Hallo zusammen,
ich bin ja hier ein fleißiger Mitleser und habe bisher auf fast alle meine Fragen immer eine Antwort gefunden. Jetzt habe ich aber doch eine Anforderung, die ich so nicht hier gefunden habe und die auch sonst keine Antwort gefunden habe:
Folgendes Szenario bzw. Topologie (vereinfacht/gekürzt)
Standorte ("Site"), Subnetze (Erläuterung)
DESTL: 10.0.0.0/8, 192.168.1.0/24 (Hauptstelle)
DEFRA: 192.168.2.0/24 (Außenstelle 1)
DEMAN: 192.168.3.0/24 (Außenstelle 2)
DEBER: 192.168.4.0/24 (Außenstelle 3)
...
Die vorgenannten Netze sind physisch an unterschiedlichen Ort. Jeder physische Ort ist ebenfalls im AD als ein Standort ("Site") eingerichtet und via Subnetz identifiziert.
Die Netze sind physisch über VPN-Verbindungen wie folgt verbunden:
DESTL <-> DEFRA
DESTL <-> DEMAN
DEFRA <-> DEMAN
DESTL <-> DEBER
DEFRA <-> DEBER
Jede Außenstelle (außer Außenstelle 1) also immer mit der Hauptstelle und der Außenstelle 1 verbunden.
Außerdem ist natürlich die Hauptstelle mit der Außenstelle 1 verbunden.
Das Routing folgt dem, also jede Nebenstelle (außer Außenstelle 1) geht immer direkt zur Hauptstelle oder direkt zur Außenstelle 1, wobei Haupt- und Außenstelle 1 ebenfalls geroutet sind.
Der Traffic läuft also entweder direkt an Außenstelle 1 oder via Hauptstelle an die entsprechende nicht direkt verbundene Nebenstelle.
Im AD sind die Standorte derzeit über einen großen Standortlink verbunden.
Domain Controller sind derzeit wie folgt aufgestellt
DC01 in DESTL
DC06 in DESTL
DC10 in DEFRA
Man sieht: An einem Standorten sind zwei Domain Controller an machen nur einer und an vielen keiner.
Was ich jetzt will:
Wie kann mein AD dazu bewegen, dass die Clients nach der folgenden Logik anmelden:
- in der Hauptstelle: Primär am DC01, sekundär am DC06, dann an jedem anderen
- In der Nebenstelle 1: Primär am DC10, dann an jedem anderen (bzw. wahlweise an DC01/DC06)
- In allen anderen Nebenstellen: Primär am DC01/DC06, dann an jedem anderen (bzw. D10)
(Nach der Logik werden auch die DNS Server via DHCP vergeben).
Was ich will dürfte klar sein:
- Die Hauptstelle soll sich zuerst am lokalen DC(01/06) anmelden und dann ggf. an dem DC(10) in der Außenstelle 1
- Die Außenstelle 1 soll sich zuerst am lokalen DC(10) anmelden und dann ggf. an dem DC(01/06) in der Hauptstelle
- Jede andere Außenstelle soll sich zuerst am Haupstellen DC(01/06) anmelden und dann ggf. an dem DC(10) in der Außenstelle 1
Derzeit sehe ich DNS, dass der Netlogon Dienst irgendwas einrichtet, aber ich habe keine Ahnung nach welcher Logik.
Hoffe die Anforderung ist soweit klar und jemand kann mir eine Tipp geben.
Danke
JR