none
Clientzugriff auf SYSVOL und DFS aus einem bestimmten Subnet auf einen Domaincontroller beschränken? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Tag,

     

    folgende Situation:

    - ein zentraler Domaincontroller (zentrale Site) der mit allen Sites kommunizieren kann (über WAN).
    - mehrere Remote-Sites mit Domaincontrollern wobei die Sites unter sich nicht kommunizieren können, d.h. auch Clients im Subnet der Remote-Site mit DC können nur mit ihrem DC und dem zentralen DC kommunizieren. Die Sites sind Netzwerktechnisch untereinander abgeschirmt.
    - einzelne Remote-Sites ohne DC aber einem vorhandenen Memberserver für Daten/Drucker.
    - auf den Servern der einzelnen Sites ist ein DFS-Namespace für Softwareverteilung eingerichtet. D.h. wenn ich auf einem Client in irgendeiner Site die Namespace Adresse eingebe (z.B. \\domainname.loc\swdistribution), lande ich auf der Ordnerfreigabe des Domaincontrollers im gleichen LAN. Der Inhalt der Ordnerfreigabe wird mittels DFS auf alle Sites repliziert.

     

    Auf den Remote-Sites ohne DC haben wir folgendes Problem: das Subnet der Remote-Site zeigt auf die zentrale Site, somit wird das SYSVOL vom zentralen DC angesprochen, das ist OK.

    Allerdings zeigt deshalb auch der DFS-Namespace auf das Freigabeverzeichnis auf dem zentralen DC, welcher per WAN erreicht wird. 
    Für Softwareverteilungen nicht akzeptabel. 

     

    Gibt es eine Möglichkeit dem DFS-Namespace beizubringen, dass er zum Memberserver in der lokalen Site zeigt, bzw. die Clients zu dessen Ordnerfreigabe lenkt?

     

     

    Wir haben versucht für die Sites ohne DC "leere" Sites (also ohne enthaltenen DC) zu erstellen und das Subnet auf diese zu verlinken.
    Daraufhin zeigen die Clients im diesem Subnet beim Öffnen der Namespace Adresse tatsächlich auf den Memberserver in der gleichen Site.

    Soweit so gut. Leider versuchen die Clients daraufhin ein zufälliges SYSVOL Verzeichnis zu erreichen (da in der gelinkten Site kein DC enthalten ist), somit auch DCs in anderen Sites, welche sie nicht erreichen können, ergo kein Zugriff auf Active Directory...

     

    Gibt es hier die Möglichkeit der Active Directory beizubringen, dass Clients für das SYSVOL Verzeichnis entweder den DC in ihrer eigenen Site (falls vorhanden) oder ansonsten nur den zentralen Server kontaktieren?

     

    Vielen Dank,

    mfg

     



    • Bearbeitet RanC1d Dienstag, 8. November 2011 10:54
    Dienstag, 8. November 2011 10:43
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    erstelle für den Standort ohne DC eine eigene Standortverknüpfung zum zentralen Standort. Konfiguriere die Kosten der Standortverknüpfung so, dass diese niedriger sind als die der anderen Standorte. Dadurch trägt sich der DC des zentralen Standortes als verantwortlicher DC für die Zweigstelle ein.

    Das nennt man "Automatic Site Coverage". Du kannst das hier nachlesen.

     

    Viele Grüße

    Frank

    -- Frank Röder blog.iteach-online.de --
    • Als Antwort markiert RanC1d Mittwoch, 9. November 2011 13:44
    Mittwoch, 9. November 2011 10:13
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    > Gibt es hier die Möglichkeit der Active Directory beizubringen, dass
    > Clients für das SYSVOL Verzeichnis entweder den DC in ihrer eigenen Site
    > (falls vorhanden) oder ansonsten *nur* den zentralen Server kontaktieren?
     
    Sysvol wird üblicherweise über den Domänennamen angesprochen, und für
    den sind (in einem AD-integrierten DNS) nur die IPs der Domain
    Controller eingetragen.
     
