Frage zur IT-Infrastruktur Design ADS - DNS
Hallo zusammen,
wir haben bei uns ein kleines Problem und ich würde gerne hierzu ein paar Ideen sammeln.
Wir haben 2 Domaincontroller Win 2003 Ent SP2
Primary / Backup
Beide Server fungieren auch als DNS Server.
Unser alter Systemadmin hat jedem Domaincontroller 2 Ip Adressen gegeben.
DC01 192.168.1.1 ; 192.168.1.6
DC02 192.168.1.2 ; 192.168.1.7
Die Clients haben als bevorzugten DNS Server die 192.168.1.6 eingetragen (als alternativen die 1.7 "mit etwas Glück
Jetzt zum eigentlichen Problem. Das Active Directory auf DC01 hat vermutlich ein Problem. Wird beim Logon die Authentifizierung über den DC01 durchgeführt, so erhalten einige User beim anmelden einen Fehler auf Ihrem Client nicht genügend Arbeitspseicher und Laufwerke usw. werden nicht gemappt.
Den Fehler habe ich mitterlweile gefunden so kurios es auch klingt: Es liegt daran, das der User zuviele Berechtigungsgruppen hat. Nehme ich ihm eine weg, so geht der Login sauber durch. Läuft der Anmeldeprozess über den DC02, so taucht der Fehler nicht auf egal wieviele Gruppen.
Ich würde den DC01 gerne neu installieren habe aber jetzt ein wenig Angst bzw weiß nicht genau wie ich am besten vorgehen sollte.
Soll ich einen weiteren DC03 + DNS installieren und diesem die IP 192.168.1.6 geben und den DC01 austellen?
Kommen die Clients + DNS damit klar?
Wie würdet Ihr das Thema angehen bzw wie wäre die BestPractise.
Vielen Dank
wir haben bei uns ein kleines Problem und ich würde gerne hierzu ein paar Ideen sammeln.
Wir haben 2 Domaincontroller Win 2003 Ent SP2
Primary / Backup
Beide Server fungieren auch als DNS Server.
Unser alter Systemadmin hat jedem Domaincontroller 2 Ip Adressen gegeben.
DC01 192.168.1.1 ; 192.168.1.6
DC02 192.168.1.2 ; 192.168.1.7
Die Clients haben als bevorzugten DNS Server die 192.168.1.6 eingetragen (als alternativen die 1.7 "mit etwas Glück
Jetzt zum eigentlichen Problem. Das Active Directory auf DC01 hat vermutlich ein Problem. Wird beim Logon die Authentifizierung über den DC01 durchgeführt, so erhalten einige User beim anmelden einen Fehler auf Ihrem Client nicht genügend Arbeitspseicher und Laufwerke usw. werden nicht gemappt.
Den Fehler habe ich mitterlweile gefunden so kurios es auch klingt: Es liegt daran, das der User zuviele Berechtigungsgruppen hat. Nehme ich ihm eine weg, so geht der Login sauber durch. Läuft der Anmeldeprozess über den DC02, so taucht der Fehler nicht auf egal wieviele Gruppen.
Ich würde den DC01 gerne neu installieren habe aber jetzt ein wenig Angst bzw weiß nicht genau wie ich am besten vorgehen sollte.
Soll ich einen weiteren DC03 + DNS installieren und diesem die IP 192.168.1.6 geben und den DC01 austellen?
Kommen die Clients + DNS damit klar?
Wie würdet Ihr das Thema angehen bzw wie wäre die BestPractise.
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106409
Url: https://administrator.de/forum/frage-zur-it-infrastruktur-design-ads-dns-106409.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
zuerstmal muss der zweite DC auch ein AD-Server mit einem Globalen Katalog sein. (Zu kontrollieren unter Active Directory Standorte > sites > <dein standort> > servers > dc02 > ntds settings > rechtsklick > eigenschaften).
Das stellt erstmal sicher, dass der Server auch alle notwendigen Daten hat um Active Directory zu führen.
Als nächstes musst du die 5 FSMO-Rollen auf den zweiten Server übertragen.
Hier gibt es eine schöne Anleitung: http://www.petri.co.il/transferring_fsmo_roles.htm.
Dann solltest du entweder auf den Clients als primären DNS-Server den DC2 einstellen oder dem DC2 noch die IP von DC1 geben (den vorher herunterfahren).
Spästens jetzt schaltest du DC1 aus und wartest ein-zwei Tage um zu sehen, dass noch alles läuft (Ereignisprotokoll durchlesen).
Wenn das der Fall ist kannst du in der AD-Verwaltung den Server aus der Liste der Domänen Controller löschen und ihn neu installieren.
Das geht erstmal davon aus, dass du WINS nicht benutzt.
Grüße
Max
zuerstmal muss der zweite DC auch ein AD-Server mit einem Globalen Katalog sein. (Zu kontrollieren unter Active Directory Standorte > sites > <dein standort> > servers > dc02 > ntds settings > rechtsklick > eigenschaften).
Das stellt erstmal sicher, dass der Server auch alle notwendigen Daten hat um Active Directory zu führen.
Als nächstes musst du die 5 FSMO-Rollen auf den zweiten Server übertragen.
Hier gibt es eine schöne Anleitung: http://www.petri.co.il/transferring_fsmo_roles.htm.
Dann solltest du entweder auf den Clients als primären DNS-Server den DC2 einstellen oder dem DC2 noch die IP von DC1 geben (den vorher herunterfahren).
Spästens jetzt schaltest du DC1 aus und wartest ein-zwei Tage um zu sehen, dass noch alles läuft (Ereignisprotokoll durchlesen).
Wenn das der Fall ist kannst du in der AD-Verwaltung den Server aus der Liste der Domänen Controller löschen und ihn neu installieren.
Das geht erstmal davon aus, dass du WINS nicht benutzt.
Grüße
Max
Servus,
du kannst dich an den folgenden Artikel halten. Für deine Situation wird es ab dem dritten Schritt interessant.
[Yusufs Directory Blog - Den einzigen Domänencontroller austauschen]
http://blog.dikmenoglu.de/PermaLink,guid,0f062c72-4b37-4db2-9f0e-af3fa8 ...
Viele Grüße
Yusuf Dikmenoglu
Wie würdet Ihr das Thema angehen bzw wie wäre die BestPractise.
du kannst dich an den folgenden Artikel halten. Für deine Situation wird es ab dem dritten Schritt interessant.
[Yusufs Directory Blog - Den einzigen Domänencontroller austauschen]
http://blog.dikmenoglu.de/PermaLink,guid,0f062c72-4b37-4db2-9f0e-af3fa8 ...
Viele Grüße
Yusuf Dikmenoglu