ukulele-7
Goto Top

Multi DC-Betrieb

Moin,

im Zuge unserer Migration auf Windows 2022 habe ich mich endlich mal dazu durchgerungen einen zweiten DC aufzusetzen (Asche auf mein Haupt, lief immer mit nur einem...). Jetzt habe ich derzeit effektiv drei, einen Windows 2012 R2 und zwei 2022. Eigentlich sieht das alles ganz gut aus, ich habe ein paar kleine Fragen.

1) GPO ADMX Files
Im laufe der Zeit habe ich diverse adm und admx Files importiert. Auf meinen beiden neuen DCs werden die GPOs dazu aber nicht richtig angezeigt (in diesem Fall Office15):
Für einige Einstellungen konnten keine Anzeigenamen gefunden werden. Eine Aktualisierung der von der Gruppenrichtlinienverwaltung verwendeten ADM-Dateien behebt möglicherweise das Problem.
Ich hatte erstmal angenommen das die DCs das untereinander mit replizieren, scheint nicht so zu sein. Ich habe die admx alle noch, das ist nicht das Problem. Aber ich möchte auch keinen Müll rum schieben und eine saubere Versionierung von den Dingern ist schwierig, meist werden die ja einfach nur "rein gekippt" und sind von den Default-ADMX Files kaum zu unterscheiden. Auch könnte ja irgendwas von Windows 2012 R2 fehlen.

Wie handhabt ihr das, kopiert ihr einfach %systemroot%\PolicyDefinitions von altem DC zu neuem DC oder guckt ihr alle GPOs durch (ca. 150)?

2) DFS
Wenn ich einen der DC im Betrieb neu starte der auch zufällig noch primary DNS ist gibt es kleinere Aussetzer - verständlich irgendwie. Jetzt sind alle drei DC auch noch als DFS Root eingerichtet, DFS scheint auch hier und da kleine Aussetzer zu haben, gibt es bei DFS irgendeine Reihenfolge in der Root Server genutzt werden?

3) Liege ich richtig wenn ich nur einen der DCs in das Backup aufnehme und kann dann im Desaster-Fall einen nicht mehr existierenden DC noch sauber entfernen?

Content-ID: 7447581536

Url: https://administrator.de/contentid/7447581536

Ausgedruckt am: 18.12.2024 um 21:12 Uhr

JasperBeardley
Lösung JasperBeardley 07.06.2023 um 10:18:23 Uhr
Goto Top
Moin,

das, was du zu den GPO suchst, nennt sich Central Store

Zum DFS

Sind die DNS Server nach Best Practise über Kreutz in den Einstellungen der Netzwerkkarte eingetragen?

Die dritte Frage verstehe ich nicht.

Gruß
Jasper
em-pie
Lösung em-pie 07.06.2023 um 10:25:40 Uhr
Goto Top
Moin,

Bzgl. ADMX
Ich hatte erstmal angenommen das die DCs das untereinander mit replizieren, scheint nicht so zu sein.
Doch, das sollte eigentlich so sein.
Wichtig ist, dass das alles auf DFSR läuft. Mit Server 2016 ist das verpflichtend geworden.

Lass mal ein dcdiag /s:[YourDC] laufen:
https://woshub.com/check-active-directory-health-and-replication/
Mr-Gustav
Lösung Mr-Gustav 07.06.2023 um 10:27:55 Uhr
Goto Top
Also Punkt 1:
Ich würde einen Central Store einrichten wenn machbar
Link: https://learn.microsoft.com/de-de/troubleshoot/windows-client/group-poli ...

Punkt 2:
Sind bei euch die DNS Einstellungen entsprechend gekreutzt eingetragen DC1-DC2 DC2-DC1 usw....

Punkt3:
Warum nur einen DC ins Backup aufnehmen ? Klar sind ja eigentlich alle gleich aber..... Sicherheitshalber würde ich alle 3 aufnehmen - je nach Backup SW und DeDup sollte das ja nicht unendlich groß werden.
ukulele-7
ukulele-7 07.06.2023 um 11:05:49 Uhr
Goto Top
1) GPO
Central Store sieht sinnvoll aus. Dadurch das das in SYSVOL liegt wird es dann auch repliziert. Ich glaube @em-pie hat mich falsch verstanden, SYSVOL Replikation mit DFSR passt, derzeit liegen die ADMX Files aber noch unter %systemroot%\PolicyDefinitions auf dem alten DC und das wird nicht repliziert.

Verstehe ich Microsoft richtig das sobald ein Ordner \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions existiert die ADMX Files aus diesem genutzt werden? Oder muss ich ihm den Ordner noch irgendwie anzeigen?

Microsoft schildert selbst wie man händisch versioniert in dem man den Ordner umbenennt. Es gibt demnach vermutlich keine Möglichkeit aus mehreren individuellen Unterordnern ADMX Files zusammen zu führen oder? Quasi eine eigene Struktur ohne das man am Ende immer alles in einen Ordner zusammenführen muss.

2) DFS
Im wesentlichen ist DNS gekreuzt. Ich bin nicht ganz sicher ob die Aussetzer von nur ca. 15 Sekunden beim Zugriff auf Freigaben in dem Moment durch DNS verursacht werden oder durch die Abfrage des DFS Root. Es ist keine große Sache weil alles weiter läuft und das DNS einen Moment braucht wenn der primary DNS plötzlich nicht antwortet ist verständlich aber ob DFS auch so arbeitet weiß ich nicht genau. Es müsste dann ja eine Reihenfolge geben in der die DFS Root Server abgefragt werden oder es ist Zufall.

3) Backup
Da bin ich einfach sparsam unterwegs. Zum einen wegen Backup Dauer und zum anderen will ich das (irgendwann mal) über das Internet spiegeln, daher lasse ich alles weg was ich nicht brauche.
Looser27
Lösung Looser27 07.06.2023 um 11:28:35 Uhr
Goto Top
Verstehe ich Microsoft richtig das sobald ein Ordner \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions existiert die ADMX Files aus diesem genutzt werden? Oder muss ich ihm den Ordner noch irgendwie anzeigen?

Hat bei mir immer reibungslos funktioniert. Neue ADMX einfach da immer reinkopiert und das Replizieren läuft automatisch.

Zum Thema Backup & Restore von DCs gehen die Meinungen auseinander.
Ich habe die immer alle im Backup gehabt.....einen Restore musste ich glücklicherweise nie davon machen.

Es geht u.U. aber schneller einen neuen DC aufzusetzen und einzubinden, als einen Restore zu machen.
ukulele-7
ukulele-7 07.06.2023 um 12:06:59 Uhr
Goto Top
Central Store funktioniert in der Tat sehr gut. Ich baue den jetzt von Grund auf neu weil mein alter Ordner warum auch immer über 13k Dateien hat und das scheint mir sehr viel, ich hoffe ich bekomme alles sauber neu zusammen gepuzzelt.

Backup scheint mir dann auch geklärt, die Entscheidung werde ich noch treffen. Wichtig war mir das man einen DC auch entfernt bekommt wenn er nicht mehr existiert und dann nicht Leichen wie bei Exchange entstehen.
Vision2015
Lösung Vision2015 07.06.2023 um 21:39:45 Uhr
Goto Top
Moin...
Zitat von @ukulele-7:

Backup scheint mir dann auch geklärt, die Entscheidung werde ich noch treffen. Wichtig war mir das man einen DC auch entfernt bekommt wenn er nicht mehr existiert und dann nicht Leichen wie bei Exchange entstehen.
das sollte beides kein Problem sein!

Frank