Verständnissfrage: 2. Domänencontroller - Clientanmeldung?

[Assassin 13]

Hallo allerseits,

 

ich bin mir übr die funktionsweise eines 2. Domänencontrollers noch nicht so ganz schlüssig wie das genau abläuft...wie ist das wenn wir jetzt einen Domänencontroller haben, welcher neben DNS, DHCP, AD noch als Fileserver fungiert, und dieser server aufgrund von Windows-Updates einmal neugestartet werden muss. Man kann ja einen zweiten Domänencontroller installieren, sodass diese sich gegenseitig replizieren, zumindest AD, DNS, DHCP...filesystem kann man wohl mitlerweile auch schon replizieren soweit ich das mitbekommen habe - aber wie meldet sich der Client dann am zweiten "notfall-Domänencontroller" an? ich meine, er nimmt ja nur den Server, welcher als Primärer DNS eintrag drin steht. Steht ein zweiter drin, ignoriert er das einfach. Ist der erste offline, kann sich der client nicht mehr an der domäne anmelden.

 

 

Wie macht man da also auf einem stark genutztem Domänencontroller windows updates?

[NilsK 2.795]

Moin,

 

zunächst einmal sollte ein DC nur DC sein (plus DNS und evtl. DHCP), aber eben kein Dateiserver. Wenn man dann das DNS richtig konfiguriert, können sich Clients an einem beliebigen DC der Domäne anmelden.

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Einen Dateiserver durchgehend verfügbar zu machen, ist nicht ganz so trivial. Replikationsverfahren scheiden für die meisten Anwendungsfälle aus, sodass man bei Bedarf einen Dateiserver-Cluster braucht. In den meisten Umgebungen geht es aber auch ohne, wenn man Neustarts passend plant.

 

Gruß, Nils

[Dunkelmann 96]

Moin,

 

bitte nicht Redundanz und Hochverfügbarkeit durcheinander bringen.

Mehrere DC bieten Redundanz für's AD. DNS, DHCP und Fileservices können bei Bedarf als hochverfügbare Dienste bereitgestellt werden; das ist aber nicht trivial und preiswert.

 

Für Updates usw. lassen sich auch in 24/7 Umgebungen immer Wartungsfenster finden. Ein Neustart dauert nicht ewig; und wenn der DC nicht als Fileserver o.ä. missbraucht wird, bekommen die Anwender in vielen Fällen davon auch nichts mit.

[Assassin 13]

oh, ok, also doch über das DNS, also das die Clients über eine DNS anfrage beim server herrausfinden, welcher server für die gerade zuständig ist.

 

das mit dem Fileserver lässt sich ja schnell umverlegen auf einen weiteren Server. wir haben ja schon eine Hochverfügbarkeits plattform in form von Stratus everRun. Aber der Windows AD, DNS und DHCP Server ist dennoch nur eine VM, und will ja auch irgendwann gepatcht werden :-/

[zahni 525]

Du solltest dann aber  sicherstellen, dass Deine "HA-Lösung" sich auch mit 2 DCs verträgt. Auch im Failover. Zumal die DCs untereinander auch replizieren.

 

Ist sie von  Microsoft supported?

[Doso 77]

DHCP und Fileserver sollten nach Möglichkeit nicht auf den DC. Rest läuft über DNS,  die Clients suchen sich darüber die DCs. Entsprechend wichtig ist beim AD eine funktionierende DNS Infrastruktur.

[NilsK 2.795]

Moin,

 

wir haben ja schon eine Hochverfügbarkeits plattform in form von Stratus everRun.

 

Autsch. "Mal eben" weitere Dienste auf eine HA-Lösung zu packen, geht in der Regel nach hinten los. Wofür ist die denn mal eingerichtet worden?

 

AD und DNS betreibt man auf die Weise auch nicht. Ein richtig eingerichtetes AD ist "in sich" hochverfügbar und wird nicht durch einen Cluster abgesichert.

 

Gruß, Nils

[Assassin 13]

Der Stratus everRun ist ja ein Hypervisor, auf dem wir mehrere VMs darauf laufen lassen, mehrere Server2012R2. Noch kann ich mehrere Server einrichten mit verschiedenen Dienste.

 

Das system gibt es einfach als ausfallsicherheit falls ein Physikalischer Server ausfallen sollte.

[zahni 525]

Das Ding soll wohl irgendwie  auf XenServer basieren (muss man nicht  benutzen). Das Problem ist die Replizierung der VMs. Das stört so lange nicht, wie kein Fehler auftritt. Im Fehlerfall, muss Du wissen, ob die  AD-Datenbanken einen sauberen Stand haben und die interne AD-Replizierung richtig funktioniert. Dazu empfehle ich dringend bei MS nachzufragen, ob diese Lösung supported ist. Wenn nicht, dann würde ich das  Vorhaben begraben.

 

An den Hinweisen von Nils ändert  sich übrigens nichts.

[NilsK 2.795]

Moin,

 

mir ist Stratus durchaus bekannt. Einen DC sichert man trotzdem nicht darüber ab.

 

Und prinzipbedingt ist Stratus auch nicht dafür gedacht und geeignet, beliebige VMs "abzusichern". Es zielt darauf, einzelne VMs per "Spiegelung" ausfallsicher zu machen. Je mehr du darauflegst, desto mehr Last und Overhead erzeugst du und desto weniger zuverlässig wird die Gesamtlösung. Daher sollte man da planvoll und maßvoll vorgehen.

 

Gruß, Nils

[Dunkelmann 96]

Bei mehreren bzw. konkurierenden HA Mechanismen ist immer besondere Aufmerksamkeit gefordert. Das Verhalten im Fehlerfall muss abgestimmt erfolgen, sonst versuchen ggf. mehrere Mechanismen den Dienst unabhängig und unwissend voneinander auf verschiedenen Wegen wiederherzustellen. Das kann im schlimmsten Fall zu einer Inkonsistenz führen.