Standort Anmeldeserver

[phoefliger 10]

Hallo Leute folgendes Problem :

 

Win2003 Active Directory - 6 Standorte

 

Standort 1 = IP Bereich : 10.0.0.0 / 24 ( BSP IP's )

Standort 2 = IP Bereich : 20.0.0.0 /24 ( BSP IP's )

 

Wenn ich jetzt einen Client im 10.0.0.0 Netz habe solle er nicht den Anmeldeserver von Standort 1 berücksichtigen ?

 

Bei mir meldet sich der Client am 20.0.0.0 Domaincontroller ( also am anderen Standort an )

 

Ich möchte aber das sich der Client anhand der IP Bereich den dazugehörigen DC auswählt ! weiss jemand rat ?

[dippas 10]

Ich möchte aber das sich der Client anhand der IP Bereich den dazugehörigen DC auswählt ! weiss jemand rat ?

 

Jeder DC, der globaler Katalog ist, nimmt Anmeldungen entgegen. Einfach in den Standorten einen GC zur Verfügung stellen ;)

 

grüße

 

dippas

[heinzelrumpel 10]

Hi,

 

denke mal, wenn du entsprechende sites einrichtest, die clients ihre anmeldung auch primär am dc des eigenen subnetzes durchführen.

 

gruß

 

heinzelrumpel

[phoefliger 10]

hab pro Standort einen DC und dieser ist hat auch einen GC.

die Site sind konfiguriert und die IP Bereich eingetragen.

 

INFO : Es nehmen auch DC anmeldefrage entgegen die keinen GC haben.

[grizzly999 11]

Korrekt. Jeder DC kann die Anmeldeauthentifizierung vornehmen, nicht nur GCs.

 

Sind auf allen deinen DCs die Standortinformationen korrekt?

 

 

grizzly999

[dippas 10]

dazu habe ich jetzt aber mal ne Frage.

 

Gelernt habe ich, dass die GCs die Anmeldungen entgegen nehmen. Dafür sind die da. Von einem DCs (nur DC ohne GC) kenne ich das nicht.

 

Aufgrund eurer Hinweise habe ich nochmal einen Blick in einen meiner analogen Datenspeicher geworfen und da steht geschrieben:

 

"Wenn der globale Katalog nicht verfügbar ist, können sich normale Benutzer nicht einmal bei der Domäne anmelden." (S. 179)

 

"Sie können einer Domäne auch weitere globale Kataloge hinzufügen, um die Reaktionszeit bei Anmelde- und Suchanforderungen zu verbessern. Empfohlen wird ein globaler Katalog pro Standort innerhalb einer Domäne" (S. 182)

 

und weiter

 

"Einer der Hauptgründe für die Konfigurierung zusätzlicher globaler Kataloge ist, dass ein Katalog für Dienstanmelde- und Verzeichnissuchanforderungen verfügbar ist. Dabei gilt wiederum, dass für normale Benutzer eine Anmeldung und ein Durchsuchen des Verzeichnisses nicht möglich ist, wenn die Domäne nur einen globalen Katalog besitzt und dieser nicht verfügbar ist. Wenn der globale Katalog nicht verfügbar ist, können sich nur Mitglieder der Gruppe Domänen-Admins bei der Domäne anmelden." (S. 182)

 

auch noch:

 

"TIpp: Falls langsame Anmelde- oder Abfragereaktionszeiten auftreten, sollten Sie zusätzliche globale Kataloge konfigurieren. Allerdings bedeutet dies gewöhnlich, dass mehr Replikationsdaten über das Netzwerk übertragen werden." (S. 182)

 

Quelle: Microsoft Windows Server 2003, Taschenratgeber für Administratoren, Seiten ab 179, Kapitel 6, "Grundlegendes zur Verzeichnisstruktur", MSpress

 

Andere Bücher und meine MOC-Ordner liegen @work, weshalb dies die einzige momentan für mich verfügbare Papierquelle ist.

 

OK, der Inhalt deckt sich aber mit dem von mir erinnerten.

 

Unstreitig ist, dass der erste DC auch automatisch GC ist.

Unstreitig ist auch, dass natürlich der gesamte Bereich "AD - Standorte und Dienste" richtig konfiguriert sein muss, also beisp. die GCs in den richtigen Standorten stehen.

 

Jetzt helft mir doch bitte mal auf´s Pferd wie die Sache mit DC und GC unter dem Fokus "Anmeldung an Domäne" aussieht. Ich bin der Meinung, dass ein DC alleine (also ohne GC) das nicht macht, bzw. nicht für normale Benutzer macht.

 

vielen dank

 

dippas

[grizzly999 11]

Natürlich kann ein DC ohne GC die Anmeldung entgegennehmen, wozu sollte er sonst da sein, ich meine ein Dc ohne GC.

