Jump to content

Gruppenrichtlinien für DC & zweit DC

Junkstar

Von Junkstar
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Junkstar Explorer

Junkstar   10

Geschrieben
Geschrieben

Hallo zusammen,

 

Ich hab folgendes Problem:

 

Ich arbeite in einem Netzwerk mit 5 Subnetzen und einem Windows 2003 Server auf dem läuft:

- ADS

- DNS

- DHCP

- Dateiserver für Userprofile

es sind ca 200 Rechner in diesen 5 Subnetzen die sich alle auf dem DC anmelden. Bei anmeldung von einem Benutzer werden die Gruppenrichtlinien vom DC geladen. Die Domain Benutzer sind in einer eigenen Organisationseinheit auf die auch die Speziellen Gruppenrichtlinen geladen werden wie z.B. AnmeldeScript, Ordnerumleitung Sicherheitseinstellungen ect.

 

Soweit so gut, es funktioniert alles bestens

mein Problem besteht nun da drin, das ich einen zweiten Server angeschaft habe, mit dem Ziel als versteckter DC im Hintergrund mitzulaufen und dann einzuspringen wenn der Richtiger DC ausfallen sollte, früher auch BDC genannt ;)

Auf diesem BDC sollen sich aber keine Benutzer anmelden solange der Haupt DC läuft. Wenn jetzt der Haupt DC ausfallen sollte, dann sollen die Benutzer sich automatisch an dem zweiten (BDC) anmelden um da weiterzuarbeiten zu können, es soll aber eine meldung kommen das sie nur begrenzt arbeiten können (ein bisschen abgeänderte GPOs als die vom Haupt DC).

 

was ich jetzt gemacht habe:

Ich habe den zweiten Server ebenfalls mit Win2003Serv Installiert und ihn als weiteren ADS konfiguriert, desweiteren hab ich den DNS repliziert und DHCP über ein Script. Das alles funktioniert soweit auch alles super.

nun hab für jeden Server ein Standort angelegt und den jeweiligen Server da reingestellt mit Replikation zum anderen.

Standort 1 = UKT

Standort 2 = UKTbkp

desweiteren hab ich die Subnetze so eingerichtet das die Rechner sich immer auf den Server von Standort1 UKT anmelden sollen, und wenn der Haupt DC nicht Online ist dann melden sie sich auf dem Standort2 UKTbkp an. (das tut auch soweit).

Nun werden aber nicht die GPOs die auf den Standort UKTbkp angelegt worden sind geladen sondern immer die von dem UKT...

 

Wie kann ich also das so einstellen das wenn mein Haupt DC ausfällt die Benutzer sich auf dem Zweiten DC anmelden und eine andere GPO laden als die vom Haupt DC ohne eine GPO manuell zu aktivieren oder sowas... es sollte alles automatisch funktionieren...

 

kann mir jemand in diesem Fall weiterhelfen?

Danke schonmal im Voraus

 

MfG

Junkey

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Hallo Junkstar, von mir ein Willkommen am Board :)

 

ich kann mich an gleich gelagerten Fall erinnern, leider aber nicht mehr an die Lösung, auch den Thead finde ich nicht auf die Schnelle.

 

Dir hilft möglicherweise die Boardsuche dabei.

 

Ein Rechner, ein Benutzer, meldet sich meiner Kenntnis nicht an einem DC an, sondern an der Domäne. Dazu wird der zu zuerst auf das Ersuchen der WS reagierende DC benutzt. Dies kann sein der am schnellsten, als erster ereichbare oder ein weniger beschäftigter sein.

 

Wozu soll ein DC auf der Reservebank auf einen Einsatz warten, warum soll er nicht am Spiel teilnehmen und nicht Bälle zurückschlagen?

 

Gruß

 

Edgar

Link zu diesem Kommentar
Junkstar Explorer

Junkstar   10

Geschrieben
  • Autor
Geschrieben

@lefg

danke für die Willkommensgrüsse,

 

mit Bällen zurückschlagen ist gar nicht so einfach bei uns dann das hab ich als erstes gemachtaber über die GPOs und das Login Script werden bestimmte Pfade für das Profil (Ordnerumleitung) und konfigurations informationen von Programmen geladen, und wenn dann über den BDC die anmeldung läuft dann wird er als %LOGONSERVER% eingetragen und die Scripte werden falsch verknüpft. Und das hat für erhebliche Probleme bei uns gesorgt... deshalb soll der BDC erst dann einspringen wenn der PDC offline ist und auch eine andere GPO + Anmeldescrip geladen werden....

 

@grizzly999

attachment.php?attachmentid=2796&stc=1

attachment.php?attachmentid=2797&stc=1

post-34817-13567389333229_thumb.jpg

post-34817-13567389333428_thumb.jpg

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
läuft dann wird er als %LOGONSERVER% eingetragen
Sowas habe ich auch einmal angefangen, ganz schnell sein gelassen.

