none
RODC wird nicht als Logonserver verwendet RRS feed

  • Frage

  • Hallo zusammen,

    unser Unternehmen gliedert sich in Aussenstellen und eine Zentrale.
    Folgerichtig habe ich in einer Aussenstelle einen RODC eingerichtet, in der Zentrale gibt es 3 DCs.
    Alle DCs laufen mit Win Server 2008 R2, alle DCs sind DNS Server.
    Über DHCP wird den Clients die IP Adresse zugewiesen und der lokale Server als DNS-Server.
    In den Eigenschaften des RODC habe ich unter "Kennwortreplikationsrichtlinie" 2 AD-Gruppen eingetragen:
    - PC in Aussenstelle (zulassen)
    - User in Aussenstelle (zulassen)

    Jetzt würde ich erwarten, dass ein User in der Aussenstelle als Logonserver den lokalen RODC bekommt.
    Das ist aber offenbar nicht so. (Dos-Box, set - Logonserver)

    Weiterhin habe ich Fehlermeldungen (Session Setup from computer XXX failed to authenticate),
    dass sich PCs in der Aussenstelle nicht authentifizieren können, obwohl sie definitiv in der o.g. Gruppe sind.

    DCdiag auf dem RODC zeigt keine Fehler.
    Keine Aufffälligkeiten im Eventlog.

    Was habe ich falsch gemacht?

    Mit freundlichem Gruss,
    Horst Wirth

    Dienstag, 10. Juli 2012 12:50

Antworten

  • Aus den FAQs zu RODCs:

    Warum enthält %logonserver% den Namen eines Domänencontrollers an meinem Hubstandort anstatt den RODC an meinem Standort?

    Wenn das Kennwort Ihres Benutzerkontos nicht auf den RODC an Ihrem Standort repliziert werden kann oder der RODC zurzeit nicht über Ihr Kennwort verfügt, wird die Kerberos-Authentifizierungsserveranforderung (AS_REQ) an einen Hubdomänencontroller weitergeleitet, der Ihr TGT (Ticket-Granting Ticket) bereitstellt.

    Der Vorgang, der die Umgebungsvariablen aktualisiert, verwendet den Hubdomänencontroller als Anmeldeserver für die Umgebungsvariable. Die Umgebungsvariable %logonserver% wird für die Dauer dieser Anmeldesitzung nicht aktualisiert, obwohl der Benutzer gezwungen wird, sich erneut beim RODC zu authentifizieren.

    Source: http://technet.microsoft.com/de-de/library/cc754956(v=ws.10)

    Deswegen überprüfe einmal:

    1. ob wirklich das jeweilige Passwort des betroffenen Accounts auf dem RODC vom Hub-RWDC schon repliziert wurde ("check msDS-RevealedList and msDS-AuthenticatedToAccountList" via "Repadmin /prp view <RODC> {<List_Name >|<User>}"), und wenn nein, warum nicht (z.B. Event 1699 auf dem Hub-DC oder "Deny beats Allow")
    2. was ein "Repadmin /rodcpwdrepl <RODC> <Hub-RWDC> <Computer1 Distinguished name>" ergibt
    3. wie die Anmelde-Kommunikation - aufgezeichnet durch einen zugehörigen Netzwerk-Trace (vgl. dazu http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx) - wirklich stattfindet

    -
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 11. Juli 2012 11:46

Alle Antworten

  • Hallo Horst,

    die RODCs sind auch GC?

    Viele Grüße

    Frank


    -- Frank Röder http://blog.iteach-online.de --

    Dienstag, 10. Juli 2012 12:54
  • Hi Frank,

    ja, alle DCs sind GCs.
    Die DNS-Einträge der Server stimmen m.E.,
    die Replikation der DCs untereinander funktioniert,
    DCdiag auf allen Servern ohne Fehler.

    CU
    Horst

    Dienstag, 10. Juli 2012 12:58
  • Hallo Horst_Wirth,
     
    Wie habt Ihr den AD Standorte und Dienste konfiguriert, passend zu den örtlichen
    Aufteilungen? Also jeder Standort sein Subnetz mit seinen DCs?
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Dienstag, 10. Juli 2012 15:27
  • Am 10.07.2012 schrieb Horst_Wirth:

    unser Unternehmen gliedert sich in Aussenstellen und eine Zentrale.
    Folgerichtig habe ich in einer Aussenstelle einen RODC eingerichtet, in der Zentrale gibt es 3 DCs.
    Alle DCs laufen mit Win Server 2008 R2, alle DCs sind DNS Server.
    Über DHCP wird den Clients die IP Adresse zugewiesen und der lokale Server als DNS-Server.

    Hast Du an einem Client das ipconfig /all überprüft?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 10. Juli 2012 16:30
  • Hallo Meinolf,

    jede Aussenstelle ist ein Subnetz und in "Standorte und Dienste" als Site eingetragen.
    Der RODC-Server taucht auch in der richtigen Site auf, die 3 anderen DCs in der Site der Zentrale.

    Auffällig ist vielleicht, dass für jeden normalen DC je 2 Verbindungsobjekte existieren,
    die jeweils auf die 2 anderen DCs zeigen. Es gibt kein Verbindungsobjekt zu dem RODC.
    Ist das normal?

    Beim RODC findet sich in Sites and Services unter NTDS Settings nur 1 Verbindungsobjekt: RODC Connection (FRS)
    zu einem der 3 normalen DCs in der Zentrale. Ist das normal?

    Mit freundlichem Gruss,
    Horst

    Mittwoch, 11. Juli 2012 07:20
  • Hallo Winfried,

    ja, in ipconfig sieht man, dass der lokale RODC der 1. DNS-Server ist (wird per DHCP so gesetzt).
    In einer Dos-Box sieht man via SET aber, dass der Logonserver ein DC in der Zentrale ist.

