mr.pat.bateman
26.12.2017
view6791
view14
0
Goto Top

Allgemeine Fragen - mehrere Domaincontroller

FrageMicrosoftWindows Server
Servus,

ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.

Wie ich das konfiguriere ist mir im Großen und Ganzen bewusst.
Der DC01 ist natürlich der DNS Server, auch ein NPS ist für RADIUS im Einsatz.

Da fangen die Fragen an:
Welche Einstellungen werden automatisch zwischen den beiden DCs gesynct? Bleiben DNS, NPS, GPO auf beiden Maschinen gleich, oder muss da auf dem sekundären DC dann manuell was nachgetragen werden oder ein Sync angestoßen werden?

Gruß und Danke
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 359244

Url: https://administrator.de/forum/allgemeine-fragen-mehrere-domaincontroller-359244.html

Ausgedruckt am: 11.01.2025 um 04:01 Uhr

14 Kommentare
Neuester Kommentar
Goto Top
Vision2015
Vision2015 26.12.2017 um 16:10:55 Uhr
Goto Top
Zitat von @mr.pat.bateman:

Servus,
Moin..

ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.
ok..

Wie ich das konfiguriere ist mir im Großen und Ganzen bewusst.
Der DC01 ist natürlich der DNS Server, auch ein NPS ist für RADIUS im Einsatz.

Da fangen die Fragen an:
Welche Einstellungen werden automatisch zwischen den beiden DCs gesynct? Bleiben DNS, NPS, GPO auf beiden Maschinen gleich, oder muss da auf dem sekundären DC dann manuell was nachgetragen werden oder ein Sync angestoßen werden?
wenn du alles richtig machst, wird alles am AD Repliziert!

Frank

Gruß und Danke
mr.pat.bateman
mr.pat.bateman 26.12.2017 um 16:14:08 Uhr
Goto Top
Danke dir!

Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
tomolpi
tomolpi 26.12.2017 um 16:18:28 Uhr
Goto Top
Zitat von @mr.pat.bateman:

Danke dir!

Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
Ja. Dauert aber ein bisschen, bis die sich repliziert haben. Steht aber dann in der Ereignisanzeige face-wink
Vision2015
Vision2015 26.12.2017 um 16:23:05 Uhr
Goto Top
Zitat von @mr.pat.bateman:

Danke dir!

Übernimmt der zweite DC das dann automatisch wenn ich ihn heraufstufe?
ja.. kann etwas dauern bis Active Directory-Replikation durch ist.

Frank
Dani
Dani 26.12.2017 um 22:03:24 Uhr
Goto Top
Moin,
kl. Randbemerkung aus gegebenen Anlass:
ich betreibe einen DC auf einem ESXi. Da jetzt ein zweiter ESXi dazu kommt, wollte ich auf dem zweiten Host noch einen zweiten DC laufen lassen.
es sei gesagt, dass der ESXi bzwl. die Software ein Single Point of Failure ist. Es gab in der Vergangenheit leider verschiedene Bugs (Sysprep Boot Loop, Memory Leak in Verbindung mit Windows Server 2012R2 als Domain Controller, etc...) welche dir im Worst Case beide VMs "versenken". Die Fehler treten nicht immer gleich auf sondern auch mal 2-3 Tage später. Daher lasse zwischen den Einspielen der VMWare / Windowsupdates zwischen 2-3 Wochen vergehen.


Gruß,
Dani
mr.pat.bateman
mr.pat.bateman 26.12.2017 um 23:34:30 Uhr
Goto Top
Danke für den Tipp, die Planung geht auch in Richtung 2016 sobald der zweite DC läuft.
117471
117471 27.12.2017 um 09:32:17 Uhr
Goto Top
Hallo,

es gibt von Microsoft übrigens ein Tool mit dem Du die Replikation prüfen kannst.

https://www.microsoft.com/en-us/download/details.aspx?id=30005

Gruß,
Jörg
PK5003
PK5003 27.12.2017 um 15:37:23 Uhr
Goto Top
Hi,

ich würde die für die DNS Einstellungen folgendes Empfehlen:
Am DC1:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Dritter DNS: 127.0.0.1

Am DC2:
Erster DNS: IP-Adresse des DC2
Zweiter DNS: IP-Adresse des DC1
Dritter DNS: 127.0.0.1

Am Client:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2

VG
tomolpi
tomolpi 27.12.2017 um 15:41:23 Uhr
Goto Top
Zitat von @PK5003:

Hi,

ich würde die für die DNS Einstellungen folgendes Empfehlen:
Ich nicht, ich würde folgendes machen:
Am DC1:
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Dritter DNS: 127.0.0.1
Erster DNS: IP-Adresse des DC2
Zweiter DNS: IP-Adresse des DC1
Am DC2:
Erster DNS: IP-Adresse des DC2
Zweiter DNS: IP-Adresse des DC1
Dritter DNS: 127.0.0.1
Erster DNS: IP-Adresse des DC1
Zweiter DNS: IP-Adresse des DC2
Am Client:
Lasse ich sowieso per DHCP ausgeben.
Die DCs trägt man "über Kreuz" ein, und einen dritten DNS habe ich nie gebraucht... http://www.mcseboard.de/topic/114672-dns-frage-2-dcs-mit-dns-server-wel ...
VG

