TIM_SAICO 0 Geschrieben 4. April 2019 Autor Melden Teilen Geschrieben 4. April 2019 Ok, sehr gern. Also bin ich gedanklich richtig, dass die Clients eigentlich immer erst den lokalen DC nehmen sollten und nicht den weit entfernten? Vielleicht noch wichtig: Die User sind in Domäne A. Deren Clients sind allerdings der Domäne B zugehörig. Die Vollständige Migration gegen Ende des Jahres Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. April 2019 Melden Teilen Geschrieben 4. April 2019 Noch mehr so "unwichtige" Nebensächlichkeiten? ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. April 2019 Melden Teilen Geschrieben 4. April 2019 Moin, äh - wie Norbert schon andeutet, ist dieser Umstand (zwei Domänen) für die Frage natürlich alles andere als nebensächlich. In deinem Szenario müssten DCs beider Domänen an den Standorten vorhanden sein, an denen sich User anmelden. Und genauso müssten die Subnets auf beiden gepflegt sein. Da die domänenübergreifende Anmeldung noch eine ganze Ecke komplexer sein kann, kann es dabei dann aber durchaus passieren, dass die Anmeldung nicht wie gewünscht verläuft. Das zu analysieren und zu optimieren, wäre dann aber ggf. eine Sache, die man sich im Detail ansehen müsste. Gruß, Nils Zitieren Link zu diesem Kommentar
TIM_SAICO 0 Geschrieben 4. April 2019 Autor Melden Teilen Geschrieben 4. April 2019 Am Hauptstandort sind DC's aller Domänen vorhanden (ca 8 versch. Domänen momentan - Migrationen stehen in den kommenden Jahren an). An den Tochterstandorten ist dann jeweils der lokale DC sowie ein DC zur Zentrale, keine DC's anderer Tochterstandorte. DNS läuft auf allen DC's überall. Doch selbst bei mir kommt es mal vor, dass ich mich nicht an meinem Standort authentifiziere sondern an einem Server in Hamburg als Beispiel. In meinem Fall sind allerdings USER und DEVICE in derselben Domäne. --> Das Ergebnis des Scripts darf ich leider nicht präsentieren - mein Datenschutzbeauftragter untersagt es leider - tut mir leid. Wenn das auf Grund der Komplexität hier nicht beantwortet werden kann, verstehe ich das absolut. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. April 2019 Melden Teilen Geschrieben 4. April 2019 Moin, du musst das Ergebnis hier auch nicht veröffentlichen. Du kannst mit der Auswertung aber prüfen, ob die Subnets vollständig und korrekt zugewiesen sind. Nur so kann dem Client der richtige AD-Standort zugeordnet werden. Wie gesagt, das müsste dann bei allen Domänen passend sein. Zusätzlich müssen in deinem Fall mit den vertrauten Domänen und der Verteilung von Clients und Usern allerdings die Namen der betreffenden Sites in den verschiedenen Domänen bzw. Forests gleich sein, damit die Zuordnung funktioniert - das meinte ich mit den komplexeren Details. [Domain Locator Across a Forest Trust | Ask the Directory Services Team]https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/ Gruß, Nils 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 4. April 2019 Melden Teilen Geschrieben 4. April 2019 (bearbeitet) Und um Test an den Standorten ein paar mal ipconfig /flushdns ping Meine.domain.xxx (ohne Server) machen. Es müsste sich immer eine IP des lokalen DC melden. Wenn nicht: Goto 10 (im Thread) ;-). bearbeitet 4. April 2019 von zahni 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 4. April 2019 Melden Teilen Geschrieben 4. April 2019 Nur mal so - sind die Subnetze und Sites in ALLEN Domains gepflegt und heißen die Sites in ALLEN Domains gleich? Der DCLocator braucht identische Sitenamen, damit das Cross-Domain-Logon sauber funktioniert. Zum Einlesen: https://blogs.msmvps.com/acefekay/2010/01/03/the-dc-locator-process-the-logon-process-controlling-which-dc-responds-in-an-ad-site-and-srv-records/ https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/ (Hat Nils schon verlinkt, aber mußt Du lesen, daher nochmal ) (Schade, daß Ned Pyle vom AD-Team zum File-Team gewechselt ist, und schade daß fast alle MS-Blogs inzwischen tot sind...) @zahni Der Test mit Ping ist irrelevant - der macht einfach stupide DNS-Round-Robin über alle DCs. Wenn Du was Genaueres wissen willst, brauchst Du nltest mit einem seiner vielen Parameter. