Zenit 10 Geschrieben 10. Juni 2013 Melden Teilen Geschrieben 10. Juni 2013 (bearbeitet) Hallo Ich möchte meine alten Windows 2003 DC mit der Reg. DnsAvoidRegisterRecords Entry für alle meine Computer Devices, ausschliessen, und eine gewisse Zeit noch vor dem Demoten laufenlassen, ich möchte euch fragen ob einer von euch bereits Erfahrungen mit DnsAvoidRegisterRecords sammeln konnte? Welche SRV Rekords müsste ich verwenden, wen ich nur den Clients diesen DC unsichtbar machen möchte? http://technet.microsoft.com/en-us/library/cc778029%28v=ws.10%29.aspx Ich wollte folgende SRV Records aktivieren _ldap._tcp. DnsDomainName _ldap._tcp. SiteName ._sites. DnsDomainName L.g Zen bearbeitet 10. Juni 2013 von Zenit Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 10. Juni 2013 Melden Teilen Geschrieben 10. Juni 2013 Darf ich fragen, wozu das gut sein soll ? Zitieren Link zu diesem Kommentar
Zenit 10 Geschrieben 11. Juni 2013 Autor Melden Teilen Geschrieben 11. Juni 2013 Hallo zahni Sicher darfst Du das :-) Wir haben unsere Umgebung auf Windows 2008 R2 aktualisiert, Nun vor einem Demote der alten DC Server sollte mann die alten DC für die Clients unerreichbar machen,danach wird das Netz analysiert um zu sehen ob etwaige Applikationen hardkodiert diesen DC als Prefered Server konfiguriert haben, so ist es sehr einfach zu identifizieren welche Applikationen wir korrigieren müssten. Bye Zen Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 11. Juni 2013 Melden Teilen Geschrieben 11. Juni 2013 Wenn Du den DC aus dem DNS löschst, bekommst Du aber auch Replikationsprobleme. Daher würde ich davon abraten.Fahre doch den DC herunter. 1-2 Tage sollte das der Domäne nichts ausmachen. Vorher müssen natürlich alles relevanten FSMO-Rollen migriert sein. Zitieren Link zu diesem Kommentar
Zenit 10 Geschrieben 11. Juni 2013 Autor Melden Teilen Geschrieben 11. Juni 2013 (bearbeitet) Nein eben nur die SRV Einträge so wie es in dieser KB geschrieben ist, dann ist der DC nur für die Clients nicht mer auffindbar.. http://support.microsoft.com/kb/306602/en-us?wa=wsignin1.0 Windows Server 2003 To configure Windows Server 2003-based domain controllers, use the "DC locator DNS records not registered by the DCs" Net Logon service group policy. To do this, specify the list of the space-delimited mnemonics that are specified in the "Reference tables" section. Active Directory servers offer the LDAP service over the TCP protocol; therefore, clients find an LDAP server by querying DNS for a record of the form: _ldap._tcp. DnsDomainName und wen Du diesen Eintrag ausklammerst werden die Klients diesen DC nicht mehr ereichen, aber wirklich auch nur die Clients, und was will man mehr.. bearbeitet 11. Juni 2013 von Zenit Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 11. Juni 2013 Melden Teilen Geschrieben 11. Juni 2013 Hi Zenit, wenn ich den KB Artikel so lese, sollst du die Einträge in der Registry des betroffenen DCs ändern. Ich würde nun frei behaupten, wenn du die Einträge löschst hast du den gewünschten Effekt, da der alte 2003 sich nicht als DC beim DNS Server melden wird. Vorher kannst du ja vll per CCleaner die Registry dumpen... Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 11. Juni 2013 Melden Teilen Geschrieben 11. Juni 2013 Und wenn die Clients einfach den A-Record abfragen ? Oder den WINS-Server. Mir fällt auf die Schnelle nicht ein, warum ein Client bezogen auf die Domain-Dienste irgendwas "fest" verdrahtet haben sollte. Zitieren Link zu diesem Kommentar
Zenit 10 Geschrieben 12. Juni 2013 Autor Melden Teilen Geschrieben 12. Juni 2013 @zahni wir haben keinen WINS Server Der Client sucht sich den DC mit den SRV Einträgen im DNS (Abe der komsich effekt ist, das ich wissen wolte ob das schon jemand bereits verwendet hatte, und nicht das ich euch aufzeige wie sich ein Client im Netz bei der suche eines DC verhält, denke das sollte jeder wissen) Der Client sendet eine DNS-Lookup-Abfrage an den DNS-Server, um Domänencontroller zu finden (bevorzugt im eigenen Subnetz des Clients). Clientcomputer finden also einen Domänencontroller, indem sie einen DNS-Server nach einem Eintrag in folgender Form durchsuchen: _LDAP._TCP.dc._msdcs.Domänenname Ein Computer, der sich an einer Windows-basierten Domäne anmeldet, durchsucht den DNS-Server in folgender allgemeingültiger Form nach SRV-Einträgen: _Dienst._Protokoll.DNSDomänenname Active Directory-Server stellen den LDAP-Dienst (LDAP = Lightweight Directory Access Protocol) über das TCP-Protokoll zur Verfügung.Clientcomputer finden also einen LDAP-Server, indem sie einen DNS-Server nach einem Eintrag in folgender Form durchsuchen: _ldap._tcp.DNSDomänenname Denke das solte jetzt klar sein Du kanst es auch testen in dem Du nltest /dsgetdc: Domänenname Somit wirst Du jetzt besser verstehen was wir vorhaben. L.g Zen Zitieren Link zu diesem Kommentar
schtebo 10 Geschrieben 12. Juni 2013 Melden Teilen Geschrieben 12. Juni 2013 an der firewall.cpl ne rule für dns udp 53 deny? Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 12. Juni 2013 Melden Teilen Geschrieben 12. Juni 2013 @Zenit, ich verstehe Dein Problem trotzdem nicht. Entferne den DC mit DCPromo und gut ist es. Stelle sicher, dass keine Client den Server als DNS-Server verwendet (z.B. in der DHCP-Config). Ein Client versucht den nächsten DC über DNS-Domänen-Abfragen zu finden. Der DNS-Server muss nun entsprechend der Standort-Konfig einen passenden DC ausknobeln und dem Client melden. Der Client "merkt" sich den DC nicht (höchstens in DNS-Cache). Wenn mehr als ein DC im Standtort sind, verwendet DNS Round Robin, um einen der DC's auszuwählen. Das kannst Du auch leicht selber prüfen: Am Standort folgende Befehle ausführen: :10 ping "FQDN" (ohne Servername) IPCONFIG /flushdns Goto 10 Wenn Du z.B. 2 DC's hast, sollte sich bei diesem Ping sich abwechselnd beide DC's antworten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.