thaefliger
Goto Top

Anmeldeproblem am RODC in anderer Site

Hallo zusammen

Es ist heiss und/oder mir steht einer gewaltig auf der Leitung...

Ich habe eine Filiale, die andere Öffnungszeiten hat als das HQ.
Falls am HQ Wartungsarbeiten anfallen und die Leitung in die Filiale nicht verfügbar ist, soll dort trotzdem noch ein Domaincontroller zur Verfügung stehen.
Die Filiale hat ein anderes Subnetz als das HQ.

Also habe ich unter Active Directory Standorte einen neuen Standort sowie das zugehörige Subnetz erstellt.
In der Filiale habe ich einen RODC installiert und dem neu erstellten AD-Standort zugewiesen.

Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
Auf dem RODC steht das Richtlinienergebnis auf "Zulassen" wenn ich das mit einem der Benutzerkonten teste.
Unter Richtlinienverwendung habe ich zudem die Funktion "Kennwörter auffüllen" genutzt.

Ein Test auf einem Client mit nltest /DSGETSITE spuckt auch den richtigen Site-Name aus.

Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
Ein echo %logonserver% bestätigt das.

Die diversen Google-Suchergebnisse haben mich momentan nur weiter verwirrt...
Kann mir einer helfen?


Grüsse
Thomas

Content-ID: 382867

Url: https://administrator.de/contentid/382867

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

Dani
Lösung Dani 09.08.2018 um 14:34:09 Uhr
Goto Top
Hallo Thomas,
Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
soweit ich das aus eigener Erfahrung noch weiß, müssen die entsprechenden Computerkonten auch in die Gruppe aufgenommen werden. Wir haben für den RDOC eine eigene Sicherheitsgruppe angelegt und diese in die Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" aufgenommen. Somit ist immer klar, welcher Benutzer/Computer an welchen Außenstelle gehört.


Gruß,
Dani
thaefliger
thaefliger 09.08.2018 um 14:37:04 Uhr
Goto Top
Hallo Dani

Danke.
Ich habe inzwischen zum Testen mal grosszügig die Gruppen "Domain Users" und "Domain Computer" in die Zulässige RODC-Kennwortreplikationsgruppe aufgenommen.
Selbes Ergebnis, leider.

Gruss
Thomas
chgorges
chgorges 09.08.2018 um 14:41:33 Uhr
Goto Top
Und die Clients auf der RODC-Site haben als primären DNS auch den RODC drin?
Dani
Dani 09.08.2018 um 14:52:21 Uhr
Goto Top
Hallo Thomas,
Ich habe inzwischen zum Testen mal grosszügig die Gruppen "Domain Users" und "Domain Computer" in die Zulässige RODC-Kennwortreplikationsgruppe aufgenommen.
Selbes Ergebnis, leider.
a) Ob es mit den Standardgruppen funktioniert, weiß ich ehrlich gesagt nicht. Das habe ich noch nie getestet.
b) Je nach dem was du als Replikation Zeitraum konfiguriert hast, musst du entsprechend warten.


Gruß,
Dani
thaefliger
thaefliger 09.08.2018 aktualisiert um 17:07:47 Uhr
Goto Top
@Pjordorf danke für die Links, ich arbeite mich durch
@chgorges ja, die Clients bekommen per DHCP als primären DNS den RODC verteilt. Als sekundären DNS den RWDC
@Dani sollten obige Links nicht weiterhelfen, probiere ich das mal mit einer eigenen Gruppe

Ich melde mich wieder, danke erstmal für eure Hilfe!

Gruss
Thomas
holli.zimmi
holli.zimmi 10.08.2018 um 07:53:55 Uhr
Goto Top
Hi,

von welchen Server-Betriebssytem sprechen wir?

Gruß

Holli
thaefliger
thaefliger 10.08.2018 um 09:10:59 Uhr
Goto Top
@holli.zimmi sorry, natürlich vergessen. Windows Server 2016.

Das Problem konnte ich jetzt lösen, besonders geholfen hat mir dabei der Link von @Pjordorf https://www.itprotoday.com/windows-8/configure-credential-caching-rodc-w ...

Es braucht am Client einfach viel Geduld, ein paar Neustarts und gpupdate, bis dann echo %logonserver% auch endlich den RODC angezeigt hat.

Tausend Dank für eure super Hilfe!

Erholsames Wochenende allerseits,

Gruss
Thomas