none
Zweiter DC : Rollen-Übertragung? - Druckverwaltung / GPO RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo zusammen,
    nun habe ich einen zweiten DC innerhalb einer Domäne erstellt, bei der Konfiguration DNS und globaler Katalog angehakt. Die Benutzer und OUs sowie die Gruppenrichtlinien kann ich nun auch auf dem zweiten DC sehen. Dieser zweite DC ist virtuell, der erste (Haupt) DC physisch. Ist es nun egal, auf welchem DC ich Gruppenrichtlinien oder Benutzer ändere, da es auf den jeweils anderen übertragen wird oder sollte man Änderungen dennoch nur am physischen DC durchführen?
    Sollten noch bestimmte Rollen (FSMO?) auf den virtuellen übertragen werden? Es geht darum, dass der virtuelle DC im Falle eines Ausfalls des physischen DCs automatisch einspringt.
    Was mir jedoch auffällt: Per GPO werden auch Drucker an die Clients bereitgestellt. In einer GPO lautet der Freigepfad z. B. \\physischer DC\Drucker 1. Das kann im Falle eines Ausfalls natürlich nicht funktionieren. Wie sollte man dies lösen? Kann man auch die Druckverwaltung vom physischen auf den virtuellen DC replizieren?
    Über hilfreiche Antworten würde ich mich freuen!
    Dienstag, 7. Juli 2015 15:23
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden
    > Ist es nun egal, auf welchem DC ich Gruppenrichtlinien oder Benutzer ändere
     
    Du änderst nicht "auf einem DC" sondern "in Active Directory". Also: Ja,
    es ist egal.
     
    > Sollten noch bestimmte Rollen (FSMO?) auf den virtuellen übertragen
    > werden?
     
    Nein.
     
    > bereitgestellt. In einer GPO lautet der Freigepfad z. B. \\physischer
    > DC\Drucker 1. Das kann im Falle eines Ausfalls natürlich nicht
    > funktionieren. *Wie sollte man dies lösen? Kann man auch die
    > Druckverwaltung vom physischen auf den virtuellen DC replizieren?*
     
    Nein. Da hilft nur ein wenig skripten. Mit PrintBRM kannst Du die
    komplette Druckerkonfiguration exportieren und auch importieren. Und Du
    kannst die Zuordnung auch über einen DNS-Alias realisieren. Dann mußt Du
    bei Ausfall nur den Alias ändern und fertig.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 7. Juli 2015 16:19
    |
  • Question
    Anmelden
    2
    Anmelden

    Am 08.07.2015 schrieb HC.Z:

    Vielen Dank für eure Antworten! Wie legt man einen solchen CNAME Printserver an? Gibt es ggf. ein How-To?

    Lies dich hier ein:
    https://technet.microsoft.com/de-de/library/cc772053.aspx

    Ich habe die Druck über die Druckverwaltung bereitgestellt und mittels GPO verteilt. Wäre es nicht auch eine machbare Option, die Drucker ebenso auf dem DC2 in die Druckverwaltung hinzuzufügen und bereitzustellen (aber nicht über GPO verteilen) und im Fall des Ausfalles von DC1 nur die GPO anpassen (also in etwa Freigabepfad \\DC1\Drucker1\ <file://\\DC1\Drucker1\> ersetzen durch \\DC2\Drucker1 <file://\\DC2\Drucker1> ? Manuell eingreifen muss man bei einem DC-Ausfall zumindest was die Druckerbereitstellung angeht sowieso, wenn ich es richtig verstehe!?

    Kannst Du natürlich auch machen.

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Mittwoch, 8. Juli 2015 17:13
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 07.07.2015 schrieb HC.Z:

    nun habe ich einen zweiten DC innerhalb einer Domäne erstellt, bei der Konfiguration DNS und globaler Katalog angehakt. Die Benutzer und OUs sowie die Gruppenrichtlinien kann ich nun auch auf dem zweiten DC sehen. Dieser zweite DC ist virtuell, der erste (Haupt) DC physisch. Ist es nun egal, auf welchem DC ich Gruppenrichtlinien oder Benutzer ändere, da es auf den jeweils anderen übertragen wird oder sollte man Änderungen dennoch nur am physischen DC durchführen?

