11
RODC über VPN - Verbindung weg
Hallo,
habe mal eine Frage an euch. Wir haben einen RODC im Ausland (Frankreich) über VPN angebunden, läuft auch seit Jahren relativ problemlos. Dieser ist dort auch Fileserver. Jetzt ist dort die Leitung ausgefallen und das VPN ist down. Die User vor Ort sollten doch jetzt auch ohne VPN noch auf Ihre Network-Shares zugreifen können, oder?? Die sagen das geht jetzt nicht mehr?? Braucht der RODC das VPN um die User Credentials zu checken? Das sollte doch auch ohne VPN gehen, oder? Der hat doch lokal auch alles was er braucht, oder liege ich da falsch?
Danke
Stefan
habe mal eine Frage an euch. Wir haben einen RODC im Ausland (Frankreich) über VPN angebunden, läuft auch seit Jahren relativ problemlos. Dieser ist dort auch Fileserver. Jetzt ist dort die Leitung ausgefallen und das VPN ist down. Die User vor Ort sollten doch jetzt auch ohne VPN noch auf Ihre Network-Shares zugreifen können, oder?? Die sagen das geht jetzt nicht mehr?? Braucht der RODC das VPN um die User Credentials zu checken? Das sollte doch auch ohne VPN gehen, oder? Der hat doch lokal auch alles was er braucht, oder liege ich da falsch?
Danke
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323392
Url: https://administrator.de/contentid/323392
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Das alles geht aber nur wenn alles korreckt eingerichtet war und es auch keinerlei Probleme im Betrieb gab. Wann wurde dein RODC denn das letztemal auf die Probe gestellt bzw. wann hast du dir das letztemal dir Logs angeschaut. Entweder von vornherein falsch Konfiguriert oder irgendwann hat deine Replizierung versagt....
Gruß,
Peter
Zitat von @stefan2k1:
Die User vor Ort sollten doch jetzt auch ohne VPN noch auf Ihre Network-Shares zugreifen können, oder??
Sinn und zweck eines RODC.Die User vor Ort sollten doch jetzt auch ohne VPN noch auf Ihre Network-Shares zugreifen können, oder??
Die sagen das geht jetzt nicht mehr??
Und du glaubst ihnen nicht? Du könntest ja per z.B. TeamViewer gegenchecken wenn ihr solche Werkzeuge erlaubt.Braucht der RODC das VPN um die User Credentials zu checken?
Nö. Warum heisst das Ding denn RODC und für was steht DC? Das sollte doch auch ohne VPN gehen, oder?
Si.Der hat doch lokal auch alles was er braucht, oder liege ich da falsch?
Nein.Das alles geht aber nur wenn alles korreckt eingerichtet war und es auch keinerlei Probleme im Betrieb gab. Wann wurde dein RODC denn das letztemal auf die Probe gestellt bzw. wann hast du dir das letztemal dir Logs angeschaut. Entweder von vornherein falsch Konfiguriert oder irgendwann hat deine Replizierung versagt....
Gruß,
Peter
Hi
RODC heisst nicht umsonst "ReadOnlyDomainController, der kann ja keinerlei Anmeldeevent in die Logs schreiben weil er das einfach nicht darf, der dient lediglich zur Abfrage nicht um den Anmeldeprozess komplett durchzuführen. Der RODC braucht einen lauffähigen DC zwingend um zu funktionieren.
Die ganzen "schönen" Aspekte die einem eine RODC bietet, in Niederlassung sollte mind. ein regulärer DC stehen um solche Konstellationen wie du sie hast abzusichern. Du kannst besser eine 2 Faktor Authentifizierung für Admins einführen und das Gerät lokal via BitLocker verschlüsseln als einen RODC zu installieren.
Ein schöner Blogpost dazu findest du hier: https://www.pluralsight.com/blog/software-development/windows-server-200 ...
Gruß
@clSchak
RODC heisst nicht umsonst "ReadOnlyDomainController, der kann ja keinerlei Anmeldeevent in die Logs schreiben weil er das einfach nicht darf, der dient lediglich zur Abfrage nicht um den Anmeldeprozess komplett durchzuführen. Der RODC braucht einen lauffähigen DC zwingend um zu funktionieren.