    Wie greifst Du auf Dein Sysvol zu?
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Dienstag, 8. November 2011 16:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Dein Problem ist, dass der Domänenname auf den DC der entsprechenden Site aufgelöst wird. Bei leeren Sites ist das der zentrale DC un damit auch der zentrale DFS. Der wiederum hat kein Kriterium, anhand dessen er entscheiden könnte, aus welcher Site der Client kommt und auf welchen Member Server er das also umleiten soll. Ich fürchte, du hast ein Deadlock :-(

    Nur so ne Idee am frühen Morgen (und noch ohne Kaffee... :-)

    Die Clients in den "leeren" Sites stehen AD-mäßig in der zentralen Site, weil ohne eigenes Subnetz. Aber sie sind eventuell in einer OU zusammengefasst, auf die eine GPO wirken kann. Und über die könnte man ja versuchen, denen etwas unterzujubeln. Was auch immer. Vielleicht eine eigene, nicht-domänen-basierte Netzwerkadresse, also ein Share der Art \\swdummy.domainname.loc\freigabename, mit all den Nachteilen, die dadurch entstehen...

    ciao, ralf (geh jetzt mal nen Kaffee holen...)

     

     

    Ralf Wigand, MVP Windows Server:Directory Services
    Mittwoch, 9. November 2011 08:07
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    erstelle für den Standort ohne DC eine eigene Standortverknüpfung zum zentralen Standort. Konfiguriere die Kosten der Standortverknüpfung so, dass diese niedriger sind als die der anderen Standorte. Dadurch trägt sich der DC des zentralen Standortes als verantwortlicher DC für die Zweigstelle ein.

    Das nennt man "Automatic Site Coverage". Du kannst das hier nachlesen.

     

    Viele Grüße

    Frank

    -- Frank Röder blog.iteach-online.de --
    • Als Antwort markiert RanC1d Mittwoch, 9. November 2011 13:44
    Mittwoch, 9. November 2011 10:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Frank! Ich glaube, das war nicht das Problem. DIe Clients in der Site verwenden ja schon den zentralen DC.

    ciao, ralf

    Ralf Wigand, MVP Windows Server:Directory Services
    Mittwoch, 9. November 2011 11:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Ralf,

    entweder habe ich ein Brett vor dem Kopf oder ich verstehe den letzten Absatz falsch.

    Ich bin der Meinung, das die Clients an dem Standort ohne DC einen Logonserver willkürlich auswählen. Das liegt meiner Meinung nach daran, dass der OP nur Standortverknüpfungen einsetzt die die gleichen Kosten besitzen. Dadurch tragen sich alle DCs als Logonserver für diesen Standort im DNS ein. Dadurch erfolgt auch die scheinbar zufällige Auswahl des Sysvol Verzeichnisses.

    Viele Grüße

    Frank

     

    -- Frank Röder blog.iteach-online.de --
    Mittwoch, 9. November 2011 12:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Frank,

    vielen Dank für diesen Tip, er hat auf Anhieb funktioniert!

    Der DFS-Namespace für die Softwareverteilung zeigt bei den Clients nun wie gewünscht auf den Memberserver in der gleichen Site und das SYSVOL Verzeichnis zeigt auf den zentralen DC, optimal!

    Die Funktion der Kosten ist mir nun auch um einiges klarer. :)

     

    Danke

    mfg,
    RanC1d 


    • Bearbeitet RanC1d Mittwoch, 9. November 2011 13:55
    Mittwoch, 9. November 2011 13:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    danke für Dein Feedback. Schön das es jetzt wie gewünscht funktioniert.

    Viele Grüße

    Frank

    -- Frank Röder blog.iteach-online.de --
    Mittwoch, 9. November 2011 16:56
    |
  • Question
    Anmelden
    0
    Anmelden

    hm. schön, wenn es funktioniert, aber ich hatte den Satz gelesen:

    Auf den Remote-Sites ohne DC haben wir folgendes Problem: das Subnet der Remote-Site zeigt auf die zentrale Site, somit wird das SYSVOL vom zentralen DC angesprochen, das ist OK.

    war wohl doch zu früh am Morgen...

     

    ciao, ralf

    Ralf Wigand, MVP Windows Server:Directory Services
    Donnerstag, 10. November 2011 09:10
    |