    Im Prinzip ist es egal, GPOs sollten allerdings auf dem aktuellsten OS
    erstellt/editiert werden. Wenn die Synchronisierung zwischen den DCs
    einwandfrei funktioniert, muss es egal auf welchem DC du neue Objekte
    anlegst.

    Sollten noch bestimmte Rollen (FSMO?) auf den virtuellen übertragen werden?

    Nein, IMHO nicht.

    Es geht darum, dass der virtuelle DC im Falle eines Ausfalls des physischen DCs automatisch einspringt.

    Das tut er im Normalfall.

    Was mir jedoch auffällt: Per GPO werden auch Drucker an die Clients bereitgestellt. In einer GPO lautet der Freigepfad z. B. \\physischer DC\Drucker 1. Das kann im Falle eines Ausfalls natürlich nicht funktionieren.*Wie sollte man dies lösen? Kann man auch die Druckverwaltung vom physischen auf den virtuellen DC replizieren?*

    Das Zauberwort heißt CNAME:
    https://de.wikipedia.org/wiki/CNAME_Resource_Record Leg dir einen
    CNAME *Printserver* in deiner DNS-Zone auf einem DC an, als IP trägst
    Du die vom DC ein. Jetzt kannst Du den DC mittels \\Printserver
    erreichen. Ab sofort können die Benutzer die Drucker auch via
    \\Printserver\Drucker erreichen. Fällt jetzt der eine DC aus, mußt Du
    im DNS des anderen DC nur die IP abändern, schon können die Clients
    die Drucker erreichen, wenn sie auf dem anderen DC angelegt sind.

    Mit Hilfe dieses Tools kannst Du die Drucker regelmässig 'sichern' und
    im Fall des Falles beim anderen DC wieder 'importieren'.
    https://technet.microsoft.com/de-de/library/cc722360.aspx

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 7. Juli 2015 16:35
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden
    > Ist es nun egal, auf welchem DC ich Gruppenrichtlinien oder Benutzer ändere
     
    Du änderst nicht "auf einem DC" sondern "in Active Directory". Also: Ja,
    es ist egal.
     
    > Sollten noch bestimmte Rollen (FSMO?) auf den virtuellen übertragen
    > werden?
     
    Nein.
     
    > bereitgestellt. In einer GPO lautet der Freigepfad z. B. \\physischer
    > DC\Drucker 1. Das kann im Falle eines Ausfalls natürlich nicht
    > funktionieren. *Wie sollte man dies lösen? Kann man auch die
    > Druckverwaltung vom physischen auf den virtuellen DC replizieren?*
     
    Nein. Da hilft nur ein wenig skripten. Mit PrintBRM kannst Du die
    komplette Druckerkonfiguration exportieren und auch importieren. Und Du
    kannst die Zuordnung auch über einen DNS-Alias realisieren. Dann mußt Du
    bei Ausfall nur den Alias ändern und fertig.
     
    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 7. Juli 2015 16:19
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 07.07.2015 schrieb HC.Z:

    nun habe ich einen zweiten DC innerhalb einer Domäne erstellt, bei der Konfiguration DNS und globaler Katalog angehakt. Die Benutzer und OUs sowie die Gruppenrichtlinien kann ich nun auch auf dem zweiten DC sehen. Dieser zweite DC ist virtuell, der erste (Haupt) DC physisch. Ist es nun egal, auf welchem DC ich Gruppenrichtlinien oder Benutzer ändere, da es auf den jeweils anderen übertragen wird oder sollte man Änderungen dennoch nur am physischen DC durchführen?

    Im Prinzip ist es egal, GPOs sollten allerdings auf dem aktuellsten OS
    erstellt/editiert werden. Wenn die Synchronisierung zwischen den DCs
    einwandfrei funktioniert, muss es egal auf welchem DC du neue Objekte
    anlegst.

    Sollten noch bestimmte Rollen (FSMO?) auf den virtuellen übertragen werden?

    Nein, IMHO nicht.

    Es geht darum, dass der virtuelle DC im Falle eines Ausfalls des physischen DCs automatisch einspringt.

    Das tut er im Normalfall.

