7
Windows Client an einen bestimmten DC weiterleiten bzw. zwingen
Hallo Leute,
ich prüfe momentan in einer Testumgebung Samba4 und das neue darin enthaltene Active Directory. Ich möchte dabei einen bestimmten Testclient, der momentan wie alle anderen Clients im Hauptnetz arbeitet, so zwingen, dass er sich an dem neuen PDC anmeldet. Hier einige infos:
bisheriger alter Domänencontroller auf Basis Samba3.x:
IP: 172.16.0.1
Domänenname: MYDOMAIN
neuer Domänencontroller mit AD auf Basis Samba4.0.2:
IP: momenta 192.168.0.24 damit es bei Tests zu keinen Störungen kommt. Daher habe ich ein getrenntes Netz gewählt.
Domänenname: MYDOMAIN
Realm: ad.mycompany.de
Testclient:
IP: 172.16.0.123
DNS1: 172.16.0.5
DNS2: 172.16.0.6
zusätzliche IP: 192.168.0.123, damit er auch den neuen Samba4-Server erreichen kann.
Registriert bei MYDOMAIN, ist also Mitglied in dieser Domäne.
Meine Frage: wie bringe ich dem Testclient bei, er soll sich beim Anmelden an Domäne MYDOMAIN nicht an 172.16.0.1 anmelden, sondern an 192.168.0.24 ? nbtstat -c zeigt mir ja deutlich an, dass #01c die IP 172.16.0.1 hat. Ich habe versucht in der LMHOSTS des Testclients Einträge zu setzen, aber so richtig hat das keine Abhilfe gschafft. Dabei hatte ich folgende Einträge in dessen LMHOSTS verwendet:
192.168.0.24 PDC #PRE #DOM:MYDOMAIN
192.168.0.24 "MYDOMAIN,,,,,\0x1b" #PRE
192.168.0.24 "smb4hostname \0x1c" #PRE
Laut dieser Info eines englischen TechSheets, wird jedoch erst per WINS oder broadcast nach dem DC einer Domaene ermittetl.
" Names that appear with the #DOM keyword in the LMHOSTS file are placed in a special domain name list in NetBT. When a datagram is sent to this domain using the DOMAIN<1C> name, the name is resolved first by using WINS or IP broadcasts. The datagram is then sent to all the addresses contained in the list from LMHOSTS, and there is also a broadcast on the local subnet."
deswegen kann wohl auch mein lmhosts nicht funktionieren,oder? kann man da die Abfragereihenfolge evtl. abaendern und festlegen, dass erst LMHOSTS verwendet wird, und dann erst WINS oder broadcast?
oder wuerde es helfen, wenn ich mir eine Desktopfirewall installiere auf dem Windowstestclient, und dann die Verbindung zu 172.16.0.1 komplett sperre?
Hoffe jemand kann helfen, denn so geht es nicht. So ist keine Anmeldung am neuen PDC möglich. Danke im voaus.
ich prüfe momentan in einer Testumgebung Samba4 und das neue darin enthaltene Active Directory. Ich möchte dabei einen bestimmten Testclient, der momentan wie alle anderen Clients im Hauptnetz arbeitet, so zwingen, dass er sich an dem neuen PDC anmeldet. Hier einige infos:
bisheriger alter Domänencontroller auf Basis Samba3.x:
IP: 172.16.0.1
Domänenname: MYDOMAIN
neuer Domänencontroller mit AD auf Basis Samba4.0.2:
IP: momenta 192.168.0.24 damit es bei Tests zu keinen Störungen kommt. Daher habe ich ein getrenntes Netz gewählt.
Domänenname: MYDOMAIN
Realm: ad.mycompany.de
Testclient:
IP: 172.16.0.123
DNS1: 172.16.0.5
DNS2: 172.16.0.6
zusätzliche IP: 192.168.0.123, damit er auch den neuen Samba4-Server erreichen kann.
Registriert bei MYDOMAIN, ist also Mitglied in dieser Domäne.
Meine Frage: wie bringe ich dem Testclient bei, er soll sich beim Anmelden an Domäne MYDOMAIN nicht an 172.16.0.1 anmelden, sondern an 192.168.0.24 ? nbtstat -c zeigt mir ja deutlich an, dass #01c die IP 172.16.0.1 hat. Ich habe versucht in der LMHOSTS des Testclients Einträge zu setzen, aber so richtig hat das keine Abhilfe gschafft. Dabei hatte ich folgende Einträge in dessen LMHOSTS verwendet:
192.168.0.24 PDC #PRE #DOM:MYDOMAIN
192.168.0.24 "MYDOMAIN,,,,,\0x1b" #PRE
192.168.0.24 "smb4hostname \0x1c" #PRE
Laut dieser Info eines englischen TechSheets, wird jedoch erst per WINS oder broadcast nach dem DC einer Domaene ermittetl.
