numx 10 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Hallo Leute, aus Redundanzgründen wollte ich mir einen zweiten DC für meine Domäne einrichten. Dieser DC soll bei wegfall des ersten DCs als kompletter Ersatz des erstens DCs arbeiten. Da der zweite DC ja parrallel zum ersten DC läuft bekomt er natürlich auch alle Infos vom ersten DC durch Replizierung zugeschoben. Mein Frage wird wirklich alles vom ersten DC zum zweiten Repliziert? Na klar muss man dazu evtl oder z.B. den globalen Katalog etc replizieren aber wie sieht es zum Beispiel mit den Rollen aus? Ich habe mal gelesen das der erste DC alle Rollen hat da er der erste DC in der Domäne ist. Wenn er jetzt aber weg bricht wer übernimmt dann die Tätigkeit der Rollen? Oder kann ich den zweiten DC von Anfang an so einrichten das er haargenau die gleich Rollen bzw. Daten hat die der erste DC auch hat? Wenn ja was muss ich alles replizieren und wo stelle ich das ein? Neben den AD Daten und den Rollen sollen auch die DNS Daten redundant gehalten werden. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Die Rollen bleiben natürlich da, wo sie sind, auf einem der beiden DCs. Wenn der ausgefallene DC nicht mehr wieder an den Start geht, dann müssen die Rollen händisch übertragen werden. Fällt er nur temporär aus, dann kommt es auf Deine Umgebung und die Art der auszuführenden Aktionen an, ob Du es überhaupt merkst, dass der Rollenhalter für eine gewisse Zeit nicht verfügbar ist ... How to view and transfer FSMO roles in Windows Server 2003 FSMO placement and optimization on Active Directory domain controllers http://www.microsoft.com/germany/technet/itsolutions/network/grundlagen/tec_comp_2_3_2.mspx Du musst die DNS-Zonen nur Active Directory integrieren, dann werden sie auch zum zweiten DC repliziert. Natürlich müssen die Clients auch beide DNS-Server konfiguriert bekommen ... Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Hallo, AD und DNS gehen automatisch, mit den Rollen startet ein vexierspiel: 5 Rollen muessen verteilt werden als kurzzusammenfassung in etwa folgendes: entweder 1 dc mit 5 rollen, 2 DCs ist wieder ned so gut weil wenn mehr als 1 dc sollen die rollen noch weiter verteilt werden so das eher 3 aufgestellt werden sollten (einige rollen sind "besser nicht" zusammen auf einem dc). es geht auch mit 2 (jedenfalls bei mir), best practice sieht aber anders aus. und pro standort wirds dann noch mehr. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Servus, aus Redundanzgründen wollte ich mir einen zweiten DC für meine Domäne einrichten. na das wird aber auch mal Zeit. ;) Dieser DC soll bei wegfall des ersten DCs als kompletter Ersatz des erstens DCs arbeiten. Fällt ein DC aus, kann der zweite DC die Domänenfunktionen "erstmal" aufrecht halten. Die Benutzer merken vorerst nichts davon. Dabei muss natürlich sichergestellt sein, dass auf jedem DC das DNS installiert ist und beide Server als DNS-Server an die Clients verteilt werden. Da der zweite DC ja parrallel zum ersten DC läuft bekomt er natürlich auch alle Infos vom ersten DC durch Replizierung zugeschoben. Der zweite DC hat alle AD- und DNS-Informationen, sofern sich die Forward Lockup Zone (FLZ) im AD befindet, was ohnehin Standard sein sollte. Mein Frage wird wirklich alles vom ersten DC zum zweiten Repliziert? Was das AD und DNS (bei AD-integrierter FLZ) betrifft, ja. Aber nichts weiter. Na klar muss man dazu evtl oder z.B. den globalen Katalog etc replizieren aber wie sieht es zum Beispiel mit den Rollen aus? In den meisten Umgebungen ist es ebenfalls empfohlen, auf JEDEM DC den GC zu aktivieren. Die FSMO-Rollen werden nicht repliziert. Diese müsste bei einem Crash des Rolleninhabers mit Gewalt übernehmen [1]. Dann darf aber der ursprüngliche Rolleninhaber nie mehr online gehen. Diesen musst du dann noch aus den Metadaten des AD entfernen [2]. [1] LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben [2] LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Ich habe mal gelesen das der erste DC alle Rollen hat da er der erste DC in der Domäne ist. So ist es. Wenn er jetzt aber weg bricht wer übernimmt dann die Tätigkeit der Rollen? Erstmal keiner. Aber das ist im ersten Moment auch nicht weiter tragisch. Denn die FSMO-Rollen werden für die Benutzeranmeldung nicht benötigt. Crasht der Rolleninhaber, musst du die Rollen auf einen anderen DC mit Gewalt "seizen". Oder kann ich den zweiten DC von Anfang an so einrichten das er haargenau die gleich Rollen bzw. Daten hat die der erste DC auch hat? Nein, dass geht nicht und ist auch nicht notwendig. Wenn ja was muss ich alles replizieren und wo stelle ich das ein? Neben den AD Daten und den Rollen sollen auch die DNS Daten redundant gehalten werden. Die AD-Informationen werden automatisch wenn alles ordnungsgemäß funktioniert auf andere DCs repliziert. Ist die FLZ im DNS AD-integriert gespeichert (was es sein sollte), werden auch die DNS-Infos automatisch dank der AD-Replikation auf die anderen DCs repliziert. Wenn der gecrashte DC noch weitere Dienste oder Daten bereitgestellt hatte, müssen diese dann natürlich noch auf einem anderen DC bereitgestellt werden (ggf. mit Hilfe eines Backups). P.S. Uiuiuii... jetzt war ich aber langsam beim tippen. :) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Salve, AD und DNS gehen automatisch nur wenn die FLZ AD-integriert gespeichert wurde. 