14
Logon Server Active Directory
Hallo zusammen,
ich habe in einer Domäne 2 primäre Domänencontroller (DC01 alt, DC02 neu). Primär deshalb weil es vorerst nur einen gegeben hat (DC01), dieser jetzt aber durch einen anderen ersetzt werden soll (DC02).
Die beiden Domänencontroller stehen jeweils in einem anderen Rechenzentrum, die Clients verbinden sich per Tunnel direkt zum Rechenzentrum wo der neue DC steht (DC02).
Der DC01 soll früher oder später außer Betrieb genommen werden.
Nun habe ich das Problem dass sich die anderen Server innerhalb der Domäne teilweise noch auf den alten Domänencontroller (DC01) verbinden und diesen als Logon Server verwenden.
Die Replikation usw. funktioniert einwandfrei zwischen diesen beiden DC´s. In der Domäne habe ich den Betriebsmaster bereits für RID, PDC und Infrastruktur auf den DC02 eingestellt.
Auch wenn ich den Logonserver per CMD auf den DC02 festlege nimmt er immer wieder den DC01 nach einem Neustart.
Wie kann ich nun festlegen dass alle Server und Clients in diesem Netzwerk immer den DC02 als Logonserver verwenden?
SRV Einträge in der Domäne sind jeweils für beide vorhanden (_gc, _kerberos, _ldap) für DC01 und DC02.
Danke,
Lg
ich habe in einer Domäne 2 primäre Domänencontroller (DC01 alt, DC02 neu). Primär deshalb weil es vorerst nur einen gegeben hat (DC01), dieser jetzt aber durch einen anderen ersetzt werden soll (DC02).
Die beiden Domänencontroller stehen jeweils in einem anderen Rechenzentrum, die Clients verbinden sich per Tunnel direkt zum Rechenzentrum wo der neue DC steht (DC02).
Der DC01 soll früher oder später außer Betrieb genommen werden.
Nun habe ich das Problem dass sich die anderen Server innerhalb der Domäne teilweise noch auf den alten Domänencontroller (DC01) verbinden und diesen als Logon Server verwenden.
Die Replikation usw. funktioniert einwandfrei zwischen diesen beiden DC´s. In der Domäne habe ich den Betriebsmaster bereits für RID, PDC und Infrastruktur auf den DC02 eingestellt.
Auch wenn ich den Logonserver per CMD auf den DC02 festlege nimmt er immer wieder den DC01 nach einem Neustart.
Wie kann ich nun festlegen dass alle Server und Clients in diesem Netzwerk immer den DC02 als Logonserver verwenden?
SRV Einträge in der Domäne sind jeweils für beide vorhanden (_gc, _kerberos, _ldap) für DC01 und DC02.
Danke,
Lg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 279875
Url: https://administrator.de/contentid/279875
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
seid Server 2000 gibt es keie PRIMÄREN Domancontroller mehr es gibt nur DCs.
Alle sind gleich eine Besondererolle haben nur die DC FMSO (dürfte derzeit alle dein alter haben) und GlobalCataog (haben hoffentlich beide)
Jeder Client darf jeden DC fragen ob er sich anmelden darf oder nicht.
Festzulegen nur der DC ist müll, solange DC01 on ist wird der auch verwendet und wenn der aus ist wird der nächste gefragt.
Das ist in einer AD Domäne auch so gewollt.
Verschiebe die FMSO alle auf den neuen DC dann wird der weil der dann auch PDC-Emulator ist bevorzugt verwendet.
Dann zeie alle anderen Dienste um und so weiter.
Anmeldescripte müssen ggf an die neuen Pfade angepasst werden usw.
Wenn alles angepasst ist mach den alten dc mal aus, (wenn replication durch ist) schau ob was knallt, wenn nicht den alten dc starten, sauber demoten, aus der domäne werfen sicher löschen ausmachen.
Evtl muss das DNS noch per hand gesäubert werden.
Gruß
Chonta
seid Server 2000 gibt es keie PRIMÄREN Domancontroller mehr es gibt nur DCs.
Alle sind gleich eine Besondererolle haben nur die DC FMSO (dürfte derzeit alle dein alter haben) und GlobalCataog (haben hoffentlich beide)
Jeder Client darf jeden DC fragen ob er sich anmelden darf oder nicht.
Festzulegen nur der DC ist müll, solange DC01 on ist wird der auch verwendet und wenn der aus ist wird der nächste gefragt.
