goat82

Wenn du ein normaler Scope mit 256 Adressen hast und ein LB dann wären 50 50 ja jeweils 128 Adressen. Ich denke das sollte bei jedem KMU schnell erreicht sein. Wenn ein Pool im 50 50 LB Betrieb erschöpft ist und der 2. DHCP offline ist, dann stellt der DHCP seine Arbeit ein. So konnte ich es jedenfalls feststellen. Darum möchte ich in den Hotstandbye wechseln. Überschreibt die markierte Option "Maximum Client lead time, die Lease time im Scope und gilt nur, wenn der Hotstandbye einspringt ? Das würde so für mich Sinn machen. Denn so kann, wenn der Primäre DHCP wierder online ist schnell wieder übernehmen. Die Option "State switchover intervall" sagt dann vermutlich aus, wann wieder auf den ausgefallenen Server zurückgewechselt werden soll, vermute ich mal. Passt das so ? Sorry aber hier fehlen mir die Erfahrungswerte.

Kann mir jemand erklären wie es mit den 2 Feldern aussieht, wenn man den Hot Standby aktiviert?

Ein Server braucht unter Last mehr als 50% der zugewiesen Adressen und ist mit 505 50% so in der LB Einstellung nicht alleine zuverlässig lauffähig. Mt Hot Stand Bye kann ein Server alles halten und beliebig bei Windowsupdates usw. herunterfahren. Wir haben somit weniger Administrationsaufwand und Abhängigkeiten und dennoch eine Ausfallssicherheit.

Hallo Zusammen, weiß jemand ob es eine DHCP Downtime gibt, wenn man von einem DHCP LB auf Hot Standyby umstellt ? Es sind ca. 700 IPs 50% 50% vergeben. Die Provisorischen 5% bei "adresses reserved for standby server" müssten dann doch auf 100% gestellt werden oder ? Wenn der aktive DHCP Server ausfällt soll der Hot Standybe ja mit 100% einspringen oder habe ich einen Denkfehler ? Weiß jemand ob die State Switch Option die Funktion ist wo hier z.B. alle 60 Min geschaut wird ob der offline gegangene Master wieder online ist ? Macht für mich als einigestes Sinn. Sorry hatte bisher nie mit DHCP Failover das Verknügen, da bisher immer einer ausgereicht hatte. Was ist die Option Maximum Client lead time? Ich würde sagen das ist die Lead Time für den eingesprungenen Server. Dieser hat dann zwar deutlich mehr Last weil ja alle 60 min die Adressen erneuert werden, dafür gehen die Leases auf den aktiven DHCP wieder schneller über, denn hier ist ja in der Regel eine längere Lease von mehreren tagen eingestellt. LG Goat

Ok verstanden, vielen Dank. Was ist aber auf einem RO DC ?

Ok. Mit lokal anmelden meinst du da einfach an der Domaine ohne Netzwerk anmelden oder wirklich lokal mit dem Domainenuser über Domaincontrollername\Domainuser. Lokale KOnten gibts ja nicht am DC

Ich glaube ich habe mich falsch ausgedruckt. Das AD hat 1000 Domainuser. Davon haben 10 Domainadminrechte. Es gibt 5 Domaincontroller und 10 RO Domaincontroller. Wenn alle 10 Domainadministratoren in der Protected Usergruppe sind und das Netzwerk wegfällt wie kann man sich dann an den Domaincontroller anmelden ? Es können sich ja nur Domaineadministratoren auf den Domainecomputer anmelden und wenn das Netzwerk weg ist und die Passwörter nicht gecached werden wegen der Protected Usergruppe, wie soll das gehen ? Oder betrifft das ganze mit dem Passwortcache nur RDP Anmeldungen ? Falls ja dann könnte man auch ohne Netzwerk sich am DC über die Console (Idrac oder Vsphere) als Protected User anmelden ?

Wie soll das gehen ? Anstatt Domainadminuser@Domaine.com Domaincontrollername\Domainadminuser ? Falls ja das funktioniert nicht.