Die ganzen "schönen" Aspekte die einem eine RODC bietet, in Niederlassung sollte mind. ein regulärer DC stehen um solche Konstellationen wie du sie hast abzusichern. Du kannst besser eine 2 Faktor Authentifizierung für Admins einführen und das Gerät lokal via BitLocker verschlüsseln als einen RODC zu installieren.
Ein schöner Blogpost dazu findest du hier: https://www.pluralsight.com/blog/software-development/windows-server-200 ...
Gruß
@clSchak
Hi,
wem soll ich denn jetzt glauben? ;)
2 Antworten und gegensätzliche Aussagen.....
wem soll ich denn jetzt glauben? ;)
2 Antworten und gegensätzliche Aussagen.....
wir hatten die gleichen Problem wie du sie beschrieben hast mit einem RODC only in einer Niederlassung, bei einer schlechten Internetanbindung funktionierte dort nichts mehr - erst nach dem Wechsel auf einen normalen DC mit oben beschriebener Absicherung funktionierte das alles Anstandslos.
sind halt der persönliche Erfahrungen
sind halt der persönliche Erfahrungen
Moin,
mal ne Frage: Standorte mit entsprechenden Netzten etc. sind im AD konfiguriert?
Gruß Krämer
mal ne Frage: Standorte mit entsprechenden Netzten etc. sind im AD konfiguriert?
Gruß Krämer
Zitat von @clSchak:
Hi
RODC heisst nicht umsonst "ReadOnlyDomainController, der kann ja keinerlei Anmeldeevent in die Logs schreiben weil er das einfach nicht darf, der dient lediglich zur Abfrage nicht um den Anmeldeprozess komplett durchzuführen. Der RODC braucht einen lauffähigen DC zwingend um zu funktionieren.
das sehe ich anders! Wenn ich mich recht erinnere, muss man nur die Zwischenspeicherung für die Konten konfigurieren, die sich am RODC anmelden können sollen.Hi
RODC heisst nicht umsonst "ReadOnlyDomainController, der kann ja keinerlei Anmeldeevent in die Logs schreiben weil er das einfach nicht darf, der dient lediglich zur Abfrage nicht um den Anmeldeprozess komplett durchzuführen. Der RODC braucht einen lauffähigen DC zwingend um zu funktionieren.
Gruß Krämer
Ja sind sie.
Ich habe jetzt zumindest die Einstellung gefunden, mit der man die Passwörter der entsprechenden User am jeweiligen Standort auch lokal replizieren lassen kann. Zu finden in Active Directory User und Computer -> Domaincontroller -> RODC auswählen und auf Eigenschaften. Dort findet man die Kennwortreplikationsrichtlinie. Da habe ich jetzt die User bzw. Gruppen des Standortes hinzugefügt und die Replikation erlaubt. Nützt mir jetzt zwar nix weil das VPN down ist. Aber zumindest für die Zukunft ;)
@krämer. Genau, das ist die Einstellung.....
siehe auch: https://technet.microsoft.com/en-us/library/cc753470(v=ws.10).aspx
Ich habe jetzt zumindest die Einstellung gefunden, mit der man die Passwörter der entsprechenden User am jeweiligen Standort auch lokal replizieren lassen kann. Zu finden in Active Directory User und Computer -> Domaincontroller -> RODC auswählen und auf Eigenschaften. Dort findet man die Kennwortreplikationsrichtlinie. Da habe ich jetzt die User bzw. Gruppen des Standortes hinzugefügt und die Replikation erlaubt. Nützt mir jetzt zwar nix weil das VPN down ist. Aber zumindest für die Zukunft ;)
@krämer. Genau, das ist die Einstellung.....
siehe auch: https://technet.microsoft.com/en-us/library/cc753470(v=ws.10).aspx
Brauchst du mir nicht sagen
Schön das mein Tipp dir weitergeholfen hat
Schön das mein Tipp dir weitergeholfen hat
Hallo,
Wem du willst. Ich selbst hab allerdings eine abneigung gegen den RODC damals bekommen und habe dir daher auch unüberlegt etwas falsches genannt. Auch Lesenswert https://blogs.technet.microsoft.com/askds/2008/01/18/understanding-read- ...
