Problem mit DFSR Standort

[Tom7608 10]

Hallo und ein gesundes neues Jahr!

 

Ich habe immernoch ein Problem mit meiner Serverumgebung, für die ich auch nach langem suchem in Internet keine Lösung finde.

 

Umgebung:

Standort1 - 192.168.8.0/24

Server1: Windows Server 2003 R2, 192.168.8.1 (sowie Adressen 192.168.8.200 - 192.168.8.210 für Routing und RAS), DNS, DC, GC

 

Standort2 - 192.168.9.0/24

Server2: Windows Server 2003 R2, 192.168.8.1 (sowie Adressen 192.168.9.200 - 192.168.9.210 für Routing und RAS), DNS, DC, GC

 

Verbunden sind beide Server durch eine VPN, die von Server zu Server via RRAS von Server1 initiiert wird. Routing und alle AD Funktionen (Replikation und so) laufen in beide Richtungen.

 

Der DNS-Server in jedem Server überwacht nur die lokale Netzwerkkarte auf Änderungen, damit im DNS-Server keine Routing Adressen erscheinen. NSLookup liefert für beide Server nur je die 192.168.x.1.

 

Problem:

Irgendwie wird auf Server1 der Standort vom DFS falsch erkannt.

In der DFS-Verwaltung auf Server2 werden beide Namespaceserver an ihren Standorten gezeigt. Die DFS-Verwaltung auf Server1 zeigt beide Server an Standort2.

 

Wenn ich auf Server1 "dfsutil /sitename:server1" ausführe, erhalte ich Standort2, "dfsutil /sitename:192.168.8.1" ergibt Standort1.

 

Ich vermute, dass die IP-Adresse der VPN-Einwahl etwas damit zu tun hat, kann aber keine Lösung für das Problem finden.

 

Wer kann mir helfen? Ich bin für jeden Lösungsansatz dankbar.

 

Dank im Voraus, Thomas

[Stephan Betken 43]

Hallo Thomas,

 

im RRAS ist in den erweiterten TCP/IP-Einstellungen der Schnittstelle das Registrieren der Adresse im DNS deaktiviert?

[Tom7608 10]

Hallo!

Das Einzige was aktiviert ist, ist das Anhängen des primären und verbindungsspezifischen DNS-Suffixes sowie das der übergordneten Suffixes (Radio Buttons in der Mitte des Fensters).

 

NS-Lookup gibt als IP-Adresse der Server nur die Adressen des LAN wieder. Das habe ich auf beiden DNS-Servern überprüft.

[rt1970 10]

Hast Du es hin bekommen?

Habe das gleiche Problem!

[Tom7608 10]

Hallo!

Nein, so richtig habe ich das Problem noch nicht gelöst. Inzwischen habe mir damit beholfen, die Ordnerziele der unterschiedlichen Server über die IP-Adresse anzusprechen, da dann die Standortzuordnung von den Clients aus scheinbar geht. Also sieht es bei jetzt etwa so aus:

\\domäne.local\DFS\userhome

\\192.168.8.1\userhome$

\\192.168.9.1\userhome$

 

Zurzeit plane ich eine Neuinstallation des getroffenen Servers, aber da dieser Exchange und PKI bereitstellt, ist der Umzug auf ein temporären Server nötig. Wenn ich mit der Aktion durch bin, wird man ja sehen, ob es dann vielleicht läuft.

 

Gruß Thomas

[rt1970 10]

Ich denke, es liegt am AD.

Sieh Dir mal bitte unter der OU, wo Dein Server liegt, bei aktivierten Benutzer, Gruppen und Computer als Container und erweiterten Funktionen, den Ordner NTFRS-Subscription an und vergleiche den mal mit den anderen Servern!

[Tom7608 10]

Hallo!

Also ich kann da keine Unterschiede sehen. Es ist auch nur die SYSVOL Freigabe vorhanden (C:\WINDOWS\SYSVOL\domain).

Im Ornder DFSR-LocalSettings sind Ordner vorhanden, aber diese haben SID-ähnliche Namen. Drin ist je win Objekt msDFRS-Subscription. Ich denke, dass sind die zwei Replikationen, die für zwei Ordner eingerichtet sind.

 

Ich habe zwar mal einen Blick mit ADSIEdit in die Struktur geworfen, aber so gut kenn ich mich mit der ADS nicht aus, dass ich da mit meinem Halbwissen editiere...

 

Gruß, Thomas

[rt1970 10]

Bei mir fehlt z.B. bei einem Server die Replikation im DFSR Ordner und z.T. doppelte Namen. Der 2. Name war nur noch was länger...

Ich erstelle mal ein neues leeres DFS und vergleiche dann mal...

[rt1970 10]

Hast recht!

Es liegt an den VPNs!