    Aufgefallen ist das Ganze, seit wir letzte Woche den MS System Center Operation Manager 2012 installiert haben.
    Hier sieht man jetzt dauernd Fehlermeldungen wie diese:

    Alert: The AD Machine Account Authentication Failures Report has data available
    Source: WIL1SRV1
    Path: WIL1SRV1.ESG-GMBH.DE
    Last modified by: System
    Last modified time: 10.07.2012 08:28:36
    Alert description: Die Sitzungseinrichtung von Computer R3418 konnte nicht authentifiziert werden.

    Der R3418 ist aber definitiv Mitglieder der Globalen Gruppe "PC in WIL1",
    die mit "Zulassen" in der Kennwortreplikationsrichtlinie des RODC steht.

    Ab jetzt verstehe ich es nicht mehr ... ;-) 

    Mit freundlichem Gruss,
    Horst

     
    Mittwoch, 11. Juli 2012 07:36
  • Aus den FAQs zu RODCs:

    Warum enthält %logonserver% den Namen eines Domänencontrollers an meinem Hubstandort anstatt den RODC an meinem Standort?

    Wenn das Kennwort Ihres Benutzerkontos nicht auf den RODC an Ihrem Standort repliziert werden kann oder der RODC zurzeit nicht über Ihr Kennwort verfügt, wird die Kerberos-Authentifizierungsserveranforderung (AS_REQ) an einen Hubdomänencontroller weitergeleitet, der Ihr TGT (Ticket-Granting Ticket) bereitstellt.

    Der Vorgang, der die Umgebungsvariablen aktualisiert, verwendet den Hubdomänencontroller als Anmeldeserver für die Umgebungsvariable. Die Umgebungsvariable %logonserver% wird für die Dauer dieser Anmeldesitzung nicht aktualisiert, obwohl der Benutzer gezwungen wird, sich erneut beim RODC zu authentifizieren.

    Source: http://technet.microsoft.com/de-de/library/cc754956(v=ws.10)

    Deswegen überprüfe einmal:

    1. ob wirklich das jeweilige Passwort des betroffenen Accounts auf dem RODC vom Hub-RWDC schon repliziert wurde ("check msDS-RevealedList and msDS-AuthenticatedToAccountList" via "Repadmin /prp view <RODC> {<List_Name >|<User>}"), und wenn nein, warum nicht (z.B. Event 1699 auf dem Hub-DC oder "Deny beats Allow")
    2. was ein "Repadmin /rodcpwdrepl <RODC> <Hub-RWDC> <Computer1 Distinguished name>" ergibt
    3. wie die Anmelde-Kommunikation - aufgezeichnet durch einen zugehörigen Netzwerk-Trace (vgl. dazu http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx) - wirklich stattfindet

    -
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 11. Juli 2012 11:46
  • Hallo Tobias,

    wow, hast Du ein Detailwissen zu dieser sehr speziellen Fragestellung ..! Respekt und Danke für Deine Hilfe.

    zu 1.
    Der Befehl listet brav alle User und Pc auf, die ich in meinen beiden Zugriffsgruppen eingetragen habe,
    es wird auch der PC gelistet, der heute morgen wieder eine Fehlermeldung "Session setup failed ..." produziert hat.
    Wenn die Liste bedeutet, das sind die AD-Objekte, deren Passwörter repliziert wurden, dann stimmt das schon mal.

    repadmin /prp view SERVERNAME allow listet genau meine Gruppen auf,
    repadmin /prp view SERVERNAME deny listet die verweigerten Gruppen auf.

    zu 2.
    Der o.a. Befehl wird erfolgreich ausgeführt, d.h. "Die geheimen Schlüssel für ... wurden vom vollständigen DC erfolgreich
    auf den schreibgeschützten DC repliziert". Das scheint also zu funktionieren.

    zu 3.
    Dafür brauch ich länger. Sorry.

    Mit freudlichem Gruss,
    Horst Wirth

    Mittwoch, 11. Juli 2012 13:11
  • Hallo Tobias,

    beim Lesen des Blogs "Understanding RODC authentication" entstand bei mir die Frage,
    muss man in der Kennwortreplikationsrichtline des RODC die beiden vorgegebenen Gruppen
    (Abgelehnte .. und Zulässige RODC-Kennwortrepl.gruppe) verwenden oder
    kann man eigene Gruppen verwenden (das habe ich getan)?

    MfG
    Horst Wirth

    Mittwoch, 11. Juli 2012 14:00
  • Hallo Raul,

    ja, die Problematik ist durchaus noch aktuell,
    bin für jede Hilfe und Idee dankbar.

    Gruss,
    Horst

    Montag, 16. Juli 2012 10:27
  • Was wurde aus dem Network-Trace?

    [..]
    Deswegen überprüfe einmal:

    [..]
    3. wie die Anmelde-Kommunikation - aufgezeichnet durch einen zugehörigen Netzwerk-Trace (vgl. dazu http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx) - wirklich stattfindet
    [..]

    -
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Montag, 16. Juli 2012 18:42
  • Hallo Tobias,

    den Trace haben wir ausgewertet. Ergebnis:
    1. Kommunikation mit den DCs in der Zentrale ist nicht festzustellen,
    d.h. die lokale Kommunikation mit dem RODC scheint zu funktionieren.

    2. Fehlermeldungen bzgl. NB und DNS
    Da scheinen wir ein hausgemachtes Problem zu haben,
    das hier zu beschreiben den Rahmen sprengen würde.

    Ich denke, wir können den Case an dieser Stelle schließen.
    Vielen Dank an alle für die Hilfe.
    Mit freundlichem Gruss,

    Horst Wirth

    Mittwoch, 18. Juli 2012 07:15