Forums Neueste Beiträge
 

Anmeldeserver in der Domäne...

06/08/2008 - 07:06 von Harald Haas | Report spam
Hallo zusammen,

schon lànger haben wir uns gefragt, von welchem der in der
Domàne verfügbaren DCs wir die Anmeldeinformationen bei der
Anmeldung beziehen...
über ein zufàllig gefundenes Tool können wir dies nun
auslesen und waren über das Ergebnis erstaunt, da nicht
immer der vermeindlich "kürzeste" Weg zum Ziel genommen
wird.

Ist es möglich, verschiedenen Clients vorzugeben, welcher
Server der "Logon-Server" ist bzw. von welchem Server die
Informationen gelesen werden sollen.

Vielen Dank...

MfG Harald
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
06/08/2008 - 08:30 | Warnen spam
Servus,

Harald Haas wrote:
über ein zufàllig gefundenes Tool können wir dies nun
auslesen und waren über das Ergebnis erstaunt, da nicht
immer der vermeindlich "kürzeste" Weg zum Ziel genommen
wird.



das hàttet ihr auch einfach mit SET herausfinden können.

[Yusuf`s Directory - Blog - Welcher DC ist der Anmeldeserver ?]
http://blog.dikmenoglu.de/PermaLink...c1c3e.aspx


Ist es möglich, verschiedenen Clients vorzugeben, welcher
Server der "Logon-Server" ist bzw. von welchem Server die
Informationen gelesen werden sollen.



Warum willst du das tun? Finde besser die Ursache für dieses Verhalten.
Der Client authentifiziert sich an einem DC nach dem Motto:
Wer zuerst kommt, malt zuerst.

Elementar bei der Auswahl des DCs ist das DNS. Wurden evtl. DCs
im AD an andere Standorte verschoben und anschließend nicht die
Eintràge aus dem DNS entfernt? Kontrolliere das mal.
Dazu sind die SRV-Records aus dem Pfad
_tcp.<Name des Standorts>._sites.dc._msdcs.Domàne.TLD
vom alten Standort zu entfernen.

Denn ein Client versucht sich standardmàßig an einem DC an seinem
Standort zu authentifizieren. Erst wenn er keinen DC an seinem
Standort erreicht, versucht er diesmal einen DC aus der Domàne zu
erreichen. Dieser Vorgang làuft folgendermaßen:

Entscheidend ist das Design im Snap-In "Active Directory-Standorte und -Dienste".
Falls AD-Standorte eingerichtet wurden, darf das erstellen der jeweiligen
Subnetze und das verknüpfen an den entsprechenden Standorten nicht vergessen werden.
Natürlich müssen dann noch die DC-Icons an ihre AD-Standorte, in der MMC
"Active Directory-Standorte und -Dienste" verschoben werden.

Die Vorgehensweise wie ein Client "einen" DC findet, ist wie folgt:

- Der Client fragt im DNS nach, welche DCs es gibt.
- Er erhàlt eine Liste aus der DNS-Antwort und geht diese durch, um einen DC
zu finden der online ist und auch funktioniert. Dabei nimmt er bevorzugt
einen DC aus seinem Standort. Die DNS-Abfrage die der Client in diesem
Moment stellt, wàre: _ldap._tcp.<Standort>._sites.dc._msdcs.<Domàne>.<TLD>.
- Erst wenn der Client bei dieser Anfrage (von einem DC aus seinem Standort)
keine Antwort erhàlt oder er noch keine Standortinformationen hat
(z.B. nach einer Neuinstallation), fragt er nach einem DC diesmal
aus seiner DOMÄNE nach. Die Abfrage lautet:
_ldap._tcp.dc._msdcs.<Domàne>.<TLD>.
Spàtestens bei dieser Abfrage erhàlt der Client einen DC mitgeteilt.


Auf der Gegenseite geht der DC der die Anfrage eines Clients erhàlt wie folgt vor:

- Der Domànencontroller reicht die Clientanfrage an seinen NETLOGON-Prozess durch,
der dann die Client-IP in seiner Subnet to Site Mapping Table nachsieht und
dann das treffende Standort-Objekt heraussucht.

- Der Netlogon-Prozess des DCs übergibt an den DC die folgenden Infos:

1. Den Namen des Standorts, in der sich der befragte Domànencontroller befindet
2. Den Standortnamen, in dem sich der Client befindet
3. Ein Flag das angezeigt wird, wenn sich der angefragte DC im gleichen
Standort befindet (Bit gesetzt) oder ob der DC ausserhalb des Standortes ist (Bit nicht gesetzt).


Diese Informationen werden dann an den Client gesendet, der
sich nun die Informationen nàher anschaut:

- Wenn sich der Domànencontroller an dem gleichen (oder nàchstgelegenen)
Standort befindet (gesetztes Bit), nimmt der Client bevorzugt diesen DC.
- Wenn sich kein DC an dem Standort des Clients befindet, entscheidet das
Design in der MMC "Standorte und Dienste", an welchem DC sich der Client authentifiziert.
Er verwendet der einen Domànencontroller der am nàchsten zu seinem Standort ist.
Dabei ist z.B. die Einstellung der Verbindungskosten entscheidend.
- Nachdem der Client einen Domànencontroller ermittelt hat,
wird dieser Eintrag des DCs zwischengespeichert.
Falls sich der DC nicht an dem Standort des Clients oder an einem optimalen
Standort befinden sollte (Kosten), leert der Client nach 15 Minuten
den Zwischenspeicher und verwirft somit den zwischengespeicherten DC.
Der Client versucht dann einen nàchstgelegenen DC, idealerweise an
seinem eigenen Standort zu finden.


Entscheidend ist auch ob die Client wissen, an welchem AD-Standort
sie sich befinden. Kontrolliere dazu diesen Registry-Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters.
Dort muss der Wert "DynamicSiteName" mit dem Standort,
an dem sich der Client befindet eingetragen sein.

Man könnte in gleichen Registry-Ast den Registry-Key "SiteName" setzen.
Damit gibt man vor an welchem AD-Standort sich der Client befindet
Das ist aber eher ungeschickt, denn wenn ein Client man an einen
anderen Standort verschoben wird, ist er immer noch im glauben,
dass er an einem andere nStandort steht.

Siehe auch:
[Yusuf`s Directory - Blog - Domànencontroller am Standort]
http://blog.dikmenoglu.de/PermaLink...76328.aspx

[Finding a Domain Controller in the Closest Site]
http://www.microsoft.com/technet/pr..._jevl.mspx

Regards from Mainz/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen