RODC und andere Rollen / Recovery AD am Hauptsitz

[Weingeist 159]

Hallo Leute,

 

Das ein normaler DC möglichst für sich alleine werkeln sollte ist ja allgemein bekannt.

 

Wie sieht es mit einem RODC aus? Sollte man das ebenfalls bleiben lassen oder kann man den problemlos und ohne Bedenken mit anderen Rollen (IIS/Exchange mal ausgenommen) auf der gleichen Maschine betreiben? So wirklich finden tut man darüber nichts im Netz. Die einen sagen: Ja klar, kein Problem. Die anderen, neee sollte man nicht.

• Als Zweigniederlassung zbsp. mit auf den Fileserver/WSUS/Printserver/SQL-Server usw.
• Recovery: Am Hauptsitz muss AD von einem Backup zurückgespielt werden. Juckt es nun einen RODC wenn dieser einen eigentlich neueren Stand als der richtige/Beschreibbare DC hat oder holt er sich die 'veralteten' Daten
• Recovery an der Zweigniederlassung wegen Printserver-Fail, AD hat nun älteren Stand als Hauptsitz. --> Probleme zu erwarten?

Vielen Dank für Inputs

[Dunkelmann 96]

Mit den "einfachen" Serverrollen - file, print, wsus - hatte ich bisher keine Probleme. Bei uns laufen seit über 3 Jahren diverse RODC in diesem Setup. Lediglich die Installation vom WSUS ist etwas lästig, da auf einem RODC vom Setup keine Dienstkonten erstellt werden können.

Einen vollwertigen SQL Server habe ich bisher nicht probiert. Wobei ich für einen solchen Fall lieber einen dedizierten SQL Server nutzen würde.

 

Mit einem AD Restore habe ich keine Erfahrungen, bisher musste ich nur mal einzelne Objekte wiederherstellen - dabei gab es allerdings keine Probleme mit den RODC.

 

Ein Restore vom RODC ist genau so simpel, wie ein Restore eines einfachen Servers. Windows Backup zurückspielen - Kaffee trinken - Server neustarten - fertig

[Dukel 457]

Ich finde je mehr Rollen man trennen kann umso besser. Leider gibt es nicht überall die Ressourcen für jede Funktion eine Maschine hinzustellen. Wenn es geht dann nur RODC, wenn es nicht geht, dann geht es halt nicht.

[Weingeist 159]

@Dunkelmann: Vielen Dank, klingt vielversprechend. :)

 

Bezüglich Recovery: Verstehe ich das also richtig, eine Image-Sicherung wäre ihm sogar gut genug? Sprich ein Backup in der Niederlassung testen geht ohne erreichbaren DC oder auch ein Recovery kann man problemlos testen bevor der Server wieder ins aktive Netz gehängt wird? Wäre ungefähr was ich gerne hätte. :)

 

WSUS: Hmm, das heisst also man muss die Benutzerkonten einfach vorher erstellen oder? Ergab zumindest eine kurze Recherche.

SQL war jetzt eher bezüglich WSUS als Produktive Daten gemeint. Wenn SQL dann ne kleine Express, nichts grosses.

 

@Dukel: Klar, bedeutet leider immer entweder mehr physische Serer die kosten, sich langweilen und Strom fressen, grössere USV oder Virtualisierung mit nem Layer mehr der kaputt gehen kann.

[Dunkelmann 96]

Bezüglich Recovery: Verstehe ich das also richtig, eine Image-Sicherung wäre ihm sogar gut genug? Sprich ein Backup in der Niederlassung testen geht ohne erreichbaren DC oder auch ein Recovery kann man problemlos testen bevor der Server wieder ins aktive Netz gehängt wird? Wäre ungefähr was ich gerne hätte. :)

Ich nutze nur die Windows Server Sicherung oder einen DPM fürs Backup. Wie es bei anderen Lösungen aussieht kann ich nicht sagen.

Bisher habe ich das Restore (waren drei Fälle) immer online durchgeführt. Wozu sollte ich es erst offline testen? Der RODC repliziert nichts nach außen.

Außerdem kannst Du Dich, wenn der RODC offline ist, nicht als Domänen-Admin anmelden und die AD Replikation prüfen.

