Anmeldeproblem am RODC in anderer Site
Hallo zusammen
Es ist heiss und/oder mir steht einer gewaltig auf der Leitung...
Ich habe eine Filiale, die andere Öffnungszeiten hat als das HQ.
Falls am HQ Wartungsarbeiten anfallen und die Leitung in die Filiale nicht verfügbar ist, soll dort trotzdem noch ein Domaincontroller zur Verfügung stehen.
Die Filiale hat ein anderes Subnetz als das HQ.
Also habe ich unter Active Directory Standorte einen neuen Standort sowie das zugehörige Subnetz erstellt.
In der Filiale habe ich einen RODC installiert und dem neu erstellten AD-Standort zugewiesen.
Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
Auf dem RODC steht das Richtlinienergebnis auf "Zulassen" wenn ich das mit einem der Benutzerkonten teste.
Unter Richtlinienverwendung habe ich zudem die Funktion "Kennwörter auffüllen" genutzt.
Ein Test auf einem Client mit nltest /DSGETSITE spuckt auch den richtigen Site-Name aus.
Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
Ein echo %logonserver% bestätigt das.
Die diversen Google-Suchergebnisse haben mich momentan nur weiter verwirrt...
Kann mir einer helfen?
Grüsse
Thomas
Es ist heiss und/oder mir steht einer gewaltig auf der Leitung...
Ich habe eine Filiale, die andere Öffnungszeiten hat als das HQ.
Falls am HQ Wartungsarbeiten anfallen und die Leitung in die Filiale nicht verfügbar ist, soll dort trotzdem noch ein Domaincontroller zur Verfügung stehen.
Die Filiale hat ein anderes Subnetz als das HQ.
Also habe ich unter Active Directory Standorte einen neuen Standort sowie das zugehörige Subnetz erstellt.
In der Filiale habe ich einen RODC installiert und dem neu erstellten AD-Standort zugewiesen.
Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
Auf dem RODC steht das Richtlinienergebnis auf "Zulassen" wenn ich das mit einem der Benutzerkonten teste.
Unter Richtlinienverwendung habe ich zudem die Funktion "Kennwörter auffüllen" genutzt.
Ein Test auf einem Client mit nltest /DSGETSITE spuckt auch den richtigen Site-Name aus.
Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
Ein echo %logonserver% bestätigt das.
Die diversen Google-Suchergebnisse haben mich momentan nur weiter verwirrt...
Kann mir einer helfen?
Grüsse
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 382867
Url: https://administrator.de/contentid/382867
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Thomas,
Gruß,
Dani
Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
soweit ich das aus eigener Erfahrung noch weiß, müssen die entsprechenden Computerkonten auch in die Gruppe aufgenommen werden. Wir haben für den RDOC eine eigene Sicherheitsgruppe angelegt und diese in die Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" aufgenommen. Somit ist immer klar, welcher Benutzer/Computer an welchen Außenstelle gehört.Gruß,
Dani
Hallo,
http://www.frickelsoft.net/blog/?p=232
[Nachtrag]
https://community.spiceworks.com/topic/318090-cache-computer-accounts-to ...
https://social.technet.microsoft.com/Forums/ie/en-US/b13bccb8-986b-4bcd- ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://robsitblog.wordpress.com/category/rodc/
http://www.rebeladmin.com/2014/10/step-by-step-guide-to-install-read-on ...
[/Nachtrag]
Gruß,
Peter
Zitat von @thaefliger:
Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
https://www.itprotoday.com/windows-8/configure-credential-caching-rodc-w ...Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
http://www.frickelsoft.net/blog/?p=232
[Nachtrag]
https://community.spiceworks.com/topic/318090-cache-computer-accounts-to ...
https://social.technet.microsoft.com/Forums/ie/en-US/b13bccb8-986b-4bcd- ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://robsitblog.wordpress.com/category/rodc/
http://www.rebeladmin.com/2014/10/step-by-step-guide-to-install-read-on ...
[/Nachtrag]
Gruß,
Peter
Hallo Thomas,
b) Je nach dem was du als Replikation Zeitraum konfiguriert hast, musst du entsprechend warten.
Gruß,
Dani
Ich habe inzwischen zum Testen mal grosszügig die Gruppen "Domain Users" und "Domain Computer" in die Zulässige RODC-Kennwortreplikationsgruppe aufgenommen.
Selbes Ergebnis, leider.
a) Ob es mit den Standardgruppen funktioniert, weiß ich ehrlich gesagt nicht. Das habe ich noch nie getestet.Selbes Ergebnis, leider.
b) Je nach dem was du als Replikation Zeitraum konfiguriert hast, musst du entsprechend warten.
Gruß,
Dani