TimS 11 Geschrieben 10. September 2021 Autor Melden Teilen Geschrieben 10. September 2021 vor 8 Stunden schrieb daabm: Siehe oben - "Kunde und Angebot" und "zu wenig zu Gunsten der Kundenanforderungen"... jm2c Umso mehr freut es mich das ich das mit euren Hinweisen und Infos aus dem Netz doch hinbekommen habe. Jetzt suche ich noch Material um mich einzuarbeiten wie ich ein AD auf volle Funktionalität testen kann bevor ich es in Betrieb nehmen Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 10. September 2021 Melden Teilen Geschrieben 10. September 2021 vor 9 Stunden schrieb TimS: Jeder Dienst der delegiert wird kann für Störungen sorgen. Dann würde unser ganze Instituts-Netz ausfallen. Aha, wer betreibt nochmal das active Directory, welches ausfallen kann? Das HRZ? ;) bye norbert Zitieren Link zu diesem Kommentar
TimS 11 Geschrieben 10. September 2021 Autor Melden Teilen Geschrieben 10. September 2021 vor 23 Minuten schrieb NorbertFe: Aha, wer betreibt nochmal das active Directory, welches ausfallen kann? Das HRZ? ;) bye norbert Wir haben das getestet. Beide DCs runtergefahren. Clients gestartet die bekommen eine IP vom HRZ und DNS auch über DHCP. HRZ ist froh läuft auch ohne AD. 1 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 10. September 2021 Melden Teilen Geschrieben 10. September 2021 Moin, das ist auch keine Kunst. Das liegt nicht am HRZ, sondern am Credential Caching. Genau das ist die Nebelkerze: Natürlich funktioniert in dem Szenario DNS weiterhin, sodass die Clients auch ins Internet oder auf Hochschulressourcen kommen. Sie können dann aber nicht mehr auf die Institutsressourcen zugreifen, die über das AD gesteuert werden. Ob das noch ein sinnvolles Arbeitsszenario ergibt, müsst ihr euch überlegen. Drehen wir es mal um: Bei den Clients sind üblicherweise zwei DNS-Server eingetragen. Wenn die beim HRZ ausfallen - was geht dann noch? Vermutlich gar nichts mehr, nur noch die Anmeldung am Client. Keine internen Ressourcen, keine Hochschulressourcen, kein Internet. Nun kommt die Gretchenfrage: Das HRZ würde nun ziemlich sicher sagen: Ja, aber wir sind das HRZ. Unser DNS fällt nicht einfach komplett aus. Aus über 20 Jahren Erfahrung kann man mit Fug und Recht behaupten: Auch in einer kleinen Domäne fällt das DNS, das auf DCs läuft, nicht restlos aus. Und wenn doch - dann liegen Probleme vor, bei denen ein separat laufendes DNS auch keine Hilfe mehr wäre. Ihr habt die beiden DCs heruntergefahren - klar, dann kein AD mehr. Aber den gleichzeitigen Ausfall aller DCs kann man mit einfachen und zuverlässigen Mitteln so unwahrscheinlich machen wie den Ausfall zentraler HRZ-Systeme. Und dann kommt die Retourkutsche: Wenn das HRZ keine Zonen delegiert, weil sie selbst die Kontrolle über DNS haben wollen - warum delegieren sie dann ausgerechnet das Anlegen und Pflegen der eigentlichen DNS-Einträge? Die sind es doch, die man wirklich braucht und die die Funktion sicherstellen. Mit dem aktuellen Konstrukt, so könnte man begründet sagen, vermindert das HRZ nicht den Supportaufwand, sondern erhöht ihn. Das nur für die Fakten. Dass die Argumentation für ein Uni-Institut nicht einfach ist, weiß ich und verstehe ich. Aber das ist zu ungefähr 90 Prozent politisch, nicht technisch. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 10. September 2021 Melden Teilen Geschrieben 10. September 2021 vor 40 Minuten schrieb TimS: Wir haben das getestet. Beide DCs runtergefahren. Clients gestartet die bekommen eine IP vom HRZ und DNS auch über DHCP. HRZ ist froh läuft auch ohne AD. Und was wäre bei einer Delegation dieser Zone dabei jetzt anders? Achja genau: nichts. ;) egal, wie Nils schon sagte: politisch und du bist ja mit deiner Lösung zufrieden. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 10. September 2021 Melden Teilen Geschrieben 10. September 2021 Moin, vor 1 Stunde schrieb TimS: Jetzt suche ich noch Material um mich einzuarbeiten wie ich ein AD auf volle Funktionalität testen kann bevor ich es in Betrieb nehmen um hier noch mal positiv beizutragen : Dazu musst du dir überlegen, was "volle Funktionalität" für dich bedeutet. "Ein AD" kann sehr unterschiedliche Dinge bezeichnen. Beispiel: Sind für dich die Dateiserver dabei? Die Berechtigungen? Applikationen, die per ADSI oder LDAP Daten aus dem AD nutzen? Gruppenrichtlinien auf unterschiedlichen Client-Versionen? usw. Ein sehr wichtiges Tool hast du ja schon genannt: dcdiag. Es gibt eine Reihe weiterer typischer Standard-Tools. Ein paar davon habe ich vor ein paar Jahren mal in eine Halb-Automatisierung gebracht, vielleicht bringt dich das schon mal weiter: [Angelo 1.3: AD-Meta-Reporting | faq-o-matic.net]https://www.faq-o-matic.net/2016/07/04/angelo-1-3-ad-meta-reporting/ Gruß, Nils Zitieren Link zu diesem Kommentar
TimS 11 Geschrieben 10. September 2021 Autor Melden Teilen Geschrieben 10. September 2021 Danke für eure ausführlichen Antworten! DNS ist die heilige Kuh unseres "Mr. DNS". Das Herzstück das alles am Leben hält. Wenn ich über IPAM was falsch Einträge: Pech für unsere Fakultät und Institute. Aber ich möchte nichts gegen die Kollegen sagen. Wenn ich freundlich und mehrfach Nachfrage wird mir immer geholfen. Ist halt eine Entscheidung aus den 70er wie ich verstehe. IBM Server AIX, Kerberos, AFS... dann irgendwann Linux Server und bei den Mitarbeitern im Rechenzentrum Apple Arbeitsplätze(???). Microsoft wird nicht unterstützt. Daraufhin hat sich die Verwaltung und die Kliniken jeweils eine eigene IT aufgebaut. Es geht weiter mit der Softwareverteilung: ich bastele da was mit OPSI und demnächst dem WSUS während die Uni und Landesbibliothek eine teure Software kauft ich mich aber nicht an die Lizenzen ranhängen darf. Umso mehr bin ich froh das wir jetzt unser eigenes AD aufbauen können. Hab mich gerade bei IT NRW für eine Schulung angemeldet :) 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 11. September 2021 Melden Teilen Geschrieben 11. September 2021 Eine Infrastruktur, die einen "Mr. DNS" hat, hat ein betriebsgefährdenes strukturelles Problem - again jm2c Warum ich das sage? Weil ich genau das erlebt habe... Und wir heute noch darunter leiden, obwohl es 15 Jahre her ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.