Dr Kiffer 10 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Hallo zusammen, bereite mich grade auf die 70-294 vor und schaue mir grade mal ein paar forests an. mal ein paar Fragen bezüglich des globalen Katalogs. Der globale Katalog ist im DNS ja an mehreren Stellen verknüpft/eingetragen. Wo ist der Unterschied z.B zwischen _tcp.gc._msdcs.domainroot.local und _tcp.SITE._sites.gc._msdcs.domainroot.local Das im letzten die GCs für die Site gelistet sind ist klar, aber wofür brauche ich den ersten dann noch? Es sind doch alle Mitglied einer Site und wenn es die Default ist oder? Was ist, wenn in _tcp.gc._msdcs.domainroot.local kein SRV eintrag für einen GC vorhanden ist und unter _tcp.SITE._sites.gc._msdcs.domainroot.local allerdings doch? (zufällig bei einem forest gesehen) Wie ermittelt ein Client den GC bei der Anmeldung? Via _tcp.gc._msdcs.domainroot.local oder _tcp.SITE._sites.gc._msdcs.domainroot.local ? Wofür sind die Host(A) Einträge in gc._msdcs.domainroot.local? Für eine kleine Aufklärung wäre ich dankbar. Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Hi, Wo ist der Unterschied z.B zwischen _tcp.gc._msdcs.domainroot.local und _tcp.SITE._sites.gc._msdcs.domainroot.local Der Unterschied liegt darin, daß das eine eine globale Zone ist und das andere ein Bereich der jeweiligen Site. Je nachdem, wie der Lookup Vorgang durchgeführt wird, kann für einen Client der eine oder der andere Eintrag relevant sein. Dazu später mehr. Das im letzten die GCs für die Site gelistet sind ist klar, aber wofür brauche ich den ersten dann noch? Es sind doch alle Mitglied einer Site und wenn es die Default ist oder? Bestenfalls ist ein Client Mitglied einer Site, jedoch kann es aus Konfigurationsfehlern oder schlichtweg fehlenden Subnetzen dazu kommen, daß es keine Sitezuordnung für einen Client gibt. Dann greift beispielsweise einer der globalen Einträge, wo sich in den Standardeinstellungen alle DCs / GCs eintragen. Ein weiteres Beispiel wäre der Ausfall des DCs / GCs einer Site (mal vorausgesetzt dort steht nur einer). In einem solchen Fall sollen sich die Clients ja trotzdem noch authentifizieren können - auch wenn die Verbindung "teuer" ist. Dann greifen die Clients ebenfalls auf die globalen Einträge zurück. Was ist, wenn in _tcp.gc._msdcs.domainroot.local kein SRV eintrag für einen GC vorhanden ist und unter _tcp.SITE._sites.gc._msdcs.domainroot.local allerdings doch? (zufällig bei einem forest gesehen) Dann ist zu vermuten, daß der oder die gewünschten DCs nicht korrekt ihren Sites zugeordnet sind. Das solltest Du einmal prüfen. Ansonsten gibt es auch die Möglichkeit zentral festzulegen, wo sich welcher DC registriert. Hierzu gibt es GPO Einstellungen für den NETLOGON Dienst - wenn Du die jedoch nicht manuell verändert hast, dann ist das standardmäßig nicht der Fall. Ein RSOP oder GPMC HTML Report für den entsprechenden DC schafft hier Klarheit. :) Wie ermittelt ein Client den GC bei der Anmeldung?Via _tcp.gc._msdcs.domainroot.local oder _tcp.SITE._sites.gc._msdcs.domainroot.local ? Der Client liest im Grunde die gesamten für ihn relevanten Zoneninformationen aus und versucht sich dann zuallererst auf die "Site lokalen" DCs zu verbinden. Findet er hier keine DCs oder ist er selbst keinem Subnetz und damit keiner Site zugeordnet, versucht er es bei den globalen Einträgen (die übrigens ebenfalls "abgeschaltet" werden können, d.h. die DCs sich nicht in jedem Fall in der globalen Zone mit ihren SRV-Einträgen registrieren - ist jedoch in den meisten Fällen nicht empfehlenswert). Schau Dir einen Clientstart oder ein NLTEST /SC_RESET doch einmal im Netzwerkmonitor an. Dann filterst Du nach DNS Traffic und bekommst den gesamten Vorgang sehr schön zu sehen. