globaler katalog (zusammenfassung)

[e-nepton 10]

Servus,

 

ich würde gerne die Sache mit der Anmeldung bei einem fehlenden GC nochmal kurz ausweiten und mir gerne bestätigen lassen.

 

Sollte der GC der Gesamtstruktur mit mehreren Domänen nicht abgefragt werden können, so kann sich ein Benutzer nicht anmelden -> das soweit ist klar.

 

Was ist aber nun, wenn innerhalb einer Site einer Domäne in einer großen Gesamstruktur mit mehreren Domänen der Domänencontroller mit dem GC ausfällt.

In dieser beispielhaften Site befindet sich nur ein DC (eben mit GC) - in den anderen Sites dieser Domäne laufen noch weitere DCs inkl. GC. Ist nun die Anmeldung über die WAN Leitung hinweg an einem anderen DC einer anderen Site für den Benutzer möglich? Laut Experten unseres Rechenzentrums nicht. Kann mir das jedoch nicht so ganz vorstellen - somit wäre ja die komplette Redundanz des ADs zum Teufel.

 

Würd mich auf Feedback freuen.

 

Grüsse,

Dominik

[marzli2 10]

Servus,

 

ich würde gerne die Sache mit der Anmeldung bei einem fehlenden GC nochmal kurz ausweiten und mir gerne bestätigen lassen.

 

Sollte der GC der Gesamtstruktur mit mehreren Domänen nicht abgefragt werden können, so kann sich ein Benutzer nicht anmelden -> das soweit ist klar.

 

Was ist aber nun, wenn innerhalb einer Site einer Domäne in einer großen Gesamstruktur mit mehreren Domänen der Domänencontroller mit dem GC ausfällt.

In dieser beispielhaften Site befindet sich nur ein DC (eben mit GC) - in den anderen Sites dieser Domäne laufen noch weitere DCs inkl. GC. Ist nun die Anmeldung über die WAN Leitung hinweg an einem anderen DC einer anderen Site für den Benutzer möglich? Laut Experten unseres Rechenzentrums nicht. Kann mir das jedoch nicht so ganz vorstellen - somit wäre ja die komplette Redundanz des ADs zum Teufel.

 

Würd mich auf Feedback freuen.

 

Grüsse,

Dominik

 

 

 

für das was ich bislang zu wissen vermute, würde ich sagen, das geht natürlich. jeder dc in einer domäne ist gleichberechtigt. der anmeldevorgang dauert dann eben länger, aber solange ein gc in einer domäne (mit mehreren sites) ist, funktioniert das auch.

 

lasse mich gerne korrigieren.

 

ps: ich glaube, man kann auch usern das recht zur lokalen anmeldung geben, dann gehts auch ohne gc (so wie bei admins auch). natürlich nicht praktiabel, aber geht, oder?

[e-nepton 10]

Ich denke mal sehr schwer, dass es so sein wird. Alles andere wäre nicht praktikabel. Trotzdem werde ich das ganze mal bei Gelegenheit durchspielen und einen DC einer Site mal mehrere Stunden ausfallen lassen, um zu sehen, ob Anmeldungen darüber hinaus auch möglich sind. Ich würde nochmal Bescheid geben, sollte es wider Erwarten doch anders sein.

 

Zitat marzli2

ps: ich glaube, man kann auch usern das recht zur lokalen anmeldung geben, dann gehts auch ohne gc (so wie bei admins auch). natürlich nicht praktiabel, aber geht, oder?

 

Diese Art von Einstellung ist nur notwendig, um sich beispielsweise an einem Domänencontroller oder Mitgliedssever mit einem Nicht-Administrator anmelden zu können. Aber eher mit vorsichtig zu genießen....

Ausführlicher Artikel dazu unter folgendem Link:

MS Artikel Q823659

[Daim 12]

Was ist aber nun, wenn innerhalb einer Site einer Domäne in einer großen Gesamstruktur mit mehreren Domänen der Domänencontroller mit dem GC ausfällt.

In dieser beispielhaften Site befindet sich nur ein DC (eben mit GC) - in den anderen Sites dieser Domäne laufen noch weitere DCs inkl. GC. Ist nun die Anmeldung über die WAN Leitung hinweg an einem anderen DC einer anderen Site für den Benutzer möglich?

 

Ja, dass ist "by Design" so.

 

Laut Experten unseres Rechenzentrums nicht.

 

Sie irren sich.

 

Bei der Authentifizierung ist das DNS und das Desgin im Snap-In "Active Directory-Standorte und -Dienste" entscheidend. Denn der Client fragt im DNS nach, welche DCs es gibt. Er erhält eine Liste aus der DNS-Antwort und geht diese durch, um einen DC zu finden der online ist und auch funktioniert.

 

Dabei nimmt er bevorzugt einen DC aus seinem Standort. Die DNS-Abfrage die der Client in diesem Moment stellt, wäre:

_ldap._tcp.<Standort>._sites.dc._msdcs.<Domäne>.<TLD>.

 

Erst wenn er bei dieser Anfrage keine Antwort erhält, fragt der Client nach einem DC diesmal aus seiner DOMÄNE nach. Die Abfrage lautet:

_ldap._tcp.dc._msdcs.<Domäne>.<TLD>.

 

Die Clients sollten natürlich ihren DNS-Server vor Ort (und einen sekundären) in den TCP/IP-Einstellungen eingetragen haben, sei es statisch oder per DHCP. Es ollte im DNS geprüft werden, ob sich die DCs mit ihren SRV-Records für ihren Standort eingetragen haben. Dabei ist ein Blick in

"_tcp.Standort.DC._MSDCS.Domäne.TLD" zu werfen.

 

Es sollte darauf geachtet werden im AD auch Standorte einzurichten, in den vor Ort kein DC steht. Dort sollte auch alles soweit konfiguriert werden (Subnetze erstellen und diese mit dem jeweiligen Standort verknüpfen, Kosten einstellen). Denn dann nimmt sich ein DC aus einem anderen Standort der dem "DC losen" Standort am nächsten ist (wichtig dabei sind die Kosten der

Standortverknüpfungen), trägt sich im DNS als DC für diesen Standort

ein.

 

Dei Technik die dabei zum Einstz kommt bzw. die das ermöglicht, lautet Automatic Site Coverage.

 

Siehe auch:

Yusuf`s Directory - Blog - Domänencontroller am Standort

[AmericanJesus 10]

Danke *BUSSI*

 

 

Ähm? ;-)

[ingo.O 10]

hallo in die runde,

also was ich dazu mal erwähnen möchte ist eine empfehlung an den bloq von daim! der ist echt sehr gut und vorallem auch mal die recht wichtigen, aber meist verschwiegenen masterfunktionen. aber auch der rest ist sehr gut und vorallem verständlich geschrieben