Zum Inhalt wechseln


Foto

Standort Anmeldeserver


  • Bitte melde dich an um zu Antworten
71 Antworten in diesem Thema

#31 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 05. Juli 2005 - 06:14

Vielleicht hilft ja das hier: How to Optimize the Location of a Domain Controller or Global Catalog That Resides Outside of a Client's Site
Global Catalog Server Requirement for User and Computer Logon

Im grossen und ganzen wird nur das bereits gepostete wiederholt.
Deswegen:
- DNS SRV Records checken.
- AD Sites und Services checken.
- Eventlogs können auch nicht schaden.


Gruss
Velius


P.S.: Kann auch nicht schaden, diese mal gelesen zu haben.
Domain controller is not functioning correctly
How Domain Controllers Are Located in Windows XP

#32 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 05. Juli 2005 - 09:10

Hallo in meinem DNS sind unter den gewünschten Site mehrer DC eingetragen das stimmt.
Jetzt kleine frage : wenn ich die restlichen DC's aus der (DNS Site) lösche ist dann nicht die Redundanz futsch ?

dann hab ich ja Pro Standort nur noch einen DC welcher LDAP & Kerberos beherscht.
oder wechselt der Client welcher im Standort X ist automatisch auf einen DC im Standort Y falls der DC im Standort X nicht verfügbar ist?

Ich frage darum weil ja am Standort X nur noch dir SRV einträge für den einen DC stehen.

danke für eure Tipps....

#33 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 05. Juli 2005 - 09:22

Er wird einen DC an einem anderen Standort auswählen, und zwar den, den er zu den geringsten Kosten erreichen kann. Die Kosten sind ja eine Eigenschaft der Sitelinks.

Wenn du also einen Sitelink von x nach y mit Kosten 1 hast und einen link zu Standort z mit Kosten 2, wird er versuchen, sich gegen einen DC am Standort y zu authentifizieren.

Sollte das falsch sein, bitte korrigieren.

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#34 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 05. Juli 2005 - 12:06

Also meinst du ich soll das über die Sitelink-Costs regeln und nicht duch die DNS einträge ?

#35 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 05. Juli 2005 - 12:08

Client X ist ja schon am Standort X zugeteilt ( Subnet konfiguration )
somit sind ja für den Client X die kosten am geringsten sich am Standort X bzw. am DC an diesem Standort zu indentifizieren.

Werden die Sitelink Cost nich einfach für den KCC bzw. ISTG benötig ? um den besten bzw. den günstigsten Replikationsweg zu brechnen ?

gruess

#36 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 05. Juli 2005 - 12:16

Hi,

wenn er einen DC am eigenen Standort findet, wird er den nehmen. Das mit den Kosten ist ja nur relevant, wenn der DC am eigenen Standort ausgefallen ist.

Also: in Sites and Services sollte je Site nur der DC aufgeführt sein, der auch in der Site steht, wenn du die anderen DCs da löschst bzw. in die entsprechenden Sites verschiebst, wird auch das DNS angepasst.

Die andere Frage: das hatte ich auch überlegt, ob das nur dafür relevant ist, aber mein Kollege hier meint, dass die Kosten auch für den Logon-Verkehr ausgewertet werden.

Wie schon mal gesagt: falls jemand andere Info hat, lasse ich mich da auch gerne überzeugen.

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#37 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 05. Juli 2005 - 12:31

Danke für deine Infos---

also ich denke die Kosten werden für die Replikation benötigt.
Aber wie auch immer du hast mir sehr geholfen vielen dank ..
und bye

#38 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 05. Juli 2005 - 12:44

Danke für deine Infos---
also ich denke die Kosten werden für die Replikation benötigt.


Dafür werden sie auf jeden Fall benötigt. Aber ich habe auch nochmal einen Artikel ausgegraben, der bestätigt, dass sie auch für den Logonverkehr ausgewertet werden:

http://www.microsoft...bc_nar_jevl.asp

Gruß

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#39 Data1701

Data1701

    Board Veteran

  • 1.679 Beiträge

 

Geschrieben 05. Juli 2005 - 13:19

@phoefliger

Ich will ja nicht meckern, aber das habe ich von Anfang an gesagt :cry: .

Nu gut - Undank ist der Weltenlohn. ;)

Gruß Data
MCSA 2000 - MCSE 2000 - MCSA 2003 - MCSE 2003 - CCNA pending

Die Ursache für 90% der Fehlermeldungen befindet sich 60cm vor dem Bildschirm - ISO/OSI Level 8 Error

#40 Christoph35

Christoph35

    Expert Member

  • 3.624 Beiträge

 

Geschrieben 05. Juli 2005 - 13:29

@data:

stimmt. hätte ich natürlich höflicherweise auch noch mal drauf verweisen sollen, aber ich hab den Thread wohl auch etwas zu schnell überflogen.

Christoph
MCSE+M+S, VCP, MCITP Enterprise Admin.
Always look on the bright side of life!

