none
RODC Ports für umkreisnetz bzw. extra für clients zu DC nötig? RRS feed

  • Frage

  • Hallo

    ich habe folgendes Konstrukt

    Standort 1:

    • 2x vollwertige DCs 2008 R2
    • VPN Verbindung zu Standort 2
    • Alles ein netz (nennen wir es mal Netz 1 - 192.168.x.x)

    Standort 2:

    • 2 getrennte Netze(Netz 2 - 192.168.200.x & Netz 3 10.2.200.x)
    • VPN Verbindung zu Standort 1
    • 1 RODC im 192er Netz
    • Clients im 10er Netz
    • Firewall Ports sind geöffnet.
    • DC Diag sieht keine fehler.

    Wenn ich jetzt jedoch einen client aus dem Netz 3 zur Domäne hinzufügen will, bricht mir das ganze mit folgenden Fehler ab

    Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "domäne" verwendet wird, wurde erfolgreich abgeschlossen:
    
    Es handelt sich um die Abfrage des SRV-Eintrags für _ldap._tcp.dc._msdcs.domäne.
    
    Die folgenden Domänencontroller wurden von der Abfrage identifiziert:
    dc2.domäne
    dc.domäne
    
    
    Es konnte jedoch keine Verbindung mit Domänencontrollern hergestellt werden.
    
    Die häufigsten Ursachen dieses Fehlers sind:
    
    - Hosteinträge (A oder AAAA), die die Namen der Domänencontroller deren IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.
    
    - Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt.

    Ich dachte immer die Verbindung am 2. Standort muss vom RODC zu den dortigen Client Netzwerken bestehen und der RODC meldet die Clients dann hier am DC an.

    Sprich nur der RODC benötigt die offenen ports zur Hauptstelle, oder liege ich da falsch?
    Sollten noch weitere infos benötigt werden einfach melden.



    • Bearbeitet Steven86 Dienstag, 9. September 2014 08:14
    Dienstag, 9. September 2014 08:13

Antworten

  • also ich habe es zumindest für das gleiche netz so gelöst

    1. computer im AD registieren
      Hier auf einem richtigen AD folgendes ausführen
      Djoin /provision /domain Kundendomainname /machine rechnername /savefile Textdatei
    2. Dann im AD den RODC auswählen und den neuen computer in die gruppe der "Zulässigen RODC Kennwortreplikationsgruppe" eingetragen
    3. Dort im Menü auf "Erweitert" und dann "Kennwörter auffüllen" wählen und hier auch den neuen Client den wir in punkt 1 erstellt haben hinzufügen.
    4. Dann auf dem Client folgendes ausführen
      Djoin /requestodj /loadfile Textdatei /windowspath c:\Windows /LOCALOS
    5. Restart und in der Domäne anmelden.

    Das ganze geht allerdings noch nicht von meinem Netz3 wo die Clients liegen. Ich vermute hier passen die Firewallregeln von Netz3 zu Netz2 noch nicht.


    • Bearbeitet Steven86 Donnerstag, 11. September 2014 12:34
    • Als Antwort markiert Steven86 Donnerstag, 11. September 2014 12:34
    Donnerstag, 11. September 2014 07:30
  • Problem gelöst

    Es muss erst ein 2. Standort unter Sites und Services erstellt werden

    Dann müssen die Subnetzte eingerichtet werden und den jeweiligen Standorten zugewiesen werden.

    Zuletzt in der Registry unter HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
    Hier eine neue Zeichenfolge mit dem Titel "SiteName" erstellen und als Wert den Namen des Standorts eintragen

    Nach einem neustart des Clients fragt der per CLDAP diretk den RODC und nicht mehr die DCs

    • Als Antwort markiert Steven86 Mittwoch, 24. September 2014 12:16
    Mittwoch, 24. September 2014 12:16

Alle Antworten

  • >   * Alles ein netz (nennen wir es mal Netz 1 - 192.168.x.x)
     
    Netzmaske? /16 oder /24?
     
    > Ich dachte immer die Verbindung am 2. Standort muss vom RODC zu den
    > dortigen Client Netzwerken bestehen und der RODC meldet die Clients dann
    > hier am DC an.
     
    Nein. Der RODC ist KEIN Proxy oder so ähnlich... Und zum Joinen muß
    ohnehin immer ein schreibbarer DC verwendet werden.
     
    > Sprich nur der RODC benötigt die offenen ports zur Hauptstelle, oder
    > liege ich da falsch?
     
