Zum Inhalt wechseln


Foto

Standort Anmeldeserver


  • Bitte melde dich an um zu Antworten
71 Antworten in diesem Thema

#1 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 30. Juni 2005 - 16:19

Hallo Leute folgendes Problem :

Win2003 Active Directory - 6 Standorte

Standort 1 = IP Bereich : 10.0.0.0 / 24 ( BSP IP's )
Standort 2 = IP Bereich : 20.0.0.0 /24 ( BSP IP's )

Wenn ich jetzt einen Client im 10.0.0.0 Netz habe solle er nicht den Anmeldeserver von Standort 1 berücksichtigen ?

Bei mir meldet sich der Client am 20.0.0.0 Domaincontroller ( also am anderen Standort an )

Ich möchte aber das sich der Client anhand der IP Bereich den dazugehörigen DC auswählt ! weiss jemand rat ?

#2 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 30. Juni 2005 - 16:39

Ich möchte aber das sich der Client anhand der IP Bereich den dazugehörigen DC auswählt ! weiss jemand rat ?


Jeder DC, der globaler Katalog ist, nimmt Anmeldungen entgegen. Einfach in den Standorten einen GC zur Verfügung stellen ;)

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#3 heinzelrumpel

heinzelrumpel

    Board Veteran

  • 579 Beiträge

 

Geschrieben 30. Juni 2005 - 16:40

Hi,

denke mal, wenn du entsprechende sites einrichtest, die clients ihre anmeldung auch primär am dc des eigenen subnetzes durchführen.

gruß

heinzelrumpel
Der Mensch kann machen, was er will, aber nicht wollen, was er will!

#4 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 30. Juni 2005 - 16:54

hab pro Standort einen DC und dieser ist hat auch einen GC.
die Site sind konfiguriert und die IP Bereich eingetragen.

INFO : Es nehmen auch DC anmeldefrage entgegen die keinen GC haben.

#5 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 30. Juni 2005 - 18:35

Korrekt. Jeder DC kann die Anmeldeauthentifizierung vornehmen, nicht nur GCs.

Sind auf allen deinen DCs die Standortinformationen korrekt?


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#6 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 30. Juni 2005 - 19:31

dazu habe ich jetzt aber mal ne Frage.

Gelernt habe ich, dass die GCs die Anmeldungen entgegen nehmen. Dafür sind die da. Von einem DCs (nur DC ohne GC) kenne ich das nicht.

Aufgrund eurer Hinweise habe ich nochmal einen Blick in einen meiner analogen Datenspeicher geworfen und da steht geschrieben:

"Wenn der globale Katalog nicht verfügbar ist, können sich normale Benutzer nicht einmal bei der Domäne anmelden." (S. 179)

"Sie können einer Domäne auch weitere globale Kataloge hinzufügen, um die Reaktionszeit bei Anmelde- und Suchanforderungen zu verbessern. Empfohlen wird ein globaler Katalog pro Standort innerhalb einer Domäne" (S. 182)

und weiter

"Einer der Hauptgründe für die Konfigurierung zusätzlicher globaler Kataloge ist, dass ein Katalog für Dienstanmelde- und Verzeichnissuchanforderungen verfügbar ist. Dabei gilt wiederum, dass für normale Benutzer eine Anmeldung und ein Durchsuchen des Verzeichnisses nicht möglich ist, wenn die Domäne nur einen globalen Katalog besitzt und dieser nicht verfügbar ist. Wenn der globale Katalog nicht verfügbar ist, können sich nur Mitglieder der Gruppe Domänen-Admins bei der Domäne anmelden." (S. 182)

auch noch:

"TIpp: Falls langsame Anmelde- oder Abfragereaktionszeiten auftreten, sollten Sie zusätzliche globale Kataloge konfigurieren. Allerdings bedeutet dies gewöhnlich, dass mehr Replikationsdaten über das Netzwerk übertragen werden." (S. 182)

Quelle: Microsoft Windows Server 2003, Taschenratgeber für Administratoren, Seiten ab 179, Kapitel 6, "Grundlegendes zur Verzeichnisstruktur", MSpress

Andere Bücher und meine MOC-Ordner liegen @work, weshalb dies die einzige momentan für mich verfügbare Papierquelle ist.

OK, der Inhalt deckt sich aber mit dem von mir erinnerten.

Unstreitig ist, dass der erste DC auch automatisch GC ist.
Unstreitig ist auch, dass natürlich der gesamte Bereich "AD - Standorte und Dienste" richtig konfiguriert sein muss, also beisp. die GCs in den richtigen Standorten stehen.

Jetzt helft mir doch bitte mal auf´s Pferd wie die Sache mit DC und GC unter dem Fokus "Anmeldung an Domäne" aussieht. Ich bin der Meinung, dass ein DC alleine (also ohne GC) das nicht macht, bzw. nicht für normale Benutzer macht.

vielen dank

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#7 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 30. Juni 2005 - 19:57

Natürlich kann ein DC ohne GC die Anmeldung entgegennehmen, wozu sollte er sonst da sein, ich meine ein Dc ohne GC.

Ein GC wird insbesondere dann benötigt, wenn sich die Domäne im einheitlichen Modus (2000) bzw. im 2000 pur Modus oder 2003 Modus (2003) läuft, um die Mitgliedschaft in einer universellen Gruppe zu prüfen. Das kann ein DC ohne GC auch bei einem GC machen.

