maeck 10 Geschrieben 3. April 2011 Melden Teilen Geschrieben 3. April 2011 Hallo, wir sind dabei, den ersten RODC in einem Außenstandort zu integrieren, in dem es keine lokalen Admins gibt und die Zugangssicherheit zum DC nicht gewährleistet werden kann. Der Außenstandort ist über MPLS ans Rechnenzentrum angeschlossen. Dennoch möchten wir sicherstellen, dass bei einem eventuellen Ausfall der WAN-Verbindung die User und Computer sich noch an dem lokalen (RO)DC authentisieren können. Und genau da ist meine Verständnislücke. Wenn ich richtig verstanden habe, sind bei einem RODC standardmäßig keine Benutzer- und Computerkonten lokal gecached, sodass jede Kerberos-Authentisierungsanfrage an einen WDC weitergegeben wird. Müssen wir nun, um unseren Anspruch zu realisieren, alle Domänenbenutzer- und computerkonten in die entsprechenden RODC-Sicherheitsgruppen eintragen, damit sie lokal auf dem RODC gecached sind? Eine zweite Frage: Unter Sites&Services ist beim RODC ein Replikationspartner eingetragen (den wir bei der Installation angegeben haben). Was ist, wenn dieser mal nicht verfügbar ist - aus welchem Grund auch immer. Benutzt der RODC dann einen anderen WDC in der Nähe (oder der angegeben Site), oder kann man einen Fallback-WDC definieren? Gruß maeck Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 3. April 2011 Melden Teilen Geschrieben 3. April 2011 Zur ersten Frage: Ja die Lokalen User muss man eintragen, damit bei einem Ausfall der WAN Leitung diese sich anmelden können. Bei einem Diebstahl des Servers muss man nur diese Kennwörter ändern und nicht die der kompletten Domäne. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 3. April 2011 Melden Teilen Geschrieben 3. April 2011 Servus, neben dem Benutzerkontokennwort muss noch das Computerkontokennwort zum RODC repliziert werden, wenn der RODC eigenständig die Benutzer authentisieren soll. Bzgl. deiner zweiten Frage: Wenn das Verbindungsobjekt "automatisch" vom KCC generiert wurde, erstellt der KCC automatisch ein neues Verbindungsobjekt, falls der jetzige Replikationspartner vom RODC nicht mehr zur Verfügung stehen sollte. Ist das Verbindungsobjekt manuell erstellt worden, muss der Admin ein neues Verbindungsobjekt zu einem bestehenden RWDC erstellen. In den meisten Umgebungen ist es empfehlenswert, die Verwaltung der Replikation dem AD bzw. KCC zu überlassen. LDAP://Yusufs.Directory.Blog/ - Die Installation eines RODC Zitieren Link zu diesem Kommentar
maeck 10 Geschrieben 18. April 2011 Autor Melden Teilen Geschrieben 18. April 2011 Entschuldigt, dass ich erst jetzt antworte, ich war beruflich mit anderen Themen zugeschaufelt. Vielen Dank für eure Antworten. Ich verstehe noch nicht ganz wofür wir unbedingt die Benutzer- und Computerkonten eintragen müssen. Sollte die WAN-Verbindung weg sein, können die User sich doch mit Ihrem lokal gespeicherten Profil anmelden, oder? Aber wie schaut es dann mit den lokalen Ressourcen, wie z.B. print- und fileservices auf dem RODC aus? Würden die von den Clients mit lokalem gespeichertem Profil trotzdem noch funktionieren? Warum wir uns so schwer tun, die Benutzer- und Computerkonten in den RODC einzutragen liegt daran, dass die Benutzer in unseren Filialen sehr stark fluktuieren und teilweise täglich die Filiale wechseln. Demnach müssten wir alle User in die RODC-Gruppe packen und das kann auch nicht Sinn der Sache sein. Bzgl. deiner zweiten Frage: Wenn das Verbindungsobjekt "automatisch" vom KCC generiert wurde, erstellt der KCC automatisch ein neues Verbindungsobjekt, falls der jetzige Replikationspartner vom RODC nicht mehr zur Verfügung stehen sollte. Ist das Verbindungsobjekt manuell erstellt worden, muss der Admin ein neues Verbindungsobjekt zu einem bestehenden RWDC erstellen. In den meisten Umgebungen ist es empfehlenswert, die Verwaltung der Replikation dem AD bzw. KCC zu überlassen.Ich habe während der Installation des RODC den replizierenden Server explizit ausgewählt und nicht automatisch einen wählen lassen. Kann ich das rückgängig machen, sodass sich der RODC bei Verlust des W-DCs automatisch einen anderen sucht? Gruß maeck Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 18. April 2011 Melden Teilen Geschrieben 18. April 2011 ch verstehe noch nicht ganz wofür wir unbedingt die Benutzer- und Computerkonten eintragen müssen. Denn neben den Benutzerkonten müssen sich auch Computerkonten in der Domäne authentisieren Sollte die WAN-Verbindung weg sein, können die User sich doch mit Ihrem lokal gespeicherten Profil anmelden, oder? Genau, sie können sich mit ihren cached credentials anmelden, haben aber dadurch keinen Zugriff auf Netzwerkressourcen! Aber wie schaut es dann mit den lokalen Ressourcen, wie z.B. print- und fileservices auf dem RODC aus? Würden die von den Clients mit lokalem gespeichertem Profil trotzdem noch funktionieren? Eben, das funktioniert nicht. Wenn also die VPN-Verbindung down ist und beispielsweise das Computerkontokennwort *nicht* zum RODC vor Ort repliziert wurde, dann kann der RODC den Benutzer nicht authentisieren. Und damit ein Benutzer auf eine Netzwerkressource zugreifen kann (dazu gehören die Ressourcen auf dem RODC), benötigt er ein gültiges TGT (Ticket Granting Ticket), damit der Netlogon-Prozess lokal auf dem Client, dass (und jetzt kommt das entscheidende für den Zugriff auf eine Netzwerkressource) Access-Token generieren kann. Warum wir uns so schwer tun, die Benutzer- und Computerkonten in den RODC einzutragen liegt daran, dass die Benutzer in unseren Filialen sehr stark fluktuieren und teilweise täglich die Filiale wechseln. Dann leitet der RODC die Authentisierungsanforderung an einen beschreibbaren DC weiter, wenn nicht beide Kennwörter (vom Benutzer- und Computerobjekt) zum RODC repliziert wurden. Es geht ja nur darum, wen der RODC eigenständig authentisieren soll, wenn zum Zeitpunkt der Authentisierung das VPN nicht zur Verfügung steht. Demnach müssten wir alle User in die RODC-Gruppe packen und das kann auch nicht Sinn der Sache sein. Siehe oben. Ich habe während der Installation des RODC den replizierenden Server explizit ausgewählt und nicht automatisch einen wählen lassen. Kann ich das rückgängig machen, sodass sich der RODC bei Verlust des W-DCs automatisch einen anderen sucht? Die Angabe des DCs (Replikationspartner für die Initialreplikation) während dem DCPROMO-Vorgang, dient einzig und alleine der Erstreplikation. Der RODC nimmt automatisch jederzeit Verbindung zu einem verfügbaren beschreibbaren DC auf. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.