Active Directory - Windows 2008 R2 - Windows 7 Enterprise - Anmeldeserver in SITES
Hallo Community,
ich habe ein recht komplexes Anliegen, darum hier ein paar Basics:
- Windows 2008 R2 Active Directory Umgebung
- ca. 20 Sites mit Subnetzen konfiguriert und jeder dieser Sites hat einen read only Domain Controller.
- Die "Haupt-Site" hat 2 "normale" DCs und die Konfiguration ist so, dass sich die RO-DCs immer von diesen beiden replizieren sollen.
Die Sache ist nun die:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem ganz anderen Netz suchen als in der Site in der sich der Client befindet was natürlich ewige Anmeldezeiten mit sich bringt, da die WAN Strecken nicht überall sehr performant sind.
Gibt es nun die Möglichkeit, abgesehen von den Sites (wovon wir glauben, dass wir sie richtig konfiguriert haben, aber wir sind da für Tips offen ;) ) eventuell per GPO den Client zu zwingen, den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?
Ich hoffe es ist halbwegs verständlich und es kann uns hier jemand helfen!!!
Vielen Dank!!!!!
Liebe Grüße
Christoph
ich habe ein recht komplexes Anliegen, darum hier ein paar Basics:
- Windows 2008 R2 Active Directory Umgebung
- ca. 20 Sites mit Subnetzen konfiguriert und jeder dieser Sites hat einen read only Domain Controller.
- Die "Haupt-Site" hat 2 "normale" DCs und die Konfiguration ist so, dass sich die RO-DCs immer von diesen beiden replizieren sollen.
Die Sache ist nun die:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem ganz anderen Netz suchen als in der Site in der sich der Client befindet was natürlich ewige Anmeldezeiten mit sich bringt, da die WAN Strecken nicht überall sehr performant sind.
Gibt es nun die Möglichkeit, abgesehen von den Sites (wovon wir glauben, dass wir sie richtig konfiguriert haben, aber wir sind da für Tips offen ;) ) eventuell per GPO den Client zu zwingen, den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?
Ich hoffe es ist halbwegs verständlich und es kann uns hier jemand helfen!!!
Vielen Dank!!!!!
Liebe Grüße
Christoph
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247359
Url: https://administrator.de/forum/active-directory-windows-2008-r2-windows-7-enterprise-anmeldeserver-in-sites-247359.html
Ausgedruckt am: 23.12.2024 um 19:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
Und auch dein Netzdesign oder dein Routing sollte hier betrachtet werden warum .....
Gruß,
Peter
Zitat von @chrisale:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem
Dir ist schon klar das immer der am Schnellsten antwortende DC dies macht, oder? Warum also macht ein DC aus einen ganz anderen Subnetz die Authentifizierung, ist der eigene RODC etwa zu langsam beim Antworten oder wird er gar nicht erst gefragt? Dein Kabelhai sollte dir da helfen.Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem
(wovon wir glauben,
Verschafft euch Gewissheit, kauft jemand ein der dies Beantworten kann.Und auch dein Netzdesign oder dein Routing sollte hier betrachtet werden warum .....
Gruß,
Peter
Sers,
wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?
Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
Schreibbare DCs oder DNS müssen im Subnetz nicht eingetragen sein. Der RODC leitet schon selbstständig passend um/weiter bzw. teilt dem Client einen beschreibbaren DNS Servernamen mit.
Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.
Klar muss natürlich sein dass wenn nur ein RODC in der Site steht und der ausfällt dann gar keine Authentifizierung mehr möglich ist. Zumindest bis eingegriffen wurde.
Technet: RODC Technical Reference Topics
Grüße,
Philip
wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?
Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
Schreibbare DCs oder DNS müssen im Subnetz nicht eingetragen sein. Der RODC leitet schon selbstständig passend um/weiter bzw. teilt dem Client einen beschreibbaren DNS Servernamen mit.
Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.
Klar muss natürlich sein dass wenn nur ein RODC in der Site steht und der ausfällt dann gar keine Authentifizierung mehr möglich ist. Zumindest bis eingegriffen wurde.
Technet: RODC Technical Reference Topics
Grüße,
Philip
Zitat von @chrisale:
hi.
ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie
einen anderen.
hi.
ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie
einen anderen.
Problem erkannt?
Das wäre schon mal ein Punkt.
:edit:
Was auch nicht unterschätzt werden darf: Während einer Logon Session ändert sich für den Client der Logon Server (%LogonServer%) nicht. Sprich, wenn der RODC die jeweiligen Credentials für die Anmeldung nicht gecached hat, dann wird der Client sich so lange gegen den DC an den er weitergeleitet wurde authentifizieren bis es zur Abmeldung kommt. Beim nächsten Logon kennt der RODC dann die Creds und kann zur Auth genutzt werden, sprich es geht wieder flott.
Zitat von @chrisale:
würde jetzt nicht sagen, dass das ein problem ist.
der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht
ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
würde jetzt nicht sagen, dass das ein problem ist.
der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht
ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
Der Primäre DNS Server hat 1 (eine) Sekunde um die Anfrage zu bearbeiten. Danach kommt der zweite dran.
Bedenke dabei dass der RODC-DNS keine SoA Anmeldungen durchführen kann, und diese an einen schreibbaren AD-NS verweisen wird. Was auf einer WAN Leitung je nach Auslastung von Leitung und Servern durchaus mehr als 1s dauern kann.
Zur SoA Anmeldung kommt es z.B. wenn sich der Client im DNS registrieren möchte.
Hintergrund: Technet: How Read Only Domain Controllers and DNS works