Jump to content

Wiederanlaufplan Active Directory


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ich hätte ein paar Fragen zur Funktionsweise der DCs/des ADs.

 

Nehmen wir an, wir haben zwei funktionierende DCs. DC1 hält alle FSMO-Rollen inne.

 

Wenn nun DC1 ausfiele, würde DC2 übernehmen und die Konten authentifizieren lassen. (DNS Eintrag vorausgesetzt)

Ab wann gäbe es Probleme, aufgrund der Tatsache, dass der DC mit den FSMO-Rollen offline ist?

Mir ist klar, dass man die FSMO-Rollen verschieben kann, würde aber gerne wissen wie es aussieht, wenn man es nicht machen würde. (Ab wann sollte man es machen?)

 

Fragen:

Spielt der RID-Master auch beim Anmelden eine Rolle, oder nur beim Erstellen von AD Objekten?

Wie sieht es mit dem PDC-Emulator aus und den Problemen mit NTP? Bekommt man automatisch ab einem gewissen Zeitpunkt Probleme mit der Zeitsynchronisation?

Soweit ich weiß: NTP Server -> PDC -> DC (Anmeldeserver) -> Client.

Wenn der PDC nun offline ist, fehlt ein Glied in der Kette.

 

Eine andere Frage hätte ich zu servergespeicherten Profilen:

Aus dem Bauch heraus hätte ich gesagt, dass eine Authentifizierung an der Domäne nicht möglich sei, wenn der Server wo die Profile liegen, offline ist.

 

Es soll aber anscheinend doch möglich sein, mittels Kopie des servergespeicherten Profils auf den lokalen PC?

 

Vielen Dank

 

Link zu diesem Kommentar

Moin,

 

[AD: Betriebsmaster-Ausfall – was tun? | faq-o-matic.net]
https://www.faq-o-matic.net/2010/09/09/ad-betriebsmaster-ausfall-was-tun/

 

Die Grundannahme ist aber schon falsch. DC2 kommt nicht erst ins Spiel, wenn DC1 nicht mehr da ist.

 

vor 6 Minuten schrieb LK28:

Aus dem Bauch heraus hätte ich gesagt, dass eine Authentifizierung an der Domäne nicht möglich sei, wenn der Server wo die Profile liegen, offline ist.

Profile haben mit der Anmeldung nichts zu tun, die kommen erst später ins Spiel. Der User wird, wenn er an einen Rechner geht, wo er noch nicht angemeldet war, dann lange warten müssen, bekommt ein temporärer Profil und hat ein 1a-Risiko für Datenverluste.

 

vor 6 Minuten schrieb LK28:

Es soll aber anscheinend doch möglich sein, mittels Kopie des servergespeicherten Profils auf den lokalen PC?

Auf einem Rechner, wo der User schon angemeldet war, liegt sowieso eine Kopie des Profils. Eigentlich ist es sogar umgekehrt: Auf dem PC ist das Original, auf dem Server liegt eine Kopie.

 

Die Fragen, die du zu Profilen stellst, sind berechtigt. Servergespeicherte Profile sind per se problematisch. An Arbeitsplätzen, wo man sie nicht wirklich dringend braucht, sollte man sie nicht einsetzen.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 4 Minuten schrieb NilsK:

Moin,

 

[AD: Betriebsmaster-Ausfall – was tun? | faq-o-matic.net]
https://www.faq-o-matic.net/2010/09/09/ad-betriebsmaster-ausfall-was-tun/

 

Die Grundannahme ist aber schon falsch. DC2 kommt nicht erst ins Spiel, wenn DC1 nicht mehr da ist.

Danke für den Link. Dass beide DCs die Arbeit übernehmen im Normalfall weiß ich. Meinte damit nur, dass DC2 dann der Alleinige DC ist.

vor 4 Minuten schrieb NilsK:

Profile haben mit der Anmeldung nichts zu tun, die kommen erst später ins Spiel. Der User wird, wenn er an einen Rechner geht, wo er noch nicht angemeldet war, dann lange warten müssen, bekommt ein temporärer Profil und hat ein 1a-Risiko für Datenverluste.

 

Auf einem Rechner, wo der User schon angemeldet war, liegt sowieso eine Kopie des Profils. Eigentlich ist es sogar umgekehrt: Auf dem PC ist das Original, auf dem Server liegt eine Kopie.

 

Die Fragen, die du zu Profilen stellst, sind berechtigt. Servergespeicherte Profile sind per se problematisch. An Arbeitsplätzen, wo man sie nicht wirklich dringend braucht, sollte man sie nicht einsetzen.

 

Gruß, Nils

 

Auch hier Danke.

Ich werde das im Lab nochmal austesten, vor Allem wie es im Zusammenhang mit temp. Profilen mit den Zugriffen dann auf Netzwerkressourcen aussieht. Sollte ja aber eigentlich trotzdem gehen. Nur dann mit Passwort Eingabe beim Zugriff?

Link zu diesem Kommentar

Moin,

 

vor 16 Minuten schrieb LK28:

wie es im Zusammenhang mit temp. Profilen mit den Zugriffen dann auf Netzwerkressourcen aussieht. Sollte ja aber eigentlich trotzdem gehen.

ja, tut es. Noch mal: Das Profil hat mit der eigentlichen Anmeldung nichts zu tun.

 

vor 17 Minuten schrieb LK28:

Nur dann mit Passwort Eingabe beim Zugriff?

Nein. Der User ist ganz normal angemeldet und hat ein ganz normales Access-Token. Damit kann er ganz normal zugreifen wie sonst auch.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...