" Names that appear with the #DOM keyword in the LMHOSTS file are placed in a special domain name list in NetBT. When a datagram is sent to this domain using the DOMAIN<1C> name, the name is resolved first by using WINS or IP broadcasts. The datagram is then sent to all the addresses contained in the list from LMHOSTS, and there is also a broadcast on the local subnet."
deswegen kann wohl auch mein lmhosts nicht funktionieren,oder? kann man da die Abfragereihenfolge evtl. abaendern und festlegen, dass erst LMHOSTS verwendet wird, und dann erst WINS oder broadcast?
oder wuerde es helfen, wenn ich mir eine Desktopfirewall installiere auf dem Windowstestclient, und dann die Verbindung zu 172.16.0.1 komplett sperre?
Hoffe jemand kann helfen, denn so geht es nicht. So ist keine Anmeldung am neuen PDC möglich. Danke im voaus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 201371
Url: https://administrator.de/contentid/201371
Ausgedruckt am: 23.11.2024 um 04:11 Uhr
7 Kommentare
Neuester Kommentar
hy
ich würde den dns eintrag 1 auf den neuen server setzen dann versucht er immer den zu erst zu erreichen und wechselt nur wenn dieser nicht erreichbar sein sollte
ich würde den dns eintrag 1 auf den neuen server setzen dann versucht er immer den zu erst zu erreichen und wechselt nur wenn dieser nicht erreichbar sein sollte
Wenn der Client (Windows) in einer Domäne zugeordnet ist, muß er zuerst aus dieser Domäne abgemeldet werden, bevor der Client an einer neuen Domäne aufgenommen werden kann.
Gruss Penny.
Gruss Penny.
@RichterS: nein, das soll natürlich nicht sein. Der DNS-Server bleibt der gleiche, die DNS-Struktur bleibt die gleiche. Der DNS-Server wird auch weiterhin so bestehen. Er schickt alle AD-relevanten Anfragen an den Samba4-Server. Das ist auch nicht mein Problem.
@Penny.Cilin: nein, das soll er nicht. In diesem Fall handelt es sich um einen Migrations-Prozess, der Domänenname ist derselbe, es wird (und soll auch nicht!) ab- und neu angemeldet. Das wird ein lückenloser Ablauf, der Mitarbeiter wird den Switch gar nicht erst mitbekommen.
Es geht in meinem Fall jetzt speziell darum, dass ich diesen Testclient dazu zwinge, einen bestimmten DC anzusprechen. Unabhängig von DNS! Wer weiß mehr dazu?
@Penny.Cilin: nein, das soll er nicht. In diesem Fall handelt es sich um einen Migrations-Prozess, der Domänenname ist derselbe, es wird (und soll auch nicht!) ab- und neu angemeldet. Das wird ein lückenloser Ablauf, der Mitarbeiter wird den Switch gar nicht erst mitbekommen.
Es geht in meinem Fall jetzt speziell darum, dass ich diesen Testclient dazu zwinge, einen bestimmten DC anzusprechen. Unabhängig von DNS! Wer weiß mehr dazu?
Hi,
ich kenne mich nicht wirklich aus, aber wenn du einen neuen DC verwenden wilst, wirst du den nicht so einfach an die Stelle des alten schieben können, weil die ganzen Usergruppen etc. zumindest atm noch fehlen oder ?
Grüße
Exze
ich kenne mich nicht wirklich aus, aber wenn du einen neuen DC verwenden wilst, wirst du den nicht so einfach an die Stelle des alten schieben können, weil die ganzen Usergruppen etc. zumindest atm noch fehlen oder ?
Grüße
Exze
Hallo,
dann kannst Du auch nicht einfach einen Samba 4 Rechner hinstellen, sondern musst eine Migration machen, in dem du den alten clonst und dann den Aleitungen einer Umstellung folgst. Und der Testrechner kann dabei NICHT in beiden Strukturen sein.
Wenn ihr bisher nur eine Workgroup hattet mit Samba 3 als Fileshare ohne richtige Benutzerverwaltung dann muss der Rechner nur Mitglied der Samba4 Domäne werden.
Generell solltest Du dir umbedingt anschauen was ein AD ist.
Gruß
Chonta
nein, das soll er nicht. In diesem Fall handelt es sich um einen Migrations-Prozess
dann kannst Du auch nicht einfach einen Samba 4 Rechner hinstellen, sondern musst eine Migration machen, in dem du den alten clonst und dann den Aleitungen einer Umstellung folgst. Und der Testrechner kann dabei NICHT in beiden Strukturen sein.
Wenn ihr bisher nur eine Workgroup hattet mit Samba 3 als Fileshare ohne richtige Benutzerverwaltung dann muss der Rechner nur Mitglied der Samba4 Domäne werden.
Generell solltest Du dir umbedingt anschauen was ein AD ist.
Gruß
Chonta
@exze: usergruppen und gesamter Inhalt ist auf dem neuen samba4 schon drin. Ich schieb nix mehr hin- und her.
@Chonta: was glaubst du habe ich gemacht? der samba4 beinhaltet ALLE User,Gruppen und winbind-Zuordnungen aus meiner jetzigen Domäne.