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. April 2019 Melden Teilen Geschrieben 4. April 2019 vor 9 Minuten schrieb daabm: MS-Blogs inzwischen Ein Schelm wer Böses denkt. :p Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 4. April 2019 Melden Teilen Geschrieben 4. April 2019 vor 1 Stunde schrieb NorbertFe: Ein Schelm wer Böses denkt. :p ? Für Dummies ? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 5. April 2019 Melden Teilen Geschrieben 5. April 2019 Er meint, daß da seitens MS eine Strategie dahinter steckt. Ich meine das auch. MS unterstützt die Community ziemlich einseitig, da gibt es nur noch Azure und Cloud, alles andere wurde gestrichen. 1 Zitieren Link zu diesem Kommentar
FrankCarius 11 Geschrieben 5. April 2019 Melden Teilen Geschrieben 5. April 2019 On 4/4/2019 at 9:28 PM, daabm said: Nur mal so - sind die Subnetze und Sites in ALLEN Domains gepflegt und heißen die Sites in ALLEN Domains gleich? Der DCLocator braucht identische Sitenamen, damit das Cross-Domain-Logon sauber funktioniert. Zum Einlesen: https://blogs.msmvps.com/acefekay/2010/01/03/the-dc-locator-process-the-logon-process-controlling-which-dc-responds-in-an-ad-site-and-srv-records/ https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/ (Hat Nils schon verlinkt, aber mußt Du lesen, daher nochmal ) (Schade, daß Ned Pyle vom AD-Team zum File-Team gewechselt ist, und schade daß fast alle MS-Blogs inzwischen tot sind...) @zahni Der Test mit Ping ist irrelevant - der macht einfach stupide DNS-Round-Robin über alle DCs. Wenn Du was Genaueres wissen willst, brauchst Du nltest mit einem seiner vielen Parameter. Das mit dem Ping stimmt nur zum Teil Die erste Anfrage ist eine DNS-Anfrage nach der Domain, in der der Computer um die Domain Controller zu finden. Aber dann startet der Client einen ICMP-Ping an die gelieferten Adressen um die Laufzeit zu messen und sich dann mit dem zu verbinden, der am schnellsten Geantwortet hat. Das ist auch der Grund, warum ein Server mit einschalten der Datei/Druckdienste (SYSVOL/NETLOGON) auch per PING in der Firewall freigeschaltet wird. Er wendet sich dann an den "Netztechnisch" nächsten DC um dort dann mit seiner IP-Adresse zu fragen, in welcher SITE er ist und dann holt er sich die DCs, die für diese Site sich im DNS eintragen haben. Insofern: Der Erstkontakt ist nicht zu verhindern. man könnte aber die "PING Erreichbarkeit" natürlich auf die lokalen DCs beschränken. Aber das ist eigentlich ein Problem da es nur wenige Pakete sind, bis der Client seine Site gefunden hat. Frank 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 6. April 2019 Melden Teilen Geschrieben 6. April 2019 Sag lieber nichts, wenn Du es nicht weißt Der DC-Locator ist mein großer Bruder, ich sag dem sonst Bescheid... 1 Zitieren Link zu diesem Kommentar
FrankCarius 11 Geschrieben 8. April 2019 Melden Teilen Geschrieben 8. April 2019 Ok., hab noch mal nachgeschaut und da hat sich wohl echt was verändert. Das passiert, wenn man länger nicht mehr mit Clients zu tun hatte. Danke für den Weckruf. Aber nun kenne ich ja in dem Thema wieder jemanden, den ich fragen kann 2 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 8. April 2019 Melden Teilen Geschrieben 8. April 2019 Dann sind wir uns beim Ping soweit einig? Der Rest stimmt, was den DC-Locator betrifft - DNS Anfragen regeln das über SRV-Records Ping war schon immer ein recht schlechtes Diagnosewerkzeug, weil der heimlich auch noch Wins und Netbios-Broadcasts verwendet, wenn man nur einen Namen angibt. Besser wäre Test-NetConnection oder (bevorzugt) nltest mit einem seiner vielen Parameter. 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. April 2019 Melden Teilen Geschrieben 9. April 2019 Ich hätte dem Windows DNS eine gewisse Intelligenz zugesprochen, also anhand der Remote-Ipadresse... Wäre aber vermutlich nicht RFC-Konform. Ok, also der DC-Locator. Der ist dann MS-Konform ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.