Jump to content

Standort Anmeldeserver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Innerhalb einer einzigen Domäne (Single-Domain-Modell) brauche ich gar keinen GC zur Anmeldung, weil sowieso jeder DC die kompletten Informationen aller User. grizzly999

 

nicht ganz korrekt: Useranmeldungen funktionieren nicht und ausserdem können z.B. Administratoren keine neuen, gültigen User im AD anlegen, solange kein GC verfügbar ist.

cu

blub

Link zu diesem Kommentar

Danke für den Link ;)

 

Da stehts ja auch, gleich ziemlich oben:

 

----------------Zitat Beginn-------------------

Note

 

• When there is only one domain in a forest, it is not necessary for users to obtain universal group memberships from a global catalog when logging on. This is because Active Directory can detect that there are no other domains in the forest and will prevent a query to the global catalog for this information.

 

----------------Zitat Ende--------------------

 

 

grizzly999

Link zu diesem Kommentar

Hi,

 

mal zu phoefliger Frage zurück, oder !?

 

Schau dir mal die DNS-Einträge an, besonders den _sites-Bereich. Ich würde wetten, dass in der Site nicht nur der lokale DC mit seinem Servicerecord steht, sondern auch noch andere DCs. Lösche einmal alle Servicerecorde von Remote-DCs aus dem _site-Bereich, keine Panik solltest Du zuviele Records löschen, dann muss Du nur den Anmeldedienst des DCs noch einmal durchstarten, dann ist alles wieder schön. Du solltest natürlich darauf achten, dass die Site innerhalb der Standorte und Dienst GUI auch sauber ist.

 

Dann sollte eingentlich alles wieder stimmen.

 

Gruß Data

Link zu diesem Kommentar

hmm,

 

also prizipiell ist es ja so, das sich der Client an dem DC anmeldet, den er am schnellsten erreicht. Wenn jetzt also dein DC am Standort 1 grad beschäftigt ist, dann sucht eir sich eben einen anderen Anmeldeserver also DC 2.

 

Ist das ganze eine Testumgebung oder ist das ein reales Netz mit wirklich langsameren Verbindungen zwischen den Standorten?

 

Weil bei den Standorten kannst du auch Metriken definieren. Ich bin mir nur nicht sicher, ob diese Metriken nur für die Replikation oder für sämtlichen Datenverkehr zwischen den Standorten gelten.

 

hth Joe

Link zu diesem Kommentar

Ein neuer Tag @work und ich bin "urlaubsreif" hehe ;)

 

Also, ich habe mir noch einmal die Sache mit Anmedung an DC und/oder GC angeschaut.

 

Folgendes Zitat möchte ich aus der MOC-Schulungsunterlage mit dem Titel "Entwerfen einer MS Windows 2000 Verzeichnisdienst-Infrastruktur" (Material-Nr. 1664BCP) zum Besten geben:

 

Seite 24 der Unterrichtseinheit 8: Entwerfen einer AD-Standorttopologie:

 

"In einer idealen Umgebung wäre an jedem Standort ein globaler Katalogserver vorhanden, der Abfagreanforderungen für das gesamte Verzeichnis über ein LAN bedienen würde"

 

und weiter:

 

"Nachdem eine Domäne in den einheitlichen Modus konvertiert wurde, kann sich kein Benutzer mehr ohne einen globalen Katalogserver am Netzwerk anmelden, es sei denn, es wurde die Option zur Benutzeranmeldung mit Hilfe zwischengespeicherter Anmeldeinformationen aktiviert"

 

@grizzly999:

 

Wenn´s nicht nur in den Schulungsunterlagen so steht, scheint die Sache ja nicht ganz so falsch zu sein, oder?

 

Allerdings:

Vermutlich ist dass ganz entscheidende bei dieser Sache folgender Passus "einheitlicher Modus".

 

Das bedeutet für mich:

 

Domäne im mixed-Mode: grizzly hat Recht und DC nimmt auch Auth. entgegen

Domäne im native-Mode: ich habe Recht und nur der GC kann auth.

 

Das wäre dann aber bei einer entsprechenden Aussage auch immer zu erwähnen (also mixed-mode oder native-mode)

 

@blub:

Vielleicht ist die fehlerhafte Anmeldung an Deiner Domäne wegen nicht vorhandenem GC auch damit erklärt, weil die Domäne im einheitlichen Modus läuft?

 

Da ich für meinen Teil die Domänen immer in den native-mode schalte, habe ich auch in jedem Standort GCs stehen. Bei einer Erstinstallation mit Backup-DC am ersten Standort verpasse ich auch 2 DCs den GC (rein profilaktisch ;) )

 

grüße

 

dippas

 

PS: @data: Du hast schon Recht, eigentlich sollte zum ursprüngliche Problem zurückgerudert werden. Aber ich hatte diesen Punkt noch offen und wollte das für mich und andere geklärt wissen.

Link zu diesem Kommentar

Domäne im native-Mode: ich habe Recht und nur der GC kann auth.

 

 

Wieso werden die Artikel eigentlich nicht gelesen?? ;)

 

For example, when a user who belongs to a universal group logs on to a domain that is set to the Windows 2000 native domain functional level or higher, the global catalog provides universal group membership information for the user’s account at the time the user logs on to the domain.

 

If the user has not logged on to the domain previously, the user can only log on to the local computer.

