Zweiter Domaincontroller an anderem Standort

[hubivo 10]

Hallo NG,

 

unsere Fa. bekommt einen zweiten Standort. Die PC`s dort sollen in die schon bestehende Domäne (Win2003-Server) integriert werden.

Könnte man jetzt z.B. den schon bestehenden Domaincontroller einfach "clonen", ihm eine neue SID und eine andere IP geben und dann am anderen Standort aufstellen und die PC`s dort in die Domäne aufnehmen oder muss ich den komplett neu installieren (sicher eine Neuinstallation...)? Wenn ja, wie bekomme ich die bestehende Active Directory dann auf den neu installierten Server ?

Da es, wie ich gelesen habe, den Unterschied PDC und BDC unter Win2003 nicht mehr gibt, funktioniert die Anmeldung an den DC`s dann einfach, wenn z.B. einer von beiden mal ausfällt , oder muss ich dann noch Einstellungen vornehmen ?

 

Wie ihr seht: Es wäre meiner erster DC....

 

thx in advance & regards

hubivo

[Christoph35 10]

Hallo,

 

am besten setzt Du einen neuen Computer als Domain-Controller auf und sagst bei der Installation von AD, dass es sich um einen zusätzlichen Domaincontroller handelt. Dann repliziert er die Daten des 1. DC.

 

2. Möglichkeit, wenn die Verbindung zwischen den Standorten langsam ist: Du machst ein Backup des System-State und brennst das auf eine CD. Dann rufst du auf dem neuen Server DCpromo mit /adv auf, was Dir die Möglichkeit gibt, die Daten von CD zu holen. Das geht ggf. schneller als über eine langsame WAN-Leitung.

 

Alle Clients können sich über den jeweils anderen DC anmelden, wenn einer von beiden ausfällt und die Standorte über eine WAN-Leitung miteinander verbunden sind. Wenn es sich um ein anderes IP-Netz handelt, solltest du in AD Standorte und Dienste beide IP-Netze dem Standort hinzufügen, oder du erstellst einen neuen Standort und fügst die IP-Netze ihrem jeweiligen Standort hinzu. (2. Möglichkeit ist empfehlenswert, wenn die WAN-Leitung weniger als 512 KB/sec. hat.)

 

Gruß

Christoph35

[hubivo 10]

Danke für die schnelle Antwort.

 

Den zweiten DC kann ich ja am Standort des schon bestehenden DC`s installieren, da kommen dann keine Probleme wegen der Netzgeschwindigkeit zum tragen.

 

regards

hubivo

[Christoph35 10]

Ach ja... weniger als 512 KBit / sec. sollte ich wohl genau sagen ;-)

 

Gruß

 

Christoph

[edv-olaf 10]

Hi,

 

stimme Christoph zu. DCs keinesfalls "einfach klonen", gibt nur Ärger (wenn's überhaupt funzt).

 

Im Allgemeinen gilt: anderer Standort = anderer IP-Adresskreis und (!) pro STandort ein GC, sonst ist die Anmeldung langsam.

 

Grüße

Olaf

[hubivo 10]

Hi,

 

sollte auf dem zweiten DC dann auch extra noch ein DHCP- und DNS-Server laufen (Wäre sicher angebracht, wenn die Leitung mal weg sein sollte.)? Die müssten sich dann auch abgleichen lassen....

 

Was heisst GC ? (Ist zu kurz für die Suchfunktion)

 

regards

hubivo

[Christoph35 10]

GC = Global Catalog, da wird ein Teil der User-Attribute drin gespeichert (z.B. Gruppenmitgliedschaften bei universellen Gruppen).

 

Wenn ein GC vorhanden ist, läuft die Anmeldung schneller wie EDV-Olaf gesagt hat.

 

Ach ja, DNS auf dem 2. DC ist auch nicht verkehrt. DHCP auf einem Domain Controller? Kann gehen, aber unter Umständen soll das zu Sicherheitslücken führen können. Müsste ich aber noch mal nachlesen.

 

Wenn Du die DNS-Zone im AD speicherst (ohnehin angebracht, wg. Sicherheit), wird die automatisch zu allen DNS Servern oder DCs repliziert (kann man in den Eigenschaften der Zone einstellen).

 

Gruß

Christoph

[edv-olaf 10]

Es kommt darauf an, wie die Verbindung zwischen den beiden DCs ist. Wenn schnell, dann würde ich keinen eigenen Standort betreiben, ist aber auch etwas unsicherer wegen Störungen auf der Leitung.

Ansonsten einen zweiten Standort, anderer IP-Adresskreis, eigener GC, eigenes DNS und DHCP, damit es störungssicher wird.

 

Grüße

Olaf

[hubivo 10]

Ok, vielen Dank, das hilft mir alles schon unheimlich viel weiter.

 

Zum DHCP/DNS: am aktuellen Standort haben wir DHCP/DNS auch auf dem DC laufen, funzt eigentlich ganz gut...

 

Zum GC: Kann dann also an beiden Standorten aktiviert sein ?

 

regards

hubivo

[Christoph35 10]

Kann ohne weiteres und sollte sogar, wie olaf schon geschrieben hat, um die Anmelde-Geschwindigkeit zu erhöhen.

 

Unter win 2003 gibt es noch die Alternative, die Daten des GCs lokal zu cachen (wird auch über AD Standorte und Dienste konfiguriert), aber einen GC vor Ort würde ich vorziehen.

 

Nicht beides: global catalog und caching sondern nur eins von beiden ;)

 

 

Christoph

[schroeder750 10]

Kurze Info noch, der Vollständigkeit halber:

 

Soweit ich informiert bin, bringt ein GC zur Anmeldung nur etwas, wenn sich die Domäne im native mode befindet und die Clients Betriebssysteme größer gleich W2K haben.

Ältere Clients benötigen weiterhin den PDC-Emulator zum Anmelden.

 

GC kann, wie schon erwähnt, jeder DC sein, PDC-Emulator kann pro Domäne jedoch immer nur einer sein.

Wenn jetzt wie hier skizziert, die Domäne über mehrere Standorte gestreckt wird, in den Standorten jeweils ein DC der Forest Root Domain steht (also keine eigene Childdomain), dann laufen die Anmeldungen der älteren Clients über den PDC-Emulator in der Zentrale.

Und auch von mir nochmal der Tip die Finger von der DC-Klonerei zu lassen ;-))

 

Grüsse

 

schroeder750

[hubivo 10]

Gibt`s vll. zusätzlich noch einen Tip über "Bücher-Ware", die diese Themen behandeln und die empfehlenswert sind ? Also am liebsten wäre mir natürlich allinclusiv *g* (Active Directory, Domaincontroller, DHCP, DNS...alles von Microsoft).

 

regards

hubivo

[Christoph35 10]

Versuchs mal mit dem Windows Server 2003 Deployment Kit (auch online verfügbar). Da steht so einiges drin, ansonsten die Training Kits zum MCSE 2003. Nicht zu vergessen: Technet, Whitepapers und Webcasts. Die Bücher geben nicht über alles Auskunft.

 

Christoph