11
RODC an den Außenstandorten
Hallo,
ich hätte da mal ein Problem.
Folgendes zur Umgebung:
Standort A - De - Hauptstandort 10.10.96.0/21
Standort B - FR - Niederlassung 10.20.96.0/21
Standort C - PL - Niederlassung 10.30.96.0/22
Alle Standorte sind mittels MPLS verbunden und können trusted gegenseitig aufeinander zugreifen.
AD steht, inkl Standorte,Verknüpfung und Subnetze.
Für jeden Standort gibt es eine Gruppe. Diese wird in der Kennwortreplikation jeweils auf „zulassen“ stehen.
Ich würde gerne in den Niederlassungen einen RODC hinstellen - aber wie geh ich hier vor?
1. RODC im Hauptnetz in DC integrieren und dann IP auf Zielnetz anpassen und den RODC dann im AD an seinen Standort ziehen?
Hab das mal so probiert und mich am RODC ausgesperrt. Denke der Fehler ist, dass der Haupt-DNS eintrsg nicht auf den DC sondern auf sich selbst zeigt. Wie kann ich den Eintrag ändern da er mir beim Anmelden ja sagt, es wäre keine Anmeldeserver da. Vom DC auf RDC kann ich pingen und bekomme auch antwort.
2. RODC Konto direkt am Standort in sein Netz bringen. Da meldet er mir aber beim Hochstufen, dass er das AD nicht findet.
3. Muss ich auf den Routern der Aussenstellen, den RODC als DNS eintragen? Würde es hier nicht reichen dass in der Eth-Schnittstelle 1. DNS der DC 2. DNS der RODC steht?
Wie mach ich dass am schlausten, dass ich Schlussendlich ein Haupt-DC und zwei RODC habe. Und so dass selbst bei fehlender Verbindung zum HQ ein Anmeldung möglich wird. Welche DNS einträge stehen auf den RODC?
Vielen Dank
Beste Grüße
ich hätte da mal ein Problem.
Folgendes zur Umgebung:
Standort A - De - Hauptstandort 10.10.96.0/21
Standort B - FR - Niederlassung 10.20.96.0/21
Standort C - PL - Niederlassung 10.30.96.0/22
Alle Standorte sind mittels MPLS verbunden und können trusted gegenseitig aufeinander zugreifen.
AD steht, inkl Standorte,Verknüpfung und Subnetze.
Für jeden Standort gibt es eine Gruppe. Diese wird in der Kennwortreplikation jeweils auf „zulassen“ stehen.
Ich würde gerne in den Niederlassungen einen RODC hinstellen - aber wie geh ich hier vor?
1. RODC im Hauptnetz in DC integrieren und dann IP auf Zielnetz anpassen und den RODC dann im AD an seinen Standort ziehen?
Hab das mal so probiert und mich am RODC ausgesperrt. Denke der Fehler ist, dass der Haupt-DNS eintrsg nicht auf den DC sondern auf sich selbst zeigt. Wie kann ich den Eintrag ändern da er mir beim Anmelden ja sagt, es wäre keine Anmeldeserver da. Vom DC auf RDC kann ich pingen und bekomme auch antwort.
2. RODC Konto direkt am Standort in sein Netz bringen. Da meldet er mir aber beim Hochstufen, dass er das AD nicht findet.
3. Muss ich auf den Routern der Aussenstellen, den RODC als DNS eintragen? Würde es hier nicht reichen dass in der Eth-Schnittstelle 1. DNS der DC 2. DNS der RODC steht?
Wie mach ich dass am schlausten, dass ich Schlussendlich ein Haupt-DC und zwei RODC habe. Und so dass selbst bei fehlender Verbindung zum HQ ein Anmeldung möglich wird. Welche DNS einträge stehen auf den RODC?
Vielen Dank
Beste Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 364388
Url: https://administrator.de/contentid/364388
Ausgedruckt am: 19.11.2024 um 23:11 Uhr
11 Kommentare
Neuester Kommentar
Hallöchen,
prinzipiell bin ich absolut kein Freund von RODC‘s das vorweg aber das ist meine persönliche Meinung.
