen. Denn weitere DC kosten mehr Ressourcen und vor allem
ist eine weitere Serverlizenz notwendig und das müsste eben nicht sein.

Es gibt allerdings zwischen den FSMO Rollen und dem KDC den Zusammenhang, dass Kerberos vom Zeitdienst abhängig ist, welcher
ja wiederum vom PDC-Emulator abhängig ist. Es könnte dann doch zu Konstellationen kommen, bei welchen es Probleme gibt,
wenn man neue Kerberos Tickets "anfordert". Das kann nach meiner Auffassungsgabe aber nur gesehenen wenn ein Zeit
Problem vorhanden ist.

Genau, es gibt Probleme mit Kerberos wenn die Zeit mehr als 5 Minuten abweicht. Der PDC-Emulator ist der Zeitgeber für die Domäne und hat schon
Einfluss auf die Zeit und somit auf die Tickets. Aber die Clients müssten dann erstmal mehr als 5 Minuten abweichen.

Die Aussage ist ja, wenn der Rolleninhaber "jetzt" crashen würde, müsste dieser nicht die nächsten 2 Minuten wieder online gehen damit sich die Clients weiterhin anmelden können.
Die Clients können sich weiterhin auch nach dem Crash des Rolleninhabers anmelden. Wenn natürlich der Rolleninhaber zwei Wochen offline wäre, ja dann gäbe es sicherlich Probleme.

Aber ich denke mal wenn der Rolleninaher crasht, leitet man direkt alle weiteren Maßnahmen ein, in dem man entweder einen neuen DC installiert und die Rollen direkt auf den neuen DC "seizet"
oder man übernimmt die Rollen auf einen anderen DC.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: gilldex
05.07.2010 um 16:30 Uhr
Kannst du zwar, aber wozu? In einem Netz mit 180 Clients müssen die FSMO-Rollen nicht verteilt werden.

Entschuldigung, da habe ich mich evtl. falsch ausgedrückt. Ich meinte damit eigentlich dass ich das Konzept mit den 2 DC's so belasse und auch die FSMO Rollen weiterhin auf einem der beiden lasse.

Jetzt ist auf jedenfall klar wie die Sache angegangen wird.

Danke nochmals.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Neuer DC + Ordnerstruktur (12)

Frage von KMUlife zum Thema Windows Server ...

Windows Server
Neuer DC, neue Domain - AD Replizieren (8)

Frage von adrian138 zum Thema Windows Server ...

Windows Server
gelöst Neuer DC mit gleicher IP Adresse (12)

Frage von chb1982 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...