stefan2k1
Goto Top

RODC über VPN - Verbindung weg

Hallo,

habe mal eine Frage an euch. Wir haben einen RODC im Ausland (Frankreich) über VPN angebunden, läuft auch seit Jahren relativ problemlos. Dieser ist dort auch Fileserver. Jetzt ist dort die Leitung ausgefallen und das VPN ist down. Die User vor Ort sollten doch jetzt auch ohne VPN noch auf Ihre Network-Shares zugreifen können, oder?? Die sagen das geht jetzt nicht mehr?? Braucht der RODC das VPN um die User Credentials zu checken? Das sollte doch auch ohne VPN gehen, oder? Der hat doch lokal auch alles was er braucht, oder liege ich da falsch?

Danke
Stefan

Content-ID: 323392

Url: https://administrator.de/forum/rodc-ueber-vpn-verbindung-weg-323392.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

Pjordorf
Pjordorf 09.12.2016 um 14:23:06 Uhr
Goto Top
Hallo,

Zitat von @stefan2k1:
Die User vor Ort sollten doch jetzt auch ohne VPN noch auf Ihre Network-Shares zugreifen können, oder??
Sinn und zweck eines RODC.

Die sagen das geht jetzt nicht mehr??
Und du glaubst ihnen nicht? Du könntest ja per z.B. TeamViewer gegenchecken wenn ihr solche Werkzeuge erlaubt.

Braucht der RODC das VPN um die User Credentials zu checken?
Nö. Warum heisst das Ding denn RODC und für was steht DC? face-smile

Das sollte doch auch ohne VPN gehen, oder?
Si.

Der hat doch lokal auch alles was er braucht, oder liege ich da falsch?
Nein.

Das alles geht aber nur wenn alles korreckt eingerichtet war und es auch keinerlei Probleme im Betrieb gab. Wann wurde dein RODC denn das letztemal auf die Probe gestellt bzw. wann hast du dir das letztemal dir Logs angeschaut. Entweder von vornherein falsch Konfiguriert oder irgendwann hat deine Replizierung versagt....

Gruß,
Peter
clSchak
clSchak 09.12.2016 um 14:24:24 Uhr
Goto Top
Hi

RODC heisst nicht umsonst "ReadOnlyDomainController, der kann ja keinerlei Anmeldeevent in die Logs schreiben weil er das einfach nicht darf, der dient lediglich zur Abfrage nicht um den Anmeldeprozess komplett durchzuführen. Der RODC braucht einen lauffähigen DC zwingend um zu funktionieren.

Die ganzen "schönen" Aspekte die einem eine RODC bietet, in Niederlassung sollte mind. ein regulärer DC stehen um solche Konstellationen wie du sie hast abzusichern. Du kannst besser eine 2 Faktor Authentifizierung für Admins einführen und das Gerät lokal via BitLocker verschlüsseln als einen RODC zu installieren.

Ein schöner Blogpost dazu findest du hier: https://www.pluralsight.com/blog/software-development/windows-server-200 ...

Gruß
@clSchak
stefan2k1
stefan2k1 09.12.2016 um 14:38:13 Uhr
Goto Top
Hi,

wem soll ich denn jetzt glauben? ;)

2 Antworten und gegensätzliche Aussagen.....
clSchak
clSchak 09.12.2016 um 14:46:11 Uhr
Goto Top
wir hatten die gleichen Problem wie du sie beschrieben hast mit einem RODC only in einer Niederlassung, bei einer schlechten Internetanbindung funktionierte dort nichts mehr - erst nach dem Wechsel auf einen normalen DC mit oben beschriebener Absicherung funktionierte das alles Anstandslos.

sind halt der persönliche Erfahrungen face-smile
Kraemer
Kraemer 09.12.2016 um 14:52:37 Uhr
Goto Top
Moin,

mal ne Frage: Standorte mit entsprechenden Netzten etc. sind im AD konfiguriert?