    Ja, Du liegts falsch.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 9. September 2014 09:00
  • Netzmaske /23

    ok dann würde es das schon erklären da das client netzwerk keine verbindung zu unserem richtigen DC aufbauen darf. Sprich ich muss dort die ports noch zur hauptstelle zu den richtigen DCs öffnen.

    Hast du einen link welche ports genau? 

    aktuell habe ich vom client netzwerk zu dem RODC netzwerk diese hier offen

     Ports TCP 135, 389, 445, 88, dynamisch UDP 389, 53, 464

    Ich vermute genau dies müssen jetzt vom Client netzwerk zum richtigen DC netzwerk aufgemacht werden.

    Dienstag, 9. September 2014 09:06
  • Hallo,

    sind alle 3 DCs mit allen SRV Einträgen und A und Namensserver Einträgen gelistet?

    Ist der RODC ebenfalls DNS-GK?

    Welche DNS Server nutzen die Rechner im RODC Netz?

    Falls ein neuer Rechner in die Domäne aufgenommen werden soll macht der RODC einen Verweis auf einen RWDC-DNS damit das Objekt erstellt werden kann. Die einfachste Lösung sehe ich im Erstellen des neuen Computer-Objektes in der richtigen OU und nach dem Replizieren an den RODC den neuen Rechner in die Domäne hinzuzufügen.

    Firewall Ports für AD findest Du in http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx

    RODC http://technet.microsoft.com/de-de/library/cc754218(v=ws.10).aspx


    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  


    Dienstag, 9. September 2014 09:15
  • Nachtrag! ich habe einen eintrag gefunden der genau das gleiche hat wie ich.

    ein RODC im anderen standort wo nur der RODC per firewall zugriff auf die DCs hat aber nicht das gesamte netzwerk.

    http://jorgequestforknowledge.wordpress.com/2009/01/01/domain-join-through-an-rodc-instead-of-an-rwdc/

    hi also die client nutzen den RODC DNS als dns server

    dieser hat auch den global catalog.

    Host A Eintrag für diesen ist in der DNS Zone (AD integriert) vorhanden.

    SRV eintrag für den RODC fehlt und kann auch nicht aufgelöst werden.(überprüfung dauert zu lange)

    Aber der SRV eintrag wird für einen RODC doch generell nicht erstellt.(habe eben nochmal in einer testumgebung einen RODC ohne Firewalls dazwischen erstellt und geprüft)


    auch das manuelle erstellen des computerkontos brachte keine abhilfe. der fehler bleibt gleich.

    Auch ein hinzufügen eines clients im selben netz wie der RODC geht nicht. gleicher fehler! ich vermute daher das generell das beitreten eines clients der nur den RODC sehen kann und keine verbindung zum DC hat nicht möglich ist und hier ein offline beitrtitt mittels djoin gemacht werden muss.


    • Bearbeitet Steven86 Dienstag, 9. September 2014 11:58
    Dienstag, 9. September 2014 09:21
  • Moin,

    grundsätzlich musst du wenn du keinen "normalen" DC erreichen kannst, einen Offline Join machen. Mit einem RODC gibts seit Server 2008 diesen Weg (Abschnitt: Vereinfachte Abläufe für Domänenbeitritte über einen RODC).

    VG

    Sebastian

    Mittwoch, 10. September 2014 14:02
  • also ich habe es zumindest für das gleiche netz so gelöst

    1. computer im AD registieren
      Hier auf einem richtigen AD folgendes ausführen
      Djoin /provision /domain Kundendomainname /machine rechnername /savefile Textdatei
    2. Dann im AD den RODC auswählen und den neuen computer in die gruppe der "Zulässigen RODC Kennwortreplikationsgruppe" eingetragen
    3. Dort im Menü auf "Erweitert" und dann "Kennwörter auffüllen" wählen und hier auch den neuen Client den wir in punkt 1 erstellt haben hinzufügen.
    4. Dann auf dem Client folgendes ausführen
      Djoin /requestodj /loadfile Textdatei /windowspath c:\Windows /LOCALOS
    5. Restart und in der Domäne anmelden.

    Das ganze geht allerdings noch nicht von meinem Netz3 wo die Clients liegen. Ich vermute hier passen die Firewallregeln von Netz3 zu Netz2 noch nicht.


    • Bearbeitet Steven86 Donnerstag, 11. September 2014 12:34
    • Als Antwort markiert Steven86 Donnerstag, 11. September 2014 12:34
    Donnerstag, 11. September 2014 07:30
  • > Punkt 2 vermute ich am RODC objekt erweiterte einstellungen, da den
    > neuen pc eintragen und kennwort übermitteln.
     
