Kein Computerkonto wenn DC ausfällt?

[TimS 11]

vor 8 Stunden schrieb daabm:

Siehe oben - "Kunde und Angebot" und "zu wenig zu Gunsten der Kundenanforderungen"... jm2c

Umso mehr freut es mich das ich das mit euren Hinweisen und Infos aus dem Netz doch hinbekommen habe.

Jetzt suche ich noch Material um mich einzuarbeiten wie ich ein AD auf volle Funktionalität testen kann bevor ich es in Betrieb nehmen 

[NorbertFe 2.027]

vor 9 Stunden schrieb TimS:

Jeder Dienst der delegiert wird kann für Störungen sorgen. Dann würde unser ganze Instituts-Netz ausfallen.

Aha, wer betreibt nochmal das active Directory, welches ausfallen kann? Das HRZ? ;)

 

bye

norbert

[TimS 11]

vor 23 Minuten schrieb NorbertFe:

Aha, wer betreibt nochmal das active Directory, welches ausfallen kann? Das HRZ? ;)

 

bye

norbert

Wir haben das getestet. Beide DCs runtergefahren. Clients gestartet die bekommen eine IP vom HRZ und DNS auch über DHCP. HRZ ist froh läuft auch ohne AD.

[NilsK 2.930]

Moin,

 

das ist auch keine Kunst. Das liegt nicht am HRZ, sondern am Credential Caching.

 

Genau das ist die Nebelkerze: Natürlich funktioniert in dem Szenario DNS weiterhin, sodass die Clients auch ins Internet oder auf Hochschulressourcen kommen. Sie können dann aber nicht mehr auf die Institutsressourcen zugreifen, die über das AD gesteuert werden. Ob das noch ein sinnvolles Arbeitsszenario ergibt, müsst ihr euch überlegen.

 

Drehen wir es mal um: Bei den Clients sind üblicherweise zwei DNS-Server eingetragen. Wenn die beim HRZ ausfallen - was geht dann noch? Vermutlich gar nichts mehr, nur noch die Anmeldung am Client. Keine internen Ressourcen, keine Hochschulressourcen, kein Internet.

 

Nun kommt die Gretchenfrage: Das HRZ würde nun ziemlich sicher sagen: Ja, aber wir sind das HRZ. Unser DNS fällt nicht einfach komplett aus. Aus über 20 Jahren Erfahrung kann man mit Fug und Recht behaupten: Auch in einer kleinen Domäne fällt das DNS, das auf DCs läuft, nicht restlos aus. Und wenn doch - dann liegen Probleme vor, bei denen ein separat laufendes DNS auch keine Hilfe mehr wäre. Ihr habt die beiden DCs heruntergefahren - klar, dann kein AD mehr. Aber den gleichzeitigen Ausfall aller DCs kann man mit einfachen und zuverlässigen Mitteln so unwahrscheinlich machen wie den Ausfall zentraler HRZ-Systeme.

 

Und dann kommt die Retourkutsche: Wenn das HRZ keine Zonen delegiert, weil sie selbst die Kontrolle über DNS haben wollen - warum delegieren sie dann ausgerechnet das Anlegen und Pflegen der eigentlichen DNS-Einträge? Die sind es doch, die man wirklich braucht und die die Funktion sicherstellen. Mit dem aktuellen Konstrukt, so könnte man begründet sagen, vermindert das HRZ nicht den Supportaufwand, sondern erhöht ihn. 

 

Das nur für die Fakten. Dass die Argumentation für ein Uni-Institut nicht einfach ist, weiß ich und verstehe ich. Aber das ist zu ungefähr 90 Prozent politisch, nicht technisch.

 

Gruß, Nils

 

[NorbertFe 2.027]

vor 40 Minuten schrieb TimS:

Wir haben das getestet. Beide DCs runtergefahren. Clients gestartet die bekommen eine IP vom HRZ und DNS auch über DHCP. HRZ ist froh läuft auch ohne AD.

Und was wäre bei einer Delegation dieser Zone dabei jetzt anders? Achja genau: nichts. ;)

 

egal, wie Nils schon sagte: politisch und du bist ja mit deiner Lösung zufrieden.

[NilsK 2.930]

Moin,

 

vor 1 Stunde schrieb TimS:

Jetzt suche ich noch Material um mich einzuarbeiten wie ich ein AD auf volle Funktionalität testen kann bevor ich es in Betrieb nehmen 

um hier noch mal positiv beizutragen :

Dazu musst du dir überlegen, was "volle Funktionalität" für dich bedeutet. "Ein AD" kann sehr unterschiedliche Dinge bezeichnen. Beispiel: Sind für dich die Dateiserver dabei? Die Berechtigungen? Applikationen, die per ADSI oder LDAP Daten aus dem AD nutzen? Gruppenrichtlinien auf unterschiedlichen Client-Versionen? usw.

 

Ein sehr wichtiges Tool hast du ja schon genannt: dcdiag. Es gibt eine Reihe weiterer typischer Standard-Tools. Ein paar davon habe ich vor ein paar Jahren mal in eine Halb-Automatisierung gebracht, vielleicht bringt dich das schon mal weiter:

 

[Angelo 1.3: AD-Meta-Reporting | faq-o-matic.net]
https://www.faq-o-matic.net/2016/07/04/angelo-1-3-ad-meta-reporting/

 

Gruß, Nils

 

[TimS 11]

Danke für eure ausführlichen Antworten! DNS ist die heilige Kuh unseres "Mr. DNS". Das Herzstück das alles am Leben hält. Wenn ich über IPAM was falsch Einträge: Pech für unsere Fakultät und Institute. Aber ich möchte nichts gegen die Kollegen sagen. Wenn ich freundlich und mehrfach Nachfrage wird mir immer geholfen. Ist halt eine Entscheidung aus den 70er wie ich verstehe. IBM Server AIX, Kerberos, AFS... dann irgendwann Linux Server und bei den Mitarbeitern im Rechenzentrum Apple Arbeitsplätze(???). Microsoft wird nicht unterstützt.

Daraufhin hat sich die Verwaltung und die Kliniken jeweils eine eigene IT aufgebaut. 

Es geht weiter mit der Softwareverteilung: ich bastele da was mit OPSI und demnächst dem WSUS während die Uni und Landesbibliothek eine teure Software kauft ich mich aber nicht an die Lizenzen ranhängen darf.

Umso mehr bin ich froh das wir jetzt unser eigenes AD aufbauen können. Hab mich gerade bei IT NRW für eine Schulung angemeldet :)

[daabm 1.348]

Eine Infrastruktur, die einen "Mr. DNS" hat, hat ein betriebsgefährdenes strukturelles Problem - again jm2c   Warum ich das sage? Weil ich genau das erlebt habe... Und wir heute noch darunter leiden, obwohl es 15 Jahre her ist.