 

Festzustellen, ob ein DC noch exitiert oder nicht, kann anders geschehen:

 

if exist \\Servername\NETLOGON\hart.beat1. Hart.beat1 ist einfach eine Datei.

 

Redundanz zu schaffen, ist es das was du möchtest? Ich denke, es gibt bessere Wege dazu; DFS oder Cluster.

Link zu diesem Kommentar
Junkstar Explorer

Junkstar   10

Geschrieben
  • Autor
Geschrieben

ja ich weiss schon das das BDC/ PDC von NT ist

ich habs nur so genannt damit ihr ca wisst welcher gemeint ist....

 

Cluster wollt ich auch erst machen aber mein Cheff wollt aus irgenwelchen unbekannten grünnden nicht das es ein Cluster Server sein soll....

DFS muss ich sagen hab ich schlechte erfahrungen gemacht...

 

if exist \\Servername\NETLOGON\hart.beat1. Hart.beat1 ist einfach eine Datei.

 

das bring aber auch nur imm Falle eines Login Scriptes... aber wie soll man das bei den GPOs bei der Ordnerumleitung machen.... wenn zb das User Profil auf dem ersten Server liegt und der offline ist, dann soll ein Notprofil vom zweiten Server geladen werden, das nur das Nötigste beinhaltet....

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
s... aber wie soll man das bei den GPOs bei der Ordnerumleitung machen.... wenn zb das User Profil auf dem ersten Server liegt und der offline ist, dann soll ein Notprofil vom zweiten Server geladen werden, das nur das Nötigste beinhaltet....

Ich habe es geahnt und möchte mich nicht auf ein Gebiet begeben, das ich nicht selbst schon beackert habe, bald aber beackern werde.

 

Allerdings werde ich auf Ordnerumleitung verzichten, ich benötige sie nicht, Profile und Daten sind getrennt gespeichert.

 

Möglicherweise bekommst du ja noch einen brauchbaren Tipp.

 

Viel Erfolg

 

Edgar

Link zu diesem Kommentar
Hirgelzwift

Hirgelzwift   10

Geschrieben
Geschrieben

also wenn ich mich da mal einmischen darf. das was du vorhast wird und kann nicht gehen weil hier mehrere "interessen" kollidieren. man kann zwar mehrere standorte basteln aber im grunde bist du nur in einem standort der sich anhand der lokalen IP adresse identifiziert. also streichen wir die möglichkeit das über ein standort GPO abzubilden.

 

alles was du machen kannst ist die DC's in den selben standort hängen, so wie es gehört, und über gewichtung der DC's im DNS arbeiten. Aber im Grunde braucht du das auch nicht weil du die variable %LOGONSERVER% gegen einen (den) festen namen des "echten" servers der die files hostet austauschen kannst. wenn die profile servergespeichert sind und nicht geladen werden können kriegst du eine fehlermeldung und du arbeitest mit dem lokalen profil das schon vorhanden ist. wenn es ein neuer user ist dann kriegt er ein temp profil.

 

also lass alles per default, schieb die zwei DC's in einen standort, und ändere lediglich dein logonscript.

 

hab ich was vergessen?

Link zu diesem Kommentar
Junkstar Explorer

Junkstar   10

Geschrieben
  • Autor
Geschrieben

@lefg

Danke für deine Mühe...

 

@Hirgelzwift

so war das Anmelde Scrip als erstes, das es immer auf den Echten Server Verwiesen hat. Als ich dann meinen Zweiten Server in die Domäne gestellt habe und ihn anfangs in dem Gleichen standort wie den Ersten DC gestellt habe dann hat sobald der erste DC mal abgeschalten war die Anmeldung Über 10-15 minuten gedauert er hat die ganze Zeit an der Meldung (Benutzereinstellungen Werden Geladen)gehangen.....

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
... dann hat sobald der erste DC mal abgeschalten war die Anmeldung Über 10-15 minuten gedauert er hat die ganze Zeit an der Meldung (Benutzereinstellungen Werden Geladen)gehangen.....
Wie sah es denn da mit der Namensauflösung aus? Konnten, können die Clients den DNS des zweiten DC ansprechen?

Eine lange Anmeldezeit, ein andauerdes Laden der Servergespeicherten Benutzerprofile, ist ein Indiz für eine nicht funktionierende Namensauflösung per DNS.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Es gibt eigentlich eine ganz primitive Möglichkeit. Schalte immer nur einen der beiden DCs an das Netzwerk. Das ist möglich mit umstecken des Netzwerkkabels, oder über das Aktivieren, Deaktivieren des Netzwerkinterface, der LAN-Verbindung.

 

Zum Syncronisieren der DCs, zum Replizieren von Daten kann zwischen den Geräten eine gesonderte Netzwerkverbindung über ein jeweils zweites Interface eingerichtet werden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...