chrisale
Goto Top

Active Directory - Windows 2008 R2 - Windows 7 Enterprise - Anmeldeserver in SITES

Hallo Community,

ich habe ein recht komplexes Anliegen, darum hier ein paar Basics:

- Windows 2008 R2 Active Directory Umgebung
- ca. 20 Sites mit Subnetzen konfiguriert und jeder dieser Sites hat einen read only Domain Controller.
- Die "Haupt-Site" hat 2 "normale" DCs und die Konfiguration ist so, dass sich die RO-DCs immer von diesen beiden replizieren sollen.

Die Sache ist nun die:

Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem ganz anderen Netz suchen als in der Site in der sich der Client befindet was natürlich ewige Anmeldezeiten mit sich bringt, da die WAN Strecken nicht überall sehr performant sind.

Gibt es nun die Möglichkeit, abgesehen von den Sites (wovon wir glauben, dass wir sie richtig konfiguriert haben, aber wir sind da für Tips offen ;) ) eventuell per GPO den Client zu zwingen, den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?

Ich hoffe es ist halbwegs verständlich und es kann uns hier jemand helfen!!!

Vielen Dank!!!!!

Liebe Grüße
Christoph

Content-ID: 247359

Url: https://administrator.de/forum/active-directory-windows-2008-r2-windows-7-enterprise-anmeldeserver-in-sites-247359.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

Pjordorf
Pjordorf 25.08.2014 um 14:45:27 Uhr
Goto Top
Hallo,

Zitat von @chrisale:
Obwohl Sites mit Subnetzen und DC konfiguriert sind kommt es vor, dass sich die Windows 7 Clients einen Anmeldeserver in einem
Dir ist schon klar das immer der am Schnellsten antwortende DC dies macht, oder? Warum also macht ein DC aus einen ganz anderen Subnetz die Authentifizierung, ist der eigene RODC etwa zu langsam beim Antworten oder wird er gar nicht erst gefragt? Dein Kabelhai sollte dir da helfen.

(wovon wir glauben,
Verschafft euch Gewissheit, kauft jemand ein der dies Beantworten kann.

Und auch dein Netzdesign oder dein Routing sollte hier betrachtet werden warum .....

Gruß,
Peter
chrisale
chrisale 25.08.2014 um 14:52:54 Uhr
Goto Top
yes, danke für die Antwort ...

Gibt es nun die Möglichkeit per GPO den Client zu zwingen den lokalen Anmeldeserver zu verwenden der sich in der Site befindet?

Unabhängig vom Rest.....
psannz
Lösung psannz 25.08.2014, aktualisiert am 16.09.2014 um 08:36:17 Uhr
Goto Top
Sers,

wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?

Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.
Schreibbare DCs oder DNS müssen im Subnetz nicht eingetragen sein. Der RODC leitet schon selbstständig passend um/weiter bzw. teilt dem Client einen beschreibbaren DNS Servernamen mit.

Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.

Klar muss natürlich sein dass wenn nur ein RODC in der Site steht und der ausfällt dann gar keine Authentifizierung mehr möglich ist. Zumindest bis eingegriffen wurde.

Technet: RODC Technical Reference Topics

Grüße,
Philip
chrisale
chrisale 25.08.2014 um 15:12:28 Uhr
Goto Top
hi, danke für deine antwort face-wink

wie sehen denn die DNS Einträge zu den Sites aus? Welche Anmeldeserver sind in den einzelnen Subnetzen eingetragen?

DNS Einträge sehen unserer Meinung nach gut aus. Bei jeder Site ist unter _tcp jeweils der _kerberos und der _ldap eintrag vorhanden mit dem RODC von der Site mit Priorität 0 (0 ist höchste, richtig?)

Sind mehr als nur der vorgesehene RODC an den jeweiligen Site Subnetzen eingetragen? Dann hast du dein Problem.

bei den DNS Einträgen zu den Sites ist immer nur der RODC von der Site in diesem Subnetz eingetragen bzw. an der Hauptsite eben die beiden beschreibbaren DC

Die Kommunikationswege, sprich Bridgeheads und so weiter hast du ja schon eingerichtet.

Replizierung und FRS sind konfiguriert und aktiv.

lg
chris
psannz
Lösung psannz 25.08.2014, aktualisiert am 16.09.2014 um 08:36:14 Uhr
Goto Top
Ok, das hört sich doch gut an.

Zur Sicherheit: Die Clients am Standort bekommen die lokalen RODC als DNS (via DHCP) zugewiesen?
Eventuell noch WINS aktiv (und den Clients bekannt) die hier dazwischen funken könnten?

Die RODC haben alle den GC?

:edit: DCdiag hat dir keine Fehler ausgespuckt, richtig?
chrisale
chrisale 25.08.2014 um 16:28:30 Uhr
Goto Top
hi.

ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie einen anderen.

WINS ist nicht aktiv, nein. Haben wir schon gecheckt.

Und ja, die RODC haben alle den global catalog.
psannz
Lösung psannz 25.08.2014, aktualisiert am 16.09.2014 um 08:36:11 Uhr
Goto Top
Zitat von @chrisale:

hi.

ja, als primären DNS bekommen die Clients via DHCP auf den Standorten den lokalen RODC, als sekundären DNS bekommen sie
einen anderen.


Problem erkannt?

Das wäre schon mal ein Punkt.

:edit:
Was auch nicht unterschätzt werden darf: Während einer Logon Session ändert sich für den Client der Logon Server (%LogonServer%) nicht. Sprich, wenn der RODC die jeweiligen Credentials für die Anmeldung nicht gecached hat, dann wird der Client sich so lange gegen den DC an den er weitergeleitet wurde authentifizieren bis es zur Abmeldung kommt. Beim nächsten Logon kennt der RODC dann die Creds und kann zur Auth genutzt werden, sprich es geht wieder flott.
chrisale
chrisale 26.08.2014 um 08:30:32 Uhr
Goto Top
würde jetzt nicht sagen, dass das ein problem ist.

der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"
psannz
Lösung psannz 26.08.2014, aktualisiert am 16.09.2014 um 08:36:05 Uhr
Goto Top
Zitat von @chrisale:

würde jetzt nicht sagen, dass das ein problem ist.

der sekundäre DNS wird doch nur kontaktiert, wenn er den primären DNS nicht erreicht. das können wir nicht
ändern, denn auf dieser site gibt es nur einen DNS und der zweite ist eben das "backup"

Der Primäre DNS Server hat 1 (eine) Sekunde um die Anfrage zu bearbeiten. Danach kommt der zweite dran.

Bedenke dabei dass der RODC-DNS keine SoA Anmeldungen durchführen kann, und diese an einen schreibbaren AD-NS verweisen wird. Was auf einer WAN Leitung je nach Auslastung von Leitung und Servern durchaus mehr als 1s dauern kann.
Zur SoA Anmeldung kommt es z.B. wenn sich der Client im DNS registrieren möchte.

Hintergrund: Technet: How Read Only Domain Controllers and DNS works