Jump to content

Domänenstruktur: Clientanmeldung am falschen DC

asot00

Von asot00
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

asot00

asot00   10

Geschrieben
Geschrieben

Hallo Freunde. Ein Kunde von mir hat folgendes Problem.

 

Netzwerkinfrastruktur:

 

Stammdomäne (Benelux) - Subdomäne (Deutschland)

- Subdomäne (Italien)

 

An den Standorten in Deutschland und Italien ist jeweils ein DC vorhanden.

Die Clients in Deutschland melden sich aber am DC von Benelux an,soll aber an Subdomäne (Deutschland) sein.

 

Die IP Einstellungen und Subnetze scheinen in Ordnung zu sein.

 

Wie kann ich an das Problem jetzt ran gehen?

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Salut,

 

immer und immer wieder - ist das entscheidende an der Authentifizierung das

DNS und dazu kommt noch das Desgin im Snap-In "Active Directory-Standorte und -Dienste".

Existieren für die physikalischen Standorte und die Standorte im AD und wurden diesen das entsprechende Subnetz verknüpft?

 

Die Vorgehensweise wäre folgende:

Der Client fragt im DNS nach, welche DCs es gibt.

Die Liste aus der DNS-Antwort die der Client erhält, geht der Client durch, um einen DC zu finden der funktioniert und online ist.

Bevorzugt nimmt der Client dann einen DC aus seinem Standort.

 

Der Domänencontroller reicht die Clientanfrage an seinen NETLOGON-Prozess durch,

der dann die Client-IP in seiner Subnet to Site Mapping Table nachsieht und dann das treffende Site-Objekt heraussucht.

 

 

Der Netlogon-Prozess übergibt an den DC die folgenden Infos:

 

- Den Namen des Standorts, in der sich der befragte Domänencontroller befindet

- Den Standortnamen, in dem sich der Client befindet

- Ein Flag das anzeigt wird, wenn sich der angefragte DC im gleichen Standort befindet (Bit gesetzt) oder ob der DC ausserhalb des Standortes ist (Bit nicht gesetzt).

 

 

Dieses Informationen werden dann an den Client gesendet, der sich nun diese Informationen näher anschaut:

 

- Wenn sich der Domänencontroller in der gleichen (oder nächstgelegenen) Standort befindet (gesetztes Bit), dann nimmt der Client bevorzugt dieses DC.

- Befindet sich kein Domänencontroller am gleichen Standort (nicht gesetztes Bit), dann weiß der Client, an welchem Standort er sich befindet und stellt erneut eine Anfrage an das DNS nach einem Domänencontroller.

Wird die Anfrage erfolgreich beantwortet, nimmt der Client diesen DC.

 

Der Client der Mitglied in der Domäne ist, setzt in seiner Registry unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters -

den Wert DynamicSiteName mit dem Standort, an dem sich der Client befindet.

Diesen Registry-KEy solltest du mal auf den Clients überprüfen. Steht dieser mit dem richtigen Standort drin?

 

 

Dann wäre noch interessant, ob die Clients "ihre" korrekten IP-Informationen entweder statisch oder per DHCP eingetragen haben.

Was auch noch wichtig ist, welchen DNS-Server benutzen sie?

Ein Blick in das DNS sollte auch geworfen werden, ob sich die DCs mit ihren entsprechenden SRV-Records für den jeweiligen Standort eingetragen haben.

Z.B.: _tcp.Name-der-Site.DC._MSDCS.Domäne.TLD.

 

 

Du kannst dem Client auch durch einen Registry-Eintrag zwigen, sich an einem DC, der sich an seinem Standort befindet, zu authentifizieren.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\<SiteName>.

 

Der Nachteil wäre, dass wenn der Client verschoben werden sollte, erstmal keiner an diesen Reg-Key denkt und zum anderen,

der Client Schwierigkeiten bekommen kann.

 

 

Siehe auch:

Yusuf`s Directory - Blog - Domänencontroller am Standort

Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben
Hallo,

 

da die Unterdomain verschiedene IP Adressen haben, dürfte das eigentlich nicht passieren.

Ansonsten gibt es einen Registry key, ihn zu ändern, wäre aber nicht die elegante Lösung.

 

rakli

bevor man Quark antwortet, bitte lieber gar nichts schreiben.

 

Wie Daim ja schon geschrieben hat, liegt vermutlich unter den Snap_ins "DNS" bzw. "Active Directory-Standorte und -Dienste" des Rätsels Lösung, oder der "deutsche" DC ist von Benelux aus netzwerktechnisch nicht erreichbar.

 

cu

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...