xsawa 10 Geschrieben 6. Oktober 2009 Melden Teilen Geschrieben 6. Oktober 2009 Hallo Leute! Hab schon einige Versuche hinter mir, zu meinen bestehenden 2 DC am selben Standort einen zusätzlichen DC (allerdings schreibgeschützt) der später an einen anderen Standort kommt aufzusetzen, allerdings bekomme ich bei diesem dann immer NETLOGON Fehler im Ereignisprotokoll bezügl. Computerkonten können nicht authentifiziert werden. Habe vor der Inst bereits adprep /rodcprep auf meinem Schemamaster durchgeführt. Bei Anmeldung an den Clients werde ich auch immer an einen der beiden bestehenden DC authentifiziert, owohl ich den neuen dc als bevorzugten und einzigen eingetragen habe. Was jedoch auffällt: Es wurden nach dcpromo im DNS keine zusätzlicher srv Einträge für den neuen DC eingetragen. Vor dcpromo wurde bereits DNS installiert und auch die zonen in Forward und reverse angelegt. Habe dann über die Eigenschaften meiner zone diesen neuen Namenserver hinzugefügt, allerdings werden „NUR“ einige Einträge im DNS Baum angelegt. Muss ich denn alle diese Dienste (ldap, kerberos) überall manell anlegen, oder dürfen die eines rodc gar nicht überall drinn sein (was meiner Meinung nach aber keinen Sinn machen würde)? ausser natürlich im Ordner pdc, da steht nur mein 1. drin PS: Struktur besteht nur aus Windows Server 2008 vg, Andi Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 6. Oktober 2009 Melden Teilen Geschrieben 6. Oktober 2009 Hallo Leute! Habe dann über die Eigenschaften meiner zone diesen neuen Namenserver hinzugefügt, allerdings werden „NUR“ einige Einträge im DNS Baum angelegt. Hi, den NS Eintrag würde ich wieder rausnehmen, denn es ist korrekt das für den RODC kein NS Eintrag erstellt wird, da dieser keine beschreibbaren DNS Server hat! Appendix A: Read-Only Domain Controller (RODC) Technical Reference Topics Sosnt schau dir mal auch den Artikel von Yusuf an: http://blog.dikmenoglu.de/PermaLink,guid,9ccc45e9-65f7-4ad5-977c-b8003248679a.aspx LG Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 6. Oktober 2009 Autor Melden Teilen Geschrieben 6. Oktober 2009 Vielen Dank morro, aber irgendwie schaffe ich es nicht, dass ich die Anmeldung auf meinem neuen RODC testen kann, da ich immer auf einer der beschreibbaren DCs komme, obwohl ich als einzigen und bevorzugten DNS den RODC in den Client TCP-IP Einstellungen eingetragen habe. Hast du noch nen tipp vg, Andi Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 6. Oktober 2009 Melden Teilen Geschrieben 6. Oktober 2009 was haste denn alles für fehlermeldung im log? Haste den RODC den entsprechenden Standort zugewiesen? Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 6. Oktober 2009 Autor Melden Teilen Geschrieben 6. Oktober 2009 Fehlermeldungen hab ich jetzt keine mehr, denn ich hab den RODC neu aufgesetzt aber eben ohne die SRV Einträge man. vorzunehmen. hab in meinem Loginscript eine Ausgabe, die mir den akt Logonserver anzeigt, und es erscheint immer einer der beiden anderen DC nur nie mein RODC. Standort ist der gleiche und neuer Server erscheint auch dort. Replikation war auch erfolgreich. Freigaben SYSVOL usw.. passen auch Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 6. Oktober 2009 Autor Melden Teilen Geschrieben 6. Oktober 2009 Komisch, jetzt klappts plötzlich, nachdem ich das lok. Profil mal eben vom Client gelöscht habe und mich neu angemeldet habe. Hoffe, es bleibt so. Vielen Dank für deine Unterstützung morro :-) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 6. Oktober 2009 Melden Teilen Geschrieben 6. Oktober 2009 Servus, wenn sich nun ein Benutzer gegenüber einem RODC authentifizieren möchte, überprüft der RODC ob er das Kennwort des Benutzerkontos vorliegen hat. Falls das nicht der Fall ist (was standardmäßig so ist), leitet er diese Anmelde-Anfrage an einen beschreibbaren DC weiter und erhält von diesem dann ein Kerberos-Ticket. Danach stellt der RODC dem Benutzer ein eigenes Kerberos-Ticket aus. Zeitgleich stellt der RODC eine Replikationsanforderung nach dem Kennwort des Benutzers an einen beschreibbaren DC. Der beschreibbare DC überprüft dann, ob der RODC dazu die Berechtigung hat und repliziert ggf. das Passwort-Hash zum RODC. Damit der RODC eigenständig einen Benutzer authentisieren kann, muss zum einen das Benutzer- und zum anderen das Computerkontokennwort auf den RODC repliziert werden. Dazu fügst du die entsprechenden Konten in die "Zulässige RODC-Kennwortreplikationsgruppe" hinzu. Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 6. Oktober 2009 Autor Melden Teilen Geschrieben 6. Oktober 2009 Hallo Yusuf! Seit ca. 12:00 Uhr hab ich wieder das Problem mit den NETLOGON Fehlermeldungen: Warum kommen die? Die Sitzung konnte vom Computer "PC-105-68" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "PC-105-68$" entsprechend dem angegebenen Computer enthält. BENUTZERAKTION Wenn dieses Ereignis das erste Mal für den angegebenen Computer vorkommt, ist das eventuell ein vorübergehendes Problem, auf das zur Zeit nicht geachtet werden muss. Andernfalls kann dieses Problem anhand der folgenden Schritte gelöst werden: Wenn "PC-105-68$" das legitime Computerkonto für den Computer "PC-105-68" ist, dann sollte "PC-105-68" dieser Domäne angeschlossen werden. Wenn "PC-105-68$" das legitime domänenübergreifende Vertrauenskonto ist, sollte die Vertrauensstellung neu erstellt werden. Im Falle das "PC-105-68$" kein legitimes Konto ist, sollte Folgendes für "PC-105-68" veranlasst werden: Wenn "PC-105-68" ein Domänencontroller ist, sollte die hiermit verbundene Vertrauensstellung "PC-105-68$" gelöscht werden. Wenn "PC-105-68" kein Domänencontroller ist, sollte es von der Domäne entfernt werden. Hab den RODC um ca. 09:00 neu aufgesetzt. Heisst das, dass diese Meldungen nur für PCs kommen, die nicht in der besagten Gruppe Zulässige RODC-Kennwortreplikationsgruppe sind und dass ich diese ignorieren kann? Mein Test-PC und das Konto mit dem ich mich anmelde befinden sich in dieser Gruppe. vg, Andi Zitieren Link zu diesem Kommentar
SCUGG 10 Geschrieben 8. Oktober 2009 Melden Teilen Geschrieben 8. Oktober 2009 Hallo xsawa, das Problem kommt mir bekannt vor. Genau wie Yusuf schon geschrieben hat, muss der RODC erst die Hashes von einem schreibbaren DC anfordern und kann dann erst die Anfrage selber erfolgreich beantworten. Bei einem unserer Kunden tritt dies immer dann auf, wenn wir an dem neuen Standort einen neuen RODC aufsetzen. Die Clients melden sich beim RODC und dieser hat noch keine Hashes, somit fordert er diese bei einem schreibbaren DC an. Genau hierbei werden bei uns die Logeinträge generriert. Sobald der RODC aber die Hashes hat, verschwinden auch die Logeinträge. Kommt dann später ein neuer Rechner hinzu, bekommen wir für genau diesen einen Logeintrag, bis der RODC auch diesen Hash hat. Vielleicht hat Yusuf hat eine Begründung/Idee? ;-) Gruß Thorsten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.