xsawa 10 Geschrieben 9. Oktober 2009 Melden Teilen Geschrieben 9. Oktober 2009 Hi Leute! Hab da noch ne Frage: Warum dauert die Anmeldung an einem Client viel länger wenn der RODC offline ist - also keine Verbindung mit seinen schreibbaren DC hat? Der RODC hat doch auch alle Richtlinen- Einstellungen und durch DFS auch alle Freigaben. Außerdem ist der RODC als bevorzugter DNS Server am CLient eingestellt? Vg, Andi Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Oktober 2009 Melden Teilen Geschrieben 9. Oktober 2009 Servus, sollen sich die Benutzer auch an einem RODC anmelden können wenn keine VPN-Verbindung zu einem Standort mit beschreibbaren DCs existiert, so müssen die Benutzer- und Computerkennwörter auf den RODC repliziert werden, die sich an diesem anmelden sollen. Wenn sich nun ein Benutzer gegenüber einem RODC authentifizieren möchte, überprüft der RODC ob er das Kennwort des Benutzerkontos vorliegen hat. Falls das nicht der Fall ist, leitet er diese Anmelde-Anfrage an einen beschreibbaren DC weiter und erhält von diesem dann ein Kerberos-Ticket. Danach stellt der RODC dem Benutzer ein eigenes Kerberos-Ticket aus. Zeitgleich stellt der RODC eine Replikationsanforderung nach dem Kennwort des Benutzers (und Clients) an einen beschreibbaren DC. Der beschreibbare DC überprüft dann, ob der RODC dazu die Berechtigung hat und repliziert ggf. das Passwort-Hash zum RODC. Deine Benutzer werden sich sicherlich mit den "zwischengespeicherten Benutzerinformationen" anmelden. Daher das langsame Anmeldeverhalten. LDAP://Yusufs.Directory.Blog/ - Die Installation eines RODC Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 9. Oktober 2009 Autor Melden Teilen Geschrieben 9. Oktober 2009 Hallo Yusuf! Vielen Dank für deine Antwort. Hab den RODC genau nach deinem Blog (einer von deinen vielen genialen Blogs) installiert und unter den Eigenschaften im Register Kennwortreplikationsrichtlinie / Erweitert von meinem RODC kann ich sogar sehen, dass die Daten meines Testbenutzers und meines Test-PCs schon gespeichert sind. Diese Konten sind natürlich in einer eigens angelegten Gruppe, welche wiederum Mitglied in der Gruppe "Zulässige RODC Kennwortreplikationsgruppe" ist. Kann es sein, dass hier die Gruppenverschachtelung Probleme macht? Soll ich die Benutzer und PCs lieber direkt in die Gruppe "Zulässige RODC Kennwortreplikationsgruppe" geben?:confused: vg, Andi Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 13. Oktober 2009 Autor Melden Teilen Geschrieben 13. Oktober 2009 Hat noch irgendwer Rat? Hat es etwa mit den DNS EInstellungen zu tun und soll ich etwa als bevorzugten DNS beim RODC sich selbst eintragen? Er kann doch alles in meiner Dom auflösen. Hmmmm...:confused: Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 13. Oktober 2009 Melden Teilen Geschrieben 13. Oktober 2009 Hallo xsawa An welchem DC du angemeldet bist siehst du wenn du "set logonserver" im CMD eingibst. Noch eine Idee die ev. helfen könnten: - werden "Universal Groups" eingesetzt - ist der RODC auch GC falls Universal Groups eingesetzt werden - DNS beim RODC selbst als erster Eintrag in den TCP EInstellungen Planning Global Catalog Server Placement Gruss fluehmann Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 14. Oktober 2009 Autor Melden Teilen Geschrieben 14. Oktober 2009 hi fluehmann! Vielen Dank für deine Hinweise. - werden "Universal Groups" eingesetzt = NEIN - ist der RODC auch GC falls Universal Groups eingesetzt werden = JA - DNS beim RODC selbst als erster Eintrag in den TCP EInstellungen = hab ich soeben gemacht , Client neu gestartet, Ergebnis ist das gleiche: Computereinstellungen werden übernommen dauert ca. 4-5 Minuten Startscript dauert etwa 2-3 Minuten Benutzereinstellungen werden geladen dauert ca. 6-8 Minuten Bis Loginscript erscheint dauerts nochmal ca. Infos: Um eben das Ganze zu simulieren, habe ich einfach einen neuen Standort erstellt und den RODC (der IP-mäßig aber im gleichen Netz ist wie die anderen DCs) dort