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Dr Kiffer 10 Geschrieben 11. Februar 2009 Autor Melden Teilen Geschrieben 11. Februar 2009 Danke für die ausführliche Antwort. Wenn ich im Netzwerkmonitor am DNS Server aufzeichne kann ich lediglich GC abfragen im DNS feststellen, wenn dieser nicht erreichbar ist. Ansonsten wird immer nur eine DC abfrage gemacht. Hat der Client oder der DC einen Cache für diese Abfrage? ipconfig /flushdns hab ich auf dem anmelde DC mal ausgeführt. Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Hi, der DNS Server cached meines Wissens Anfragen an die _msdcs Zone nicht. Ein "/flushdns" macht jedoch nur auf der Client Seite Sinn - aber auch hier denke ich, daß die SRV-Einträge nicht gecached werden, sondern nur Host-A Einträge. Da bin ich mir aber gerade nicht sicher. Hast Du den Traffic eines Client-Neustarts aufgezeichnet oder welche Aktion wurde getraced? Du solltest am besten einfach den Client Neustart mitschneiden (etwa über einen Hub). Viele Grüße olc Zitieren Link zu diesem Kommentar
Dr Kiffer 10 Geschrieben 11. Februar 2009 Autor Melden Teilen Geschrieben 11. Februar 2009 Hallo, habe den Client Neustart am DNS Server mitgeschnitten. Da sollte ja DNS seitig alles abgefangen sein oder nicht? Meine Testumgebung ist komplett auf einem Vmware Esxi Server. root domain, untergeordnete domain 3 Standorte und einen client :) Ansonsten muss ich mal ausprobieren, ich meine es gibt da den promiscous (oder so ;)) mode... Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Februar 2009 Melden Teilen Geschrieben 12. Februar 2009 Hi, habe mir gerade nochmal den Thread durchgelesen - Du möchtest also explizit DNS Abfragen auf den GC sehen? Es kann sein, daß nicht in jedem Fall GC Abfragen gemacht werden. Wenn ich mich recht entsinne entfällt dies, wenn der zurückgegebene DC (über die LDAP und Kerberos Abfragen des Clients) GC ist. Außerdem ist es nicht in jedem Fall notwendig, einen GC zu befragen - wenn es sich bei einer Benutzeranmeldung nicht um die erste Anmeldung handelt (Auslesen der Universellen Gruppen) oder aus anderen Gründen keine GC Abfragen notwendig sind, dann passiert das auch nicht. Also nicht verwirren lassen, wenn keine konkreten GC Abfragen für den Moment kommen... Aber das war meines Erachtens ja auch nicht Deine Hauptfrage oder? Den generellen Lookup Vorgang in Bezug auf site-spezifische Einträge oder auf die globalen Einträge konntest Du in dem Netzwerk-Trace sicher gut nachvollziehen oder gibt es dazu noch Fragen? Viele Grüße olc Zitieren Link zu diesem Kommentar
Dr Kiffer 10 Geschrieben 21. Februar 2009 Autor Melden Teilen Geschrieben 21. Februar 2009 Sorry war jetzt so mit prüfungsvorbereitung beschäftigt, das ich den thread fast außer Acht gelassen hatte. Hab sie aber am Donnerstag bestanden :) Zurück zum Thema. Ursprünglich habe ich gedacht ein Problem gesehen zu haben, da ich im DNS keine GC Einträge im globalen Bereich gefunden habe. Ich habe nur welche im Sites-Bereich gesehen und da hat mich interessiert, wie die Abfrage denn abläuft und wofür die unterschiedlichen Vorkommnisse denn da sind. Nach deinem Tip mit dem Aufzeichnen kam die nächste Frage, da ich keine GC abfragen aufgezeichnet habe, ausser der GC war offline. Übrigens war der ldap/kerberos zurückgegeben DC nie der GC. Den hab ich extra an einen anderen Standort gepackt. Aber mit der Hauptfrage mit der Reihenfolge Standort oder Global hast du mir super geholfen. Danke nocheinmal. Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Februar 2009 Melden Teilen Geschrieben 21. Februar 2009 Hi, na dann Glückwunsch zur bestandenen Prüfung. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.