Pat1802 10 Geschrieben 28. April 2009 Autor Melden Teilen Geschrieben 28. April 2009 Hallo, so folgendes hat mir geholfen. Im AD-User und Computer habe ich in den Eigenschaften vom DC hier am Standort unter dem Reiter Kennwortreplikationsrichtlinie in den erweiterten Eigenschaften vom Punkt Zulässige RODC-Kennwortreplikationsgruppe die Client-PC´s aus dem Standort eingetragen und danach war der Logonserver der hier am Standort. Also muss man den RODC´s erst sagen wer sich an ihm authentifizieren darf. Deshalb hat er wohl immer einen DC aus Deutschland genommen, weil er das da ja auf jeden Fall durfte. Hoffe ich habe das richtig verstanden. Gruß Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.114 Geschrieben 28. April 2009 Melden Teilen Geschrieben 28. April 2009 Schön, dass es jetzt funktioniert, aber von RODC schreibst du erst nach der Lösung. :rolleyes: Bye Norbert Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 28. April 2009 Melden Teilen Geschrieben 28. April 2009 Im AD-User und Computer habe ich in den Eigenschaften vom DC hier am Standort unter dem Reiter Kennwortreplikationsrichtlinie in den erweiterten Eigenschaften vom Punkt Zulässige RODC-Kennwortreplikationsgruppe die Client-PC´s aus dem Standort eingetragen und danach war der Logonserver der hier am Standort. Auhaa... Sag` bloß es handelt sich bei dem DC in Polen um einen RODC? Und solch eine wichtige elementare Information verschweigst du uns? Also muss man den RODC´s erst sagen wer sich an ihm authentifizieren darf. Na klar, denn der RODC hat standardmäßig weder die Benutzer- noch Computerkennwörter. Diese müssen in der zulässigen RODC-Kennwortreplikationsgruppe hinzugefügt werden, erst dann kann der RODC die Clients eigenständig authentifizieren. Ohne die Kennwörter leitet der RODC die Anfragen zu einem beschreibbaren Windows Server 2008 DC weiter. Wenn sich nun ein Benutzer gegenüber einem RODC authentifizieren möchte, überprüft der RODC ob er das Kennwort des Benutzerkontos (samt des Computerkontokennworts) vorliegen hat. Falls das nicht der Fall ist, leitet er diese Anmelde-Anfrage an einen beschreibbaren Windows Server 2008 DC weiter und erhält von diesem dann ein Kerberos-Ticket. Danach stellt der RODC dem Benutzer ein eigenes Kerberos-Ticket aus. Zeitgleich stellt der RODC eine Replikationsanforderung nach dem Kennwort des Benutzers (sowie Clients) an einen beschreibbaren DC. Der beschreibbare DC überprüft dann, ob der RODC dazu die Berechtigung hat und repliziert ggf. das Kennwort-Hash zum RODC. Yusufs Directory Blog - Read-Only Domain Controller (RODC) Deshalb hat er wohl immer einen DC aus Deutschland genommen, weil er das da ja auf jeden Fall durfte. Genau so ist es und bitte gib beim nächsten Mal solche wichtigen Details gleich mit an. :( Zitieren Link zu diesem Kommentar
Pat1802 10 Geschrieben 28. April 2009 Autor Melden Teilen Geschrieben 28. April 2009 Sorry, sorry, sorry. :-( Wie gesagt, bin ich da noch nicht ganz lange dabei. Trotzdem danke für die großartige Hilfe hier. Da habe ich wieder ne Menge bei gelernt. Beschämte Grüße Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.114 Geschrieben 28. April 2009 Melden Teilen Geschrieben 28. April 2009 Off-Topic:Also wenn, dann beschämte, oder willst du uns auch noch beschämen? ;) ByeNorbert Zitieren Link zu diesem Kommentar
ingo.O 10 Geschrieben 28. April 2009 Melden Teilen Geschrieben 28. April 2009 Also wirklich mal ein sehr toller Threat:p Habe sehr gespannt gelesen und auf den Fehler gespannt, dann diese Poente. Wahnsinn, das erleichtert mir den Tag im Büro:) Zitieren Link zu diesem Kommentar
Pat1802 10 Geschrieben 28. April 2009 Autor Melden Teilen Geschrieben 28. April 2009 Bitte. Bitte !!! Macht euch nur auf meine Kosten lustig :( Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. April 2009 Melden Teilen Geschrieben 28. April 2009 Hi Patrick, nein, mach Dir keine Gedanken. Keiner macht sich lustig. Der einzige "Kritikpunkt" ist die fehlende Information, daß es ein RODC ist. Denn das verändert die Situation maßgeblich, wie die Kollegen ja schon schrieben und Du ja auch selbst schon bemerkt hast. ;) Mit der Information hätte sich das Problem sicher schon frühzeitig lösen lassen - aber gut, woher sollst Du wissen, daß das für uns wichtig gewesen wäre. Beim nächsten Mal einfach "alle" Informationen schreiben, die Du so auf dem Schirm hast. ;) Einen Hinweis noch dazu: Mindestens ein anderer Windows Server 2003 DC wird sich auch weiterhin höchstwahrscheinlich in der Site Polen registrieren, was die Ausbeute des "LOGONSERVER" auf den Clients auf 50/50 drückt, den RODC zu erreichen. Daher solltest Du auf den anderen Windows Server 2003 DCs (als auch wegen anderer Sachen auf den Clients) den folgenden Hotfix installieren (siehe "Issue 10"): Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.