Hallo Zusammen, unsere Domainadministratoren sind Mitglieder der Protected Gruppe also können Sie kein NTLM und es werden auch keine Passwörter auf den Server gecached. Lokale Konten gibt es am DC ja nicht. Ist das Netzwerk nun tot, wie kann man sich dann am DC noch anmelden ? Die Administratoren sind Member der AD\Buildin\Administratorengruppe aber das hilft ja wenig wenn die User Member der Protected Usergruppe sind. Habe ich einen Denkfehler ? Aus Sicherheitsgründen haben wir einen einzigen Domainenadmin welcher kein Protected User ist. Hier müsste man aber mal sich alle paar Wochen an den DCs anmelden damit das Kennwort gecacht bleibt und der Zugriff sichergestellt werden kann. Gerne hätte ich hier eine andere Lösung mit 100% Protected User aller Domainenadmins oder zumindest die Gewissheit wie man sich an den DCs anmelden kann wenn kein Netzwerk besteht. Vielen Dank für euren Rat Lg Goat

ja, danke. Leider benötige ich aber die IPs, da die Firewall keine URLs akzeptiert. Wahrscheinlich geht es dann nicht da für * ja sicher hunderte Server hinterlegt sind

Hallo Zusammen, erstmal wünsche ich allen ein schönes, neues Jahr. wir müssen den Internetverkehr aus SIcherheitsgründen extrem einschränken. Gibt es irgendwo eine öffentliche MS Destination Netzwerkliste wo alle MS Updateserver aufgelistet sind welche man in der Firewall eingeben kann ohne das man das Internet vom lokalen Wsus Server nach WAN-any komplett aufzumachen muss ? VIelen Dank für die Info. Goat82

ja \\domain.local\netlogon und \\domain.local\sysvol geht, \\localhost\ und \\locale DC ip\ geht ebenfalls. \\donain.local\ geht aber nicht. Immerhin gibts so einen Workarround, wenn auch die DFS-N Problematik noch besteht. Immerhin geht DFS-N wenn man \\DC\Namespace\ eingibt noch.

Hallo Zusammen, ich habe einige priviligitierten Konten u.a. Domainadminaccounts in der Protected Usergruppe. Funktioniert alles ganz gut, nur wie kann ich den Zugriff auf \\domain.local freigeben ? Probem ist auch das wir viel DFS-N im Pfad \\domain.local\xxx\xxx haben und abrufen bzw. testen müssen und die Domainadmins natürlich auch auf sysvol+Policys drauf sollen. (Geht natürlich auch über C:\Windows\sysvol) und auch DFS-N geht mit jedem anderen User außerhalb der Protected Usergruppe aber der Mensch ist ein Gewohnheitstier) PS: Der Zugriff in der Protectedgroup über \\x.x.x.x funktioniert nur nicht über den DNS Namen. Daher freue ich mich über eine Hilfe wie man \\domain.local innerhalb der Protectedgroup aktivieren kann, falls es geht. Lg Goat

Hallo Zusammen, wir hatten einige Zeit Replikationsprobleme und daraufhin neue DCs installiert. Nun läuft wieder alles rund. Wegen der Optik und Statistik würde ich gerne die Werte unter total und % resetten lassen, damit wieder alles schön aussieht. Ich habe aber leider keinen Befehl hierfür gefunden. Hat mir jemand einen Tipp ? Eine weitere Frage hätte ich zur Replikation bzw. dem Delta. Hier ist überall 2h eingestellt. Sehr oft sehe ich bei Repadmin/replsum aber ein Delta von 2,5h daher vermute ich mal dass alle 2,5- max 3h eine Replikation durchgeführt wird. Kann es sein dass die 2h nicht so genau genommen werden ? Es betrifft hauptsächlich Remotestandorte. Zeit ist überall via NTP und PDC verteilt und sollte kein Problem sein. LG Felix

1. Alle eingetragen User sind Domainuser, keine lokalen User! 2. Das weiß ich nicht. Es sind einige Policys aktiv aber ich dort nicht, wie die Einträge zustande kommen. Wie kann es zu 1. kommen und ist es wirklich kein Problem ? Es sind hier neben Domainadmins auch User gelistet welche auf keinen Fall auf den DC kommen dürfen (auch nicht readonly). Diese User haben keine Domanandminrolle zugeweisen stehen aber auf dem DC in dieser lokalen Accessliste, warum auch immer.