8
Anmeldung schlägt fehl - bei heruntergefahrenem primären Domänencontroller
SBS 2003 Netzwerk mit sekundärem Domänencontroller W2K3 SP2
Hallo,
habe folgendes kleines Problem:
Wenn ich in unserem SBS 2003 Netzwerk den primären Domänencontroller (SBS 2003 SP2) herunterfahren muss (z. B. Win Updates), schlägt die Anmeldung von Clients in die Domäne fehl (Domäne nicht vorhanden), obwohl der sekundäre Domänencontroller präsent ist.
Warum übernimmt der sekundäre DC nicht die Anmeldeüberwachung?
Für jede Idee zur Problemlösung dankbar.
Hallo,
habe folgendes kleines Problem:
Wenn ich in unserem SBS 2003 Netzwerk den primären Domänencontroller (SBS 2003 SP2) herunterfahren muss (z. B. Win Updates), schlägt die Anmeldung von Clients in die Domäne fehl (Domäne nicht vorhanden), obwohl der sekundäre Domänencontroller präsent ist.
Warum übernimmt der sekundäre DC nicht die Anmeldeüberwachung?
Für jede Idee zur Problemlösung dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 70574
Url: https://administrator.de/contentid/70574
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
8 Kommentare
Neuester Kommentar
Ist der zweite DC auch DNS- und Globalcatalog Server?
Hallo,
der primäre DC ist der globale Katalogserver (und Exchange, 1. DNS, DHCP-Server = SBS).
Der 2. DNS Server ist auf einem weiteren W2K3 Server ausgelagert.
Kein WINS und kein sekundärer DHCP-Server in der Domäne.
DNS Konfiguration via NSLookup ergibt keine Fehler, finde jedoch sporadische Warnungen, dass für die Domäne kein DNS Server konfiguriert wäre.
Jedoch haben die DNS Server gültige Ressourceneinträge (siehe funktionierendes NSLookup) und die Clients kommen ins Internet auch bei heruntergefahrenem DC1. Clients die bereits in der Domäne eingeloggt waren bevor der DC1 neu gestartet wird, können auch ohne DC1 auf alle Domänenfuntionen zugreifen (Remotedesktop, Filezugriff, Drucker ...)
der primäre DC ist der globale Katalogserver (und Exchange, 1. DNS, DHCP-Server = SBS).
Der 2. DNS Server ist auf einem weiteren W2K3 Server ausgelagert.
Kein WINS und kein sekundärer DHCP-Server in der Domäne.
DNS Konfiguration via NSLookup ergibt keine Fehler, finde jedoch sporadische Warnungen, dass für die Domäne kein DNS Server konfiguriert wäre.
Jedoch haben die DNS Server gültige Ressourceneinträge (siehe funktionierendes NSLookup) und die Clients kommen ins Internet auch bei heruntergefahrenem DC1. Clients die bereits in der Domäne eingeloggt waren bevor der DC1 neu gestartet wird, können auch ohne DC1 auf alle Domänenfuntionen zugreifen (Remotedesktop, Filezugriff, Drucker ...)
Der zweite Domäncontroller sollte auf alle Fälle: DNS-, Globalcatalog- und eventuell DHCP-Server sein.
Der DNS sollte ebenfalls AD-integriert sein.
Globalcatalog zwecks Ausfallsicherheit. Wenn Du nur eine Domäne betreibst, z.B. deinedomäne.local, dann alle Domäncontroller zu Globalcatalogserver machen.
DHCP zwecks Ausfallsicherheit. Hat ein Client keine IP-Adresse, bekommt er auch keine wenn Domäncontroller 1 heruntergefahren ist. Anzuwenden ist die Regel 70 zu 30, oder 80 zu 20. Bin mir da jetzt nicht sicher.
Haben die Clients eine IP-Adresse zugeordnet, wenn Domäncontroller 1 weg ist?
Der DNS sollte ebenfalls AD-integriert sein.
Globalcatalog zwecks Ausfallsicherheit. Wenn Du nur eine Domäne betreibst, z.B. deinedomäne.local, dann alle Domäncontroller zu Globalcatalogserver machen.
DHCP zwecks Ausfallsicherheit. Hat ein Client keine IP-Adresse, bekommt er auch keine wenn Domäncontroller 1 heruntergefahren ist. Anzuwenden ist die Regel 70 zu 30, oder 80 zu 20. Bin mir da jetzt nicht sicher.
Haben die Clients eine IP-Adresse zugeordnet, wenn Domäncontroller 1 weg ist?
Hallo,
habe den 2. DC zum Globalen Katalogserver gemacht.