Das ist in einer AD Domäne auch so gewollt.
Verschiebe die FMSO alle auf den neuen DC dann wird der weil der dann auch PDC-Emulator ist bevorzugt verwendet.
Dann zeie alle anderen Dienste um und so weiter.
Anmeldescripte müssen ggf an die neuen Pfade angepasst werden usw.
Wenn alles angepasst ist mach den alten dc mal aus, (wenn replication durch ist) schau ob was knallt, wenn nicht den alten dc starten, sauber demoten, aus der domäne werfen sicher löschen ausmachen.
Evtl muss das DNS noch per hand gesäubert werden.
Gruß
Chonta
Da die Replikation soweit fehlerfrei durchgelaufen ist und er auch die DNS Einträge sowie das AD sauber repliziert (Diagnosetests auch ok) habe ich den alten AD Server schon einmal ausgeschaltet. Dort hatte ich allerdings noch nicht den Betriebsmaster bereits für RID, PDC und Infrastruktur auf den DC02 eingestellt.
Nun hatte ich das Problem dass sich manche User nicht mehr per SQL Management Studio einloggen konnten weil folgende meldung kam:
Login failed. The login is from an untrusted domain and cannot be used with Windows authentication.
Ich habe dazu einen Beitrag gefunden der besagt:
Clients wählen den DC aufgrund der SRV Einträge im DNS. Dort kann man die Priorität und das Gewicht konfigurieren. Die tiefste Priorität gewinnt.
Wie kann ich dort die Prioriät festlegen? Beide Sever sind Windows Server 2012 R2 und Domain Functional Level ist 2012 R2.
Gruß
Nun hatte ich das Problem dass sich manche User nicht mehr per SQL Management Studio einloggen konnten weil folgende meldung kam:
Login failed. The login is from an untrusted domain and cannot be used with Windows authentication.
Ich habe dazu einen Beitrag gefunden der besagt:
Clients wählen den DC aufgrund der SRV Einträge im DNS. Dort kann man die Priorität und das Gewicht konfigurieren. Die tiefste Priorität gewinnt.
Wie kann ich dort die Prioriät festlegen? Beide Sever sind Windows Server 2012 R2 und Domain Functional Level ist 2012 R2.
Gruß
Ich habe jetzt alle nötigen Schritte wie hier beschrieben durchgeführt: https://support.microsoft.com/en-us/kb/255690
Schema Master
Domain Naming Master
Infrastructure Master
RID Master
PDC Emulator
Schema Master
Domain Naming Master
Infrastructure Master
RID Master
PDC Emulator
Hallo,
Wenn DC01 aus ist, kannst Du dich an deinem Rechner anmelden an dem Du Dich noch nie mit diesem Profil eingelogt hast ja/nein?
Ist der DC02 auch DNS und ist die Zone im AD integriert?
Haben die anderen Server AUCH den neuen DC als alternativen DNS eingetragen?
Gruß
Chonta
Wenn DC01 aus ist, kannst Du dich an deinem Rechner anmelden an dem Du Dich noch nie mit diesem Profil eingelogt hast ja/nein?
Ist der DC02 auch DNS und ist die Zone im AD integriert?
Haben die anderen Server AUCH den neuen DC als alternativen DNS eingetragen?
Gruß
Chonta
Hallo,
ja kann ich. Aus unserem Client Netzwerk in unserem Büro ist auch nur ein Tunnel zum neuen Rechenzentrum aufgebaut. Heißt die Clients können den DC01 gar nicht mehr erreichen. Nur mehr die Server aus dem Rechenzentrum.
Der DC02 ist abenfalls DNS Server ja. Wie meinst du die Zone im AD integriert?
Das muss ich grad mal nachsehen. Allerdings ist es so dass obwohl auf einem Server der DNS auf den alten DC01 konfiguriert ist er den DC02 als Logonserver nimmt.
Gruß
ja kann ich. Aus unserem Client Netzwerk in unserem Büro ist auch nur ein Tunnel zum neuen Rechenzentrum aufgebaut. Heißt die Clients können den DC01 gar nicht mehr erreichen. Nur mehr die Server aus dem Rechenzentrum.
Der DC02 ist abenfalls DNS Server ja. Wie meinst du die Zone im AD integriert?
Das muss ich grad mal nachsehen. Allerdings ist es so dass obwohl auf einem Server der DNS auf den alten DC01 konfiguriert ist er den DC02 als Logonserver nimmt.
