Jump to content

RODC Domainanmeldungen langsam


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ich bin aktuell mitten in einer Netzwerksegmentierung, die DEV-Nutzer benötigen weiterhin zugriff zur AD, dies würden wir gerne über einen RODC abbilden.

 

Im DEV VLAN habe ich einen RODC hochgezogen, welcher mit den RWDCs über die Firewall kommunizieren darf.

 

Sobald ich einen Client in das DEV-Netz umziehe und mich mit einem AD-Benutzer anmelde, sehe ich in der FIrewall, dass der Client die LDAP Anfragen erst an die 3 RWDCs schickt und sich dann nach 20-60 Sekunden erfolgreich anmelden kann.

Sobald ich dem Client Temporär eine Firewall Regel erstelle, die ihm LDAP auf den RWDCs erlaubt, dauert die Anmeldung 5-8 Sekunden.

 

Zur Konfiguration:

Alle DCs laufen auf Windows Server 2022

Ich habe für das LAN und das VLAN DEV neue Sites in der AD erstellt und diese den jeweiligen DCs zugewiesen.

NS-Einträge, A-Records und SRV-Einträge habe ich für die jeweiligen Sites angepasst.

 

Könnt ihr mir hier helfen?

 

Vielen Dank im Voraus!

 

VG

Philipp

Link zu diesem Kommentar

Hi Jan, 

 

vielen Dank für deine Rückmeldung.

 

Tatsächlich war mein User nicht in der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" ich habe den Benutzer aufgenommen, den Sync abgewartet und erneut getestet. Das Verhalten in den Firewall Logs ist das gleiche und die Anmeldezeiten bleiben bei über 20 Sekunden.

 

Die Gruppe "Abgelehnte RODC-Kennwortreplikationsgruppe" habe ich ebenfalls geprüft, hier ist der User kein Mitglied.

 

Hättest du ggf. noch eine andere Idee?

 

VG

Philipp

Link zu diesem Kommentar

Moin,

 

in AD-Fragen darf ich Evgenij ja zustimmen. :lol3:

 

Ein RODC trägt in fast* keinem Szenario zum Schutz des AD bei, macht dafür aber den Betrieb fehleranfälliger und das Troubleshooting schwerer. Dieser Thread ist ein weiterer Beleg, zumindest für den zweiten Teil der These.

 

Ernst gemeinter Rat: Verabschiedet euch von der RODC-Idee.

 

Gruß, Nils

PS. * tatsächlich habe ich noch nie ein Design gesehen, in dem ein RODC sinnvoll gewesen wäre. Da Microsoft aber ohne Anlass sowas nicht entwickelt hätte, mag es sein, dass es mal Anforderungen gab, die sich damit haben lösen lassen. Nur deshalb steht in meinem Satz die Einschränkung "fast".

Link zu diesem Kommentar

Der Use Case für RODC ist genau der, für den MSFT das für das US-Militär entwickelt hat: Ein Standort mit schlechter physischer Sicherheit (Feind überrennt Stützpunkt), an dem dennoch lokale Authentifizierung vorhanden sein muss (Uplink ist nicht immer zuverlässig). Und das ist auch der einzige Use Case, in dem man *irgendwelche* Benefits vom RODC erwarten kann.

Link zu diesem Kommentar
vor 12 Minuten schrieb mwiederkehr:

Ich habe das Szenario "RODC in DMZ" gesehen, für vom Internet erreichbare Anwendungen, die Domänen-Authentifizierung benötigen, wie das Remote Desktop Gateway. Gesehen in der Doku von Microsoft, nicht in der Praxis.

Wenn Du RD Gateway deployment in a perimeter network & Firewall rules - Microsoft Community Hub meinst, dann ist der Artikel vom 2009, und da hat wirklich noch keiner RODC verstanden, auch bei Microsoft.

  • Like 1
  • Haha 2
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...