DHCP verwenden wir "nur" für RAS Verbindungen, Clients haben fixe IP-Adressen (Workaraound für rechtl. Vorgabe Internetverbindungen zu protokollieren), daher haben die Clients immer gültige IP-Adressen, solange zumindest ein DNS Server erreichbar ist.
Ist der zweite DNS auf dem 2. DC notwendig unter den obigen Vorgaben? (Bzw. können Nichtdomänenmitglieder dann auch noch ins Netz (vielleicht eine blöde Frage
).
habe den 2. DC zum Globalen Katalogserver gemacht.
DHCP verwenden wir "nur" für RAS Verbindungen, Clients haben fixe IP-Adressen (Workaraound für rechtl. Vorgabe Internetverbindungen zu protokollieren), daher haben die Clients immer gültige IP-Adressen, solange zumindest ein DNS Server erreichbar ist.
Ist der zweite DNS auf dem 2. DC notwendig unter den obigen Vorgaben? (Bzw. können Nichtdomänenmitglieder dann auch noch ins Netz (vielleicht eine blöde Frage
).
In einer 2000-er oder 2003-er Domäne sollte jeder DC auch ein DNS sein (ist zumindest sinnvoll). DNS sollte AD integriert sein, da DNS und AD mehr als sehr eng an einander "hängen". Durch die Integration ins AD wird nur die Änderungen im Zuge der Multimasterreplikation übertragen. Dadurch weniger Traffic auf der Leitung. Zusätzlich sollten nur sichere Updates erlaubt werden, außer es befinden andere Betriebssysteme im LAN
Die Abfrage des DNS-Server von Clients die einfach so ans Netz gesteckt werden, kannst Du so nicht verhindern. Das funktioniert über Portsecurity der Swichte im LAN.
Ist der zweite DNS auf den Clients auf der Netzwerkkarte eingetragen?
Die Abfrage des DNS-Server von Clients die einfach so ans Netz gesteckt werden, kannst Du so nicht verhindern. Das funktioniert über Portsecurity der Swichte im LAN.
Ist der zweite DNS auf den Clients auf der Netzwerkkarte eingetragen?
Hallo,
DNS ist/sind AD integriert.
DNS Server sind eingetragen in allen Netzwerkkarten.
Nslookup (bei heruntergefahrenem DC1 und bei laufendem DC1):
nslookup domain.local
Server: avdns2.domain.local
Address: 192.168.8.93(=DNS2)
Name: domain.local
Addresses: 192.168.8.99(=DC1), 192.168.8.96 (=DC2)
<Zusätzlich sollten nur sichere Updates erlaubt werden, außer es befinden andere Betriebssysteme im LAN>
Es gibt Linux Clients (virtuell) und einen Linux Server im Netz, ansonsten Win XP Pro, Vista und Win2k3 Server (32 u. 64 Bit) => trotzdem "sichere Updates" im DNS aktivieren?
DNS ist/sind AD integriert.
DNS Server sind eingetragen in allen Netzwerkkarten.
Nslookup (bei heruntergefahrenem DC1 und bei laufendem DC1):
nslookup domain.local
Server: avdns2.domain.local
Address: 192.168.8.93(=DNS2)
Name: domain.local
Addresses: 192.168.8.99(=DC1), 192.168.8.96 (=DC2)
<Zusätzlich sollten nur sichere Updates erlaubt werden, außer es befinden andere Betriebssysteme im LAN>
Es gibt Linux Clients (virtuell) und einen Linux Server im Netz, ansonsten Win XP Pro, Vista und Win2k3 Server (32 u. 64 Bit) => trotzdem "sichere Updates" im DNS aktivieren?
Der Windows DNS-Server wird von den Linux Clients und Servern keine dynamische Registrierung zulassen, wenn Du auf sichere Updates umstellst. Du kannst die DNS-Einträge auch per Hand eingeben. Abfragen können die Linuxkisten den Windows DNS-Server, egal wie Du Dich entscheidest.
Hallo,
auch ohne Umstellung des DNS Server gelingt jetzt die Anmeldung bei heruntergefahrenem DC1, nach Erteilung der Rolle Globaler Katalogserver an den DC2.
Werde aber dennoch versuchen Deine Tipps anzuwenden und den DC2 zum 2. DNS zu machen etc.
Vielen Dank!
auch ohne Umstellung des DNS Server gelingt jetzt die Anmeldung bei heruntergefahrenem DC1, nach Erteilung der Rolle Globaler Katalogserver an den DC2.
Werde aber dennoch versuchen Deine Tipps anzuwenden und den DC2 zum 2. DNS zu machen etc.
Vielen Dank!
