AD Beitritt direkt am RODC durchführen?

[cobain86 11]

Hallo

ich habe folgendes Konstrukt

Standort 1:

2x vollwertige DCs 2008 R2
VPN Verbindung zu Standort 2
Alles ein netz (nennen wir es mal Netz 1 - 192.168.x.x)
Standort 2:

2 getrennte Netze(Netz 2 - 192.168.200.x & Netz 3 10.2.200.x)
VPN Verbindung zu Standort 1
1 RODC im 192er Netz
Clients im 10er Netz
Firewall Ports sind geöffnet.
DC Diag sieht keine fehler.
Wenn ich jetzt jedoch einen client aus dem Netz 3 zur Domäne hinzufügen will, bricht mir das ganze mit folgenden Fehler ab
 

Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "domäne" verwendet wird, wurde erfolgreich abgeschlossen:
Es handelt sich um die Abfrage des SRV-Eintrags für _ldap._tcp.dc._msdcs.domäne.
Die folgenden Domänencontroller wurden von der Abfrage identifiziert:
dc2.domäne
dc.domäne
Es konnte jedoch keine Verbindung mit Domänencontrollern hergestellt werden.
Die häufigsten Ursachen dieses Fehlers sind:
- Hosteinträge (A oder AAAA), die die Namen der Domänencontroller deren IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.
- Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt.

Ich dachte immer die Verbindung am 2. Standort muss vom RODC zu den dortigen Client Netzwerken bestehen und der RODC meldet die Clients dann hier am DC an.

Sprich nur der RODC benötigt die offenen ports zur Hauptstelle, oder liege ich da falsch?
Sollten noch weitere infos benötigt werden einfach melden.

Edited September 9, 2014 by cobain86

[Dunkelmann 96]

Moin,

 

für Änderungen am/im AD (Clients hinzufügen, Benutzer- oder Computer-Kennwörter ändern etc.) wird Zugriff auf einen vollwertigen DC benötigt.

[NilsK 3,061]

Moin,

 

und die DNS-Informationen müssen natürlich auch auf den RODC repliziert werden. Je nach Aufbau muss man das noch einzeln einrichten.

 

Gruß, Nils

[cobain86 11]

DNS infos sind repliziert

ping etc auf alle namen geht von allen seiten.

 

ich glaube es liegt daran das lediglich der RODC zugriff auf die DCs hat und nicht die clients im 2. Standort. Daher kein Join möglich.

[tesso 389]

Das Ganze ist etwas aufwendiger. Ich habe das neulich mal bei einem Kunden gebraucht.

Schau mal hier:http://technet.microsoft.com/de-de/library/dd728035%28v=ws.10%29.aspx

[daabm 1,438]

Das hab ich doch im Technet heute auch schon mal gelesen, oder? Auf Crosspostings solltest Du hinweisen, dazu hast Du Dich beim Anmelden hier sogar verpflichtet :cool: