Jump to content

Standort Anmeldeserver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Vielleicht hilft ja das hier: How to Optimize the Location of a Domain Controller or Global Catalog That Resides Outside of a Client's Site

Global Catalog Server Requirement for User and Computer Logon

 

Im grossen und ganzen wird nur das bereits gepostete wiederholt.

Deswegen:

- DNS SRV Records checken.

- AD Sites und Services checken.

- Eventlogs können auch nicht schaden.

 

 

Gruss

Velius

 

 

P.S.: Kann auch nicht schaden, diese mal gelesen zu haben.

Domain controller is not functioning correctly

How Domain Controllers Are Located in Windows XP

Link zu diesem Kommentar

Hallo in meinem DNS sind unter den gewünschten Site mehrer DC eingetragen das stimmt.

Jetzt kleine frage : wenn ich die restlichen DC's aus der (DNS Site) lösche ist dann nicht die Redundanz futsch ?

 

dann hab ich ja Pro Standort nur noch einen DC welcher LDAP & Kerberos beherscht.

oder wechselt der Client welcher im Standort X ist automatisch auf einen DC im Standort Y falls der DC im Standort X nicht verfügbar ist?

 

Ich frage darum weil ja am Standort X nur noch dir SRV einträge für den einen DC stehen.

 

danke für eure Tipps....

Link zu diesem Kommentar

Er wird einen DC an einem anderen Standort auswählen, und zwar den, den er zu den geringsten Kosten erreichen kann. Die Kosten sind ja eine Eigenschaft der Sitelinks.

 

Wenn du also einen Sitelink von x nach y mit Kosten 1 hast und einen link zu Standort z mit Kosten 2, wird er versuchen, sich gegen einen DC am Standort y zu authentifizieren.

 

Sollte das falsch sein, bitte korrigieren.

 

Christoph

Link zu diesem Kommentar

Client X ist ja schon am Standort X zugeteilt ( Subnet konfiguration )

somit sind ja für den Client X die kosten am geringsten sich am Standort X bzw. am DC an diesem Standort zu indentifizieren.

 

Werden die Sitelink Cost nich einfach für den KCC bzw. ISTG benötig ? um den besten bzw. den günstigsten Replikationsweg zu brechnen ?

 

gruess

Link zu diesem Kommentar

Hi,

 

wenn er einen DC am eigenen Standort findet, wird er den nehmen. Das mit den Kosten ist ja nur relevant, wenn der DC am eigenen Standort ausgefallen ist.

 

Also: in Sites and Services sollte je Site nur der DC aufgeführt sein, der auch in der Site steht, wenn du die anderen DCs da löschst bzw. in die entsprechenden Sites verschiebst, wird auch das DNS angepasst.

 

Die andere Frage: das hatte ich auch überlegt, ob das nur dafür relevant ist, aber mein Kollege hier meint, dass die Kosten auch für den Logon-Verkehr ausgewertet werden.

 

Wie schon mal gesagt: falls jemand andere Info hat, lasse ich mich da auch gerne überzeugen.

 

Christoph

Link zu diesem Kommentar
Danke für deine Infos---

also ich denke die Kosten werden für die Replikation benötigt.

 

Dafür werden sie auf jeden Fall benötigt. Aber ich habe auch nochmal einen Artikel ausgegraben, der bestätigt, dass sie auch für den Logonverkehr ausgewertet werden:

 

http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/distrib/dsbc_nar_jevl.asp

 

Gruß

 

Christoph

Link zu diesem Kommentar

@grizzly999:

 

Wenn´s nicht nur in den Schulungsunterlagen so steht, scheint die Sache ja nicht ganz so falsch zu sein, oder?

 

Allerdings:

Vermutlich ist dass ganz entscheidende bei dieser Sache folgender Passus "einheitlicher Modus".

 

Das bedeutet für mich:

 

Domäne im mixed-Mode: grizzly hat Recht und DC nimmt auch Auth. entgegen

Domäne im native-Mode: ich habe Recht und nur der GC kann auth.

 

Das wäre dann aber bei einer entsprechenden Aussage auch immer zu erwähnen (also mixed-mode oder native-mode)

Soory komme erst ejtzt zum Schreiben.

Wenn allles immer in den Schulungsunterlagen stehen würde, dann müsste

1.) Microsoft kein Resource Kit herausbringen (oder damit schulen)

2.) würde eine einfache Schuluung statt 5 Tage 5 Wochen dauern.

 

Du hast den Artikel gelesen?

Du hast im Resource Kit gelesen?

Du hast es ausprobiert?

Und Microsoft verzapft Unsinn auf seinen Homepages zu technichal Resources?

 

Aber du hast Recht .... :p

 

 

grizzly999

Link zu diesem Kommentar

Hallo Grizzly,

 

schön von Dir zu hören.

 

Wenn allles immer in den Schulungsunterlagen stehen würde, dann müsste

1.) Microsoft kein Resource Kit herausbringen (oder damit schulen)

2.) würde eine einfache Schuluung statt 5 Tage 5 Wochen dauern.

 

Da hast Du sicherlich recht. Alles kann natürlich nicht in den Unterlagen stehen. Wäre auch ne Zumutung für die Schüler sich jedesmal nen Transporter zu organisieren um den Papierberg nach Hause zu schaffen ;)

 

Du hast den Artikel gelesen?

Du hast im Resource Kit gelesen?

Du hast es ausprobiert?

Und Microsoft verzapft Unsinn auf seinen Homepages zu technichal Resources?

 

ja

nein

nein (aber blub hat, Post#20 - und ich werde es auch testen, sobald ich mir ne Testumbegung aufgebaut habe)

na das hoffe ich doch wohl nicht

 

Aber du hast Recht .... :p

 

Ironisch oder ernst gemeint? :suspect:

 

Hey, ich will kein Recht haben, sondern Wissen erlangen. ;)

 

Ich bin mir durchaus bewusst, dass ich in dieser Sache ein wenig hartnäckig (oder sogar dickköpfig?) bin, aber letztlich bin ich schon auf der Suche nach einer eindeutigen Erklärung. Vielleicht ist ja der Unterschied mixed-mode und native-mode eine Erklärung?

 

grüße

 

dippas

Link zu diesem Kommentar

Also ich kann dir versichern, dass ich den Unterschied der 4 Domain-functional-levels und der 3 forest-functional-levels sehr genau kenne, und diese Aspekte in meiner Antwort berücksichtigt sind (im in dem verlinkten Artikel sicherhlich auch).

Und meinem kurz vor dem Schreiben des Beitrags nur so zur Sicherheit durchgeführten Test in einer frischen Testumgebung habe ich auch die entsprechenden Levels eingestellt. Wo blub das Problem hatte, kann ich nicht nachvollziehen, aber die Aussage von Microsoft ist eindeutig, und auch logisch, übrigens seit Windows 2000.

 

Und wieder was gelernt ... ;) :)

 

 

grizzly999

Link zu diesem Kommentar

hi zusammen,

 

Hier stehts doch recht eindeutig:

 

If a global catalog is not available when a user logs on to a domain set to the functional level of Windows 2000 native or higher, the computer will use cached credentials to log on the user if the user has logged on to the domain previously. If the user has not logged on to the domain previously, the user can only log on to the local computer. However, if a user logs on as the Administrator in the domain (Builtin Administrator account), the user can always log on to the domain, even when a global catalog is not available.

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/0ab51d48-1791-463b-a3ad-d4e3bbcb5eb6.mspx

 

Aus Erfahrung heraus kann ich diese Zeilen so bestätigen

 

Ein User kann sich also ohne erreichbaren GC nicht an einem DC in der AD-Domäne anmelden, ausser per cached credentials oder als Built-in Administrator. Ist auch logisch, da nur ein GC Informationen zu universal Groups hat, und dort könnten ja für die Anmeldung wichtige Informationen stehen. Also lieber die Anmeldung verweigern, wenn kein GC verfügbar ist, als evtl. unberechtigte Zugriffe erlauben.

 

Und auch ein Administrator kann keine neuen User anlegen, solange kein GC verfügbar ist.

 

Ergo: ohne GCs macht selbst ein Single-Domänenleben nicht wirklich Freude

 

cu

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...