 

Mit dem WSUS läuft es wie in diesem Eintrag beschrieben:

http://social.technet.microsoft.com/Forums/en-US/winserverwsus/thread/0752819f-8895-40d4-962f-9391b24b305a/

Das Einzige, was zusätzlich auf meinen RODC installiert ist, sind die Management Tools aus dem SQL Express 2008R2. Die werden für die automatische WSUS Bereinigung benötigt.

[Sunny61 811]

Das Einzige, was zusätzlich auf meinen RODC installiert ist, sind die Management Tools aus dem SQL Express 2008R2. Die werden für die automatische WSUS Bereinigung benötigt.

 

Für die Automatische Bereinigung reicht IMHO die Powershell aus und dieses Script dazu: http://www.wsus.de/serverbereinigung2 Oder meinst Du etwas anderes?

[Weingeist 159]

@Dunkelmann: Alles klar. Vielen Dank. Hab da noch eine zweite Anwendung im Hinterkopf wo es etwas mehr Sinn macht. ;)

 

@Sunny61: Für das Shrinken mit SQLCMD dürfte es die Management-Tools brauchen oder? Zumindest habe ich das so in meinem WSUS-Bereinigungs-Script. Hab das aber auch schon ewig nicht mehr überarbeitet.

[Sunny61 811]

 

@Sunny61: Für das Shrinken mit SQLCMD dürfte es die Management-Tools brauchen oder? Zumindest habe ich das so in meinem WSUS-Bereinigungs-Script. Hab das aber auch schon ewig nicht mehr überarbeitet.

 

Ich weiß nicht was dein Script alles macht, aber ein shrinken der SUSDB braucht man IMHO nicht regelmässig ausführen. Besser ein regelmässiges Backup der SUSDB anfertigen. Lässt sich auch gut scripten. http://www.wsus.de/scripts

[Dukel 457]

Shrinken der DB ist eh nie gut. Gibt es denn Probleme mit der Datenbank?

[Dunkelmann 96]

Für die Automatische Bereinigung reicht IMHO die Powershell aus und dieses Script dazu: http://www.wsus.de/serverbereinigung2 Oder meinst Du etwas anderes?

Ich nutze das WSUS Cleanup von Codeplex

http://wsus.codeplex.com/releases/view/17612

[Sunny61 811]

Ich nutze das WSUS Cleanup von Codeplex

http://wsus.codeplex.com/releases/view/17612

 

OK, ich hab mir das angesehen. Wie oft lässt Du das laufen? Das SQL-Script braucht man wirklich nur monatlich laufen zu lassen, wenn überhaupt. Den Cleanup Task lass ich täglich laufen, das entlastet die Maschine und das Content täglich. ;)

[Dunkelmann 96]

Der Cleanup Job läuft 1x im Monat. Bei den paar Clients (zwischen 5 und 50), die an den Außenstandorten im Einsatz sind, haben die WSUS nicht wirklich viel zu tun.

[Weingeist 159]

Vielen Dank für die Inputs. :)

 

Was man scheinbar nicht machen sollte: Einstellen mit msconfig, dass Windows Neustarts ohne Dienste machen soll. War quasi unmöglich sich an die Maschine anzumelden um die Starparameter wieder zu ändern. Ooops. :D Ob ein Mitglied der RODC-Admins das könnte, weiss ich noch nicht, die Benutzergruppe war noch leer und somit nicht repliziert. Aber AD wäre ja dann auch nicht verfügbar. *hmmm* Mit dem ursprünglichen lokalen Adminkonto schien es, also könnte man sich nicht lokal anmelden. Kann aber auch ein Testumfeld-Fehler sein. Werde das bei Gelegenheit nochmal austesten.

bearbeitet 7. Februar 2013 von Weingeist

[Sunny61 811]

Was man scheinbar nicht machen sollte: Einstellen mit msconfig, dass Windows Neustarts ohne Dienste machen soll.

 

Die 3rd Party Dienst kann man schon deaktivieren, die MS-Dienste sollte man nicht anfassen.

[Weingeist 159]

Da muss man aber schon manuell einstellen, weil per Default werden im Diagnosesystemstart diese auch nicht zwingend geladen.