Gruß Krämer
Kraemer
Kraemer 09.12.2016 um 14:57:10 Uhr
Goto Top
Zitat von @clSchak:

Hi

RODC heisst nicht umsonst "ReadOnlyDomainController, der kann ja keinerlei Anmeldeevent in die Logs schreiben weil er das einfach nicht darf, der dient lediglich zur Abfrage nicht um den Anmeldeprozess komplett durchzuführen. Der RODC braucht einen lauffähigen DC zwingend um zu funktionieren.
das sehe ich anders! Wenn ich mich recht erinnere, muss man nur die Zwischenspeicherung für die Konten konfigurieren, die sich am RODC anmelden können sollen.

Gruß Krämer
stefan2k1
stefan2k1 09.12.2016 aktualisiert um 15:02:50 Uhr
Goto Top
Ja sind sie.

Ich habe jetzt zumindest die Einstellung gefunden, mit der man die Passwörter der entsprechenden User am jeweiligen Standort auch lokal replizieren lassen kann. Zu finden in Active Directory User und Computer -> Domaincontroller -> RODC auswählen und auf Eigenschaften. Dort findet man die Kennwortreplikationsrichtlinie. Da habe ich jetzt die User bzw. Gruppen des Standortes hinzugefügt und die Replikation erlaubt. Nützt mir jetzt zwar nix weil das VPN down ist. Aber zumindest für die Zukunft ;)

@krämer. Genau, das ist die Einstellung.....face-smile

siehe auch: https://technet.microsoft.com/en-us/library/cc753470(v=ws.10).aspx
Kraemer
Kraemer 09.12.2016 um 16:14:20 Uhr
Goto Top
Brauchst du mir nicht sagen face-smile
Schön das mein Tipp dir weitergeholfen hat
Pjordorf
Pjordorf 09.12.2016 um 17:37:40 Uhr
Goto Top
Hallo,

Zitat von @stefan2k1:
wem soll ich denn jetzt glauben? ;)
Wem du willst. Ich selbst hab allerdings eine abneigung gegen den RODC damals bekommen und habe dir daher auch unüberlegt etwas falsches genannt. Auch Lesenswert https://blogs.technet.microsoft.com/askds/2008/01/18/understanding-read- ...
Another really cool feature is the “Prepopulate the password cache for an RODC” button. This button (pictured) allows an administrator to pre-add users that will be authenticating to the RODC.

If the Wide Area Network (WAN) is down and the user account and password has NOT been cached, then the user account will fail to authenticate.

when a user account is not cached, the RODC forwards the authentication to a writable Domain Controller which does the authentication.
Sorry.

Gruß,
Peter
Dani
Dani 10.12.2016 um 09:45:30 Uhr
Goto Top
@clSchak
bei einer schlechten Internetanbindung funktionierte dort nichts mehr
wie definierst du "schlecht"? Wiederkehrende Ausfälle oder sehr flexible Bandbreite?

@stefan2k1
Wir nutzen an vielen kleinen Außenstellen einen RODC. Zwischengespeichert werden nur Credentails von den Mitarbeitern vor Ort. Die VM ist mit Bitlocker verschlüsselt. Des Weiteren ist die AS als separaten Standort im Active Directory angelegt und somit sauber getrennt. Als Anbindung ist "nur" ADSL 6000 verfügbar. Mehr geht in diesen Provinzen leider nicht. Seit knapp 2 Jahren im Betrieb und keinerlei Beschwerden.


Gruß,
Dani
clSchak
clSchak 12.12.2016 um 08:39:35 Uhr
Goto Top
@Dani

ein Mischung aus beiden, wir haben in Italien sowie in Frankreich "flexibel Bandbreiten mit einer geringen Verfügbarkeit" und da hatten wir mit dem RODC schon einige Probleme. Nachdem wir das geändert haben auf einen regulären DC waren die Probleme behoben (und ja, das mit dem Cachen der Infos/Credentials am RODC war alles aktiv). (seinerzeit alles mit Server 2008R2 - ob das nun besser mit aktuellen Serverversionen funktioniert kann ich nicht sagen)

Über eine DSL6k Leitung würden wir uns z.T. freuen :D - Italien max 2/2 Mbit, Frankreich schafft unglaubliche 5/0,75 Mbit face-smile - klar kann man hier Standleitungen bekommen - für >1.500EUR/Monat.... aber für 3-6 Leute eher kontraproduktiv, vor allem weil die (im Moment) die notwendigen Dienste lokal haben (AD, DFS und WaWi).

Gruß
@clSchak