Verständnisfrage zu RODC

[Pat1802 10]

Hallo,

 

ich habe mal eine Frage zur Anmeldesache an einen RODC.

 

Angenommen Standort A (Win2008-Domäne) hat VPN-Verbindungen zu Standort B und C. Standort C ist zusätzlich noch zu Standort B verbunden.

 

An B soll ein RODC stehen an C kein Domaincontroller. Wie ich es verstehe ist es für Standort C möglich sich an B am RODC anzumelden.

 

Was passiert nun wenn die Verbindung zwischen B und C weg ist. Kann sich Standort C noch weiterhin anmelden und zwar an A ?

 

Oder geht es nur über den RODC von B nach A?

 

Gruß

Patrick

[Scheibenklar 10]

C kann sich immer an A anmelden, solange eine Verbindung besteht.

 

Weil wenn in C kein DC steht sucht er sich den DC mit den geringsten Kosten.

[dmetzger 10]

Wie ich es verstehe ist es für Standort C möglich sich an B am RODC anzumelden.

 

RODCs registrieren standardmässig keine SRV-Einträge für andere Standorte als ihren eigenen. Das heisst, die Anmeldungen am Standort C ohne DC erfolgen über den schreibbaren DC an Standort A -> Stichwort "AutoSiteCoverage".

 

Die beschriebene Topologie erfordert, dass der schreibbare DC an Standort A ein W2K8/W2K8R2 oder ein W2K3 mit RODC-Kombatibilitätspack ist. W2K3 ohne Kompatibilitätspack erkennen keine RODCs und werden per AutoSiteCoverage auch den Standort B abdecken, weshalb Anmeldungen an Standort B nicht über den RODC erfolgen würden.

 

Domain Controllers Running Windows Server 2003 Perform Automatic Site Coverage for Sites with RODCs

[Pat1802 10]

So habe ich es auch eigentlich im Kopf. Nur hatten wir mal das Problem, als es nur Standort A und B gab. Der RODC an Standort B war ausgefallen aber niemand konnte sich von B aus an dem DC in A anmelden. Daher meine Bedenken, dass die Anmeldung nur über den RODC möglich wäre.

[dmetzger 10]

Der RODC an Standort B war ausgefallen aber niemand konnte sich von B aus an dem DC in A anmelden.

 

In diesem Fall würde ich u.a. die generischen SRV-Einträge prüfen. Vielleicht hat jemand sie manipuliert, oder sie wurden nicht korrekt geschrieben.

 

Firewalls zwischen den Standorten rücken ebenfalls oft in den Fokus der Fehlerprüfung. Wireshark ist hilfreich.

[Pat1802 10]

Okay, danke. Werde das mal prüfen.

[XP-Fan 224]

So habe ich es auch eigentlich im Kopf. Nur hatten wir mal das Problem, als es nur Standort A und B gab. Der RODC an Standort B war ausgefallen aber niemand konnte sich von B aus an dem DC in A anmelden.

 

Konnten denn die Clients an B den DC an A dann noch auflösen ? DNS ?

[Pat1802 10]

In diesem Fall würde ich u.a. die generischen SRV-Einträge prüfen. Vielleicht hat jemand sie manipuliert, oder sie wurden nicht korrekt geschrieben.

 

Also in dem Standort B stehen nur die SRV-Einträge vom RODC im Standort B.

 

Ist eher nicht so gut, oder? :confused:

[Pat1802 10]

Konnten denn die Clients an B den DC an A dann noch auflösen ? DNS ?

 

Das kann ich leider nicht beantworten. Ich habe dieses Sache nur von einem Kollegen erfahren und er hat es nicht getestet.

[oernst 10]

Hallo!

 

Im DNS werden nur die dem Standort entsprechenden DCs per SRV-Eintrag im Standort gelistet.

So wird dem Client an Hand seines Standortes der nächstgelegene (bestenfalls gleicher Standort) DC zugewiesen.

Für Standorte ohne DC kann ein DC eines anderen Standortes explizit zugewiesen werden. Das ändert allerdings nur die SuchREIHENFOLGE für diesen Standort. Generell sollte bei korrekter Konfiguration (vor allem DNS und Netzwerk) ein Fallback auf andere DCs der Domäne möglich sein, falls der Standortangehörige nicht erreichbar ist.

 

Ab NT 6.0 wird die Auswahl des Anmeldeservers standardmäßig per Zufallsprinzip betrieben, falls kein DC am Standort verfügbar ist. Frühere Versionen arbeiten mit Kosten, Prio und Gewichtung.

 

Hier solltest du einige Informationen finden:

http://blog.dikmenoglu.de/PermaLink,guid,ad2ea4b3-0374-4048-8b3d-43623c176328.aspx

 

 

Vor allem eine Ausgabe über NSLookup via type SRV und "_ldap._tcp.dc._msdcs.<<DOMAIN>>" sollte dir alle verfügbaren DCs auflisten...

 

Vielleicht helfen dir die Infos ja weiter :)

 

Gruß

Örnst

[Pat1802 10]

Hallo Oernst,

 

Ja das hilft mir viel weiter.

 

Ich werde das, dann einmal mit der Richtlinie testen:

Nun kann ab Vista und Windows Server 2008 die folgende Richtlinie aktiviert werden:

Computerkonfiguration\Administrative Vorlagen\System\Netzwerkanmeldung\Domänencontrollerlocator-DNS-Einträge\"Am nächstgelegenen Standort suchen"

 

Gilt diese Richtlinie denn nur für Server 2008 und min. Vista Clients oder funktioniert dies auch mit XP-Clients?

 

Oder würde es dann Sinn machen zu den Standorten, in denen sich nur der RODC vor Ort befindet manuell SRV-Einträge hinzuzufügen von einem schreibbaren im nächsten Standort und das durch Prioritäten setzen, steuern?

 

Gruß

Patrick

bearbeitet 19. November 2010 von Pat1802

[dmetzger 10]

Oder würde es dann Sinn machen zu den Standorten, in denen sich nur der RODC vor Ort befindet manuell SRV-Einträge hinzuzufügen von einem schreibbaren im nächsten Standort und das durch Prioritäten setzen, steuern?

 

Nein. Du willst ja, dass sich die Nutzer am RODC-Standort am lokalen RODC anmelden und nicht an einem anderen Standort.

[Pat1802 10]

Nein. Du willst ja, dass sich die Nutzer am RODC-Standort am lokalen RODC anmelden und nicht an einem anderen Standort.

 

Ja, deshalb dachte ich, ich könne das Ganze mit Priorität und Gewichtung so steuern, dass immer erst der vor Ort RODC zum anmelden genutzt wird.

Wenn das allerdings nicht sauber läuft kann ich meine Idee schnell wieder vergessen :D

[dmetzger 10]

Priorität und Gewichtung sind für standortinterne Zwecke in grösseren Umgebungen.

 

http://technet.microsoft.com/en-us/library/cc957291.aspx

[Pat1802 10]

Okay, kannst du mir denn noch kurz beantworten, ob ich diese Richtlinie auch für Server 2008 und XP-Clients anwenden kann?

 

Danke und Gruß