Zum Inhalt wechseln


Foto

Standort Anmeldeserver


  • Bitte melde dich an um zu Antworten
71 Antworten in diesem Thema

#16 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 03. Juli 2005 - 21:37

Innerhalb einer einzigen Domäne (Single-Domain-Modell) brauche ich gar keinen GC zur Anmeldung, weil sowieso jeder DC die kompletten Informationen aller User. grizzly999


nicht ganz korrekt: Useranmeldungen funktionieren nicht und ausserdem können z.B. Administratoren keine neuen, gültigen User im AD anlegen, solange kein GC verfügbar ist.
cu
blub

#17 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 04. Juli 2005 - 07:52

Anmeldungen fiunktionieren prima, auch wenn der Benutzer noch niemals angemeldet war. Selbst ausprobiert....


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#18 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 04. Juli 2005 - 08:12

Wann genau ein GC von einem DC kontaktiert wird kann man auch hier nachlesen: The role of the global catalog

Die beiden Hauptgründe für eine Abfrage an einen DC sind:
  • Die Authentifizierung des UPN einer nicht lokalen Domäne
  • Das Bestimmen von Gruppenmitgliedschaften in Universellen Gruppen

Gruss
Velius

#19 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 04. Juli 2005 - 08:34

Danke für den Link ;)

Da stehts ja auch, gleich ziemlich oben:

----------------Zitat Beginn-------------------
Note

• When there is only one domain in a forest, it is not necessary for users to obtain universal group memberships from a global catalog when logging on. This is because Active Directory can detect that there are no other domains in the forest and will prevent a query to the global catalog for this information.

----------------Zitat Ende--------------------


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#20 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 04. Juli 2005 - 09:10

:confused: , ich kann mich ohne GC nicht an meinem AD anmelden. Und bei Neuanlage eines Users erscheint sogar die Fehlermeldung, dass ohne GC-Server der User nicht endgültig freigegeben wird, weil die Eindeutigkeit nicht geprüft werden kann.

cu
blub

#21 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 04. Juli 2005 - 09:13

@blub

Strange....
Leider kann ich's nicht nachstellen, da in unserem Forest alle DC's GC's sind....

#22 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 04. Juli 2005 - 10:55

Hi,

mal zu phoefliger Frage zurück, oder !?

Schau dir mal die DNS-Einträge an, besonders den _sites-Bereich. Ich würde wetten, dass in der Site nicht nur der lokale DC mit seinem Servicerecord steht, sondern auch noch andere DCs. Lösche einmal alle Servicerecorde von Remote-DCs aus dem _site-Bereich, keine Panik solltest Du zuviele Records löschen, dann muss Du nur den Anmeldedienst des DCs noch einmal durchstarten, dann ist alles wieder schön. Du solltest natürlich darauf achten, dass die Site innerhalb der Standorte und Dienst GUI auch sauber ist.

Dann sollte eingentlich alles wieder stimmen.

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#23 Johannes80

Johannes80

    Member

  • 154 Beiträge

 

Geschrieben 04. Juli 2005 - 11:39

hmm,

also prizipiell ist es ja so, das sich der Client an dem DC anmeldet, den er am schnellsten erreicht. Wenn jetzt also dein DC am Standort 1 grad beschäftigt ist, dann sucht eir sich eben einen anderen Anmeldeserver also DC 2.

Ist das ganze eine Testumgebung oder ist das ein reales Netz mit wirklich langsameren Verbindungen zwischen den Standorten?

Weil bei den Standorten kannst du auch Metriken definieren. Ich bin mir nur nicht sicher, ob diese Metriken nur für die Replikation oder für sämtlichen Datenverkehr zwischen den Standorten gelten.

hth Joe

#24 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 04. Juli 2005 - 12:02

@ Johannes80

Also wenn der DC keine Zeit hat eine poplige Anmeldung entgegenzunehmen, dann würde ich mir mal über neue Hardware gedanken machen :D .

Metrik bei Anmeldung ? Nee, wenn dann Replikation !

Gruß Timo
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#25 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 04. Juli 2005 - 14:44

Ein neuer Tag @work und ich bin "urlaubsreif" hehe ;)

Also, ich habe mir noch einmal die Sache mit Anmedung an DC und/oder GC angeschaut.