    Genau, Kennwort muss repliziert sein.
     
    > punkt 3 und 4 kann ich aber nicht nachvollziehen. wie soll das gehen?
     
    Steht weiter unten - djoin.exe /savefile bzw. dann /loadfile.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 12. September 2014 10:12
  • hey martin

    das hat auch super geklappt. auch mit nslookup kann ich meinen rodc und meine DCs vom client netzt auflösen. jedoch bekomme ich beim anmelden immer gesagt das keine Server zum authentifizieren da wären.
    Ebeso werden auf der Firewall die DNS anfragen mit Timeout gelogt, als wäre am RODC der DNS dienst nicht da.

    mit nslookup wird aber der RODC angezeigt und der löst auch meine DNS anfragen auf. was kann das sein? ansonsten sehen wir keinerlei Drops an der Firewall.

    Freitag, 12. September 2014 13:56
  • > meine DCs vom client netzt auflösen. jedoch bekomme ich beim anmelden
    > immer gesagt das keine Server zum authentifizieren da wären.
     
    Repliziert der RODC die Kennwörter? Wenn nein, kann er nicht
    authentifizieren...
     
    > mit nslookup wird aber der RODC angezeigt und der löst auch meine DNS
    > anfragen auf. was kann das sein? ansonsten sehen wir keinerlei Drops an
    > der Firewall.
     
    ipconfig /all vom Client.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 15. September 2014 08:34
  • ja repliziert er. 

    was möchtest du bei ipfonfig sehen?

    die clients sind manuell eingetragen und als 1. DNS wurde der RODC hinterlegt.

    ich habe hier noch einen eintrag gefunden
    http://blogs.technet.com/b/deds/archive/2011/02/08/rodc-in-dmz.aspx

    der Punkt Site Configuration  macht micht stutzig. Könnte das damit zusammen hängen? 

    Montag, 15. September 2014 13:30
  • Also ich habe jetzt nochmal alles analysiert mittels wireshark und da ist etwas merkwürdig

    CLIENT ->RODC DNS 97 Standard query 0xea67  SRV _kerberos._tcp.dc._msdcs.Domäne
    RODC -> CLIENT DNS 200 Standard query response 0xea67  SRV 0 100 88 DC2.DOMÄNE SRV 0 100 88 DC.DOMÄNE

    Und direkt danach versucht er über LDAP Den richtigen DC zu erreichen, was in der Firewall ja nicht erlaubt ist.
    CLIENT -> DC CLDAP 207 searchRequest(6987) "<ROOT>" baseObject 

    ich vermute daher das hier der fehler ist. der Client will eine LDAP Abfrage zum richtigen DC durchfürhen, darf dies ja aber nicht weil es in der Firewall nicht erlaubt ist. Mir geht auch nicht heraus warum der Client die abfrage nicht zum RODC sendet und dieser sich beim DC meldet.



    • Bearbeitet Steven86 Dienstag, 23. September 2014 13:37
    Dienstag, 23. September 2014 12:50
  • Problem gelöst

    Es muss erst ein 2. Standort unter Sites und Services erstellt werden

    Dann müssen die Subnetzte eingerichtet werden und den jeweiligen Standorten zugewiesen werden.

    Zuletzt in der Registry unter HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
    Hier eine neue Zeichenfolge mit dem Titel "SiteName" erstellen und als Wert den Namen des Standorts eintragen

    Nach einem neustart des Clients fragt der per CLDAP diretk den RODC und nicht mehr die DCs

    • Als Antwort markiert Steven86 Mittwoch, 24. September 2014 12:16
    Mittwoch, 24. September 2014 12:16
  • > Es muss erst ein 2. Standort unter Sites und Services erstellt werden
    > Dann müssen die Subnetzte eingerichtet werden und den jeweiligen
    > Standorten zugewiesen werden.
     
    Das muß eigentlich gemacht werden, sobald Standort und IP-Netze bekannt
    sind - die Infrastrukturconfig sollte immer korrekt im AD abgebildet
    sein ;-)
     
    > Zuletzt in der Registry unter
    > /HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
    > /Hier eine neue Zeichenfolge mit dem Titel/ "SiteName" /erstellen und
    > als Wert den Namen des Standorts eintragen
     
    Das sollte Netlogon automatisch erkennen - bin mir da aber nicht mehr
    100% sicher, ob das bei DCs auch so ist. Beim Client auf jeden Fall.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 24. September 2014 14:08