 

 

Da sind genau zwei Bedingungen:

  1. Der User muss in einer Universellen Gruppe sein
  2. Die Domäne im native Mode

 

So seh ich das, kann sein, dass ich falsch liege, ich denke aber schwer nicht. :wink2:

 

 

Gruss

Velius

Link zu diesem Kommentar

hallo Velius,

 

bezüglich des ursprünglich aufgeworfenen Problems gings es irgendwann darum, wer denn überhaupt generell User (egal welcher Gruppenzugehörigkeit) authentifiziert:

 

Der vor-Ort stehende DC, oder ausschließlich ein GC?

 

Und genau an dieser Stelle gehen die Meinungen auseinander.

 

Dabei ist unerheblich, ob der User aus einer universellen Gruppe kommt oder nicht. Universelle Gruppen gibt´s ja eh nur im native Mode und die sind z.B. ja für eine Domänen-Gesamtstruktur-übergreifende Arbeit sinnvoll. Dafür ist aber unzweifelthaft ein GC notwendig.

 

Vor diesem Hintergrund verstehe ich nun aber Deine Aussage nicht:

 

Da sind genau zwei Bedingungen:

 

1. Der User muss in einer Universellen Gruppe sein

2. Die Domäne im native Mode

 

hilf mir zu verstehen, was Du meinst.

 

grüße

 

dippas

Link zu diesem Kommentar

Hallo dippas

 

Ich weiss jetzt nicht, was nicht wie verstanden wurde, oder überhaupt gelesen oder überlesen wurde.

Darum auch meinen Link im Post #18=>

 

 

The role of the global catalog

 

 

Darin wird die Funktion und das Verhalten des GC's, was sich ziemlich genau mit dem was ich aus dem MOC Kursen gelernt habe deckt, beschrieben.

 

Darin wird unter anderem auch erwähnt, dass nicht der Client, sondern der zufällig gewählte DC sich mit dem GC, falls nötig, in Kontakt setzt. Falls nötig soll bedeuten, dass sich der DC Information aus anderen Domänen nicht selbst besorgen kann, denn dafür ist der GC da. Der GC speichert eine Teilmenge von Attributen aus dem AD von allen Domänen. Dazu gehören der UPN und die Universellen Gruppenmitgliedschaften. Logischerweise kann ein DC nicht alle Information davon gespeichert haben, da der UPN und die Universellen Gruppen Strukturübergreiffend sind.

Im Artkikel steht aber auch, dass ein UPN aus der lokalen Domänen des DC durch diesen sinnvollerweise aufgelöst werden kann. Erst wenn es sich um einen UPN einer Domäne welcher dieser DC nicht angehört handelt, muss dieser auf eine GC zurückgreiffen.

 

So ähnlich wird es sich wohl mit den Gruppen verhalten. Der DC wird wohl wahrscheinlich wissen, ob ein dieser Domäne angehöriger Benutzer Mitglied einer Universellen Gruppe ist, nur wird er wohl nicht in der Lage sein, etweige Verschachtelungen in anderen Domäne aufzulösen, dafür braucht er dann den GC.

 

Für micht macht das mehr Sinn, als "native = jegliche Authentifizierung gegen einen GC", denn nur so wird ein optimaler spagat zwischen Fehlertoleranz und Replikationslast gewehrleistet. Sonst könnte man auch gleich, wie bei uns der Fall, auf "alle DC's = GC's" schalten, nur wird dann entsprechend mehr repliziert.

 

 

Ausserdem ist wie gesagt alles im Artikel beschrieben, der Rest ist interpretations Sache, aber ich lasse mich gerne eines besseren belehren. ;)

 

 

Gruss

Velius

Link zu diesem Kommentar

Hallo Velius,

 

danke für Deine Antwort.

 

Ich bin sicherlich wie Du und viele hier daran interessiert, zu wissen, was denn nun richtig ist. Insofern möchte ich auch niemanden belehren.

 

Aber wenn doch in diverser Literatur (MS-Press, MOC-Ordner etc.) drin steht, dass ohne GC ein User nicht gegenüber dem Netzwerk authentifiziert werden kann, aus anderen Quellen aber auch der Hinweis kommt, dass ein "einfacher" DC das ebenso kann, dann stellt sich doch berechtigterweise die Frage, was denn nun richtig ist. Ich will es ja auch wissen.

 

Die Thematik universelle Gruppen und Teilreplikate etc. beim GC ist schon klar. Für mich besteht diesbezüglich kein weiterer Aufklärungsbedarf.

 

Allerdings muss ich eingestehen, dass ich nur einen Punkt in meinen Unterlagen fand (MOC-Zitat, mein Post#25), wo explizit der Hinweis steht "native Mode". Steht das vielleicht auch in Deinen Unterlagen so, oder in anderer Literatur von Dir?

 

Die Frage: "Wer authentifiziert einen normalen User?" stellt sich im Moment für mich folgendermaßen beantwortet dar:

 

mixed Mode = DC und/oder GC

native Mode = ausschließlich GC

 

Verstehst Du was ich meine? Mit der Bestätigung, dass diese Aussage richtig ist, lassen sich vielleicht viele Fehler/Merkwürdigkeiten etc. bei der Authentifizierung schnell beantworten.

 

Die Einführungsfrage zu diesem Threat würde dann unter Umständen mit wenigen Posts beantwortet werden können, also beispielsweise der Hinweis/die Gegenfrage "läuft die Domain im native Mode? Falls ja, dann bitte GC in den Standort" So oder so ähnlich könnte es ja dann aussehen, oder?

 

grüße

 

dippas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...