Folgendes Zitat möchte ich aus der MOC-Schulungsunterlage mit dem Titel "Entwerfen einer MS Windows 2000 Verzeichnisdienst-Infrastruktur" (Material-Nr. 1664BCP) zum Besten geben:

Seite 24 der Unterrichtseinheit 8: Entwerfen einer AD-Standorttopologie:

"In einer idealen Umgebung wäre an jedem Standort ein globaler Katalogserver vorhanden, der Abfagreanforderungen für das gesamte Verzeichnis über ein LAN bedienen würde"

und weiter:

"Nachdem eine Domäne in den einheitlichen Modus konvertiert wurde, kann sich kein Benutzer mehr ohne einen globalen Katalogserver am Netzwerk anmelden, es sei denn, es wurde die Option zur Benutzeranmeldung mit Hilfe zwischengespeicherter Anmeldeinformationen aktiviert"

@grizzly999:

Wenn´s nicht nur in den Schulungsunterlagen so steht, scheint die Sache ja nicht ganz so falsch zu sein, oder?

Allerdings:
Vermutlich ist dass ganz entscheidende bei dieser Sache folgender Passus "einheitlicher Modus".

Das bedeutet für mich:

Domäne im mixed-Mode: grizzly hat Recht und DC nimmt auch Auth. entgegen
Domäne im native-Mode: ich habe Recht und nur der GC kann auth.

Das wäre dann aber bei einer entsprechenden Aussage auch immer zu erwähnen (also mixed-mode oder native-mode)

@blub:
Vielleicht ist die fehlerhafte Anmeldung an Deiner Domäne wegen nicht vorhandenem GC auch damit erklärt, weil die Domäne im einheitlichen Modus läuft?

Da ich für meinen Teil die Domänen immer in den native-mode schalte, habe ich auch in jedem Standort GCs stehen. Bei einer Erstinstallation mit Backup-DC am ersten Standort verpasse ich auch 2 DCs den GC (rein profilaktisch ;) )

grüße

dippas

PS: @data: Du hast schon Recht, eigentlich sollte zum ursprüngliche Problem zurückgerudert werden. Aber ich hatte diesen Punkt noch offen und wollte das für mich und andere geklärt wissen.
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#26 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 04. Juli 2005 - 15:24

Domäne im native-Mode: ich habe Recht und nur der GC kann auth.



Wieso werden die Artikel eigentlich nicht gelesen?? ;)

For example, when a user who belongs to a universal group logs on to a domain that is set to the Windows 2000 native domain functional level or higher, the global catalog provides universal group membership information for the user’s account at the time the user logs on to the domain.

If the user has not logged on to the domain previously, the user can only log on to the local computer.



Da sind genau zwei Bedingungen:
  • Der User muss in einer Universellen Gruppe sein
  • Die Domäne im native Mode

So seh ich das, kann sein, dass ich falsch liege, ich denke aber schwer nicht. :wink2:


Gruss
Velius

#27 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 04. Juli 2005 - 15:42

hallo Velius,

bezüglich des ursprünglich aufgeworfenen Problems gings es irgendwann darum, wer denn überhaupt generell User (egal welcher Gruppenzugehörigkeit) authentifiziert:

Der vor-Ort stehende DC, oder ausschließlich ein GC?

Und genau an dieser Stelle gehen die Meinungen auseinander.

Dabei ist unerheblich, ob der User aus einer universellen Gruppe kommt oder nicht. Universelle Gruppen gibt´s ja eh nur im native Mode und die sind z.B. ja für eine Domänen-Gesamtstruktur-übergreifende Arbeit sinnvoll. Dafür ist aber unzweifelthaft ein GC notwendig.

Vor diesem Hintergrund verstehe ich nun aber Deine Aussage nicht:

Da sind genau zwei Bedingungen:

1. Der User muss in einer Universellen Gruppe sein
2. Die Domäne im native Mode


hilf mir zu verstehen, was Du meinst.

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#28 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 04. Juli 2005 - 17:02

Hallo dippas

Ich weiss jetzt nicht, was nicht wie verstanden wurde, oder überhaupt gelesen oder überlesen wurde.
Darum auch meinen Link im Post #18=>


The role of the global catalog


Darin wird die Funktion und das Verhalten des GC's, was sich ziemlich genau mit dem was ich aus dem MOC Kursen gelernt habe deckt, beschrieben.

