Standort Anmeldeserver

[Velius 10]

Vielleicht hilft ja das hier: How to Optimize the Location of a Domain Controller or Global Catalog That Resides Outside of a Client's Site

Global Catalog Server Requirement for User and Computer Logon

 

Im grossen und ganzen wird nur das bereits gepostete wiederholt.

Deswegen:

- DNS SRV Records checken.

- AD Sites und Services checken.

- Eventlogs können auch nicht schaden.

 

 

Gruss

Velius

 

 

P.S.: Kann auch nicht schaden, diese mal gelesen zu haben.

Domain controller is not functioning correctly

How Domain Controllers Are Located in Windows XP

[phoefliger 10]

Hallo in meinem DNS sind unter den gewünschten Site mehrer DC eingetragen das stimmt.

Jetzt kleine frage : wenn ich die restlichen DC's aus der (DNS Site) lösche ist dann nicht die Redundanz futsch ?

 

dann hab ich ja Pro Standort nur noch einen DC welcher LDAP & Kerberos beherscht.

oder wechselt der Client welcher im Standort X ist automatisch auf einen DC im Standort Y falls der DC im Standort X nicht verfügbar ist?

 

Ich frage darum weil ja am Standort X nur noch dir SRV einträge für den einen DC stehen.

 

danke für eure Tipps....

[Christoph35 10]

Er wird einen DC an einem anderen Standort auswählen, und zwar den, den er zu den geringsten Kosten erreichen kann. Die Kosten sind ja eine Eigenschaft der Sitelinks.

 

Wenn du also einen Sitelink von x nach y mit Kosten 1 hast und einen link zu Standort z mit Kosten 2, wird er versuchen, sich gegen einen DC am Standort y zu authentifizieren.

 

Sollte das falsch sein, bitte korrigieren.

 

Christoph

[phoefliger 10]

Also meinst du ich soll das über die Sitelink-Costs regeln und nicht duch die DNS einträge ?

[phoefliger 10]

Client X ist ja schon am Standort X zugeteilt ( Subnet konfiguration )

somit sind ja für den Client X die kosten am geringsten sich am Standort X bzw. am DC an diesem Standort zu indentifizieren.

 

Werden die Sitelink Cost nich einfach für den KCC bzw. ISTG benötig ? um den besten bzw. den günstigsten Replikationsweg zu brechnen ?

 

gruess

[Christoph35 10]

Hi,

 

wenn er einen DC am eigenen Standort findet, wird er den nehmen. Das mit den Kosten ist ja nur relevant, wenn der DC am eigenen Standort ausgefallen ist.

 

Also: in Sites and Services sollte je Site nur der DC aufgeführt sein, der auch in der Site steht, wenn du die anderen DCs da löschst bzw. in die entsprechenden Sites verschiebst, wird auch das DNS angepasst.

 

Die andere Frage: das hatte ich auch überlegt, ob das nur dafür relevant ist, aber mein Kollege hier meint, dass die Kosten auch für den Logon-Verkehr ausgewertet werden.

 

Wie schon mal gesagt: falls jemand andere Info hat, lasse ich mich da auch gerne überzeugen.

 

Christoph

[phoefliger 10]

Danke für deine Infos---

 

also ich denke die Kosten werden für die Replikation benötigt.

Aber wie auch immer du hast mir sehr geholfen vielen dank ..

und bye

[Christoph35 10]

Danke für deine Infos---

also ich denke die Kosten werden für die Replikation benötigt.

 

Dafür werden sie auf jeden Fall benötigt. Aber ich habe auch nochmal einen Artikel ausgegraben, der bestätigt, dass sie auch für den Logonverkehr ausgewertet werden:

 

http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/distrib/dsbc_nar_jevl.asp

 

Gruß

 

Christoph

[Data1701 10]

@phoefliger

 

Ich will ja nicht meckern, aber das habe ich von Anfang an gesagt .

 

Nu gut - Undank ist der Weltenlohn. ;)

 

Gruß Data

[Christoph35 10]

@data:

 

stimmt. hätte ich natürlich höflicherweise auch noch mal drauf verweisen sollen, aber ich hab den Thread wohl auch etwas zu schnell überflogen.

 

Christoph

[phoefliger 10]

@data...

 

das stimmt, ich danke natürlich auch dir ..

und sende dir ein danke schön ;-)

[grizzly999 11]

@grizzly999:

 

Wenn´s nicht nur in den Schulungsunterlagen so steht, scheint die Sache ja nicht ganz so falsch zu sein, oder?

