Verwaltung von 2 Domänencontroller

[olaf1279 10]

Wie benutzen auf 2 Servern mit Win Server 2003.

Auf diesen läuft jeweils ein Domänencontroller.

 

Da wir aktuell auf einem der Server (Server 2) HDD Performance Probleme haben möchten wir den einen Server als Hauptdomänencontroller (Server 1) bestimmen (soweit das von meinem Vorgänger nicht schon eingerichtet wurde??).

 

Wie können wir sicherstellen, das nur Server 1 mit den Clients kommuniziert und als Hauptdomänencontroller fungiert?

[Daim 12]

Servus,

 

seit das AD mit Windows 2000 eingeführt wurde, gibt es keinen "Haupt-DC" mehr wie zu Zeiten von Windows NT. Zu NT-Zeiten konnte nur der PDC schreiben, aber mit der Einführung des AD wurde das "Multimaster-Prinzip" eingeführt. Nun darf jeder DC in das AD schreiben. Aber bei "manchen" Schreibaktionen, dürfen nur bestimmte DCs diese Aktion durchführen. Damit sind die Träger der FSMO-Rollen gemeint.

 

Es gibt fünf Betriebsmasterrollen. Diese wären:

 

- Schemamaster (existiert nur einmal pro Gesamtstruktur)

- Domänennamenmaster (existiert nur einmal pro Gesamtstruktur)

- RID-Master (Relative ID) (existiert nur einmal pro Domäne)

- PDC-Emulator (existiert nur einmal pro Domäne)

- Infrastrukturmaster (existiert nur einmal pro Domäne)

 

 

Der Client findet duch das DNS (s)einen DC. Die Vorgehensweise wie nun ein Client "einen" DC findet, ist wie folgt:

 

- Der Client fragt im DNS nach, welche DCs es gibt.

- Er erhält eine Liste aus der DNS-Antwort und geht diese durch, um einen DC zu finden der funktioniert und auch online ist. Dabei nimmt er bevorzugt einen DC aus seinem Standort. Die DNS-Abfrage die der Client in diesem Moment stellt, wäre: _ldap._tcp.<Standort>._sites.dc._msdcs.<Domäne>.<TLD>.

- Erst wenn der Client bei dieser Anfrage (von einem DC aus seinem Standort) keine Antwort erhält oder er noch keine Standortinformationen hat (z.B. nach einer Neuinstallation), fragt er nach einem DC diesmal aus seiner DOMÄNE nach. Die Abfrage lautet: _ldap._tcp.dc._msdcs.<Domäne>.<TLD>. Spätestens bei dieser Abfrage erhält der Client einen DC mitgeteilt.

 

Den genauen Vorgang kannst du hier nachlesen:

 

Yusufs Directory Blog - Domänencontroller am Standort

 

 

Wenn du den DC mit DCPROMO herunterstufst, werden dabei auch die DNS-Einträge von dem DC entfernt. Wenn du dabei sicher gehen willst, kannst du mit NLTEST das du in den Support Tools findest, dass entfernen der DNS-Einträge händisch nochmals anstoßen.

 

Für das Entfernen der Einträge eines DCs aus der "_msdcs"-Zone, nutzt man einfach das folgende NLTEST-Kommando:

 

NLTEST /DSDEREGDNS: DC01.Domäne.TLD (<--ohne Leerzeichen zwischen dem Doppelpunkt und dem "DC01...")

 

Damit werden die DC-spezifischen SRV-Einträge entfernt. Möchte man auch die GUID-Einträge des DCs entfernen, können weiterhin die Optionen „/DOMGUID“ zw. „/DSAGUID“ helfen.

 

Ein "rumgebastel" mit "künstlich" erzeugten AD-Standorten oder das Herumschrauben an der Priorität bzw. Gewichtung an den SRV-Einträgen des DCs, halte ich für puren Unfug und davon solltest du auch die Finger lassen.

 

Du musst auch noch darauf achten, dass die Clients den heruntergestuften DC nicht noch als DNS-Server erhalten. Das muss dann noch geändert werden.

[fha 10]

Hi!

 

Da ich es nicht empfehle die Domäne mit nur einem DC zu betreiben würde ich folgendermaßen vorgehen:

1. Alle FSMO-Rollen auf den Server der dein "Haupt"-DC sein soll

2. Davon ausgehend, dass beide DCs auch DNS sind: Den "Haupt"-Server über DHCP als ersten DNS an die Clients geben.

 

Alle weiteren Maßnahmen über Standorte oder Kosten kann ich, ebenso wie Daim, nicht empfehlen.

 

Dadurch sollte dein "Haupt"-Server die größte Last der Domänen-"Arbeit" zu tragen haben. Er wird aber nicht von Replikation usw. was es halt noch so gibt in der Domäne befreit. Aber meine Meinung ist: Lieber so als mit nur einem DC.