    Was mir jedoch auffällt: Per GPO werden auch Drucker an die Clients bereitgestellt. In einer GPO lautet der Freigepfad z. B. \\physischer DC\Drucker 1. Das kann im Falle eines Ausfalls natürlich nicht funktionieren.*Wie sollte man dies lösen? Kann man auch die Druckverwaltung vom physischen auf den virtuellen DC replizieren?*

    Das Zauberwort heißt CNAME:
    https://de.wikipedia.org/wiki/CNAME_Resource_Record Leg dir einen
    CNAME *Printserver* in deiner DNS-Zone auf einem DC an, als IP trägst
    Du die vom DC ein. Jetzt kannst Du den DC mittels \\Printserver
    erreichen. Ab sofort können die Benutzer die Drucker auch via
    \\Printserver\Drucker erreichen. Fällt jetzt der eine DC aus, mußt Du
    im DNS des anderen DC nur die IP abändern, schon können die Clients
    die Drucker erreichen, wenn sie auf dem anderen DC angelegt sind.

    Mit Hilfe dieses Tools kannst Du die Drucker regelmässig 'sichern' und
    im Fall des Falles beim anderen DC wieder 'importieren'.
    https://technet.microsoft.com/de-de/library/cc722360.aspx

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 7. Juli 2015 16:35
    |
  • Question
    Anmelden
    1
    Anmelden
    Hallo zusammen,
    nun habe ich einen zweiten DC innerhalb einer Domäne erstellt, bei der Konfiguration DNS und globaler Katalog angehakt. Die Benutzer und OUs sowie die Gruppenrichtlinien kann ich nun auch auf dem zweiten DC sehen. Dieser zweite DC ist virtuell, der erste (Haupt) DC physisch. Ist es nun egal, auf welchem DC ich Gruppenrichtlinien oder Benutzer ändere, da es auf den jeweils anderen übertragen wird oder sollte man Änderungen dennoch nur am physischen DC durchführen?
    Sollten noch bestimmte Rollen (FSMO?) auf den virtuellen übertragen werden? Es geht darum, dass der virtuelle DC im Falle eines Ausfalls des physischen DCs automatisch einspringt.
    Was mir jedoch auffällt: Per GPO werden auch Drucker an die Clients bereitgestellt. In einer GPO lautet der Freigepfad z. B. \\physischer DC\Drucker 1. Das kann im Falle eines Ausfalls natürlich nicht funktionieren. Wie sollte man dies lösen? Kann man auch die Druckverwaltung vom physischen auf den virtuellen DC replizieren?
    Über hilfreiche Antworten würde ich mich freuen!

    Welches Betriebssystem nutzt du für die Domänencontroller?

    FSMO Rollen lasse ich nur auf physische Domänencontroller laufen. Die kannst du natürlich auch untereinander aufteilen. Du hast 5 Rollen, die nicht unbedingt auf einem DC installiert sein müssen.

    Im Problemfall kannst du mit dem ntdsutil die FSMO Rollen, die für die Verwaltung sämtlicher Domänendienste elementar wichtig sind, auf einen anderen DC übertragen.

    Wo du die User anlegst ist erst mal egal, denn die Daten werden repliziert.

    DC sollte DC bleiben! Weitere Services oder Dienste solltest du über einen weiteren Server zur Verfügung stellen.


    • Bearbeitet SADFR Dienstag, 7. Juli 2015 16:42
    Dienstag, 7. Juli 2015 16:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank für eure Antworten! Wie legt man einen solchen CNAME Printserver an? Gibt es ggf. ein How-To?

    Ich habe die Druck über die Druckverwaltung bereitgestellt und mittels GPO verteilt. Wäre es nicht auch eine machbare Option, die Drucker ebenso auf dem DC2 in die Druckverwaltung hinzuzufügen und bereitzustellen (aber nicht über GPO verteilen) und im Fall des Ausfalles von DC1 nur die GPO anpassen (also in etwa Freigabepfad \\DC1\Drucker1\ ersetzen durch \\DC2\Drucker1 ? Manuell eingreifen muss man bei einem DC-Ausfall zumindest was die Druckerbereitstellung angeht sowieso, wenn ich es richtig verstehe!?

