Logonserver anpassen über GPO (SRV-Einträge)

[Pat1802 10]

Hallo,

 

ich habe das Problem, dass in unseren Tochtergesellschaften der Anmeldevorgang teils sehr lange dauert. Wir nutzen dort RODC´s vor ORT.

Wenn ich mir den Logonserver nach der Anmeldung anschaue, dann wird oft der Client an einem DC hier bei uns angemeldet.

Kennwortreplikationrichtlinie ist eingerichtet denn ab und zu klappt es auch, dass der User an einem DC dort in der TG authentifizieren kann.

Was ich nun mal gelesen habe ist, dass man über GPO´s die SRV-Einträge in den Sites beeinflussen kann. Ich habe nun für eine TG eine neue OU für den DC eingerichtet und dort eine neue Policy:

Unter Computerkonfiguration > Administrative Vorlagen > System > Netzwerkanmeldung > Domänencontrollerlocator-DNS-Einträge habe ich folgende Einstellungen gemacht:

- Automatisierte Standortabdeckung durch DC-Locater-DNS-SRV Einträge > Deaktiviert

 

- Standorte, die durch DC-Locator-DNS-SRV-Einträge abgedeckt werden > Aktiviert

 

- Standorte, die durch GC-Locator-DNS-SRV-Einträge abgedeckt werden > Aktiviert

 

In den beiden letzten Punkten dann jeweils den DC eingetragen der für diese Site in Frage kommt.

 

Dadurch sollen dann die anderen SRV-Einträge, von unseren DC´s hier bei uns, verschwinden, so dass nur noch der DC in der TG zur Anmeldung herangezogen wird, aber das funktioniert leider nicht. Die anderen SRV-Einträge bleiben vorhanden.

 

Wer kann mir da helfen?

 

Gruß Pat

[olc 18]

Hi,

 

Du solltest eher das Problem beheben, daß sich die Clients am falschen Standort anmelden, anstatt diese Einzträge fest zu verdrahten. ;)

 

Sind die zentralen DCs unter Umständen noch 2003er DCs (oder ein Teil davon)? Wurde das Kompatibilitäspaket installiert? Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vista

 

Wie sieht die Site-Konfiguration aus - alles korrekt eingerichtet und die Clients im richtigen Subnetz?

 

Viele Grüße

olc

[Pat1802 10]

Hallo,

 

okay, dann werde ich mich mal damit beschäftigen. :D

 

Nur hat ein Kollege es so über GPO´s auf einer Schulung auch mal gezeigt bekommen :confused:

 

Wir haben hier 2 2003er DC´s und einen 2008er DC. Die Clients aus den TG´n loggen sich aber völlig durcheinander an den DC´s an. :(

 

Das Kompatibilitätspaket wurde, soweit ich weiß, nicht installiert. Kann ich das irgendwie prüfen, ob es drauf ist?

 

Siteconfig und Subnetze passen, ja. :)

 

Gruß

Patrick

[Pat1802 10]

Hallo,

 

ich habe mir den Link von dir mal angesehen und genau mein Problem gefunden:

 

--------------------------------

Issue 10

Symptom

Domain controllers that are running Windows Server 2003 perform automatic site coverage for sites that have read-only domain controllers.

Scenario and affected clients

This issue affects domain controllers that provide automatic site coverage for other branch office sites. Typically, this issue occurs in a branch office scenario.

Influence

A domain controller that is running Windows Server 2003 may register its DNS SRV resource records for a site that contains a read-only domain controller. Therefore, the clients may not authenticate as expected with the local read-only domain controller.

Workaround

To work around this issue, use one of the following methods:

 

* Make sure that only domain controllers that are running Windows Server 2008 are present in the site that is closest to the read-only domain controller site.

* Disable automatic site coverage on domain controllers that are running Windows Server 2003.

* Configure the weight or the priority of the DNS SRV records so that clients are more likely to authenticate with the read-only domain controller than with a remote Windows Server 2003 domain controller.

* Use Group Policy settings to configure domain controller locator DNS records.

--------------------------------

 

Zu den Workarounds habe ich einige Fragen:

 

Was ist mit dem ersten Punkt gemeint? Dass dort ein weiterer 2008er in der site sein soll?

