Jump to content

mehrere DCs wer übernimmt in welcher Reihenfolge die Authentifizierung

@Como

Von @Como
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@Como

@Como   10

Geschrieben
Geschrieben

Hallo,

 

wir setzen hier mehrere DC's in verschiedenen Sites ein. Ich frag mich manchmal, welcher DC übernimmt wann und aus welchem Grund die Authentifizierung. Denke mal, erst einer auf der gleichen Site ? Was aber wenn dort 2 DC's sind ?!

 

Vielleicht kann mir das einer mal kurz erklären.

 

Vielen Dank schonmal

 

Jo

Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

Denke mal, erst einer auf der gleichen Site ?

 

genau so ist es.

 

Was aber wenn dort 2 DC's sind ?!

 

Ganz nach dem Motto: Wer zuerst kommt, malt zuerst.

 

Bei der Authentifizierung ist das DNS und das Desgin im Snap-In "Active Directory-Standorte und -Dienste" entscheidend. Es kann/sollte für jeden physikalischen Standort, ein Standort im AD mit samt dem Subnetz erstellt werden, wobei sich jeder DC an dem seinem AD-Standort befinden sollte.

 

Denn der Client fragt im DNS nach, welche DCs es gibt. Er erhält eine Liste aus der DNS-Antwort und geht diese durch, um einen DC zu finden der online ist und auch funktioniert. Dabei nimmt er bevorzugt einen DC aus seinem Standort. Die DNS-Abfrage die der Client in diesem Moment stellt, wäre: _ldap._tcp.<Standort>._sites.dc._msdcs.<Domäne>.<TLD>.

 

Erst wenn er bei dieser Anfrage keine Antwort erhält, fragt er nach einem DC diesmal aus seiner DOMÄNE nach. Die Abfrage lautet:

_ldap._tcp.dc._msdcs.<Domäne>.<TLD>. Die Clients sollten natürlich ihren DNS-Server vor Ort in den TCP/IP-Einstellungen eingetragen haben, sei es statisch oder per DHCP. Daher muss auch sichergestellt werden, dass im DNS sich die DCs mit ihren SRV-Records für ihren Standort eingetragen haben. Dabei ist ein Blick in "_tcp.Standort.DC._MSDCS.Domäne.TLD" zu werfen.

 

 

Siehe auch:

Yusuf`s Directory - Blog - Domänencontroller am Standort

 

 

Man kann zwar auch noch im DNS an der Priorität und Gewichtung eines DCs drehen damit ein DC bevorzugt authentifiziert, davon rate ich aber ab.

olc Veteran

olc   18

Geschrieben
Geschrieben

...als kleine Ergänzung: Eine gute Möglichkeit, um einen Einstieg in das Thema zu bekommen und das ganze ein wenig "plastisch" zu verfolgen ist, wenn Du einen Netzwerktrace vom Boot-Vorgang eines Clients ziehst. Dort filterst Du nach DNS Abfragen und kannst den Ablauf recht gut nachverfolgen. :)

 

Viele Grüße

olc

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...