DC GPO Problem

[AliBaba 10]

Hallo,

Habe manchmal Probleme mit unseren GPO's.

 

Hier im Standort habe Ich 2 Root DC'S und 2 child DC's

in China haben wir 1 child DC.

die drei DC's sind im selben AD

wir haben CH und DE mit zwei OU's getrennt.

 

Die Verbindung nach China ist an vielen Tagen bescheiden.

Replikation funktioniert. Manchmal sehr träge.

 

Das Problem liegt jetzt an den Maschinen in DE.

Ab und an versuchen die Clients die Richtlinien über China zu ziehen, da mein nslookup alle drei nacheinander bringt.

Dann läuft der ins Timeout und bekommt verschiedene Fehlermeldungen.

 

Nach einem Neustart läuft alles wieder.

 

Unter Standorte und Dienste wurden die DC's der Subnetze schon zugeordnet.

Kann mir jmd verraten wo ich eventuell noch was anpassen kann?

Ich möchte eigentlich nur dass DE Clients nur mit dem DE DC's kommunizieren.

 

Danke.

[NorbertFe 2.027]

Wenn deine Clients nach China gehen, dann stimmt Sites und Services sowie Subnetz-Zuordnung offenbar doch nicht. Mit den paar Infos da oben wirds aber schwer, genauere Hilfestellung zu geben. :)

[NilsK 2.930]

Moin,

 

konkret ist das Erzeugen der Sites und das Zuordnen der Subnets ein notwendiger, aber nicht unbedingt hinreichender Schritt. Wichtig ist vor allem, dass die Clients wissen, zu welchem Standort sie gehören. In der Praxis sieht man immer wieder, dass noch weitere Subnets von den Clients genutzt werden, die keiner Site zugeordnet sind. Das führt dann zu dem Phänomen, das du beschreibst.

 

Abhilfe ist in dem Fall relativ einfach: In den Eventlogs der DCs gibt es Meldungen, wenn Clients aus nicht zugeordneten Subnets kommen. Diese werden dann in einer Logdatei protokolliert, die man nutzen kann, um die fehlenden Subnets zu ergänzen.

 

Parallel sollte man die DNS-Einträge der DCs prüfen. Es passiert immer mal wieder, dass diese nicht vollständig aktualisiert wurden und so ein DC am falschen Standort vermutet wird.

 

Gruß, Nils

 

[AliBaba 10]

die Sites und Subnetze sehen gut aus.

Auch die DNS Einträge. Hab das mit einem frischen verglichen.

 

Ich werde mal in der Ereignisanzeige schauen ob sich da was tut, wenn ein Client Fehler bringt.

Werde auch die Meldung mal kopieren.

 

Vielleicht können wir da was machen.

 

Es ist ja empfohlen eine Domäne zu machen zwecks Administration.

Aber ob das ein Nachteil bringt für die Clients, keine Ahnung.

 

Ich schreib hier mal die Fehlermeldungen rein.

[NorbertFe 2.027]

vor 56 Minuten schrieb AliBaba:

Es ist ja empfohlen eine Domäne zu machen zwecks Administration.

 

So pauschal stimmt das nicht.

[NilsK 2.930]

Moin,

 

vor 13 Minuten schrieb NorbertFe:

So pauschal stimmt das nicht.

stimmt - und es hätte mit dem Thema dieses Threads auch nichts zu tun.

 

Gruß, Nils

 

[daabm 1.348]

Ich verstehe schon die Anfangsbeschreibung nicht: "Ich habe 2 Root-DC s und 2 Child DCs". Was ist denn ein Root DC und was ist ein Child DC?

[NilsK 2.930]

Moin,

 

ohne dir zu nahe treten zu wollen - aber das ist doch jetzt Haarspalterei. Die Vermutung, dass es sich um eine Root Domain mit zwei DCs sowie eine Subdomain mit zwei DCs handelt. liegt jetzt nicht eben fern.

 

Gruß, Nils

 

[AliBaba 10]

danke Nils.

[daabm 1.348]

vor 15 Stunden schrieb NilsK:

Die Vermutung, dass es sich um eine Root Domain mit zwei DCs sowie eine Subdomain mit zwei DCs handelt. liegt jetzt nicht eben fern.

Für Dich ja, für mich war das weit weg... BTT: DC Locator - https://blogs.technet.microsoft.com/askds/2008/09/24/domain-locator-across-a-forest-trust/

Da stimmt was mit den Sites nicht, wenn die Clients in DE nach China wollen. Hatte Norbert schon drauf hingewiesen.

[AliBaba 10]

Guten Morgen,

 

danke für den Link.

die GPO's werden ja an alle DC's repliziert.

Bekommen die Clients auch entsprechend den Siteseinstellungen die GPO's von den lokalen DC's?

 

Hier nämlich hab Ich das Gefühl, das die Clients, je nach dem was der DNS antwortet, die GPO's auch von CH ziehen?

 

Kann es sein?

 

Danke.

[AliBaba 10]

Im Ereignisanzeige stehen folgende GPO Fehler

1058 sehr oft

1129 ab und an.

 

Das hat doch was mit der Netzwerkkarte und dem Start zu tun?

Das hat wahrscheinlich gar nicht mit dem chinesischen DC zu tun?!

[Sunny61 806]

Zeig doch mal ein ipconfig /all von einem Client aus Deutschland und von den DCs. Mittels ipconfig /all | clip [ENTER] in einer administrativen Commandline, bekommst Du die Ausgabe von ipconfig /all gleich in die Zwischenablage und kannst es hier in einen Code-Block mittels STRG + V gleich einfügen. Anonymisieren nicht vergessen. Und dazu schreiben was ist was.

[AliBaba 10]

also ich bin bei der suche auf die seite hier gestoßen:

https://ictschule.com/2016/03/23/gruppenrichtlinien-beim-computerstart/

 

dies hab Ich gemacht und tatsächlich funktioniert es grad.

Die Richtlinien werden alle jederzeit angewendet und die Fehlerlogs sind weg.

 

Kann mir aber jemand sagen, was es damit auf sich hat?

 

Dankel

 

 

[NorbertFe 2.027]

Na klar. Deaktiviert man mal sicherheitsfördernde Maßnahmen. :/