Jump to content

Standort Anmeldeserver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute folgendes Problem :

 

Win2003 Active Directory - 6 Standorte

 

Standort 1 = IP Bereich : 10.0.0.0 / 24 ( BSP IP's )

Standort 2 = IP Bereich : 20.0.0.0 /24 ( BSP IP's )

 

Wenn ich jetzt einen Client im 10.0.0.0 Netz habe solle er nicht den Anmeldeserver von Standort 1 berücksichtigen ?

 

Bei mir meldet sich der Client am 20.0.0.0 Domaincontroller ( also am anderen Standort an )

 

Ich möchte aber das sich der Client anhand der IP Bereich den dazugehörigen DC auswählt ! weiss jemand rat ?

Link zu diesem Kommentar

dazu habe ich jetzt aber mal ne Frage.

 

Gelernt habe ich, dass die GCs die Anmeldungen entgegen nehmen. Dafür sind die da. Von einem DCs (nur DC ohne GC) kenne ich das nicht.

 

Aufgrund eurer Hinweise habe ich nochmal einen Blick in einen meiner analogen Datenspeicher geworfen und da steht geschrieben:

 

"Wenn der globale Katalog nicht verfügbar ist, können sich normale Benutzer nicht einmal bei der Domäne anmelden." (S. 179)

 

"Sie können einer Domäne auch weitere globale Kataloge hinzufügen, um die Reaktionszeit bei Anmelde- und Suchanforderungen zu verbessern. Empfohlen wird ein globaler Katalog pro Standort innerhalb einer Domäne" (S. 182)

 

und weiter

 

"Einer der Hauptgründe für die Konfigurierung zusätzlicher globaler Kataloge ist, dass ein Katalog für Dienstanmelde- und Verzeichnissuchanforderungen verfügbar ist. Dabei gilt wiederum, dass für normale Benutzer eine Anmeldung und ein Durchsuchen des Verzeichnisses nicht möglich ist, wenn die Domäne nur einen globalen Katalog besitzt und dieser nicht verfügbar ist. Wenn der globale Katalog nicht verfügbar ist, können sich nur Mitglieder der Gruppe Domänen-Admins bei der Domäne anmelden." (S. 182)

 

auch noch:

 

"TIpp: Falls langsame Anmelde- oder Abfragereaktionszeiten auftreten, sollten Sie zusätzliche globale Kataloge konfigurieren. Allerdings bedeutet dies gewöhnlich, dass mehr Replikationsdaten über das Netzwerk übertragen werden." (S. 182)

 

Quelle: Microsoft Windows Server 2003, Taschenratgeber für Administratoren, Seiten ab 179, Kapitel 6, "Grundlegendes zur Verzeichnisstruktur", MSpress

 

Andere Bücher und meine MOC-Ordner liegen @work, weshalb dies die einzige momentan für mich verfügbare Papierquelle ist.

 

OK, der Inhalt deckt sich aber mit dem von mir erinnerten.

 

Unstreitig ist, dass der erste DC auch automatisch GC ist.

Unstreitig ist auch, dass natürlich der gesamte Bereich "AD - Standorte und Dienste" richtig konfiguriert sein muss, also beisp. die GCs in den richtigen Standorten stehen.

 

Jetzt helft mir doch bitte mal auf´s Pferd wie die Sache mit DC und GC unter dem Fokus "Anmeldung an Domäne" aussieht. Ich bin der Meinung, dass ein DC alleine (also ohne GC) das nicht macht, bzw. nicht für normale Benutzer macht.

 

vielen dank

 

dippas

Link zu diesem Kommentar

Natürlich kann ein DC ohne GC die Anmeldung entgegennehmen, wozu sollte er sonst da sein, ich meine ein Dc ohne GC.

 

Ein GC wird insbesondere dann benötigt, wenn sich die Domäne im einheitlichen Modus (2000) bzw. im 2000 pur Modus oder 2003 Modus (2003) läuft, um die Mitgliedschaft in einer universellen Gruppe zu prüfen. Das kann ein DC ohne GC auch bei einem GC machen.

 

grizzly999

Link zu diesem Kommentar
Das kann ein DC ohne GC auch bei einem GC machen.

 

Das würde ja implezieren, dass der DC ohne GC die Authentifizierung des Users beim GC macht. Also nicht selbst authentifiziert, sondern entgegennimmt, weiterleitet oder stellvertretent macht. ;)

Ich weis, Du meinst er könne das "zudem" statt "ebenso", oder?

 

Das die universellen Gruppen ausschließlich in einer im native Mode laufenden W2k/W2k3-Domäne eine Rolle spielen und über den GC laufen ist klar. Denn der GC hält ja die Infos über die universellen Gruppen des Forest (was ein DC nicht kann) und sonst ausschließlich seine eigenen User/Gruppen.

 

Trotzdem bin ich nicht wirklich überzeugt, denn allenthalben spielt der GC insbesondere bei Anmeldungen in Standorten die gewichtigste Rolle. Will meinen, dass mir das Argument, ein DC ohne GC kann authentifizieren, neu ist.

 

Allerdings muss ich zugeben, dass die Frage, was ein DC denn ohne GC machen soll, nicht schlecht ist ;)

 

grüße

 

dippas

Link zu diesem Kommentar
Hi dippas,

wobei es schon richtig ist, ohne einen verfügbaren GC kann sich ein User nicht am Netzwerk anmelden. Aber prinzipiell reicht ein GC aus, der Rest der DCs muss nicht zusätzlich GC sein, um eine Anmeldung entgegenzunehmen, wenn ein GC erreichbar ist

Das sagen deine Zitate völlig korrekt aus

 

cu

blub

 

Du hast mich mit deinem Beistand gerettet. :)

Ich dachte schon, ich habe eine falsche Erinnerung gespeichert ;)

 

Was ich aber nicht verstehe, ist, das im Standort doch ein GC steht:

 

hab pro Standort einen DC und dieser ist hat auch einen GC.

die Site sind konfiguriert und die IP Bereich eingetragen.

 

Ist die Konfiguration der Server in den einzelnen Standorten wirklich richtig? Sorry, das ich nachfrage, aber wenn ein GC nun mal Anmeldungen entgegen nehmen kann, warum sollte er es nicht im eigenen Subnetz tun :confused:

 

grüße

 

dippas

Link zu diesem Kommentar
Zitat von grizzly999

Allerdings kann ein DC ohne GC diese Informationen cachen. Steht in den Gruppenrichtlinien.

Wäre mir neu. Wo dort? IMHO und meines Wissens nach kann ich das nur über die Eigenschaften des Standorts in der Entsprechenden Konsole (AD Standorte und Dienste) einschalten.

 

Achja, was ich gestern noch nicht gesagt habe (war zeitlich sehr kurz angebunden, daher die knappen Antworten): Innerhalb einer einzigen Domäne (Single-Domain-Modell) brauche ich gar keinen GC zur Anmeldung, weil sowieso jeder DC die kompletten Informationen aller User. Das von mir weiter oben gesagte gilt nur für ein Multi-Domain-Modell ;)

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...