Gruß
Hallo,
die Server sind auch gleichberechtigt und die Clients nehmen sich irgendeinen der Server und Fragen an.
Deswegen ist bei Funktionierendem DNS auch alles ok.
Wenn jetzt der Server aber nur einen DNS-Server kennt (DC01) und Du schaltest den aus, dann kann der Server keine DCs mehr finden weil ihm sein DNS fehlt.
Allle Clients und Server müssen beide DCs als DNS Server hinterlegt haben und solange Du noch zwei hast die DC jeweils den anderen als ersten DNS-Server.
Ich hatte Gogle bemüht und da hatte einer eine ähnliche Fehlermeldung und seinem lokalen SQL ohne AD und das nur weil in seiner Hostdaten localhost irgendwie nicht richtig hinterlegt war.
Als er das gemacht hatte gings sofort, war also ein Namenauflösungsproblem.
Warscheinlich geht es bei Dir in die selbe Richtung.
Du weist echt nicht was eine AD-Integrierte Zone in Bezug auf DNS ist?
Ich hoffe die können aber auch DC02 erreichen wenn der an ist
Gruß
Chonta
die Server sind auch gleichberechtigt und die Clients nehmen sich irgendeinen der Server und Fragen an.
Deswegen ist bei Funktionierendem DNS auch alles ok.
Wenn jetzt der Server aber nur einen DNS-Server kennt (DC01) und Du schaltest den aus, dann kann der Server keine DCs mehr finden weil ihm sein DNS fehlt.
Allle Clients und Server müssen beide DCs als DNS Server hinterlegt haben und solange Du noch zwei hast die DC jeweils den anderen als ersten DNS-Server.
Ich hatte Gogle bemüht und da hatte einer eine ähnliche Fehlermeldung und seinem lokalen SQL ohne AD und das nur weil in seiner Hostdaten localhost irgendwie nicht richtig hinterlegt war.
Als er das gemacht hatte gings sofort, war also ein Namenauflösungsproblem.
Warscheinlich geht es bei Dir in die selbe Richtung.
Du weist echt nicht was eine AD-Integrierte Zone in Bezug auf DNS ist?
Heißt die Clients können den DC01 gar nicht mehr erreichen. Nur mehr die Server aus dem Rechenzentrum.
Ich hoffe die können aber auch DC02 erreichen wenn der an ist
Gruß
Chonta
Ja das ist mir durchaus bekannt, wollte eben wissen ob es eine Möglichkeit gibt den Clients/Server zu sagen er soll immer den DC02 nehmen als Logonserver.
Gibt es eine Möglichkeit global rauszufinden welcher Client / Server gerade welchen Logonserver benutzt? Also am Client selbst kein Problem aber das man eine Übersicht bekommt welcher Client welchen Logonserver benutzt?
Naja ich stehe mit deiner Frage bissl am Schlauch glaube ich :D
Natürlich habe ich FW/RV Zones im DNS eingerichtet aber ich verstehe nicht was du damit meinst. Die Zonen werden am DC01 und 02 repliziert und sind somit natürlich auch bei beiden gleich und im AD integriert. Der DC01 und DC02 sind in der selben Zone.
Gruß
David
Gibt es eine Möglichkeit global rauszufinden welcher Client / Server gerade welchen Logonserver benutzt? Also am Client selbst kein Problem aber das man eine Übersicht bekommt welcher Client welchen Logonserver benutzt?
Naja ich stehe mit deiner Frage bissl am Schlauch glaube ich :D
Natürlich habe ich FW/RV Zones im DNS eingerichtet aber ich verstehe nicht was du damit meinst. Die Zonen werden am DC01 und 02 repliziert und sind somit natürlich auch bei beiden gleich und im AD integriert. Der DC01 und DC02 sind in der selben Zone.
Gruß
David
Die Clients im externen Netz (also Laptops, Desktop usw.) können den DC01 nicht mehr erreichen weil auf der neuen Firewall nur ein Tunnel zum neuen Rechenzentrum (Alle Server bis auf DC01) eingerichtet wurde. Nur die Server im neuen Rechenzentrum (wo der DC02) steht können den DC01 noch erreichen weil ein Tunnel vom neuen Rechenzentrum zum DC01 besteht.
Hallo,
also. Die Clients benutzen den DC immer dann, wenn der benutzer sich Anmeldet oder die die Sitzungssperrung aufhebt und wenn die Tokens erneuert werden.