Um nicht für Verwirrung zu sorgen: da euch diese samba4 Geschichte irgendwie verwirrt hat, vergesst das mal am besten ganz einfach wieder. Vollkommen irrelevant was hinter einem DC steckt, und obs funktionieren kann oder nicht. Bitte, vergessen wir das einfach, ich formuliere meine Frage neu:
Wie sucht ein Windows-Client nach seiner Domäne? Ich weiss, dass wenn es sich um eine AD-Domäne handelt, der Client beim DNS nach folgenden RR's absucht:
_ldap._tcp.example.com. SRV 0 0 389 dc1.example.com.
_kerberos._tcp.example.com. SRV 0 0 88 dc1.example.com.
_ldap._tcp.dc._msdcs.example.com. SRV 0 0 389 dc1.example.com.
_kerberos._tcp.dc._msdcs.example.com. SRV 0 0 88 dc1.example.com.
Was wenn aber keine AD-Domäne existiert, sondern eine NT4-Style Domain? Wie schaut dann die Abfrage des Windows-Client aus? Macht er WINS-Abfrage, dann LMHOSTS, oder wie genau? Wer kennt sich hier aus und kann mir technische Details liefern?
@Chonta: was glaubst du habe ich gemacht? der samba4 beinhaltet ALLE User,Gruppen und winbind-Zuordnungen aus meiner jetzigen Domäne.
Um nicht für Verwirrung zu sorgen: da euch diese samba4 Geschichte irgendwie verwirrt hat, vergesst das mal am besten ganz einfach wieder. Vollkommen irrelevant was hinter einem DC steckt, und obs funktionieren kann oder nicht. Bitte, vergessen wir das einfach, ich formuliere meine Frage neu:
Wie sucht ein Windows-Client nach seiner Domäne? Ich weiss, dass wenn es sich um eine AD-Domäne handelt, der Client beim DNS nach folgenden RR's absucht:
_ldap._tcp.example.com. SRV 0 0 389 dc1.example.com.
_kerberos._tcp.example.com. SRV 0 0 88 dc1.example.com.
_ldap._tcp.dc._msdcs.example.com. SRV 0 0 389 dc1.example.com.
_kerberos._tcp.dc._msdcs.example.com. SRV 0 0 88 dc1.example.com.
Was wenn aber keine AD-Domäne existiert, sondern eine NT4-Style Domain? Wie schaut dann die Abfrage des Windows-Client aus? Macht er WINS-Abfrage, dann LMHOSTS, oder wie genau? Wer kennt sich hier aus und kann mir technische Details liefern?
Hallo,
ein windowsclient ist in Seiner Domaine z.B. meinedomain.local und der ihm per dhcp gegebene DNS server ist die 192.168.0.1 dann wird er für alles was meinedomain.local betrifft 192.168.0.1 fragen, bis diese IP nicht erreichbat ist und dann ist evtl ein zweiter DNS dran.
Wenn der DNS Server die Domäne meinedomain.local nicht kennt, dann gehen alle Anfragen für den Client ins leere.
Solange dein Testclint Mitgleid in der NT4 Domäne ist, kann er NICHT Mitgleid in der AD-Domäne sein (andersrum das gleiche). Es schließt sich aus!
NT4 Domänenauflösung geht über WINS\Netbiosnamen. NT4 kann auch DNS aber die Domänenstruktur von NT baut darauf nicht auf.
Wenn jetzt deine Samba4 Domäne den gleichen Netbiosnamensraum hat wie deine NT4 und der Testrechner in beiden Netzen ist, ist das für den Client eh ein Problem, wegen überschneidender Namensräume, (die Domaincontroler haben zufällig den selben Namen?...)
Verwende zum testen der AD Umgebung einen Client der nur im AD Netz ist, sonst wird es Probleme geben.
Gruß
Chonta
ein windowsclient ist in Seiner Domaine z.B. meinedomain.local und der ihm per dhcp gegebene DNS server ist die 192.168.0.1 dann wird er für alles was meinedomain.local betrifft 192.168.0.1 fragen, bis diese IP nicht erreichbat ist und dann ist evtl ein zweiter DNS dran.
Wenn der DNS Server die Domäne meinedomain.local nicht kennt, dann gehen alle Anfragen für den Client ins leere.
Solange dein Testclint Mitgleid in der NT4 Domäne ist, kann er NICHT Mitgleid in der AD-Domäne sein (andersrum das gleiche). Es schließt sich aus!
NT4 Domänenauflösung geht über WINS\Netbiosnamen. NT4 kann auch DNS aber die Domänenstruktur von NT baut darauf nicht auf.
Wenn jetzt deine Samba4 Domäne den gleichen Netbiosnamensraum hat wie deine NT4 und der Testrechner in beiden Netzen ist, ist das für den Client eh ein Problem, wegen überschneidender Namensräume, (die Domaincontroler haben zufällig den selben Namen?...)
Verwende zum testen der AD Umgebung einen Client der nur im AD Netz ist, sonst wird es Probleme geben.
Gruß
Chonta
