none
Standort Isolieren mit RODC RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich habe einen Standort aufgebaut, bei dem die Anforderung ist, das sich die Clients NUR an diesem Standort  anmelden. Dazu wurde ein RODC aufgebaut und die Benutzer/Computer ind die AllowPassword Gruppe aufgenommen. Die Kennwörter sind auch alle an den Standort repliziert worden.

    Die Clients sind IP-Technisch so eingestellt, das sie nur den RODC als DNS-Server verwenden. Das gleiche gilt für WINS.

    Aus meiner Sicht gibt es also für einen Client keinen Grund mehr, im AD-Bereich mit dem Hauptstandort zu kommunizieren.

    Wir sehen aber im Firewalllog zwischen den Standorten das dort Kommunikation stattfindet und die Anmeldung dadurch auch entsprechend länger dauert. Wenn ich dem Client das Gateway klaue, kann er nur mit dem RODC kommunizieren. In dem Fall geht die Anmeldung auch so schnell, wie es sein sollte. Kaum hat der Client wieder das Gateway, zieht er einen DC aus der Zentrale vor.

    Ein Blick in die _MSDCS-Zone zeigt, das für diesen Standort der RODC und alle DCs der Zentrale eingetragen sind. Ich habe dann dort alle DCs außer den RODC entfernt. Diese sind aber dann durch den KCC wieder eingetragen worden.

    Die Standortkonfiguration ist sauber. Das entsprechende Subnetz ist dem Standort zugeordnet und hat nur den RODC als DC. Ich habe jetzt für diesen Standort in der _MSDCS-Zone die Gewichtung für den RODC erhöht. Das Ergebnis krieege ich noch.

    Jetzt die Frage ?

    Warum will Active Directory an einem RODC-Standort immer gleich die restlichen DCs des nächsten Standortes mit eintragen ? Wie kann ich das Verhalten ändern ?

     

    Viele Grüße Carsten
    Freitag, 3. Dezember 2010 11:50
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Servus,

    wie sieht denn die Umgebung aus?
    Existieren in der Zentrale auch Windows Server 2003 DCs? Falls ja, ist dort das Kompatibilitätspack für den RODC installiert?

    [LDAP://Yusufs.Directory.Blog/ - RODC Compatibility Pack]
    http://blog.dikmenoglu.de/RODC+Compatibility+Pack.aspx

    Laufen auf den Clients evtl. eine AD abhängige Applikation?

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    • Als Antwort markiert Wolverine74 Freitag, 3. Dezember 2010 13:17
    Freitag, 3. Dezember 2010 12:59
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    es ist eine Umgebung mit 5 Domänen und es gibt auch noch DCs unter Server 2003 ... auch in der gleichen Domäne. Dann schaue ich mir das mal an. Danke schon mal.

    Viele Grüße Carsten
    Freitag, 3. Dezember 2010 13:02
    |
  • Question
    Anmelden
    0
    Anmelden

    > es ist eine Umgebung mit 5 Domänen und es gibt auch noch DCs unter Server 2003 ... auch in der gleichen Domäne

    Dann wird das der Grund für das Verhalten sein.
    Denn Windows Server 2003 DCs ohne das Kompatibilitätspack erkennen keine RODCs und decken per "AutoSiteCoverage" die Aussenstandorte mit ab.

    [Domain Controllers Running Windows Server 2003 Perform Automatic Site Coverage for Sites with RODCs]
    http://technet.microsoft.com/en-us/library/cc732322(WS.10).aspx

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    • Als Antwort markiert Wolverine74 Freitag, 3. Dezember 2010 13:17
    Freitag, 3. Dezember 2010 13:08
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ich habe es noch nicht getestet, aber es wird genau das Verhalten beschrieben, mit dem ich kämpfe. Ich gehe davon aus: Das ist die richtige Lösung ;)

    Viele Grüße Carsten
    Freitag, 3. Dezember 2010 13:17
    |