hinein verschoben. Repl. und AD funktioniert bis eben die Anmeldung wenn RODC Offline. Anmeldeserver lasse ich mir immer im Loginscript anzeigen und hier sehe ich, dass es eben mein RODC ist. Hab auch keine UNC Pfade in meinen GPOs, welche direkt auf einen Server zeigen, der nicht verfügbar wäre. vg, Andi Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 14. Oktober 2009 Autor Melden Teilen Geschrieben 14. Oktober 2009 Hab da übers Technet noch nen Artikel gefunden, aber der ist vom 6. August 2008. Müsste dieser Hotfix nicht schon längst in den normalen Updates eingebaut sein? Was denkt ihr, soll ich den installieren (nach einer Sicherung natürlich)? Langsame Authentifizierung Leistung auf einem Windows Server 2008-basierten RODC auftreten bei ist unter hoher Auslastung oder wenn die Verknüpfung zwischen dem RODC und einem beschreibbaren Domänencontroller langsam ist vg, Andi Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 14. Oktober 2009 Melden Teilen Geschrieben 14. Oktober 2009 Müsste dieser Hotfix nicht schon längst in den normalen Updates eingebaut sein? Was denkt ihr, soll ich den installieren (nach einer Sicherung natürlich)? Vieles "müsste" sein. ;) Fordere dir den Hotfix und und installiere ihn. Wenn der Hotfix schon installiert wäre, würdest du bei der Installation eine Meldung erhalten. Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 14. Oktober 2009 Melden Teilen Geschrieben 14. Oktober 2009 In wie vielen Gruppen ist der User Mitglied? Es kann sein, dass ds Ticket zu groß wird. Dann musst du die Größe per Registry anpassen. Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 15. Oktober 2009 Autor Melden Teilen Geschrieben 15. Oktober 2009 Der User ist genau in 2 Gruppen Mitglied. Domänen-Benutzer Zulässige-Kennwortrepl... vg, Andi Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 15. Oktober 2009 Autor Melden Teilen Geschrieben 15. Oktober 2009 So, hätte den Hotfix jetzt mal installiert, bekam aber die Meldung, dass dieser nicht für dieses System bestimmt ist. Nun, dann werde ich mal abwarten, wie sich der RODC dann am Standort bei Clientanmeldungen verhält, wenn der RODC mal keine Verbindung in unsere Zentrale hat. Vielleicht bin ich auch nur verwöhnt von meinen beiden beschreibbaren DCs. Hier gehts nämlich ziemlich fix. Was habt ihr für Erfahrungen gemacht. Geht bei euch eine Anmeldung am RODC genauso schnell wie bei den beschreibbaren, auch wenn dieser offline ist? vg, Andi Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 15. Oktober 2009 Melden Teilen Geschrieben 15. Oktober 2009 Geht bei euch eine Anmeldung am RODC genauso schnell wie bei den beschreibbaren, auch wenn dieser offline ist? Genau. Das Anmeldeverhalten ist gleich. Du kannst es doch simulieren. Einer der Benutzer soll den Router ausschalten. Zitieren Link zu diesem Kommentar
xsawa 10 Geschrieben 15. Oktober 2009 Autor Melden Teilen Geschrieben 15. Oktober 2009 Du kannst es doch simulieren. Einer der Benutzer soll den Router ausschalten. Genau das hab ich immer gemacht um zu testen. Habs auch mit nem Miniswitch probiert. Andiesem hing mein RODC mein TestPC (beide übrigens wieder am selben Standort im AD und IP Adressen alle im gleichen Netz) und der miniswitch ist an mein Netzwerk angeschlossen, sodass alle DCs und Clients untereinander komm. können. Hab dann einfach die Verbindung vom Miniswitch ins Netzwerk abgezogen, sodass nur mehr RODC und Testclient eine Verbindung hatten - Benutzereinstellungen werden geladen und geladen und geladen danach öffnet sich mal das Loginscript und ist leer und dann nach einer weiter Minute ca. füllt sich das Loginscript und läuft dann aber in normaler Geschwindigkeit ab. In der DNS mmc auf meinem RODC unter Weiterleitungen sind die beiden beschreibbaren DCs eingetragen. Wurde durch die Installation so gemacht. Stimmt das? Als bevorzugter DNS hab ich sein eigene IP Adresse eingetragen 2. DNS hab ich leer gelassen vg, Andi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.