Bei der Anmeldung bekommt der Benutzer ein Token mit allen Infos. Wenn der Benutzer nun einen Serverdienst verwenden will geht der hin zu dem Server und sagt ich bin Benutzer sowieso das ist mein Token.
Und nun fragt der Server im Hintergrund beim DC nach ob das Token richtig ist, wenn ja wird geprüft ob das Token für das was der Benutzer machen will auch darf (Beispiel Gruppenmitgleidschaften sind im Token immer nor bei dessen Erstellung drin und werden nur bei einer Neuanmeldung=neues Token geändert und damit auch Zugriffsrechte)
Wenn jetzt also Benutzer X mit Token X zu Server Y kommt und Server Y kann mit dem Token nix anfangen weil der keine Gegenstelle hat wo er nachfragen kann...
Im wenn der DC02 PDC-Emulator ist sollte das meiste deines Problems weg sein (Wenn DNS stimmt).
Gruß
Chonta
also. Die Clients benutzen den DC immer dann, wenn der benutzer sich Anmeldet oder die die Sitzungssperrung aufhebt und wenn die Tokens erneuert werden.
Bei der Anmeldung bekommt der Benutzer ein Token mit allen Infos. Wenn der Benutzer nun einen Serverdienst verwenden will geht der hin zu dem Server und sagt ich bin Benutzer sowieso das ist mein Token.
Und nun fragt der Server im Hintergrund beim DC nach ob das Token richtig ist, wenn ja wird geprüft ob das Token für das was der Benutzer machen will auch darf (Beispiel Gruppenmitgleidschaften sind im Token immer nor bei dessen Erstellung drin und werden nur bei einer Neuanmeldung=neues Token geändert und damit auch Zugriffsrechte)
Wenn jetzt also Benutzer X mit Token X zu Server Y kommt und Server Y kann mit dem Token nix anfangen weil der keine Gegenstelle hat wo er nachfragen kann...
Im wenn der DC02 PDC-Emulator ist sollte das meiste deines Problems weg sein (Wenn DNS stimmt).
Gruß
Chonta
hi,
hast du die physischen sites überhaupt im ad abgebildet?
normalerweise nimmt sich ein member, egal ob workstation oder server, immer einen verfügbaren dc an seiner ad site.
e.
hast du die physischen sites überhaupt im ad abgebildet?
normalerweise nimmt sich ein member, egal ob workstation oder server, immer einen verfügbaren dc an seiner ad site.
e.
Hallo,
richtig, aber seine Schilderung klingt eher danach, als würde es keine Standorte im AD geben und da ja der DC01 auch verschwinden soll.
Gruß
Chonta
richtig, aber seine Schilderung klingt eher danach, als würde es keine Standorte im AD geben und da ja der DC01 auch verschwinden soll.
Gruß
Chonta
trotzdem. der dc soll veschwinden, aber doch nicht alle computer auf dieser site.
Zitat von @Chonta:
Hallo,
richtig, aber seine Schilderung klingt eher danach, als würde es keine Standorte im AD geben und da ja der DC01 auch
verschwinden soll.
Gruß
Chonta
Hallo,
richtig, aber seine Schilderung klingt eher danach, als würde es keine Standorte im AD geben und da ja der DC01 auch
verschwinden soll.
Gruß
Chonta
Richtig, also Standorte gibt es aktuell keine. Es gibt nur eine Default Site im AD. Der DC soll verschwinden ja, das ist aber der einzige Server dort. Kein Client und kein Server ist dort wo dieser DC steht.
Jo, aber er ist für die Clients und Server als DC immer noch existent und über DNS abrufbar.
Also FMSO auf DC02, GC auch, alles was auf DC01 sonst noch sein sollte, check gpo und scripte auf verweise auf pfade zum aufruf von dingen auf dc01 und dann demote dc01 wenn alles sauber ist
dann check das DNS nach Einträgen für dc01 und bereinige das.
Dann ist der Spuk eh vorbei.
Gruß
Chonta
Also FMSO auf DC02, GC auch, alles was auf DC01 sonst noch sein sollte, check gpo und scripte auf verweise auf pfade zum aufruf von dingen auf dc01 und dann demote dc01 wenn alles sauber ist
dann check das DNS nach Einträgen für dc01 und bereinige das.
Dann ist der Spuk eh vorbei.
Gruß
Chonta
