Jump to content

primärer Logonserver

TIM_SAICO

Von TIM_SAICO
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

äh - wie Norbert schon andeutet, ist dieser Umstand (zwei Domänen) für die Frage natürlich alles andere als nebensächlich. In deinem Szenario müssten DCs beider Domänen an den Standorten vorhanden sein, an denen sich User anmelden. Und genauso müssten die Subnets auf beiden gepflegt sein. Da die domänenübergreifende Anmeldung noch eine ganze Ecke komplexer sein kann, kann es dabei dann aber durchaus passieren, dass die Anmeldung nicht wie gewünscht verläuft. Das zu analysieren und zu optimieren, wäre dann aber ggf. eine Sache, die man sich im Detail ansehen müsste.

 

Gruß, Nils

 

Link zu diesem Kommentar
TIM_SAICO Apprentice

TIM_SAICO   0

Geschrieben
  • Autor
Geschrieben

Am Hauptstandort sind DC's aller Domänen vorhanden (ca 8 versch. Domänen momentan - Migrationen stehen in den kommenden Jahren an).

An den Tochterstandorten ist dann jeweils der lokale DC sowie ein DC zur Zentrale, keine DC's anderer Tochterstandorte.

DNS läuft auf allen DC's überall.

 

Doch selbst bei mir kommt es mal vor, dass ich mich nicht an meinem Standort authentifiziere sondern an einem Server in Hamburg als Beispiel.

In meinem Fall sind allerdings USER und DEVICE in derselben Domäne.

 

--> Das Ergebnis des Scripts darf ich leider nicht präsentieren - mein Datenschutzbeauftragter untersagt es leider - tut mir leid.

 

 

Wenn das auf Grund der Komplexität hier nicht beantwortet werden kann, verstehe ich das absolut.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

du musst das Ergebnis hier auch nicht veröffentlichen. Du kannst mit der Auswertung aber prüfen, ob die Subnets vollständig und korrekt zugewiesen sind. Nur so kann dem Client der richtige AD-Standort zugeordnet werden. Wie gesagt, das müsste dann bei allen Domänen passend sein.

 

Zusätzlich müssen in deinem Fall mit den vertrauten Domänen und der Verteilung von Clients und Usern allerdings die Namen der betreffenden Sites in den verschiedenen Domänen bzw. Forests gleich sein, damit die Zuordnung funktioniert - das meinte ich mit den komplexeren Details.

 

[Domain Locator Across a Forest Trust | Ask the Directory Services Team]
https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/


Gruß, Nils

 

  • Like 1
Link zu diesem Kommentar
daabm Grand Master

daabm   1.354

Geschrieben
Geschrieben

Nur mal so - sind die Subnetze und Sites in ALLEN Domains gepflegt und heißen die Sites in ALLEN Domains gleich? Der DCLocator braucht identische Sitenamen, damit das Cross-Domain-Logon sauber funktioniert.

 

Zum Einlesen:

https://blogs.msmvps.com/acefekay/2010/01/03/the-dc-locator-process-the-logon-process-controlling-which-dc-responds-in-an-ad-site-and-srv-records/

https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/ (Hat Nils schon verlinkt, aber mußt Du lesen, daher nochmal :-) )

(Schade, daß Ned Pyle vom AD-Team zum File-Team gewechselt ist, und schade daß fast alle MS-Blogs inzwischen tot sind...)

 

@zahni Der Test mit Ping ist irrelevant - der macht einfach stupide DNS-Round-Robin über alle DCs. Wenn Du was Genaueres wissen willst, brauchst Du nltest mit einem seiner vielen Parameter.

Link zu diesem Kommentar
FrankCarius Apprentice

FrankCarius   11

Geschrieben
Geschrieben
On 4/4/2019 at 9:28 PM, daabm said:

Nur mal so - sind die Subnetze und Sites in ALLEN Domains gepflegt und heißen die Sites in ALLEN Domains gleich? Der DCLocator braucht identische Sitenamen, damit das Cross-Domain-Logon sauber funktioniert.

 

Zum Einlesen:

https://blogs.msmvps.com/acefekay/2010/01/03/the-dc-locator-process-the-logon-process-controlling-which-dc-responds-in-an-ad-site-and-srv-records/

https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/ (Hat Nils schon verlinkt, aber mußt Du lesen, daher nochmal :-) )

(Schade, daß Ned Pyle vom AD-Team zum File-Team gewechselt ist, und schade daß fast alle MS-Blogs inzwischen tot sind...)

 

@zahni Der Test mit Ping ist irrelevant - der macht einfach stupide DNS-Round-Robin über alle DCs. Wenn Du was Genaueres wissen willst, brauchst Du nltest mit einem seiner vielen Parameter.

Das mit dem Ping stimmt nur zum Teil

Die erste Anfrage ist eine DNS-Anfrage nach der Domain, in der der Computer um die Domain Controller zu finden. Aber dann startet der Client einen ICMP-Ping an die gelieferten Adressen um die Laufzeit zu messen und sich dann mit dem zu verbinden, der am schnellsten Geantwortet hat. Das ist auch der Grund, warum ein Server mit einschalten der Datei/Druckdienste  (SYSVOL/NETLOGON) auch per PING in der Firewall freigeschaltet wird.

Er wendet sich dann an den "Netztechnisch" nächsten DC um dort dann mit seiner IP-Adresse zu fragen, in welcher SITE er ist

und dann holt er sich die DCs, die für diese Site sich im DNS eintragen haben.

 

Insofern: Der Erstkontakt ist nicht zu verhindern. man könnte aber die "PING Erreichbarkeit" natürlich auf die lokalen DCs beschränken. Aber das ist eigentlich ein Problem da es nur wenige Pakete sind, bis der Client seine Site gefunden hat.

 

Frank

  • Danke 1
Link zu diesem Kommentar
daabm Grand Master

daabm   1.354

Geschrieben
Geschrieben

Dann sind wir uns beim Ping soweit einig? Der Rest stimmt, was den DC-Locator betrifft - DNS Anfragen regeln das über SRV-Records :-)

Ping war schon immer ein recht schlechtes Diagnosewerkzeug, weil der heimlich auch noch Wins und Netbios-Broadcasts verwendet, wenn man nur einen Namen angibt. Besser wäre Test-NetConnection oder (bevorzugt) nltest mit einem seiner vielen Parameter.

  • Danke 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...