Sorry.
Gruß,
Peter
Wem du willst. Ich selbst hab allerdings eine abneigung gegen den RODC damals bekommen und habe dir daher auch unüberlegt etwas falsches genannt. Auch Lesenswert https://blogs.technet.microsoft.com/askds/2008/01/18/understanding-read- ...
Another really cool feature is the “Prepopulate the password cache for an RODC” button. This button (pictured) allows an administrator to pre-add users that will be authenticating to the RODC.
If the Wide Area Network (WAN) is down and the user account and password has NOT been cached, then the user account will fail to authenticate.
when a user account is not cached, the RODC forwards the authentication to a writable Domain Controller which does the authentication.Gruß,
Peter
@clSchak
@stefan2k1
Wir nutzen an vielen kleinen Außenstellen einen RODC. Zwischengespeichert werden nur Credentails von den Mitarbeitern vor Ort. Die VM ist mit Bitlocker verschlüsselt. Des Weiteren ist die AS als separaten Standort im Active Directory angelegt und somit sauber getrennt. Als Anbindung ist "nur" ADSL 6000 verfügbar. Mehr geht in diesen Provinzen leider nicht. Seit knapp 2 Jahren im Betrieb und keinerlei Beschwerden.
Gruß,
Dani
bei einer schlechten Internetanbindung funktionierte dort nichts mehr
wie definierst du "schlecht"? Wiederkehrende Ausfälle oder sehr flexible Bandbreite?@stefan2k1
Wir nutzen an vielen kleinen Außenstellen einen RODC. Zwischengespeichert werden nur Credentails von den Mitarbeitern vor Ort. Die VM ist mit Bitlocker verschlüsselt. Des Weiteren ist die AS als separaten Standort im Active Directory angelegt und somit sauber getrennt. Als Anbindung ist "nur" ADSL 6000 verfügbar. Mehr geht in diesen Provinzen leider nicht. Seit knapp 2 Jahren im Betrieb und keinerlei Beschwerden.
Gruß,
Dani
@Dani
ein Mischung aus beiden, wir haben in Italien sowie in Frankreich "flexibel Bandbreiten mit einer geringen Verfügbarkeit" und da hatten wir mit dem RODC schon einige Probleme. Nachdem wir das geändert haben auf einen regulären DC waren die Probleme behoben (und ja, das mit dem Cachen der Infos/Credentials am RODC war alles aktiv). (seinerzeit alles mit Server 2008R2 - ob das nun besser mit aktuellen Serverversionen funktioniert kann ich nicht sagen)
Über eine DSL6k Leitung würden wir uns z.T. freuen :D - Italien max 2/2 Mbit, Frankreich schafft unglaubliche 5/0,75 Mbit - klar kann man hier Standleitungen bekommen - für >1.500EUR/Monat.... aber für 3-6 Leute eher kontraproduktiv, vor allem weil die (im Moment) die notwendigen Dienste lokal haben (AD, DFS und WaWi).
Gruß
@clSchak
ein Mischung aus beiden, wir haben in Italien sowie in Frankreich "flexibel Bandbreiten mit einer geringen Verfügbarkeit" und da hatten wir mit dem RODC schon einige Probleme. Nachdem wir das geändert haben auf einen regulären DC waren die Probleme behoben (und ja, das mit dem Cachen der Infos/Credentials am RODC war alles aktiv). (seinerzeit alles mit Server 2008R2 - ob das nun besser mit aktuellen Serverversionen funktioniert kann ich nicht sagen)
Über eine DSL6k Leitung würden wir uns z.T. freuen :D - Italien max 2/2 Mbit, Frankreich schafft unglaubliche 5/0,75 Mbit
- klar kann man hier Standleitungen bekommen - für >1.500EUR/Monat.... aber für 3-6 Leute eher kontraproduktiv, vor allem weil die (im Moment) die notwendigen Dienste lokal haben (AD, DFS und WaWi).Gruß
@clSchak