Hab sie selber lange Zeit eingesetzt und mir gingen die Beschränkungen auf den Sack.
Du kannst das gleiche mit einem vollwertigen DC machen in dem du dem Standort sagst er soll sich nur an dem DC anmelden. Auch wenn der Haupt DC weg fliegt kann sich deine Außenstelle trotzdem anmelden. Das einzige was dann nicht mehr funktioniert ist die Replikation.
Aber ich hab ein ganz gutes Paper gefunden vielleicht fällt dir in deiner Konfig ja was auf:
http://www.thurnhofer.net/howtos/Read_Only_Domain_Controller_vorbereite ...
Viele Grüße
Criemo
prinzipiell bin ich absolut kein Freund von RODC‘s das vorweg aber das ist meine persönliche Meinung.
Hab sie selber lange Zeit eingesetzt und mir gingen die Beschränkungen auf den Sack.
Du kannst das gleiche mit einem vollwertigen DC machen in dem du dem Standort sagst er soll sich nur an dem DC anmelden. Auch wenn der Haupt DC weg fliegt kann sich deine Außenstelle trotzdem anmelden. Das einzige was dann nicht mehr funktioniert ist die Replikation.
Aber ich hab ein ganz gutes Paper gefunden vielleicht fällt dir in deiner Konfig ja was auf:
http://www.thurnhofer.net/howtos/Read_Only_Domain_Controller_vorbereite ...
Viele Grüße
Criemo
Hallo und vielen Dank fürs Feedback.
Das Thurnhofer Script ist sehr gut, aber leider wird die IP Thematik nicht aufgegriffen.
Mit welcher Statischen IP bringe ich den RODC in die Domäne? Mit der aus dem Quellnetz oder der aus dem Zielnetz? Welche DNS stehen später an welcher Stelle?
Wenn mein RODC im Quellnetz liegt, ists kein Problem den in die Domäne zu bringen, aber wie kommt er dann ins Zielnetz?
Usw...
Dennoch danke.
Das Thurnhofer Script ist sehr gut, aber leider wird die IP Thematik nicht aufgegriffen.
Mit welcher Statischen IP bringe ich den RODC in die Domäne? Mit der aus dem Quellnetz oder der aus dem Zielnetz? Welche DNS stehen später an welcher Stelle?
Wenn mein RODC im Quellnetz liegt, ists kein Problem den in die Domäne zu bringen, aber wie kommt er dann ins Zielnetz?
Usw...
Dennoch danke.
Der Rodoc wird mit der IP aus dem zielnetz in die Domäne gebracht.
Bei DNS ist es so wie immer: als erster DNS der aus dem Zielnetz und alles was dieser nicht beantworten kann muss über ein DNS forward konfiguriert werden.
Stimmt die Router Konfiguration so, dass sich beide Netze Unterhalten können?
Viele Grüße
Criemo
Bei DNS ist es so wie immer: als erster DNS der aus dem Zielnetz und alles was dieser nicht beantworten kann muss über ein DNS forward konfiguriert werden.
Stimmt die Router Konfiguration so, dass sich beide Netze Unterhalten können?
Viele Grüße
Criemo
Hallo,
ja, die Netze sind bidirektional verbunden ohne Einschränkung.
Ich hatte den RODC erst im Zielnetz und den ersten DNS auf den DC im Quellnetz. Damit konnte ich den aber nicht hochstufen weil er keine Verbindung zum AD aufbauen konnte. Das versteh ich nicht.
RODC -> switch -> Firewall Router -> Switch -> DC
Daher hab ich den im Quellnetz als RODC integriert und dann physikalisch und per drag an drop in der Sitelist ins Zielnetz gebracht. Aber da hab ich den ersten DNS leider auf sich selbst gelassen, jetzt kann ich mich nicht mehr anmelden, da kein Anmeldeserver da ist. Oder sollte ich 24 h warten dass er Zeit hat sich zu replizieren?
ja, die Netze sind bidirektional verbunden ohne Einschränkung.