 

Ein GC wird insbesondere dann benötigt, wenn sich die Domäne im einheitlichen Modus (2000) bzw. im 2000 pur Modus oder 2003 Modus (2003) läuft, um die Mitgliedschaft in einer universellen Gruppe zu prüfen. Das kann ein DC ohne GC auch bei einem GC machen.

 

grizzly999

[blub 115]

Hi dippas,

wobei es schon richtig ist, ohne einen verfügbaren GC kann sich ein User nicht am Netzwerk anmelden. Aber prinzipiell reicht ein GC aus, der Rest der DCs muss nicht zusätzlich GC sein, um eine Anmeldung entgegenzunehmen, wenn ein GC erreichbar ist

Das sagen deine Zitate völlig korrekt aus

 

cu

blub

[dippas 10]

Das kann ein DC ohne GC auch bei einem GC machen.

 

Das würde ja implezieren, dass der DC ohne GC die Authentifizierung des Users beim GC macht. Also nicht selbst authentifiziert, sondern entgegennimmt, weiterleitet oder stellvertretent macht. ;)

Ich weis, Du meinst er könne das "zudem" statt "ebenso", oder?

 

Das die universellen Gruppen ausschließlich in einer im native Mode laufenden W2k/W2k3-Domäne eine Rolle spielen und über den GC laufen ist klar. Denn der GC hält ja die Infos über die universellen Gruppen des Forest (was ein DC nicht kann) und sonst ausschließlich seine eigenen User/Gruppen.

 

Trotzdem bin ich nicht wirklich überzeugt, denn allenthalben spielt der GC insbesondere bei Anmeldungen in Standorten die gewichtigste Rolle. Will meinen, dass mir das Argument, ein DC ohne GC kann authentifizieren, neu ist.

 

Allerdings muss ich zugeben, dass die Frage, was ein DC denn ohne GC machen soll, nicht schlecht ist ;)

 

grüße

 

dippas

[grizzly999 11]

Hmm, dass dir das neu ist, ändert nichts an der Tatsache ;)

 

Der DC authentifiziert, dafür ist er da. Er ruft lediglich die Gruppenmitgliedschaft beim GC ab, um sie ins Ticket zu schreiben.

 

 

grizzly999

[dippas 10]

Hi dippas,

wobei es schon richtig ist, ohne einen verfügbaren GC kann sich ein User nicht am Netzwerk anmelden. Aber prinzipiell reicht ein GC aus, der Rest der DCs muss nicht zusätzlich GC sein, um eine Anmeldung entgegenzunehmen, wenn ein GC erreichbar ist

Das sagen deine Zitate völlig korrekt aus

 

cu

blub

 

Du hast mich mit deinem Beistand gerettet. :)

Ich dachte schon, ich habe eine falsche Erinnerung gespeichert ;)

 

Was ich aber nicht verstehe, ist, das im Standort doch ein GC steht:

 

hab pro Standort einen DC und dieser ist hat auch einen GC.

die Site sind konfiguriert und die IP Bereich eingetragen.

 

Ist die Konfiguration der Server in den einzelnen Standorten wirklich richtig? Sorry, das ich nachfrage, aber wenn ein GC nun mal Anmeldungen entgegen nehmen kann, warum sollte er es nicht im eigenen Subnetz tun

 

grüße

 

dippas

[dippas 10]

Er ruft lediglich die Gruppenmitgliedschaft beim GC ab, um sie ins Ticket zu schreiben.

 

Vielleicht ist das genau der Hinweis, warum mir das neu ist. Damit kann ich mal überprüfen, ob ich mir da vielleicht Etwas ein wenig unscharf gespeichert habe. ;)

 

grüße

 

dippas

[varnik 10]

Zitat von grizzly999

Er ruft lediglich die Gruppenmitgliedschaft beim GC ab, um sie ins Ticket zu schreiben.

 

 

Allerdings kann ein DC ohne GC diese Informationen cachen. Steht in den Gruppenrichtlinien.

[grizzly999 11]

Zitat von grizzly999

Allerdings kann ein DC ohne GC diese Informationen cachen. Steht in den Gruppenrichtlinien.

Wäre mir neu. Wo dort? IMHO und meines Wissens nach kann ich das nur über die Eigenschaften des Standorts in der Entsprechenden Konsole (AD Standorte und Dienste) einschalten.

 

Achja, was ich gestern noch nicht gesagt habe (war zeitlich sehr kurz angebunden, daher die knappen Antworten): Innerhalb einer einzigen Domäne (Single-Domain-Modell) brauche ich gar keinen GC zur Anmeldung, weil sowieso jeder DC die kompletten Informationen aller User. Das von mir weiter oben gesagte gilt nur für ein Multi-Domain-Modell ;)

 

 

grizzly999

[varnik 10]

Upps. Schon wieder verwechselt. Sorry