    Mittwoch, 8. Juli 2015 12:56
    |
  • Question
    Anmelden
    2
    Anmelden

    Am 08.07.2015 schrieb HC.Z:

    Vielen Dank für eure Antworten! Wie legt man einen solchen CNAME Printserver an? Gibt es ggf. ein How-To?

    Lies dich hier ein:
    https://technet.microsoft.com/de-de/library/cc772053.aspx

    Ich habe die Druck über die Druckverwaltung bereitgestellt und mittels GPO verteilt. Wäre es nicht auch eine machbare Option, die Drucker ebenso auf dem DC2 in die Druckverwaltung hinzuzufügen und bereitzustellen (aber nicht über GPO verteilen) und im Fall des Ausfalles von DC1 nur die GPO anpassen (also in etwa Freigabepfad \\DC1\Drucker1\ <file://\\DC1\Drucker1\> ersetzen durch \\DC2\Drucker1 <file://\\DC2\Drucker1> ? Manuell eingreifen muss man bei einem DC-Ausfall zumindest was die Druckerbereitstellung angeht sowieso, wenn ich es richtig verstehe!?

    Kannst Du natürlich auch machen.

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Mittwoch, 8. Juli 2015 17:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe die Druck über die Druckverwaltung bereitgestellt und mittels GPO verteilt. Wäre es nicht auch eine machbare Option, die Drucker ebenso auf dem DC2 in die Druckverwaltung hinzuzufügen und bereitzustellen (aber nicht über GPO verteilen) und im Fall des Ausfalles von DC1 nur die GPO anpassen (also in etwa Freigabepfad \\DC1\Drucker1\ <file://\\DC1\Drucker1\> ersetzen durch \\DC2\Drucker1 <file://\\DC2\Drucker1> ? Manuell eingreifen muss man bei einem DC-Ausfall zumindest was die Druckerbereitstellung angeht sowieso, wenn ich es richtig verstehe!?

    Kannst Du natürlich auch machen.

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Wirklich? Von wie vielen Clients sprechen wir hier? Er müssten im Fehlerfall an allen Clients ein GPUPDATE durchführen.
    Donnerstag, 9. Juli 2015 07:04
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 09.07.2015 schrieb SADFR:

    Wirklich? Von wie vielen Clients sprechen wir hier? Er müssten im Fehlerfall an allen Clients ein GPUPDATE durchführen.

    Naja, irgendwas muss er immer machen. Wenn der CNAME zu viel ist, er
    dafür lieber die andere Variant machen möchte, weshalb nicht?

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Donnerstag, 9. Juli 2015 07:39
    |
  • Question
    Anmelden
    0
    Anmelden
    Weil der eine Aufwand sehr viel höher ist als der Andere. War ja nur eine Idee. :)
    Donnerstag, 9. Juli 2015 12:06
    |
  • Question
    Anmelden
    0
    Anmelden
    Den Alias (CNAME) habe ich nun in der Forward Lookup Zone erstellt. Dieser ist mit einem DC verknüpft.
    Wie aber kann man nun die bereitgestellten Drucker mit diesem Alias verknüpfen? In der Druckverwaltung und der GPO steht nur DC1 als Server bzw. \\DC1\Drucker in der GPO. Ändern kann man das aber anscheinend weder in der Druckverwaltung noch in der GPO...
    Über eine hilfreiche Antwort würde ich mich freuen!
    Donnerstag, 9. Juli 2015 21:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 09.07.2015 schrieb HC.Z:

    Den Alias (CNAME) habe ich nun in der Forward Lookup Zone erstellt. Dieser ist mit einem DC verknüpft.
    Wie aber kann man nun die bereitgestellten Drucker mit diesem Alias verknüpfen? In der Druckverwaltung und der GPO steht nur DC1 als Server bzw. \\DC1\Drucker in der GPO. Ändern kann man das aber anscheinend weder in der Druckverwaltung noch in der GPO...

    Ruf doch am Client im Explorer den CNAME auf: \\CNAME [ENTER]. Was
    bekommst Du angezeigt?

    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Freitag, 10. Juli 2015 08:07
    |