8
Anmeldeproblem am RODC in anderer Site
Hallo zusammen
Es ist heiss und/oder mir steht einer gewaltig auf der Leitung...
Ich habe eine Filiale, die andere Öffnungszeiten hat als das HQ.
Falls am HQ Wartungsarbeiten anfallen und die Leitung in die Filiale nicht verfügbar ist, soll dort trotzdem noch ein Domaincontroller zur Verfügung stehen.
Die Filiale hat ein anderes Subnetz als das HQ.
Also habe ich unter Active Directory Standorte einen neuen Standort sowie das zugehörige Subnetz erstellt.
In der Filiale habe ich einen RODC installiert und dem neu erstellten AD-Standort zugewiesen.
Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
Auf dem RODC steht das Richtlinienergebnis auf "Zulassen" wenn ich das mit einem der Benutzerkonten teste.
Unter Richtlinienverwendung habe ich zudem die Funktion "Kennwörter auffüllen" genutzt.
Ein Test auf einem Client mit nltest /DSGETSITE spuckt auch den richtigen Site-Name aus.
Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
Ein echo %logonserver% bestätigt das.
Die diversen Google-Suchergebnisse haben mich momentan nur weiter verwirrt...
Kann mir einer helfen?
Grüsse
Thomas
Es ist heiss und/oder mir steht einer gewaltig auf der Leitung...
Ich habe eine Filiale, die andere Öffnungszeiten hat als das HQ.
Falls am HQ Wartungsarbeiten anfallen und die Leitung in die Filiale nicht verfügbar ist, soll dort trotzdem noch ein Domaincontroller zur Verfügung stehen.
Die Filiale hat ein anderes Subnetz als das HQ.
Also habe ich unter Active Directory Standorte einen neuen Standort sowie das zugehörige Subnetz erstellt.
In der Filiale habe ich einen RODC installiert und dem neu erstellten AD-Standort zugewiesen.
Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
Auf dem RODC steht das Richtlinienergebnis auf "Zulassen" wenn ich das mit einem der Benutzerkonten teste.
Unter Richtlinienverwendung habe ich zudem die Funktion "Kennwörter auffüllen" genutzt.
Ein Test auf einem Client mit nltest /DSGETSITE spuckt auch den richtigen Site-Name aus.
Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
Ein echo %logonserver% bestätigt das.
Die diversen Google-Suchergebnisse haben mich momentan nur weiter verwirrt...
Kann mir einer helfen?
Grüsse
Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 382867
Url: https://administrator.de/contentid/382867
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Thomas,
Gruß,
Dani
Der Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" habe ich die entsprechende Sicherheitsgruppe von den Benutzern, die dort arbeiten, hinzugefügt.
soweit ich das aus eigener Erfahrung noch weiß, müssen die entsprechenden Computerkonten auch in die Gruppe aufgenommen werden. Wir haben für den RDOC eine eigene Sicherheitsgruppe angelegt und diese in die Gruppe "Zulässige RODC-Kennwortreplikationsgruppe" aufgenommen. Somit ist immer klar, welcher Benutzer/Computer an welchen Außenstelle gehört.Gruß,
Dani
Hallo Dani
Danke.
Ich habe inzwischen zum Testen mal grosszügig die Gruppen "Domain Users" und "Domain Computer" in die Zulässige RODC-Kennwortreplikationsgruppe aufgenommen.
Selbes Ergebnis, leider.
Gruss
Thomas
Danke.
Ich habe inzwischen zum Testen mal grosszügig die Gruppen "Domain Users" und "Domain Computer" in die Zulässige RODC-Kennwortreplikationsgruppe aufgenommen.
Selbes Ergebnis, leider.
Gruss
Thomas
Hallo,
http://www.frickelsoft.net/blog/?p=232
[Nachtrag]
https://community.spiceworks.com/topic/318090-cache-computer-accounts-to ...
https://social.technet.microsoft.com/Forums/ie/en-US/b13bccb8-986b-4bcd- ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://robsitblog.wordpress.com/category/rodc/
http://www.rebeladmin.com/2014/10/step-by-step-guide-to-install-read-on ...
[/Nachtrag]
Gruß,
Peter
Zitat von @thaefliger:
Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
https://www.itprotoday.com/windows-8/configure-credential-caching-rodc-w ...Das Problem ist nun, dass sich die Clients trotzdem am Domaincontroller im HQ (also im anderen AD-Standort) authentifizieren.
http://www.frickelsoft.net/blog/?p=232
[Nachtrag]
https://community.spiceworks.com/topic/318090-cache-computer-accounts-to ...
https://social.technet.microsoft.com/Forums/ie/en-US/b13bccb8-986b-4bcd- ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://robsitblog.wordpress.com/category/rodc/
http://www.rebeladmin.com/2014/10/step-by-step-guide-to-install-read-on ...
[/Nachtrag]
Gruß,
Peter
Und die Clients auf der RODC-Site haben als primären DNS auch den RODC drin?
Hallo Thomas,
b) Je nach dem was du als Replikation Zeitraum konfiguriert hast, musst du entsprechend warten.
Gruß,
Dani
Ich habe inzwischen zum Testen mal grosszügig die Gruppen "Domain Users" und "Domain Computer" in die Zulässige RODC-Kennwortreplikationsgruppe aufgenommen.
Selbes Ergebnis, leider.
a) Ob es mit den Standardgruppen funktioniert, weiß ich ehrlich gesagt nicht. Das habe ich noch nie getestet.Selbes Ergebnis, leider.
b) Je nach dem was du als Replikation Zeitraum konfiguriert hast, musst du entsprechend warten.
Gruß,
Dani
@Pjordorf danke für die Links, ich arbeite mich durch
@chgorges ja, die Clients bekommen per DHCP als primären DNS den RODC verteilt. Als sekundären DNS den RWDC
@Dani sollten obige Links nicht weiterhelfen, probiere ich das mal mit einer eigenen Gruppe
Ich melde mich wieder, danke erstmal für eure Hilfe!
Gruss
Thomas
@chgorges ja, die Clients bekommen per DHCP als primären DNS den RODC verteilt. Als sekundären DNS den RWDC
@Dani sollten obige Links nicht weiterhelfen, probiere ich das mal mit einer eigenen Gruppe
Ich melde mich wieder, danke erstmal für eure Hilfe!
Gruss
Thomas
Hi,
von welchen Server-Betriebssytem sprechen wir?
Gruß
Holli
von welchen Server-Betriebssytem sprechen wir?
Gruß
Holli
@holli.zimmi sorry, natürlich vergessen. Windows Server 2016.
Das Problem konnte ich jetzt lösen, besonders geholfen hat mir dabei der Link von @Pjordorf https://www.itprotoday.com/windows-8/configure-credential-caching-rodc-w ...
Es braucht am Client einfach viel Geduld, ein paar Neustarts und gpupdate, bis dann echo %logonserver% auch endlich den RODC angezeigt hat.
Tausend Dank für eure super Hilfe!
Erholsames Wochenende allerseits,
Gruss
Thomas
Das Problem konnte ich jetzt lösen, besonders geholfen hat mir dabei der Link von @Pjordorf https://www.itprotoday.com/windows-8/configure-credential-caching-rodc-w ...
Es braucht am Client einfach viel Geduld, ein paar Neustarts und gpupdate, bis dann echo %logonserver% auch endlich den RODC angezeigt hat.
Tausend Dank für eure super Hilfe!
Erholsames Wochenende allerseits,
Gruss
Thomas