Ich hatte den RODC erst im Zielnetz und den ersten DNS auf den DC im Quellnetz. Damit konnte ich den aber nicht hochstufen weil er keine Verbindung zum AD aufbauen konnte. Das versteh ich nicht.
RODC -> switch -> Firewall Router -> Switch -> DC
Daher hab ich den im Quellnetz als RODC integriert und dann physikalisch und per drag an drop in der Sitelist ins Zielnetz gebracht. Aber da hab ich den ersten DNS leider auf sich selbst gelassen, jetzt kann ich mich nicht mehr anmelden, da kein Anmeldeserver da ist. Oder sollte ich 24 h warten dass er Zeit hat sich zu replizieren?
Hallo Criemo,
wenn ich deinen Vorschlag umsetze und keinen RODC sondern ein Full DC in die Außenstellen setze, gehe ich ja vom Grundprinzip ähnlich vor.
D.h. Sites und Subnetze abbilden. DC aus Standort mit 1.DNS (Hauptdc) in die Domäne als DC aufnehmen. Woher weiß der Client, welches sein Logonserver ist? Über die Site?
Beste Grüße
wenn ich deinen Vorschlag umsetze und keinen RODC sondern ein Full DC in die Außenstellen setze, gehe ich ja vom Grundprinzip ähnlich vor.
D.h. Sites und Subnetze abbilden. DC aus Standort mit 1.DNS (Hauptdc) in die Domäne als DC aufnehmen. Woher weiß der Client, welches sein Logonserver ist? Über die Site?
Beste Grüße
Also, aus meiner persönlichen Erfahrung kann ich sagen so ganz das selbe ist es nicht. Warum weiß ich nicht.
Ich hatte mal einen RDOC installiert und versucht in in einer außenstelle ans rennen zubekommen. Ich habe alles versucht aber irgendwie war es nicht möglich die Möhre ans laufen zu bekommen. Um Netzoder Firewall Probleme auszuschließen habe ich einen Full DC installiert und siehe da nicht ein Problem mit der Replikation gehbt.
Ja genau. Du weißt deiner Site ja ein bestimmtes Subnetz für die außenstelle zu und über eben dieses wird der entsprechende anmelde Srevr erkannt.
VG
Criemo
Ich hatte mal einen RDOC installiert und versucht in in einer außenstelle ans rennen zubekommen. Ich habe alles versucht aber irgendwie war es nicht möglich die Möhre ans laufen zu bekommen. Um Netzoder Firewall Probleme auszuschließen habe ich einen Full DC installiert und siehe da nicht ein Problem mit der Replikation gehbt.
Ja genau. Du weißt deiner Site ja ein bestimmtes Subnetz für die außenstelle zu und über eben dieses wird der entsprechende anmelde Srevr erkannt.
VG
Criemo
Moin Criemo,
vielen Dank für die guten Tips und Ratschläge.
Da ich in den Außenstandorten keine Administratoren (Außenstandort heißt hier: FR, PL) habe, hat die IT Leitung beschlossen auf RODC zu gehen.
Ich bin "nur" die Ausführende Kraft.
Danke
vielen Dank für die guten Tips und Ratschläge.
Da ich in den Außenstandorten keine Administratoren (Außenstandort heißt hier: FR, PL) habe, hat die IT Leitung beschlossen auf RODC zu gehen.
Ich bin "nur" die Ausführende Kraft.
Danke
Dann muss ich mich leider ausklinken und hoffe dir kann ein anderer weiterhelfen.
Alles gut - du hast mir schon geholfen.....
Mein RODC und der DC sprechen miteinander...
Mein RODC und der DC sprechen miteinander...
dann makiere bitte die Lösung. 
Vielen Dank und Viele Grüße
Criemo
Vielen Dank und Viele Grüße
Criemo
Problem hierbei war dass auf Seiten der FW die beiden Netze noch nicht vertrauenswürdig waren. Der FW Admin hat das angepasst und siehe da, alles ok
