m1k2k 10 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Hallo zusammen, habe folgendes Problem festgestellt, wir haben hier 2 Standorte mit jeweils 2 DC´s , ein Standort greift direkt nach der Anmeldung am lokalen PC auf eine Terminalsitzung zu diese sich auf dem 2. Standort verbindet um dort in unserem ERP System zu arbeiten. Dass Problem ist wenn die Aufforderung am lokalen PC zum ändern des Passwortes kommt, muss der Benuter dass natürlich tun (domain policy), der Benutzer ändert das pw erfolgreich und kann sich nun in seinem PC anmelden, dann versucht der Benutzer die Terminalsitzung zu öffnen und sich dort mit dem neuen Passwort anzumelden und dass funktioniert nicht mehr! Gibt es eine Möglichkeit dass solche Passwortänderungen sofort repliziert werden? Jetzt ist die Synchronisierung auf 30 Minuten eingestellt. Danke euch Ciao Zitieren Link zu diesem Kommentar
marin 10 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Könnte das was sein? How do I tune Active Directory replication? Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Moin, wenn sich sowohl der Client als auch der Terminalserver am selben Standort befinden, sollten sie dieselben DCs verwenden. In dem Fall sollte es dann keine nennenswerte Replikationsverzögerung geben. Voraussetzung ist aber, dass eure Standortkonfiguration dafür sorgt, dass Server und Client auch wissen, dass sie am selben Standort sind. Gruß, Nils Zitieren Link zu diesem Kommentar
m1k2k 10 Geschrieben 5. November 2009 Autor Melden Teilen Geschrieben 5. November 2009 Hallo Nils, genau dass ist ja mein Problem, sie befinden sich NICHT am selben Standort, der Client befindet sich am Standort A) und der Terminalserver an dem sie sich sofort nach der Anmeldung und evtl. Passworterneuerung (am Standort A)) anmelden befindet sich am Standort B) Hilft es etwas wenn als sekundärer DNS im Terminal Server ein DC aus dem Standort A) eingetragen wird? Gruss Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Salve, Gibt es eine Möglichkeit dass solche Passwortänderungen sofort repliziert werden? ja, die gibt es. Du könntest die standortübergreifende Änderungsbenachrichtigung auf der Standortverknüpfung konfigurieren. Dann nimmt eben die standortübergreifende AD-Replikation zu. Wenn aber die VPN-Leitung zwischen den Standorten Flat ist, fällt das nicht so sehr ins Gewicht. Siehe: LDAP://Yusufs.Directory.Blog/ - Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren Zitieren Link zu diesem Kommentar
m1k2k 10 Geschrieben 5. November 2009 Autor Melden Teilen Geschrieben 5. November 2009 Hi Yusuf, danke für den Tip, hab mir deinen Blog durchgelesen, werds VERSUCHEN :) Aber in meinem Fall genügt ja Dringende Replikation (Urgent Replication) oder? Gruss Zitieren Link zu diesem Kommentar
marin 10 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Und Yusuf hat das ganze noch in Deutsch:) Eigentlich hätte ich mirs denken können. Auf diesem Wege mal ein grosses Danke an dich für die Weitergabe von Fachwissen! Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 Moin, Aber in meinem Fall genügt ja Dringende Replikation (Urgent Replication) oder? nein. Die findet sowieso statt und sorgt nur dafür, dass das geänderte Kennwort beim PDC-Emulator ankommt. Gruß, Nils Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 5. November 2009 Melden Teilen Geschrieben 5. November 2009 danke für den Tip, hab mir deinen Blog durchgelesen, werds VERSUCHEN :) Du brauchst es nicht versuchen, sondern musst es nur durchführen. ;) Aber in meinem Fall genügt ja Dringende Replikation (Urgent Replication) oder? Wie du es ja selbst gemerkt hast, ist es nicht das was du benötigst. Die "dringende Replikation" (Urgent Replication) bewirkt nichts anderes, als das der DC der die Kennwortänderung des Benutzers durchgeführt hat, direkt diese Änderung mit einer RPC-Verbindung durch den "sicheren Kanal" dem PDC-Emulator repliziert. Der DC repliziert das aber nur sofort, wenn ihm das nicht durch den Registry-Key "AvoidPDCOnWan" untersagt wurde. Kommen wir nun zu deinem Szenario: BenutzerA ändert am AD-StandortA sein Kennwort. Der DC der die Kennwortänderung durchgeführt hat, repliziert diese Änderung umgehend zu dem DC der die Rolle des PDC-Emulators innehat. Nun versucht der BenutzerA eine Terminalserververbindung zu einem Server der aber im AD-StandortB steht. Die Authentisierung des Benutzers wird in deiner Umgebung von einem DC aus dem AD-StandortB durchgeführt. Vorausgesetzt es existieren mehrere AD-Standorte. Der DC im AD-StandortB weiß aber noch nichts von dieser Kennwortänderung und verweigert vorerst die Anmeldung des Benutzers. Doch bevor der DC dem Benutzer die Anmeldung verweigert, fragt er sicherheitshalber beim PDC-Emulator nach. Denn jeder DC weiß, dass der PDC-Emulator der einzigste DC in der Domäne ist, der alle Kennwörter direkt nach einer Kennwortänderung eines Benutzers kennt. Wenn nun die Anfrage des DCs aus dem AD-StandortB aus welchem Grund auch immer den PDC-Emulator nicht erreicht (PDC-Emulator ist überlastet, VPN-Leitung zwischen den AD-Standorten ist down etc.), verweigert er die Anmeldung des Benutzers. Der DC im AD-StandortB erfährt erst nach der "normalen" standortübergreifenden AD-Replikation von dem neuen Kennwort. Aktivierst du jedoch die standortübergreifende Änderungsbenachrichtigung, erfährt der DC im AD-StandortB bereits nach wenigen Sekunden von der Änderung. @ Marin Fachwissen? Wer? Wenn du einen triffst der so "etwas" hat, sag mir bescheid. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.