Wie findet ein Windows(AD)-Client seinen zuständigen Domänencontroller?
Hallo,
ich "optimiere" gerade unser Firewallregelwerk. Dabei ist mir aufgefallen, dass ein Client von Standort A gelegentlich (SMB)-Kontakt zu einem DC an Standort B sucht. Das ist ja eigentlich unnötig. Der Client hat zwei DCs am Standort, allerdings nicht innerhalb seines Subnetztes. Ich werde noch mal überprüfen, ob auf dem Client irgendwelche seltsamen Einstellungen/Anwendungen aktiv sind.
Meiner Meinung nach sollte das doch nur passieren, wenn lokal kein DC erreichbar ist? Ist das tatsächlich so? Weiss jemand, wie der Client seinen zuständigen DC findet? Per DNS erhält er ja bei Abfrage des Domänennamens die Liste der DCs. Probiert der die der Reihe nach durch? Oder nimmt er an, dass der DNS-Server auch DC ist?
Bezüglich der Firewall stellt sich mir die Frage, ob für die Clients ALLE DCs einer Domäne erreichbar sein müssen.
Grüße
lcer
ich "optimiere" gerade unser Firewallregelwerk. Dabei ist mir aufgefallen, dass ein Client von Standort A gelegentlich (SMB)-Kontakt zu einem DC an Standort B sucht. Das ist ja eigentlich unnötig. Der Client hat zwei DCs am Standort, allerdings nicht innerhalb seines Subnetztes. Ich werde noch mal überprüfen, ob auf dem Client irgendwelche seltsamen Einstellungen/Anwendungen aktiv sind.
Meiner Meinung nach sollte das doch nur passieren, wenn lokal kein DC erreichbar ist? Ist das tatsächlich so? Weiss jemand, wie der Client seinen zuständigen DC findet? Per DNS erhält er ja bei Abfrage des Domänennamens die Liste der DCs. Probiert der die der Reihe nach durch? Oder nimmt er an, dass der DNS-Server auch DC ist?
Bezüglich der Firewall stellt sich mir die Frage, ob für die Clients ALLE DCs einer Domäne erreichbar sein müssen.
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7467563550
Url: https://administrator.de/forum/wie-findet-ein-windowsad-client-seinen-zustaendigen-domaenencontroller-7467563550.html
Ausgedruckt am: 25.12.2024 um 15:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
mit deinem Betreff und einer Suchmaschine wie Google findet man als ersten Treffer das hier: https://sid-500.com/2017/01/07/wie-findet-ein-client-einen-domain-contro ...
und als zweites etwas ausführlicher und offizieller: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/h ...
Gruß
mit deinem Betreff und einer Suchmaschine wie Google findet man als ersten Treffer das hier: https://sid-500.com/2017/01/07/wie-findet-ein-client-einen-domain-contro ...
und als zweites etwas ausführlicher und offizieller: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/h ...
Gruß
Okay, ich habe mir das gerade folgende MS Artikel angeschaut.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/ena ...
Demnach ist geht es hier tatsächlich nur darum, den Traffic auf die Sites zu beschränken. Vorher tritt tatsächlich immer das Scenario in Kraft, dass quasi jeder DC erreichbar sein muss.
Edit:
wobei ich mir dann echt die Frage stellen, was mir ein RODC bringen soll wenn die Clients immer alle anderen DCs erreichen müssen. Ich könnte das höchsten aufwendig per FW und APP Rule auf die entsprechenden RPC Ports beschränken.
Dein Scenario wäre ja prädestiniert für ein DMZ Konstrukt mit RODC.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/ena ...
Demnach ist geht es hier tatsächlich nur darum, den Traffic auf die Sites zu beschränken. Vorher tritt tatsächlich immer das Scenario in Kraft, dass quasi jeder DC erreichbar sein muss.
Edit:
wobei ich mir dann echt die Frage stellen, was mir ein RODC bringen soll wenn die Clients immer alle anderen DCs erreichen müssen. Ich könnte das höchsten aufwendig per FW und APP Rule auf die entsprechenden RPC Ports beschränken.
Dein Scenario wäre ja prädestiniert für ein DMZ Konstrukt mit RODC.
Zitat von @Spirit-of-Eli:
Vorher tritt tatsächlich immer das Scenario in Kraft, dass quasi jeder DC erreichbar sein muss.
Vorher tritt tatsächlich immer das Scenario in Kraft, dass quasi jeder DC erreichbar sein muss.
ich habe das eigentlich bisher immer so verstanden, dass schlicht alle abgefragt werden, aber nicht erreichbar sein müssen. "DC" wird halt der DC, der zuerst antwortet...
Zitat von @Kraemer:
ich habe das eigentlich bisher immer so verstanden, dass schlicht alle abgefragt werden, aber nicht erreichbar sein müssen. "DC" wird halt der DC, der zuerst antwortet...
Zitat von @Spirit-of-Eli:
Vorher tritt tatsächlich immer das Scenario in Kraft, dass quasi jeder DC erreichbar sein muss.
Vorher tritt tatsächlich immer das Scenario in Kraft, dass quasi jeder DC erreichbar sein muss.
ich habe das eigentlich bisher immer so verstanden, dass schlicht alle abgefragt werden, aber nicht erreichbar sein müssen. "DC" wird halt der DC, der zuerst antwortet...
Ich eigentlich auch, aber ich finde keinen Beleg dafür. Wie gerade schon erwähnt würde alles andere aber keinen Sinn ergeben und man könnte keine DMZ Auth. mit RODC realisieren.
Zitat von @user217:
Mal blöd gefragt, hat das nicht auch was mit den Einstellungen am Switch/Router zu tun - Kosten/Hops.
Mal blöd gefragt, hat das nicht auch was mit den Einstellungen am Switch/Router zu tun - Kosten/Hops.
Mir wäre nicht mehr bekannt als das die Sites an Hand der IP bzw. Subnetz unterschieden werden. Die Einträge müssen im AD händisch angelegt werden.
@lcer00
Es gibt bei jedem routing Kosten welche für die Strecke/Hops/Metric hinterlegt sind. Wenn diese Kosten für den lokalen DC höher sind als für den zentralen kannst du dir vorstellen was passiert..
https://de.wikipedia.org/wiki/Metrik_(Netzwerk)
Mal blöd gefragt, hat das nicht auch was mit den Einstellungen am Switch/Router zu tun - Kosten/Hops.
was genau - welche Einstellungen - meinst Du?Es gibt bei jedem routing Kosten welche für die Strecke/Hops/Metric hinterlegt sind. Wenn diese Kosten für den lokalen DC höher sind als für den zentralen kannst du dir vorstellen was passiert..
https://de.wikipedia.org/wiki/Metrik_(Netzwerk)