Terminalserver zum DC hochstufen, geht dass?

[haeckle 10]

Hi,

 

folgendes Problem:

 

 

Wir haben ein W2k-Netzwerk mit 4 Servern:

 

Server 1 = Datenserver und DC

Server 2 = Terminalserver für Hauptanwendung

Server 3 = SQL-Server

Server 4 = Terminalserver für eine Spezialanwendung

 

 

Um mehr Ausfallsicherheit zu haben, wolle ich den Server 4 als

zweiten DC in die Domäne einbinden. Das einbinden in die Domäne

hat auch funktioniert. Nur war es anschließend den Usern nicht

mehr möglich, sich an dem Terminalsever anzumelden. Es

kam folgende Meldung

 

"Der Benutzer kann sich nicht interaktiv anmelden"

 

Wie kann ich dem Terminalserver nun beibringen, dass er diese

Anmeldungen wieder zuläßt oder kann ein Terminalserver nicht

gleichzeitig auch DC sein?

[Grazio 10]

Guten Morgen,

 

klar kann ein terminalserver auch eine Art BDC sein. Dieses Konzept gibts zwar seit W2K nicht mehr, im Prinzip ist es aber das gleiche Spiel. Überprüfe mal die Berechtigungen der einzelnen Benutzer und vergleiche sie mit denen des anderen TS / PDC (AD Controller). ANschließend werden Dir wohl ein paar Kleinigkeiten auffallen die nicht ganz stimmen. Zusätzlich würde ich den Lizenzserver für den TS überprüfen. Ich meine mich entsinnen zu können das ein Lizenzserver nicht auf einem AD laufen kann... oder war das mit zwei Domänen?

Naja, jedenfalls solltest Du mal bei MS nachsehen ob Du nicht ein passendes Whitepaper findest, sofern es nicht an den Berechtigungen lag.

 

Gruß, Tobi

[gr@mlin 10]

hi,

Original geschrieben von haeckle

Wie kann ich dem Terminalserver nun beibringen, dass er diese

Anmeldungen wieder zuläßt...

die terminaluser müssen das recht haben, sich lokal am ts anzumelden (gpo).

 

gruss, gr@mlin

[Wolleg 10]

Hi,

 

ein Terminalserver sollte aber "nur" ein Terminalserver bleiben, der hat bestimmt genug zu tun. Kommt aber immer auf die Useranzahl an!

[haeckle 10]

Hi alle zusammen,

 

Zu Wolleg,

 

auf dem TS, den ich hochstufen möchte, sind in der Regel 4 - 6 User angemeldet, die dann ab und zu auf diese Spezialanwendung zugreifen. Eingebait ist eine P4, mit SCSI-FP und 512 MB Ram. In der Größenordung könnte man diesen doch zum DC machen, vor allem weil nicht allzuviele User sich dort anmelden, oder?

 

 

zu gr@mlin

 

Das werde ich überprüfen. Die lokale GPO habe ich nicht berücksichtigt. Ich dachte, weil die sich vor der Heraufstufung zum DC anmelden konnten, dass es dann nach dem Heraufstufen zum DC kein Problem gibt.

 

 

zu Tobi

 

Deinen Ausführungen kann ich nicht ganz folgen:

 

1) Mir ist schon klar, dass es keinen BDC im W2k Konzept mehr gibt. Dafür kann man nun ja

einzelne Server als weitere DC in die Domänenstruktur einbinden. Da weis ich nicht worauf

Du hinauswolltest. Das hochstufen zum DC hat ja einwandfrei funktioniert.

 

2) Da ich Servergespeicherte Benutzerprofile für alle Benutzer angelegt habe, sollte es

dort keine Probleme mit Berechtigungen geben. Wo der Terminalserver ja kein DC war,konnte

sich ja jeder Benutzer korrekt anmelden. Auch nach dem herabstufen, funktionierte alles

wieder einwandfrei. Also muss dass Anmeldeproblem doch woanders liegen, oder?

 

3) Mein jetziger DC ist auch Lizensserver. Das hat bis jetzt auch immer einwandfrei

funktioniert. Deswegen ist es mit ja schleierhaft, warum diese Meldung kommt.