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#8 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 30. Juni 2005 - 21:34

Hi dippas,
wobei es schon richtig ist, ohne einen verfügbaren GC kann sich ein User nicht am Netzwerk anmelden. Aber prinzipiell reicht ein GC aus, der Rest der DCs muss nicht zusätzlich GC sein, um eine Anmeldung entgegenzunehmen, wenn ein GC erreichbar ist
Das sagen deine Zitate völlig korrekt aus

cu
blub

#9 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 30. Juni 2005 - 21:36

Das kann ein DC ohne GC auch bei einem GC machen.


Das würde ja implezieren, dass der DC ohne GC die Authentifizierung des Users beim GC macht. Also nicht selbst authentifiziert, sondern entgegennimmt, weiterleitet oder stellvertretent macht. ;)
Ich weis, Du meinst er könne das "zudem" statt "ebenso", oder?

Das die universellen Gruppen ausschließlich in einer im native Mode laufenden W2k/W2k3-Domäne eine Rolle spielen und über den GC laufen ist klar. Denn der GC hält ja die Infos über die universellen Gruppen des Forest (was ein DC nicht kann) und sonst ausschließlich seine eigenen User/Gruppen.

Trotzdem bin ich nicht wirklich überzeugt, denn allenthalben spielt der GC insbesondere bei Anmeldungen in Standorten die gewichtigste Rolle. Will meinen, dass mir das Argument, ein DC ohne GC kann authentifizieren, neu ist.

Allerdings muss ich zugeben, dass die Frage, was ein DC denn ohne GC machen soll, nicht schlecht ist ;)

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#10 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 30. Juni 2005 - 21:47

Hmm, dass dir das neu ist, ändert nichts an der Tatsache ;)

Der DC authentifiziert, dafür ist er da. Er ruft lediglich die Gruppenmitgliedschaft beim GC ab, um sie ins Ticket zu schreiben.


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#11 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 30. Juni 2005 - 21:48

Hi dippas,
wobei es schon richtig ist, ohne einen verfügbaren GC kann sich ein User nicht am Netzwerk anmelden. Aber prinzipiell reicht ein GC aus, der Rest der DCs muss nicht zusätzlich GC sein, um eine Anmeldung entgegenzunehmen, wenn ein GC erreichbar ist
Das sagen deine Zitate völlig korrekt aus

cu
blub


Du hast mich mit deinem Beistand gerettet. :)
Ich dachte schon, ich habe eine falsche Erinnerung gespeichert ;)

Was ich aber nicht verstehe, ist, das im Standort doch ein GC steht:

hab pro Standort einen DC und dieser ist hat auch einen GC.
die Site sind konfiguriert und die IP Bereich eingetragen.


Ist die Konfiguration der Server in den einzelnen Standorten wirklich richtig? Sorry, das ich nachfrage, aber wenn ein GC nun mal Anmeldungen entgegen nehmen kann, warum sollte er es nicht im eigenen Subnetz tun :confused:

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#12 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 30. Juni 2005 - 21:53

Er ruft lediglich die Gruppenmitgliedschaft beim GC ab, um sie ins Ticket zu schreiben.


Vielleicht ist das genau der Hinweis, warum mir das neu ist. Damit kann ich mal überprüfen, ob ich mir da vielleicht Etwas ein wenig unscharf gespeichert habe. ;)

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#13 varnik

varnik

    Board Veteran

  • 1.408 Beiträge

 

Geschrieben 01. Juli 2005 - 08:33

Zitat von grizzly999
Er ruft lediglich die Gruppenmitgliedschaft beim GC ab, um sie ins Ticket zu schreiben.


Allerdings kann ein DC ohne GC diese Informationen cachen. Steht in den Gruppenrichtlinien.

Die Kenntnis einiger Prinzipien kompensiert die Unkenntnis mehrer Fakten.
Jede Aufgabe hat mindestens zwei Lösungen. Eine Einfache und die zuerst Eingefallene.
 


#14 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 01. Juli 2005 - 09:48

Zitat von grizzly999
Allerdings kann ein DC ohne GC diese Informationen cachen. Steht in den Gruppenrichtlinien.

Wäre mir neu. Wo dort? IMHO und meines Wissens nach kann ich das nur über die Eigenschaften des Standorts in der Entsprechenden Konsole (AD Standorte und Dienste) einschalten.

Achja, was ich gestern noch nicht gesagt habe (war zeitlich sehr kurz angebunden, daher die knappen Antworten): Innerhalb einer einzigen Domäne (Single-Domain-Modell) brauche ich gar keinen GC zur Anmeldung, weil sowieso jeder DC die kompletten Informationen aller User. Das von mir weiter oben gesagte gilt nur für ein Multi-Domain-Modell ;)


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#15 varnik

varnik

    Board Veteran

  • 1.408 Beiträge

 

Geschrieben 01. Juli 2005 - 10:00

Upps. Schon wieder verwechselt. Sorry

Die Kenntnis einiger Prinzipien kompensiert die Unkenntnis mehrer Fakten.
Jede Aufgabe hat mindestens zwei Lösungen. Eine Einfache und die zuerst Eingefallene.