DFS mit RODC

[Thomas Säuberli 11]

Hallo zusammen

 

ich habe eine kleine prinzipielle Frage.

 

Ich habe ein Mutterhaus mit einem Win2008 DC. Zusätzlich gibt es zwei Aussenstellen, welche auch arbeiten müssten, wenn mal die VPN-Verbindung zum Mutterhaus ausfällt.

 

Ich habe auf den Filialen-Servern mal den DC als RODC installiert.

Zusätzlich habe ich DFS und Replikation eines Datenordners eingerichtet.

 

Unterbreche ich nun die Leitung absichtlich passiert folgendes:

 

ich kann mich am RODC nicht mehr als Domain-Admin anmelden (Domäne nicht gefunden).

ich habe keinen Zugriff auf die per DFS freigegebenen Ordner (alle beteiligten Server sind DFS-Nameserver).

 

Wo mache ich den Fehler, oder anders gefragt, ist auf einem RODC überhaupt DFS und Ordnerreplikation möglich?

 

Vielen Dank für Eure Hinweise!

 

Gruss

 

Thomas

[Dukel 451]

Wie ist die DNS Konfiguration des ganzen?

[Thomas Säuberli 11]

DNS auf allen DCs. Erster DNS zeigt immer auf dein eigenen DNS-Server, zweiter DNS auf den DNS des Mutterhauses.

[Dunkelmann 96]

DNS auf allen DCs. Erster DNS zeigt immer auf dein eigenen DNS-Server, zweiter DNS auf den DNS des Mutterhauses.

 

Genau andersrum soll es laut Best Practice Analyzer sein.

1. DNS Server - anderer (schreibbarer) DC

2. DNS Server - 127.0.0.1

 

Zu dem eigentlichen Problem:

Die Credentials administrativer Konten sind per default von der Zwischenspeicherung auf einem RODC ausgenommen.

 

DFS und Namespace Veröffentlichung laufen wunderbar auf einem RODC. Die Active Directory Standorte und Subnetze müssen nur sauber gepflegt sein.

[Necron 71]

Genau andersrum soll es laut Best Practice Analyzer sein.

1. DNS Server - anderer (schreibbarer) DC

2. DNS Server - 127.0.0.1

Noch als Ergänzung: Best Practice ist aber 2. DNS Server - eigene IP-Adresse anstelle der 127.0.0.1. ;)

[Dunkelmann 96]

Noch als Ergänzung: Best Practice ist aber 2. DNS Server - eigene IP-Adresse anstelle der 127.0.0.1. ;)

 

Ab 2008 gibt es anscheinend neue Spielregeln

DNS: DNS servers on <adapter name> should include their own IP addresses on their interface lists of DNS servers

[Dukel 451]

Und wie sieht das mit DNS in der Site aus? Haben die RODC's auch einen DNS Server? Zeigen die Clients auf diesen oder auf der Zentrale?

[Thomas Säuberli 11]

Ich glaube ich habe ein ganz anderes Problem :-(

Ich habe mal kurz den RODC auf einem "Filialen-Server" mit dcpromo (erweitert) eingerichtet, aber mich vorher nicht richtig schlau gemacht. Ich habe nämlich adprep /rodcprep prep nicht ausgeführt. Nachdem ich den Haupt-DC neu gestartet habe (SBS2008) lief so gut wie gar nix mehr... exchange kommt nicht mehr hoch und viele andere Dienste auch nicht mehr!! Es ist zum Heulen. Sonst kommt doch immer eine Meldung, wenn die Domäne noch ein adprep benötigt (z.Bsp. von win2008 auf win2008R2)

... Zum Glück ist es noch nicht das Produktivstem! Ich werde morgen wohl einen Systemrestore ausführen... wenn der Reparaturmodus im Win2008 nur den Raid-Treiber fressen würde!! Da kommt nämlich immer der Hinweis, dass er den Treiber nicht einfügen kann :-(

Ansonsten setze ich halt den ganzen Plunder neu auf... muss ja erst am Montag vor Ort installiert werden...

Oder hat mir jemand einen Tip, wie ich die RODC-Geschichte einfacher rückgänig machen könnte?

[Dunkelmann 96]

Ein SBS 2008 sollte einen RODC 2008 ohne Probleme unterstützen.

Ab Funktionsebene Windows 2003 wird der RODC unterstützt und in diesem Modus läuft der SBS.

 

Mit etwas Glück kannst Die den RODC mit dcpromo herunterstufen.

Funktioniert das nicht, währe der nächste Versuch, das Computerkonto aus der OU Domain Controllers zu löschen.

 

Ich vermute aber, dass Deine SBS Domäne bzw. der SBS selbst noch andere Probleme hat.

[Thomas Säuberli 11]

In der Tat scheint meine Domäne Probleme zu haben, obwohl ich den SBS2008 nicht angefasst habe. Ich habe nur kurz in die Ereignisprotokolle geschaut, Da steht etwas von AD-Topologie und Einschränkungen... sieht auf den ersten Blick so aus hätte mein Administrator (bzw. mein Haupt-DC) nun icht mehr alle Rechte. Und das ganz klar, seit ich den neuen Server als RODC einbinden wollte... aber eben ohne vorher das AD mit adprep /rodcprep vorzubereiten und ohne einen speziellen, eingeschränkten Admin für den RODC zu erstellen. Kämpfe mich demnächst wieder weiter.... erst noch ein Kaffee ;-)

[Necron 71]

Ein SBS 2008 sollte einen RODC 2008 ohne Probleme unterstützen.

Den RODC gibt es erst seit Windows Server 2008 R2. ;) Desweiteren muss trotzdem adprep mit dem entsprechenden Parameter auf dem Schemamaster ausgeführt werden! Anonsten full ACK!

[Thomas Säuberli 11]

Wie gesagt... irgendetwas hat gewütet im bestehenden System (Netzwerktreiber hatten auch keine Funktion mehr?!)... fragt mich nicht was... ich habe zum Glück ein fast aktuelles Acronisimage... das spiele ich nun zurück :-)

Und dann auf ein Neues!

 

Gruss und vielen Dank!

 

Thomas

[Dunkelmann 96]

Den RODC gibt es erst seit Windows Server 2008 R2. ;) Desweiteren muss trotzdem adprep mit dem entsprechenden Parameter auf dem Schemamaster ausgeführt werden! Anonsten full ACK!

 

Hmmm, dann hab' ich wohl seit drei Jahren massive Halluzinationen und das ohne bewustseinserweiternde Hilfsmittel :D

[Daim 12]

Salve,

 

Den RODC gibt es erst seit Windows Server 2008 R2.

 

<Räusper>

Du meinst: Den RODC gibt es bereits seit Windows Server 2008. DocMelzer kann sich gut daran erinnern, dass war DER Slogan bei dem Launch in FFM von mir. ;)

</Räusper>

[Necron 71]

Hmmm, dann hab' ich wohl seit drei Jahren massive Halluzinationen und das ohne bewustseinserweiternde Hilfsmittel :D

Salve,

<Räusper>

Du meinst: Den RODC gibt es bereits seit Windows Server 2008. DocMelzer kann sich gut daran erinnern, dass war DER Slogan bei dem Launch in FFM von mir. ;)

</Räusper>

Mea Culpa! :) Ich weiß zwar nicht welches Pferd mich geritten hat, aber ich sollte nicht während der Klausurphase ständig im Forum online sein. :D