Der, der sich zuletzt einwählt, ist dann der Standort :(

"nbtstat -a Server01" bestätigt das:

VPN-DC02:

Knoten-IP-Adresse: [192.168.114.15] Bereichskennung: []

 

NetBIOS-Namentabelle des Remotecomputers

 

Name Typ Status

---------------------------------------------

DC01 <00> EINDEUTIG Registriert

DOMAIN <00> GRUPPE Registriert

DOMAIN <1C> GRUPPE Registriert

DC01 <20> EINDEUTIG Registriert

DOMAIN <1E> GRUPPE Registriert

 

MAC Adresse = 00-53-45-00-00-00

[rt1970 10]

Frag sich nur, ob es Einfluß auf die Replikation hat, denn auf den Clients wird es korrekt aufgelöst!

dfsutil.exe /sitename:DC01

[rt1970 10]

Hast Du das mal versucht?

Zum Konfigurieren von DFS mit vollständig qualifizierten Domänennamen in Verweise auf

Umstellung DFS mit DNS.

Bin mir aber nicht sicher, ob das auch für DFS-R gilt :(

[rt1970 10]

Sind wir auf dem Holzweg?

 

http://www.microsoft.com/germany/technet/datenbank/articles/456746.mspx

 

Anmerkung: Die DFS-Standortauswahl wird ignoriert, wenn DFS-Verknüpfungen auf Server verweisen, die sich an mehr als einem Active Directory-Standort befinden. Diese Situation kann unter folgenden Bedingungen eintreten:

 

• Ein Benutzer greift auf den DFS-Stamm bzw. die DFS-Verknüpfung über die Konsole eines DFS-Servers zu.

 

• Ein Benutzer greift auf den DFS-Stamm bzw. die DFS-Verknüpfung über eine Terminaldienstesitzung auf einem terminaldienstefähigen DFS-Server zu.

 

Weitere Informationen hierzu fnden Sie im Artikel Q274411, "Console and Terminal Services Access to DFS Share Ignores Site Preference" (englischsprachig), in der Microsoft Knowledge Base.

 

Ich greife via RDP auf die Server zu...

[rt1970 10]

ALSO hier die Lösung:

Für VPNs NICHT den internen DHCP benutzen, sondern einen völlig anderen Bereich definieren!

Schon stimmen die Standorte wieder!

Jetzt "meckert" nur noch der ISA, dass er unbekannte Routen gefunden hat, die keinem Netzwerk zugeordnet werden können.

Betrifft allerdings nur die 192.168.11.255 und die 192.168.12.255 (im definierten DHCP-Bereich der Aussenstellen; jeweils .10 bis .30)

Jemand eine Idee dazu?

Konfig:

2.0 (internes LAN) -> 10.10-30 (DHCP VPN beim ISA) -> 11.10-30 (DHCP RRAS Zweigstelle) -> 5.0 (internes LAN)

Weiterhin können bei der Konfig die VPN-Einwahl-Clients nicht auf den Server zugreifen :confused:

Fazit: Wenn das Eine funktioniert, geht das andere nicht mehr :cry:

[Tom7608 10]

Sorry, dass ich erst jetzt mal wieder zu m Antworten komme.

 

Ich nutze keinen ISA2006, d ich die Interneteinwahl über einen externen Router mache. Nur die VPN zwischen den Standorten läuft direkt über die Server.

 

Wie meinst du das mit den geänderten IP-Bereich für die VPN? Wie sehen dann die Routingtabelle aus? Zur Zeit ist mein einer Server, zwar schon neu aufgesetzt, aber noch nicht wieder im Clientnetzwerk, sodass ich die DFS Zugriffe nicht testen kann.

 

Aber zu einem deiner "älteren" Posts kann ich nur sagen, dass die Standortauflösung an den Clients ganz gut klappte und seit der Verwendung von IP-Adressen für die Verknüpfungen in den DFS-Zielen auch immer der Router am eigenen Standort verwendet wurde. Nur eben die Server untereinander kamen nicht wirklich klar.

Ich lasse zum Beispiel Software auch auf die Server mit DFS verteilen und dann per GPO installieren... Und 50 MB über ne VPN zu mInstallieren holen, wenn sie am Standort auch ist,...??? Nun ja.

 

Am Montag oder Dienstag habe ich meinen Server wieder hier und werde mal testen, wie es sich jetzt ohne VPN-Adressbereich verhält.

 

Gruß, Thomas

[rt1970 10]

Hallo Tom!

Ich benutze den ISA 2004. Router habe ich auch davor für die Interneteinwahl.

Also LAN1-Server1-Router-Internet-Router-Server2-LAN2. VPN zwischen den Servern.

 

Das DFS benutze ich auch für die Softwareverteilung via GPO.

 

Das Problem mit den Standorten hatte ich auch: die Clients kennen den richtigen Standort, nur die Server ordneten sich selbst an einen anderen Standort ein.

IP: Du kannst doch RRAS bzw. ISA sagen, dass der den schon vorhandenen DHCP fürs LAN für VPN-Clients benutzen soll oder einen eigenen Bereich. Dort habe ein völlig anderes Subnetz zugewiesen. Somit kann DFS "nichts damit anfangen", da diese Bereiche bei keinem Standort definiert sind.

Weiterhin hatte ich einige alte Einträge im Active Directory, die ich als Fehler über die Diagnose des DFS heraus bekam.