 

Wie disable ich die automatic site coverage auf den 2003ern? (per GPO?)

 

Vom 3ten Punkt hat man mir auch schon mal abgeraten. Ich habe es dennoch mal versucht die Gewichtung und Priorität zu ändern, aber nach ein paar Stunden werden neue weitere SRV-Einträge erstellt mit den selben DC´s erstellt wo ich etwas geändert habe.

 

Letzteres Wollte ich ja tun und wurde mir auch von abgeraten.

 

Gruß Patrick

[olc 18]

Hi,

 

Du brauchst einfach nur das Update auf den im KB-Artikel genannten Betriebssystemen installieren, dann sind die Workarounds nicht mehr notwendig. ;)

 

Viele Grüße

olc

[Pat1802 10]

Hallo,

 

das KB ist in Service Pack 3 für Windows XP enthalten und dieses ist in unseren Tochtergesellschaften installiert. Dennoch besteht dieses Problem...... :(

 

Gruß Patrick

[olc 18]

Hi,

 

ok, und auf Euren Windows Server 2003 Systemen ist er auch installiert? Denn die machen die falsche "site coverage".

 

Lesen mußt Du den KB schon vollständig. ;)

 

Viele Grüße

olc

[Pat1802 10]

Guten Morgen,

 

ooops. Ne, da ist das nicht installiert. :D

 

Werden durch das Update denn diese 2003er DC´s aus den sites dort verschwinden wenn die "site coverage" richtig funktioniert?

 

Ist für das Update ein Neustart erforderlich?

 

Gruß Patrick

[Pat1802 10]

Hallo.

 

Noch eine Sache. Unser 2008er DC hier deckt auch einige sites ab in denen die RODC´s stehen. Muss man das "site coverage" dort manuell erst abschalten?

 

Gruß Patrick

[olc 18]

Hi,

 

Werden durch das Update denn diese 2003er DC´s aus den sites dort verschwinden wenn die "site coverage" richtig funktioniert?

 

Die Einträge werden nicht automatisch verschwinden, aber Du kannst die Deregistrierung entweder mittels NLTEST /DSDEREGDS durchführen oder die Einträge werden bei aktiviertem DNS Scavenging automatisch früher oder später entfernt. Ansonsten bleibt die manuelle Variante.

 

Ist für das Update ein Neustart erforderlich?

 

Ganz ehrlich? So langsam fängt es an mich zu ärgern... :suspect:

Der Artikel sagt ganz klar und deutlich:

 

Restart requirement

You must restart the computer after you apply this hotfix.

 

Noch eine Sache. Unser 2008er DC hier deckt auch einige sites ab in denen die RODC´s stehen. Muss man das "site coverage" dort manuell erst abschalten?

 

Nein, meines Wissens nicht. Sind das vielleicht noch alte Einträge, weil etwa das DNS Scavenging nicht aktiviert ist?

 

Viele Grüße

olc

[Pat1802 10]

Guten Morgen,

 

alles super :D Das Update hat es gebracht. Unter "dc" in den sites sind nun alle anderen DC´s verschwunden.

 

Ja, sorry für die Frage. Die war schnelle getippt als ich gelesen hatte :(

 

Unter "gc" steht allerdings in den sites noch einer von unseren zwei 2003ern mit drin. Warum ist der dort geblieben?

Der GC der dort noch mit eingetragen ist auch unser zweiter GC hier neben dem 2008er. Der andere 2003er ist kein GC.

 

Gruß Patrick

bearbeitet 29. Januar 2010 von Pat1802
Ergänzung

[olc 18]

Hi,

 

ok, jetzt anworte ich in diesem Thread das letzt mal mit der Empfehlung, meine letzten Beiträge noch einmal zu lesen. :rolleyes:

Ich habe darin alles schon beantwortet. Stichwort NLTEST /DSDEREGDNS oder manuelle Löschung. Lesen bzw. verstehen mußt Du es wirklich selbst.

 

Viele Grüße

olc

[Pat1802 10]

Ich habe es gelesen und ich weiß wie ich es bereinige. Ich fragte mich warum es im dc Bereich automatisch funktioniert hat und im gc nicht.

 

Aber keine Panik ich möchte jetzt auch keine Antwort mehr von dir darauf haben.