#41 phoefliger

phoefliger

    Senior Member

  • 391 Beiträge

 

Geschrieben 05. Juli 2005 - 13:52

@data...

das stimmt, ich danke natürlich auch dir ..
und sende dir ein danke schön ;-)

#42 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 05. Juli 2005 - 14:31

@grizzly999:

Wenn´s nicht nur in den Schulungsunterlagen so steht, scheint die Sache ja nicht ganz so falsch zu sein, oder?

Allerdings:
Vermutlich ist dass ganz entscheidende bei dieser Sache folgender Passus "einheitlicher Modus".

Das bedeutet für mich:

Domäne im mixed-Mode: grizzly hat Recht und DC nimmt auch Auth. entgegen
Domäne im native-Mode: ich habe Recht und nur der GC kann auth.

Das wäre dann aber bei einer entsprechenden Aussage auch immer zu erwähnen (also mixed-mode oder native-mode)

Soory komme erst ejtzt zum Schreiben.
Wenn allles immer in den Schulungsunterlagen stehen würde, dann müsste
1.) Microsoft kein Resource Kit herausbringen (oder damit schulen)
2.) würde eine einfache Schuluung statt 5 Tage 5 Wochen dauern.

Du hast den Artikel gelesen?
Du hast im Resource Kit gelesen?
Du hast es ausprobiert?
Und Microsoft verzapft Unsinn auf seinen Homepages zu technichal Resources?

Aber du hast Recht .... :p


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#43 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 05. Juli 2005 - 15:24

Hallo Grizzly,

schön von Dir zu hören.

Wenn allles immer in den Schulungsunterlagen stehen würde, dann müsste
1.) Microsoft kein Resource Kit herausbringen (oder damit schulen)
2.) würde eine einfache Schuluung statt 5 Tage 5 Wochen dauern.


Da hast Du sicherlich recht. Alles kann natürlich nicht in den Unterlagen stehen. Wäre auch ne Zumutung für die Schüler sich jedesmal nen Transporter zu organisieren um den Papierberg nach Hause zu schaffen ;)

Du hast den Artikel gelesen?
Du hast im Resource Kit gelesen?
Du hast es ausprobiert?
Und Microsoft verzapft Unsinn auf seinen Homepages zu technichal Resources?


ja
nein
nein (aber blub hat, Post#20 - und ich werde es auch testen, sobald ich mir ne Testumbegung aufgebaut habe)
na das hoffe ich doch wohl nicht

Aber du hast Recht .... :p


Ironisch oder ernst gemeint? :suspect:

Hey, ich will kein Recht haben, sondern Wissen erlangen. ;)

Ich bin mir durchaus bewusst, dass ich in dieser Sache ein wenig hartnäckig (oder sogar dickköpfig?) bin, aber letztlich bin ich schon auf der Suche nach einer eindeutigen Erklärung. Vielleicht ist ja der Unterschied mixed-mode und native-mode eine Erklärung?

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#44 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 05. Juli 2005 - 15:35

Also ich kann dir versichern, dass ich den Unterschied der 4 Domain-functional-levels und der 3 forest-functional-levels sehr genau kenne, und diese Aspekte in meiner Antwort berücksichtigt sind (im in dem verlinkten Artikel sicherhlich auch).
Und meinem kurz vor dem Schreiben des Beitrags nur so zur Sicherheit durchgeführten Test in einer frischen Testumgebung habe ich auch die entsprechenden Levels eingestellt. Wo blub das Problem hatte, kann ich nicht nachvollziehen, aber die Aussage von Microsoft ist eindeutig, und auch logisch, übrigens seit Windows 2000.

Und wieder was gelernt ... ;) :)


grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#45 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 05. Juli 2005 - 18:54

hi zusammen,

Hier stehts doch recht eindeutig:

If a global catalog is not available when a user logs on to a domain set to the functional level of Windows 2000 native or higher, the computer will use cached credentials to log on the user if the user has logged on to the domain previously. If the user has not logged on to the domain previously, the user can only log on to the local computer. However, if a user logs on as the Administrator in the domain (Builtin Administrator account), the user can always log on to the domain, even when a global catalog is not available.

http://www.microsoft...e3bbcb5eb6.mspx

Aus Erfahrung heraus kann ich diese Zeilen so bestätigen

Ein User kann sich also ohne erreichbaren GC nicht an einem DC in der AD-Domäne anmelden, ausser per cached credentials oder als Built-in Administrator. Ist auch logisch, da nur ein GC Informationen zu universal Groups hat, und dort könnten ja für die Anmeldung wichtige Informationen stehen. Also lieber die Anmeldung verweigern, wenn kein GC verfügbar ist, als evtl. unberechtigte Zugriffe erlauben.

Und auch ein Administrator kann keine neuen User anlegen, solange kein GC verfügbar ist.

Ergo: ohne GCs macht selbst ein Single-Domänenleben nicht wirklich Freude

cu
blub