Vernetzte Standorte - Arbeit an der Domäne

[drhirn 10]

Guten Morgen!

 

Wir haben hier eine Zentrale und mehrere Standorte. Die sind jeweils über ein VPN vernetzt. Jeder Standort hat seinen eigenen W2k3-SubDomain-Server. Der PDC steht in der Zentrale und ist auch der Primäre (und einzige) DNS-Server. Soweit so gut. Das klappt ja alles.

Letzte Woche hatte ich aber das Problem, dass in 4 Standorten die Internetverbindung für mehrere Stunden ausfiel. Das die Clients in den Standorten daher keine Verbindung mehr ins Internet haben, täte ich ja noch verstehen. Aber warum konnten die an den PCs überhaupt nicht mehr arbeiten? Die Anmeldung an der Domäne funktionierte nicht mal mehr. Irgendwie erscheint mir das ja schon logisch, wenn keine Verbindung mehr zum DNS-Server besteht. Aber ham die Clients (alle XP) nicht irgenwo einen DNS-Cache, damit sie wenigstens den für sie zuständigen Server (Subdomänen-Controller) finden? Der steht ja immerhin ums Eck. Und wenn kein Cache, muß ich da jetzt extra die Host-Datei anpassen oder gibt es eine elegantere Lösung?

 

Danke

 

Stefan

[the_brayn 10]

Hiho,

 

die eleganteste Lösung ist an den Standorten einen DNS zu installieren, ob nun ADintergriert, Primär, Sekundär oder als Stub (wobei ich da nicht weiß ob er auch Dienstauflösungen zwischenspeichert) mußt Du entscheiden. Fakt ist, ohne DNS keine/sehr langsame Auflösung der vom AD bereit gestellten Dienste.

 

Gruß Guido

 

PS: vom Traffic her ist IMHO eine AD integrierte Zone am besten. Weitere Vorteile: nur sichere Einträge bei DynDNS, keine zusätzlicher Traffic, da Synchronisation mit AD, mehrere schreibfähige Kopien der DNS-Zone.

[drhirn 10]

Ok, das werd ich so machen.

 

Vielen Dank Guido!

 

Stefan

[CoolAce 17]

Hy

 

nur zur Info die Anmeldung hat nicht funktiniert weil du an den Standorten höchstwahrscheinlich kein Global Katalog Server hast. Am besten sind universelle Gruppen um dies zu vermeiden

 

Gruß

 

CoolAce :cool:

[cloney 10]

Moin,

 

die Anmeldung klappte nicht, da einfach kein DNS nach den AD Diensten gefrat werden

konnte. Wie schon erwähnt, einfach mehrere DNS-Server installieren (min. 1 pro Standort)

und schon sieht das besser aus. Wenn du eine W2k3 Domain hast, muß nicht in jedem

Standort ein DNS Server sein, wohl aber ein DC. Dieser speichert auch ohne GC die

Informationen eines GCs zwischen.

 

Cloney

[the_brayn 10]

Hiho,

die Anmeldung klappte nicht, da einfach kein DNS nach den AD Diensten gefrat werden

konnte

Das meinte ich oben mit dem 2. Satz.

Wie schon erwähnt, einfach mehrere DNS-Server installieren (min. 1 pro Standort)

und schon sieht das besser aus. Wenn du eine W2k3 Domain hast, muß nicht in jedem

Standort ein DNS Server sein, wohl aber ein DC

Ein Widerspruch in sich, a soll er mindestens einen DNS pro Standort aber b brauch er das dann doch nicht? Was ändert an dieser Sache denn das es eine W2K3-Dom ist?

Dieser speichert auch ohne GC die Informationen eines GCs zwischen.

nur zur Info die Anmeldung hat nicht funktiniert weil du an den Standorten höchstwahrscheinlich kein Global Katalog Server hast. Am besten sind universelle Gruppen um dies zu vermeiden

Den GC müßt ihr beide mir jetzt aber in diesem Zusammenhang mal erklären. Oder wißt ihr mehr über seine Struktur als ich?

 

Gruß Guido

[BuzzeR 10]

Da haben wohl einige nicht richtig aufgepaßt denn der GC kann als Untermenge des

Schemas bezeichnet werden, wenn das auch etwas hinkt. Der GC speichert

Teilinformationen aus dem Schema und natürlich auch Infos zu den

Gruppenmitgliedschaften.

 

Zu sagen, nimm einfach nur universelle Gruppen ist absoluter Quatsch, denn erstens

rät Microsoft zum besonnenen Einsatz dieser Gruppenart und zweitens werden diese

Informationen ebenfalls repliziert. Je mehr universelle Gruppen, desto mehr Replikations-

verkehr.