Darin wird unter anderem auch erwähnt, dass nicht der Client, sondern der zufällig gewählte DC sich mit dem GC, falls nötig, in Kontakt setzt. Falls nötig soll bedeuten, dass sich der DC Information aus anderen Domänen nicht selbst besorgen kann, denn dafür ist der GC da. Der GC speichert eine Teilmenge von Attributen aus dem AD von allen Domänen. Dazu gehören der UPN und die Universellen Gruppenmitgliedschaften. Logischerweise kann ein DC nicht alle Information davon gespeichert haben, da der UPN und die Universellen Gruppen Strukturübergreiffend sind.
Im Artkikel steht aber auch, dass ein UPN aus der lokalen Domänen des DC durch diesen sinnvollerweise aufgelöst werden kann. Erst wenn es sich um einen UPN einer Domäne welcher dieser DC nicht angehört handelt, muss dieser auf eine GC zurückgreiffen.

So ähnlich wird es sich wohl mit den Gruppen verhalten. Der DC wird wohl wahrscheinlich wissen, ob ein dieser Domäne angehöriger Benutzer Mitglied einer Universellen Gruppe ist, nur wird er wohl nicht in der Lage sein, etweige Verschachtelungen in anderen Domäne aufzulösen, dafür braucht er dann den GC.

Für micht macht das mehr Sinn, als "native = jegliche Authentifizierung gegen einen GC", denn nur so wird ein optimaler spagat zwischen Fehlertoleranz und Replikationslast gewehrleistet. Sonst könnte man auch gleich, wie bei uns der Fall, auf "alle DC's = GC's" schalten, nur wird dann entsprechend mehr repliziert.


Ausserdem ist wie gesagt alles im Artikel beschrieben, der Rest ist interpretations Sache, aber ich lasse mich gerne eines besseren belehren. ;)


Gruss
Velius

#29 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 04. Juli 2005 - 18:36

Hallo Velius,

danke für Deine Antwort.

Ich bin sicherlich wie Du und viele hier daran interessiert, zu wissen, was denn nun richtig ist. Insofern möchte ich auch niemanden belehren.

Aber wenn doch in diverser Literatur (MS-Press, MOC-Ordner etc.) drin steht, dass ohne GC ein User nicht gegenüber dem Netzwerk authentifiziert werden kann, aus anderen Quellen aber auch der Hinweis kommt, dass ein "einfacher" DC das ebenso kann, dann stellt sich doch berechtigterweise die Frage, was denn nun richtig ist. Ich will es ja auch wissen.

Die Thematik universelle Gruppen und Teilreplikate etc. beim GC ist schon klar. Für mich besteht diesbezüglich kein weiterer Aufklärungsbedarf.

Allerdings muss ich eingestehen, dass ich nur einen Punkt in meinen Unterlagen fand (MOC-Zitat, mein Post#25), wo explizit der Hinweis steht "native Mode". Steht das vielleicht auch in Deinen Unterlagen so, oder in anderer Literatur von Dir?

Die Frage: "Wer authentifiziert einen normalen User?" stellt sich im Moment für mich folgendermaßen beantwortet dar:

mixed Mode = DC und/oder GC
native Mode = ausschließlich GC

Verstehst Du was ich meine? Mit der Bestätigung, dass diese Aussage richtig ist, lassen sich vielleicht viele Fehler/Merkwürdigkeiten etc. bei der Authentifizierung schnell beantworten.

Die Einführungsfrage zu diesem Threat würde dann unter Umständen mit wenigen Posts beantwortet werden können, also beispielsweise der Hinweis/die Gegenfrage "läuft die Domain im native Mode? Falls ja, dann bitte GC in den Standort" So oder so ähnlich könnte es ja dann aussehen, oder?

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#30 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 04. Juli 2005 - 20:27

Huhu, ;)

@ Dippas

Und was ist mit DNS und Sitetoplogie. Überhaupt wo bleibt denn die Beantwortung der threaderöffnenden Frage ? Nunja macht Ihr mal schön weiter, ich glaube dass hier (DNS) der Hase im Pfeffer liegt. :D

Gute Nacht.

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error