 

Allerdings:

Vermutlich ist dass ganz entscheidende bei dieser Sache folgender Passus "einheitlicher Modus".

 

Das bedeutet für mich:

 

Domäne im mixed-Mode: grizzly hat Recht und DC nimmt auch Auth. entgegen

Domäne im native-Mode: ich habe Recht und nur der GC kann auth.

 

Das wäre dann aber bei einer entsprechenden Aussage auch immer zu erwähnen (also mixed-mode oder native-mode)

Soory komme erst ejtzt zum Schreiben.

Wenn allles immer in den Schulungsunterlagen stehen würde, dann müsste

1.) Microsoft kein Resource Kit herausbringen (oder damit schulen)

2.) würde eine einfache Schuluung statt 5 Tage 5 Wochen dauern.

 

Du hast den Artikel gelesen?

Du hast im Resource Kit gelesen?

Du hast es ausprobiert?

Und Microsoft verzapft Unsinn auf seinen Homepages zu technichal Resources?

 

Aber du hast Recht .... :p

 

 

grizzly999

[dippas 10]

Hallo Grizzly,

 

schön von Dir zu hören.

 

Wenn allles immer in den Schulungsunterlagen stehen würde, dann müsste

1.) Microsoft kein Resource Kit herausbringen (oder damit schulen)

2.) würde eine einfache Schuluung statt 5 Tage 5 Wochen dauern.

 

Da hast Du sicherlich recht. Alles kann natürlich nicht in den Unterlagen stehen. Wäre auch ne Zumutung für die Schüler sich jedesmal nen Transporter zu organisieren um den Papierberg nach Hause zu schaffen ;)

 

Du hast den Artikel gelesen?

Du hast im Resource Kit gelesen?

Du hast es ausprobiert?

Und Microsoft verzapft Unsinn auf seinen Homepages zu technichal Resources?

 

ja

nein

nein (aber blub hat, Post#20 - und ich werde es auch testen, sobald ich mir ne Testumbegung aufgebaut habe)

na das hoffe ich doch wohl nicht

 

Aber du hast Recht .... :p

 

Ironisch oder ernst gemeint? :suspect:

 

Hey, ich will kein Recht haben, sondern Wissen erlangen. ;)

 

Ich bin mir durchaus bewusst, dass ich in dieser Sache ein wenig hartnäckig (oder sogar dickköpfig?) bin, aber letztlich bin ich schon auf der Suche nach einer eindeutigen Erklärung. Vielleicht ist ja der Unterschied mixed-mode und native-mode eine Erklärung?

 

grüße

 

dippas

[grizzly999 11]

Also ich kann dir versichern, dass ich den Unterschied der 4 Domain-functional-levels und der 3 forest-functional-levels sehr genau kenne, und diese Aspekte in meiner Antwort berücksichtigt sind (im in dem verlinkten Artikel sicherhlich auch).

Und meinem kurz vor dem Schreiben des Beitrags nur so zur Sicherheit durchgeführten Test in einer frischen Testumgebung habe ich auch die entsprechenden Levels eingestellt. Wo blub das Problem hatte, kann ich nicht nachvollziehen, aber die Aussage von Microsoft ist eindeutig, und auch logisch, übrigens seit Windows 2000.

 

Und wieder was gelernt ... ;) :)

 

 

grizzly999

[blub 115]

hi zusammen,

 

Hier stehts doch recht eindeutig:

 

If a global catalog is not available when a user logs on to a domain set to the functional level of Windows 2000 native or higher, the computer will use cached credentials to log on the user if the user has logged on to the domain previously. If the user has not logged on to the domain previously, the user can only log on to the local computer. However, if a user logs on as the Administrator in the domain (Builtin Administrator account), the user can always log on to the domain, even when a global catalog is not available.

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/0ab51d48-1791-463b-a3ad-d4e3bbcb5eb6.mspx

 

Aus Erfahrung heraus kann ich diese Zeilen so bestätigen

 

Ein User kann sich also ohne erreichbaren GC nicht an einem DC in der AD-Domäne anmelden, ausser per cached credentials oder als Built-in Administrator. Ist auch logisch, da nur ein GC Informationen zu universal Groups hat, und dort könnten ja für die Anmeldung wichtige Informationen stehen. Also lieber die Anmeldung verweigern, wenn kein GC verfügbar ist, als evtl. unberechtigte Zugriffe erlauben.

 

Und auch ein Administrator kann keine neuen User anlegen, solange kein GC verfügbar ist.

 

Ergo: ohne GCs macht selbst ein Single-Domänenleben nicht wirklich Freude

 

cu

blub