LG tomolpi
PK5003
PK5003 27.12.2017 um 15:45:08 Uhr
Goto Top
Es wird wohl beides funktionieren face-wink
Lasse ich sowieso per DHCP ausgeben.
Du trägst ja am DHCP Server auch ein, welche DNS er dem Client geben soll face-wink
tomolpi
tomolpi 27.12.2017 um 16:50:22 Uhr
Goto Top
Zitat von @PK5003:

Es wird wohl beides funktionieren face-wink
Lasse ich sowieso per DHCP ausgeben.
Du trägst ja am DHCP Server auch ein, welche DNS er dem Client geben soll face-wink
Ja, stimmt. Las sich so, als ob du das an jedem Client manuell einträgst, da wäre ich zu faul zu face-wink
117471
117471 27.12.2017 um 22:02:58 Uhr
Goto Top
Hallo,

Ich würde als primären DNS auf einem DC intuitiv immer 127.0.0.1 setzen und alle(!) anderen Einträge leer lassen.

Auf dem 2. DC kann man das natürlich erst nach der Integration einstellen.

Ich lasse mich aber gerne mit Argumenten überzeugen und bin grundsätzlich auch sehr neugierig face-smile

Gruß,
Jörg
Dani
Dani 28.12.2017 um 21:58:25 Uhr
Goto Top
Moin,
Die DCs trägt man "über Kreuz" ein, und einen dritten DNS habe ich nie gebraucht...
Ein bisschen Lesestoff zum Thema:
https://blogs.technet.microsoft.com/askds/2010/07/17/friday-mail-sack-sa ...
https://www.faq-o-matic.net/2010/08/03/dns-fr-ad-die-offiziellen-empfehl ...
https://www.faq-o-matic.net/2010/07/18/dns-fr-active-directory-empfehlun ...

Ich würde als primären DNS auf einem DC intuitiv immer 127.0.0.1 setzen und alle(!) anderen Einträge leer lassen.
Rate ich nach wie vor ab. Nils hat dazu einen passenden Artikel geschrieben, der nach wie vor zutreffend ist.
https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active ...


Gruß,
Dani
117471
117471 29.12.2017 um 13:09:04 Uhr
Goto Top
Hallo,

Zitat von @Dani:

Nils hat dazu einen passenden Artikel geschrieben,

Nils hat 2007 eine persönliche Meinung dazu abgegeben, diese aber nicht begründet. Das stammt aus einer Zeit, wo viele noch den Server 2003 eingesetzt haben.

Ich vertrete die Auffassung, dass ein Server möglichst autark arbeiten und nur dort an externe Ressourcen gebunden sein soll, wo es erforderlich ist.

Diese Bindung sehe ich bei einem DC in der AD-Replikation. Die IP-Adresse würde ich bereits als externe Ressource sehen und ich kann mir sogar vorstellen, dass der Server so anfälliger wird und z.B. via ARP-Spoofing o.Ä. abgeschossen werden kann.

Gruß,
Jörg
FrageMicrosoftWindows Server
Mehr von mr.pat.batemanmr.pat.batemanExchange Lizenzierung - Nur gemeinsames Postfach - Office 365mr.pat.bateman - 2 Kommentaremr.pat.batemanBeratung Switch - 48x 1GB - 10GB Uplinkmr.pat.bateman - 16 Kommentaremr.pat.batemanServer 2012R2 - Desktophintergrund fehltmr.pat.batemanmr.pat.batemanDC - Remotedesktop Zertifikat, von eigener CA - fehler auf iOSmr.pat.bateman - 6 Kommentare
Heiß diskutiert
SarekHLWarum ist NVIDIA besser als Intel?SarekHL - 60 KommentareMysticFoxDEEPA - Laut der Gematik ist die EPA doch sicher - weil Hacken verbotenMysticFoxDE - 55 KommentareBN2023Verschlüsseltes Laufwerk wieder entschlüsselnBN2023 - 47 KommentareAndreavonGolemDeWo kommuniziert ihr im Netz und was konsumiert ihr?AndreavonGolemDe - 30 KommentareAbstrackterSystemimperatorLaptop Partitionierung auflösen und SSD vergrößernAbstrackterSystemimperator - 23 KommentareAndvpnShrewSoft mit LAN- und WLAN-AdapterAndvpn - 20 KommentareSarekHLVollwertiger Unifi-Switch?SarekHL - 17 KommentarerrobbyySpoofing mit Originalmails?rrobbyy - 17 Kommentaredaho2016Adguard Home - Testen ob es funktioniert?daho2016 - 15 KommentareDerWoWussteOutlook 2024 gähnend langsamDerWoWusste - 14 KommentareNeoniumServerlift - SwitchliftNeonium - 14 KommentaretantalosSuche über größeren PDF-Datenbestandtantalos - 14 Kommentare