Replikation inerhalb eines Standortes festlegen
Hallo,
ich habe das Problem das zwei Domänencontroller (DC2 und DC3) inerhalb eines Standortes sich nicht direkt Replizieren sollen, versuchen dies aber immer wieder obwohl ich die Active-Directory Verbindungen lösche. KCC oder wie der Dienst heißt generiert diese Active-Directory Verbindungen einfach automatisch ein paar Minuten nachdem ich diese gelöscht habe.
Der Hintergrund der ganzen fummelei ist, das diese beiden Server in unterschiedlichen Subnetzen sind und nur über einen dritten Server (DC1 - Primärer Domänencontroller) indirekt verbunden sind. Das ganze muss aus Sicherheitsgründen so sein. Sprich ein Ping vom DC2 nach DC3 ist nicht möglich.
Das ganze spielt sich im Snap in Standorte und Dienste ab.
Meine Frage nun:
kann ich es ausschalten das die Active-Directory Verbindungen automatisch generiert werden ? Oder muss ich die Server in unterschiedlichen Standorte packen un über Verbindungsbrücken miteinander koppeln ?
ich habe das Problem das zwei Domänencontroller (DC2 und DC3) inerhalb eines Standortes sich nicht direkt Replizieren sollen, versuchen dies aber immer wieder obwohl ich die Active-Directory Verbindungen lösche. KCC oder wie der Dienst heißt generiert diese Active-Directory Verbindungen einfach automatisch ein paar Minuten nachdem ich diese gelöscht habe.
Der Hintergrund der ganzen fummelei ist, das diese beiden Server in unterschiedlichen Subnetzen sind und nur über einen dritten Server (DC1 - Primärer Domänencontroller) indirekt verbunden sind. Das ganze muss aus Sicherheitsgründen so sein. Sprich ein Ping vom DC2 nach DC3 ist nicht möglich.
Das ganze spielt sich im Snap in Standorte und Dienste ab.
Meine Frage nun:
kann ich es ausschalten das die Active-Directory Verbindungen automatisch generiert werden ? Oder muss ich die Server in unterschiedlichen Standorte packen un über Verbindungsbrücken miteinander koppeln ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 64327
Url: https://administrator.de/forum/replikation-inerhalb-eines-standortes-festlegen-64327.html
Ausgedruckt am: 28.12.2024 um 04:12 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
ich habe das Problem das zwei
Domänencontroller (DC2 und DC3) inerhalb
eines Standortes sich nicht direkt
Replizieren sollen, versuchen dies aber immer
wieder obwohl ich die Active-Directory
Verbindungen lösche. KCC oder wie der
Dienst heißt generiert diese
Active-Directory Verbindungen einfach
automatisch ein paar Minuten nachdem ich
diese gelöscht habe.
ich habe das Problem das zwei
Domänencontroller (DC2 und DC3) inerhalb
eines Standortes sich nicht direkt
Replizieren sollen, versuchen dies aber immer
wieder obwohl ich die Active-Directory
Verbindungen lösche. KCC oder wie der
Dienst heißt generiert diese
Active-Directory Verbindungen einfach
automatisch ein paar Minuten nachdem ich
diese gelöscht habe.
Versuche mal in einem neuen Beitrag vielleicht zu erklären, was genau deine Absichten sind.
Vielleicht kann man deiner Beschreibung nach schon konkreteres sagen. Ist doch recht wage...
aber weiter gehts erstmal...
Der Hintergrund der ganzen fummelei ist, das
diese beiden Server in unterschiedlichen
Subnetzen sind und nur über einen
dritten Server (DC1 - Primärer
Domänencontroller) indirekt verbunden
sind. Das ganze muss aus
Sicherheitsgründen so sein. Sprich ein
Ping vom DC2 nach DC3 ist nicht möglich.
Was für Sicherheitsgründe...? Also meiner Meinung nach ist dieses Verhalten , also die Replikation, ganz normal, wenn die DC's innerhalb einer Domäne sind. MIr ist lediglich bekannt, dass man die Zeitabstände zwischen den Synchronisationen verändern kann, was aber wiederum nicht dein Problem löst.
Und weiter im Text ...
Das ganze spielt sich im Snap in Standorte
und Dienste ab.
Meine Frage nun:
kann ich es ausschalten das die
Active-Directory Verbindungen automatisch
generiert werden ?
Es sollte vom Prinzip her so gedacht sein, dass das AD eine globale Datenbank für Objekte bzw. Ressourcen etc. innerhalb einer Domäne ist. Dass der Inhalt einer Datenbank und deren Replikate gleich sein sollte, erklärt sich ja von alleine. Deshalb wäre es unklug, wenn man Sie erst manuell synchronisiert. Die Aktualität der Objekte wäre z.B. nicht gegeben. Und ein deaktivierter Benutzer in der AD-Datenbank auf DC2 könnte sich trotzdem noch auf DC2 anmelden, wenn nicht synchronisiert wird!
Oder muss ich die Server
in unterschiedlichen Standorte packen un
über Verbindungsbrücken miteinander
koppeln ?
in unterschiedlichen Standorte packen un
über Verbindungsbrücken miteinander
koppeln ?
Also das hört sich meiner bescheidenen Meinung nach ziemlich unlösbar an. Vielleicht haben noch andere Mitglieder eine Idee?
Wie wär es mit einer anderen einzelene Domäne/Subdomäne , um dann ggf. mit Vertrauensstellungen zu arbeiten... vielleicht gibt dir das schon mehr "Sicherheit"????
*mein-spekuliereisen-raushol*
Gruß
Markus
Hi,
möglich ist alles. Aber wenn dann würde ich mir an deiner Stelle euren externen Dienstleister hinzuziehen, weil es schwierig und seeeeehr aufwendig ist, das hier alles zu beschreiben.
Ich habe das auch erst einmal selber gemacht - und es liegt verdammt lang zurück. (also das mit den Vertrauensstellungen zum Beispiel. Mit dem "Ausleihen" von Benutzern zu anderen Domänen etc.)
Was ich dir empfehlen könnte, wäre lt. deiner Beschreibung ein VLAN. Also ein virtuelles Netzwerk, so dass du hierbei alle Rechner der Chefetage in einem sind und die anderen Rechner in einem weiteren eigenen VLAN. Die Server müssen in beiden VLANs sein, genauso wie Dein Rechner bzw. andere Admin Rechner. Somit könnten die aus der Produktion nicht die Rechner aus der Chefetage sehen.
Ansonsten hoff ich, dass du noch an dein Ziel kommst.
Gruß und schönes WE
Markus
möglich ist alles. Aber wenn dann würde ich mir an deiner Stelle euren externen Dienstleister hinzuziehen, weil es schwierig und seeeeehr aufwendig ist, das hier alles zu beschreiben.
Ich habe das auch erst einmal selber gemacht - und es liegt verdammt lang zurück. (also das mit den Vertrauensstellungen zum Beispiel. Mit dem "Ausleihen" von Benutzern zu anderen Domänen etc.)
Was ich dir empfehlen könnte, wäre lt. deiner Beschreibung ein VLAN. Also ein virtuelles Netzwerk, so dass du hierbei alle Rechner der Chefetage in einem sind und die anderen Rechner in einem weiteren eigenen VLAN. Die Server müssen in beiden VLANs sein, genauso wie Dein Rechner bzw. andere Admin Rechner. Somit könnten die aus der Produktion nicht die Rechner aus der Chefetage sehen.
Ansonsten hoff ich, dass du noch an dein Ziel kommst.
Gruß und schönes WE
Markus