5 Rollen muessen verteilt werden Nein, müssen sie keineswegs! Im Gegenteil, in vielen Umgebungen ist es eher sinnvoll, alle Rollen auf einem DC zu belassen! entweder 1 dc mit 5 rollen, 2 DCs ist wieder ned so gut weil wenn mehr als 1 dc sollen die rollen noch weiter verteilt werden so das eher 3 aufgestellt werden sollten (einige rollen sind "besser nicht" zusammen auf einem dc). Die Rollen sollten: 1. In den meisten Umgebungen (insbesondere in KMUs) alle auf einem DC belassen werden. 2. Falls eine Verteilung der Rollen notwendig ist, dann wie folgt: LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben Dabei ist es ebenfalls empfehlenswert, auf jedem DC den GC zu aktivieren. Dann muss auch nicht weiter beachtet werden, auf welchem DC sich der Infrastrukturmaster befindet. es geht auch mit 2 (jedenfalls bei mir) Es funktioniert sogar, wenn sich alle Rollen auf einem DC befinden. :p Und auch wenn zwei DCs in der Domäne existieren (was standardmäßig in jeder Domäne wegen der Ausfallsicherheit sein sollte), funktioniert natürlich alles weiterhin. best practice sieht aber anders aus. und pro standort wirds dann noch mehr. Es kommt wie so oft, immer auf die Umgebung an. Zitieren Link zu diesem Kommentar
numx 10 Geschrieben 3. Mai 2010 Autor Melden Teilen Geschrieben 3. Mai 2010 Hallo Daim, danke für eure antworten!!!!! kurze Frage an Daim: Ich habe jetzt nur mal schnell die Anleitung zum übertragen der Rollen überflogen. Erste Frage die Anleitung ist ja für den Server 3003. Gilt diese auch für Server 2008? zweite Frage: Kann ich alle Rollen übertragen auch wenn der erste DC gecrasht ist? Also sozusagen es brauch keine Verbindung zum ersten DC aufgebaut werden nur um eine bestimmte Rolle zu übertragen was ja auch nicht gehen würde wenn der erste DC der Gesamtsruktur/Domäne gecrasht ist. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Ich habe jetzt nur mal schnell die Anleitung zum übertragen der Rollen überflogen. Du solltest "aufmerksam" lesen. ;) Erste Frage die Anleitung ist ja für den Server 3003. Gilt diese auch für Server 2008? Nein, die Anleitung ist Versionsunabhängig geschrieben und gilt für alle Serverversionen. zweite Frage: Kann ich alle Rollen übertragen auch wenn der erste DC gecrasht ist? Ja, klar geht das. Scrolle in der Anleitung ganz runter zum Abschnitt "Die FSMO-Rollen offline übernehmen". Deshalb aufmerksam lesen. :p Also sozusagen es brauch keine Verbindung zum ersten DC aufgebaut werden nur um eine bestimmte Rolle zu übertragen was ja auch nicht gehen würde wenn der erste DC der Gesamtsruktur/Domäne gecrasht ist. Genau so ist das. Die Rollen werden "mit Gewalt" von einem anderen DC übernommen. Dann darf aber wie bereits erwähnt, der Ursprungs-Rolleninhaber nie mehr online gehen und muss aus den Metadaten des AD entfernt werden. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Hallo Leute, aus Redundanzgründen wollte ich mir einen zweiten DC für meine Domäne einrichten. Dieser DC soll bei wegfall des ersten DCs als kompletter Ersatz des erstens DCs arbeiten. Sofern dein erster DC als DHCP Server fungiert denke auch an diese Funktion. Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 Ups, danke an daim für die korrektur meiner antwort. als ich mich damit befasst habe hatte ich die texte so verstanden das die rollen verteilt werden muessen, (schema master darf kein GC sein oder andere bedingungen (ist eine weile her daher die unschaerfe hier)). Sehr beruhigend und energiesparend das dem nicht so ist, werde mir die texte wohl nochmal antun muessen Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 (schema master darf kein GC sein Na das passt aber auch nicht ganz. Vermutlich meinst du den Infrastrukturmaster und nicht den Schemamaster. Denn der Schemamaster hat überhaupt kein Problem mit dem GC. Der Infra.-Master unter gewissen Umständen schon. Daher: Wenn auf jedem DC der GC aktiviert ist, gibt es auch hierbei kein Problem mehr. ;) Sehr beruhigend und energiesparend das dem nicht so ist, werde mir die texte wohl nochmal antun muessen Yes, Sir. Tue dir keinen Zwang an. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.