 

In den Standorten gehören natürlich GCs, damit das mit der Anmeldung ordenlich

klappt, oder es muß die Zwischenspeicherung universeller Gruppenmitgliedschaften

aktiviert werden. ( Will jetzt aber hier keine Abhandlung schreiben )

 

Korrekt ist, dass AD integrierte Zonen am angenehmsten sind und auch eigentlich

nichts gegen den Einsatz der selbigen spricht. Des weiteren ist es korrekt, dass

ohne DNS das ganze nicht wirklich ordentlich funktioniert, denn im DNS werden

die SRV - Einträge vorgehalten ... siehe DC usw.

 

Gruß

Marco

[cloney 10]

Sorry, hab mich oben verschrieben.

Ich meinte natürlich das du nicht in jedem Standort einen GC unbedingt

benötigst, da in einer W2k3 Domain die DCs div. Informationen aus dem GC

zwischenspeichern.....

[drhirn 10]

Nun, hab Eure Vorschläge beherzigt und an jedem Standort einen DNS installiert (Primäre Zone, AD integriert). Müssen die Zonen auf jedem DC in in der AD-Gesamtstruktur repliziert werden, oder nur auf allen DNS-Servern in der Subdomäne?

 

Auf jeden Fall funzt die Anmeldung nicht mehr, wenn der VPN-Tunnel nicht funktioniert. Was könnte da noch falsch sein?

 

Danke

Stefan

[Christoph35 10]

Wie oben schon erwähnt wurde, sollte an jedem Standort auch ein DC zum Global Catalog Server gemacht werden (AD Standorte und Dienste, Eigenschaften von NTDS-Settings unterhalb des Servers).

 

Marco hat mit seinen Bemerkungen recht. Zu erwähnen wäre höchstens noch, dass der Replikationsverkehr, den die GC-Replikation verursacht, reduziert wird, wenn der Forest den Windows 2003 Native Functional Level hat (und damit auch alle Domains, ist hier wohl nur eine?!). Dann findet eine Delta-Replikation statt, d.h. nur Änderungen an den Gruppenmitgliedschaften werden repliziert, nicht mehr die kompletten Gruppenmitgliedschaften.

 

Gruß

Christoph

[drhirn 10]

Wie oben schon erwähnt wurde, sollte an jedem Standort auch ein DC zum Global Catalog Server gemacht werden (AD Standorte und Dienste, Eigenschaften von NTDS-Settings unterhalb des Servers).

 

Wie jetzt? Ich habe 12 Standorte mit jeweils einem DC. Und die sollen alle GC-Server werden, oder nur einer von den 12?

 

Stefan

[Tallasar 10]

Hallo,

 

an jeder Site einen DC mit GC, worauf wahrscheinlich wohl auch der DNS läuft!

 

Gruß Tallasar

[drhirn 10]

Aha, ok, ich probier's mal aus und meld mich wieder.

 

Vielen Dank!

 

Stefan

[Momo 10]

Hallo,

 

ich möchte das Thema nochmals aufgreifen.

 

Ich plane eine root Domänen xyz.local und zwei Sub- Domänen a.xyz.local und b.xyz.local. Alle Domänen erhalten je zwei DCs und zwei DNS Server (AD intgr.). Je ein Server wird GC.

 

Macht es Sinn, die Sub-Domänen an die DNS Server der Sub-Domänen zu deligieren?

Was trage ich in den Netzwerk Einstellungen der DNS Server ein: Nur die lokalen DNS Server oder auch den DNS Server der Root Domäne?

Oder trage ich eine Weiterleitung in den DNS Servers für jede Domäne ein,sSo dass sich alle fnden?

 

Gruß

Momo

[Dimario 10]

moment mal Leute!

Microsoft empfiehlt doch, dass Globale Kataloge dorthin kommen wo Anwendungen auf das AD zugreifen!?!? Wenn dies in einem Standort nicht der Fall ist kommt man doch mit einer universellen Speicherung aus und erzeugt weniger traffic oder liege ich da jetzt falsch???

Außerdem müssten sich Clients auch schon anmelden können wenn es in der Domäne das lokale Zwischenspeichern von Benutzerprofilen erlaubt ist. Dann ist das lokale arbeiten AM pc möglich und habe ich dann auch noch einen internen DNS server sollten sogar noch zugriffe auf das lokale Netzwerk möglich sein???

Nur so als Diskussionsgrundlage

 

cu...