 

Hast Du evtl. noch einen anderen Ansatz?

[Grazio 10]

Hallo,

 

mit dem PDC und BDC Konzept war irgendwie nur so ein Gedankengang von mir... ist ja auch noch früh. :D

Selbst wenn Du den Server als DC hochstufst und servergespeicherte Profile hast, heiß das noch lange nicht das auch die Synchronisation zwischen den beiden DCs funktioniert. Evtl. greifen tatsächlich die GPOs nicht beim neuen DC. Wäre nett wenn Du das mal überprüfen würdest und uns dann bescheid gibts - denn hinterher sind wir alle schlauer. ;)

 

Gruß, Tobi

 

Übrigens: Werd hier auch nochmal meine Kollegen fragen - vielleicht kommt ja noch ein kleiner Hinweis von denen.

[Wolleg 10]

bei so wenigen Usern sollte das kein Problem sein, allerdings ist der Server auch nicht unbedingt eine Powermaschine. Schau einfach mal nach der Auslastung. Bei uns ist das ein größeres Problem, an jedem unserer Termserver melden sich ca. 45 User an.

 

Dein eigentliches Problem ist aber das der Termserver jetz ein DC ist und dieser läßt keine Anmeldung von Benutzern zu (lokal). Wie schon oben beschrieben,--- lokale Anmeldung von Benutzern zulassen---

 

Gruß

Wolle

[Hacko 10]

das ist zu nahezu 100% ein Problem der Default Domain Controller Policy.

Dort musst du unter -> Computerkonfiguration -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten folgendes ändern:

 

Lokal anmelden zulassen: Dort müssen deine TS-User mit drin stehen, dürfen gleichzeit nicht unter Lokal anmelden verweigern drin stehen.

[haeckle 10]

Hi,

 

so, ich habe mir meine GPO´s angesehen und zwar auf dem 1 DC meiner Domäne (Den 2 DC habe ich, nachdem das nicht funktionierte, wieder zurückgestuft).

Dort können sich die Benutzer ebenfalls nicht interaktiv anmelden.

In der lokalen Richtline habe ich dann auch gefunden, dass sich Domänenbenutzer nicht anmelden können. Die lokale Richtline besagt hier allerdings, dass die User sich anmelden dürfen. Die effektive Einstellung ist aber so, dass für die Benutzer dort kein Häckchen gesertz ist und somit auch kein Zugriff möglich ist.

 

Nun habe ich mir die GPO der Domäne angesehen, dort ist aber nirgends definiert, dass die Benutzer sich nicht lokal anmelden durfen. Bei der GPO der Domäne steht unter

 

Computerrichtlinie>Windowseinstellungen>Sicherheitseinstellungen>lokale Richtlinien>Zuweisunge von Benutzerrechten>lokale Anmeldung

 

"Nicht definiert"

 

Bedeutet "Nicht definiert", dass die lokale Anmeldung somit nicht für Benutzer ohne Administratorenrechten möglich ist oder ziehen sich die User diesen Wert noch aus einer anderen Einstellung.

[gr@mlin 10]

...oder ziehen sich die User diesen Wert noch aus einer anderen Einstellung.

reihenfolge beim verarbeiten von richtlinien:

1. lokal

2. standort

3. domäne

4. ou(s)

 

wenn also lokal und auf domänenebene nichts definiert ist, schau mal in die ou-richtlinien...

[haeckle 10]

Hi,

 

ich habe die Richtlinieneinstellungen geändert in dem ich der GPO

für den DC unter

Computerrichtlinie>Windowseinstellungen>Sicherheitseinstellungen>lokale Richtlinien>Zuweisunge von Benutzerrechten>lokale Anmeldung

 

den "Benutzer" hinzugefügt habe.

 

Will ich mich jetzt anmelden, so erfolgt zwar nicht mehr die Meldung, dass ich mich nicht interaktiv anmelden darf, aber mit der Meldung "Sie dürfen sich an dieser Sitzung nicht anmelden", schlägt die Anmeldung wieder fehl.

 

Der Benutzer hat jetzt unter der Lokalen Sicherheitsrichtlinie die effektive Berechtigung zum Zugriff (Häckchen ist gesetzt!).

 

Was kann das noch sein. Es gibt ja noch die User TERMINALSERVERBENUTZER und TsInternetUser

Müssen die evtl. auch noch zugeordnet werden.

[gr@mlin 10]

also - lokale anmeldung ist ja jetzt erlaubt - gut!

 

zur anderen meldung, schau mal hier:

 

http://support.microsoft.com/default.aspx?scid=kb;de;224395

 

gruss, gr@mlin

[haeckle 10]

Hi Gr@mlin,

 

 

danke für den Tipp. Die Anmeldung funktioniert nun einwandfrei.

Jetzt aber noch eine Frage.

 

Ich möchte nun als nächstes den Server4 als einen weiteren DC in die Domäne integrieren. Klar, ausführen von DCPROMO, hinzufügen als weiteren DC zum schon vorhandenen Tree ect.

Gibt es aber außerhalb dieser Vorgehensweise noch Dinge, die man beim Hochstufen des Servers zu einem DC beachten muss?

(Da nur wenige User (4-6) diesen DC nutzen werden, fällt ein Geschwindikeitsproblem sicher flach).

Aber was muss man z.B. bei den Zeitpunkten der Replikation beachten. Z.B. immer nur Abends replizieren (würde ausreichen).

Gibt es sonst noch Stolperfallen, z.b. dass WIN98 Clients nicht mehr korrekt laufen, wenn auf einmal 2 DC´s im Netz hängen, oder ähnliches!

[zuschauer 10]

Hi !

Soweit ich das verstanden hab, läuft Dein Server 4 bereits als DC, Du meinst also den TS für die Hauptanwendungen - Server 2.

Bisher haben 4-6 Leute das Recht, sich an einem DC anzumelden, demnächst dann sehr wahrscheinlich alle. Das dies ein Sicherheitsrisiko ist, sollte Dir klar sein.

 

Zu Deinen Fragen: Die Win98-Clients finden wie alle Clients einen DC, und zwar den, der sich zuerst meldet - das ist nicht das Problem. Die Replikationszeiten kannst Du festlegen. Wenn alle DC allerdings in einem LAN stehen, ist dies nicht notwendig. Es ist dann eher lästig, wenn man auf die Replizierung 24 h warten müßte.

[haeckle 10]

Hallo Zuschauer,

 

Soweit ich das verstanden hab, läuft Dein Server 4 bereits als DC, Du meinst also den TS für die Hauptanwendungen - Server 2.

Bisher haben 4-6 Leute das Recht, sich an einem DC anzumelden, demnächst dann sehr wahrscheinlich alle. Das dies ein Sicherheitsrisiko ist, sollte Dir klar sein.

 

Das ist etwas anders:

 

Also nochmal meine Netzwerkonstellation und mein vorhaben.

 

Zur Zeit haben wir 4 W2K Server im Einsatz

 

Server 1 = Datenserver und gleichzeitg auch DC

Server 2 = Terminalserver für Hauptanwendung

Server 3 = SQL-Server

Server 4 = Terminalserver für eine Spezialanwendung

 

Da ich in meiner Domäne bisher nur einen DC habe (Server1) möchte ich nun einen weiteren DC zur Ausfallsicherheit in das System einbinden. Dazu würde sich aber nur Server4 anbieten, da dieser von den wenigsten Benutzern gleichzeitig genutzt wird. Zwar dürfen sich theoretisch alle User anmelden, in der Regel sind es aber nicht mehr als 4-6 User gleichzeitig.

Meine Frage war nun, worauf ich achten muss, wenn ich den Server4 zu einem DC meiner Domäne hochstufen möchte.

Replikation hast Du schon erläutert.

Was kann man in Punkto Sicherheit denn dort noch machen?

Z.B. verhindern von Anzeigen der "Verwaltung" und "Systemsteuerung" per GPO ect.

Gibt es evtl. die Möglichkeit bestimmte Ordner für Benutzer per GPO unsichtbar zu machen, ähnlich dem "Ausblenden von Systemdateien"?

Gibt es noch andere Fallen wenn man einer Terminalserver auch als DC nutzen will?