AD DC Anmeldungen anzeigen

[goat82 2]

Hi Zusammen,

 

wir haben 2DC 2008R2.

Wie kann ich einfach herausfinden welche User sich auf dem zweiten DC angemeldet haben (Nicht Freigegebene Sitzungen/Sessions)? Ich möchte gerne einen DC neu starten.

Gibt es eine Möglichkeit diese User auf den ersten DC umzuschwenken, sodass die keine Fehlermeldung bekommen?

Ich könnte natürlich das Ereignislog ansehen, doch bei euch kennt doch jemand einen einfachen PS Befehl oder ein Programm wo mir die entsprechenden User anzeigt oder so ?

 

Gruß und Danke Goat

 

 

[NorbertFe 2.013]

Das ist doch egal. Wenn die Anmeldung gelaufen ist, dann ist sie durch. Und wenn nicht, dann merkt der User auch nichts davon. Dazu hat man schließlich mehrere dcs.

[Nobbyaushb 1.464]

vor 12 Stunden schrieb NorbertFe:

Das ist doch egal. Wenn die Anmeldung gelaufen ist, dann ist sie durch. Und wenn nicht, dann merkt der User auch nichts davon. Dazu hat man schließlich mehrere dcs.

Und da beide DC´s auch DNS sind und es bei den Clients hoffentlich korrekt eingerichtet wurde, machen die auch automatisch einen Schwenk.

[NilsK 2.918]

Moin,

 

oder um das Missverständnis noch mal konkret aufzuklären: Nach der Anmeldung gibt es keine offenen oder laufenden Sessions auf dem DC und damit  auch keine Abhängigkeit zu diesem DC. Die bereits angemeldeten User merken von einem Reboot oder Ausfall also nichts. Und Neuanmeldungen laufen dann über den anderen DC.

 

Es gibt also keinen Bedarf, die Anmeldungen auszulesen, weil es keinen "Schwenk" gibt - es ist schlicht nichts da, was man schwenken könnte.

 

Gruß, Nils

[speer 19]

Ich könnte mir allerhöchstens vorstellen, dass es zu einer Verzögerung bei einer NTLM Authentifizierung kommen kann. Wobei man dann Fragen muß, warum NTLM überhaupt verwendet wurde...

[zahni 550]

Probleme gibt es  i.d.R. nur, wenn externe Anwendungen diesen Server z.B. als LDAP-Quelle oder KDC benutzen.

 

[NilsK 2.918]

 

Moin,

 

vor 24 Minuten schrieb speer:

Ich könnte mir allerhöchstens vorstellen, dass es zu einer Verzögerung bei einer NTLM Authentifizierung kommen kann. 

warum sollte es? Das Prinzip gilt unabhängig vom Anmeldeprotokoll.

 

vor 1 Minute schrieb zahni:

Probleme gibt es  i.d.R. nur, wenn externe Anwendungen diesen Server z.B. als LDAP-Quelle oder KDC benutzen.

 

Sicher, aber das ist nicht das Szenario, nach dem der TO gefragt hat. Durch ungünstigen Aufbau kann man schon einiges tun, um Abhängigkeiten von bestimmten DCs zu erzeugen, die es eigentlich nicht geben müsste. In dem von dir genannten Szenario hilft es meist, nicht einen bestimmten DC anzugeben, sondern einfach den Domänennamen. Die DNS-Auflösung gibt dann alle DCs zurück, in quasi-zufälliger Reihenfolge. Meist sind Applikationen dann in der Lage, einen DC anzusprechen, der auch antwortet.

 

Gruß, Nils

 

 

[zahni 550]

vor 36 Minuten schrieb NilsK:

 

dir genannten Szenario hilft es meist, nicht einen bestimmten DC anzugeben, sondern einfach den Domänennamen. Die DNS-Auflösung gibt dann alle DCs zurück, in quasi-zufälliger Reihenfolge. Meist sind Applikationen dann in der Lage, einen DC anzusprechen, der auch antwortet.

 

Gruß, Nils

 

 

Natürlich. Habe ich in konkreten Beispielen div. Anwendungen auch schon gesagt. Leider hören die mir auch nicht zu. Ein Server reicht doch ...

[NorbertFe 2.013]

Loadbalancer vor die dcs. Dann gehts mit einer ip ohne Namen und trotzdem ist Redundanz gegeben ;) außerdem kann man dann vorgeben nur 636 als Port zu nutzen.

[zahni 550]

KDC ohne korrekten Namen ansprechen findet der, glaube ich, doof...

[NorbertFe 2.013]

Ja für Kerberos is doof. Aber für ldap sollte das problemlos sein.

[zahni 550]

Ldaps aber vermutlich auch nicht...

[NorbertFe 2.013]

Doch das geht. :) Warum sollte es nicht? In jedem DC Zert steht der Domainname drin und ggf. kann man die Prüfung ja abschalten. ;)

bearbeitet 31. Mai 2018 von NorbertFe

[zahni 550]

Wir schalten doch keine "Prüfungen" ab ;)

[NorbertFe 2.013]

Stimmt aber ihr nutzt ja CIFS. Wer weiß was ihr noch so tut. :p