@Como 10 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 Hallo, wir setzen hier mehrere DC's in verschiedenen Sites ein. Ich frag mich manchmal, welcher DC übernimmt wann und aus welchem Grund die Authentifizierung. Denke mal, erst einer auf der gleichen Site ? Was aber wenn dort 2 DC's sind ?! Vielleicht kann mir das einer mal kurz erklären. Vielen Dank schonmal Jo Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 Servus, Denke mal, erst einer auf der gleichen Site ? genau so ist es. Was aber wenn dort 2 DC's sind ?! Ganz nach dem Motto: Wer zuerst kommt, malt zuerst. Bei der Authentifizierung ist das DNS und das Desgin im Snap-In "Active Directory-Standorte und -Dienste" entscheidend. Es kann/sollte für jeden physikalischen Standort, ein Standort im AD mit samt dem Subnetz erstellt werden, wobei sich jeder DC an dem seinem AD-Standort befinden sollte. Denn der Client fragt im DNS nach, welche DCs es gibt. Er erhält eine Liste aus der DNS-Antwort und geht diese durch, um einen DC zu finden der online ist und auch funktioniert. Dabei nimmt er bevorzugt einen DC aus seinem Standort. Die DNS-Abfrage die der Client in diesem Moment stellt, wäre: _ldap._tcp.<Standort>._sites.dc._msdcs.<Domäne>.<TLD>. Erst wenn er bei dieser Anfrage keine Antwort erhält, fragt er nach einem DC diesmal aus seiner DOMÄNE nach. Die Abfrage lautet: _ldap._tcp.dc._msdcs.<Domäne>.<TLD>. Die Clients sollten natürlich ihren DNS-Server vor Ort in den TCP/IP-Einstellungen eingetragen haben, sei es statisch oder per DHCP. Daher muss auch sichergestellt werden, dass im DNS sich die DCs mit ihren SRV-Records für ihren Standort eingetragen haben. Dabei ist ein Blick in "_tcp.Standort.DC._MSDCS.Domäne.TLD" zu werfen. Siehe auch: Yusuf`s Directory - Blog - Domänencontroller am Standort Man kann zwar auch noch im DNS an der Priorität und Gewichtung eines DCs drehen damit ein DC bevorzugt authentifiziert, davon rate ich aber ab. Zitieren Link zu diesem Kommentar
@Como 10 Geschrieben 16. April 2008 Autor Melden Teilen Geschrieben 16. April 2008 Danke, hast mir sehr geholfen und meine bisherige Vorstellung bestätigt. Jo Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 ...als kleine Ergänzung: Eine gute Möglichkeit, um einen Einstieg in das Thema zu bekommen und das ganze ein wenig "plastisch" zu verfolgen ist, wenn Du einen Netzwerktrace vom Boot-Vorgang eines Clients ziehst. Dort filterst Du nach DNS Abfragen und kannst den Ablauf recht gut nachverfolgen. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.