Client Authentifizierung soll zwingend am DC der eigenen Site erfo

14/11/2007 - 09:27 von Patrick | Report spam
Hallo zusammen,

ich bin momentan in einem großen Rollout / Migration in einer großen WAN
Struktur unterwegs. Zurzeit werden unter anderem DCs ausgerollt. Es
existieren 3 zentrale DCs in einem Rechenzentrum. Diese halten alle FSMO
Rollen, 2 davon sind globale Katalogserver und 2 DNS Server (ADintegrierte
Zone) und bilden eine eigene Site. Diese Site bildet den Mittelpunkt einer
sternförmigen AD Replikationsstruktur. Mittlerweile existieren etwa 30 Sites.
Jede Site hat einen DC der gleichzeitig globaler Katalogserver ist und DNS
Server (ADintegriert). Jede dieser Sites repliziert mit den DCs der Site im
Rechenzentrum. Es existiert also jeweils in Sitelink zum Rechenzentrum mit
Intervall 15 Minuten und den Defaultkosten 100. Die Niederlassung mit DC ist
über WAN angebunden und stellt eine Hauptfiliale dar. Jede Hauptfiliale hat
etwa 15-30 Nebenfilialen. Alle sind ebenfalls über WAN angebunden und haben
logischerweise jeweils ein eigenes Subnetz. Alle Subnetze sind im AD gepflegt
und der Site der Hauptfiliale zugewiesen. Es soll der Anmeldetraffic über WAN
möglichst gering gehalten werden um Bandbreite zu schonen. Im Betrieb fàllt
nun auf dass die Anmeldung der XP Clients der Hauptfiliale sehr zuverlàssig
am DC im LAN erfolgt. Die Nebenfilialen die über WAN angebunden sind melden
sich nur zu etwa 80-85% (geschàtzt) am DC der Site an. Liegt dass am
Antwortzeitverhalten der DCs? Meistens melden sich die 15% der restlichen
Clients an einem zentralen DC der Site im Rechenzentrum an oder auch
vereinzelt am DC einer komplett anderen Site. Ich dachte die Zuweisung der
Subnetze im AD zur Site zwingt den Client zur Authentifizierung an dieser
Site (wenn DC verfügbar).
Gibt es eine Möglichkeit diese Anmeldezuverlàssigkeit am DC der Site zu
steigern – wenn möglich ohne hohen Aufwand? Pflege einer Site pro Subnetz
wàre zu aufwendig. Gibt es Möglichkeiten dies per DNS, Policy, AD, Regkey am
Client, DHCP etc. zu optimieren. Für Hinweise wàre ich dankbar.
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
14/11/2007 - 10:29 | Warnen spam
Servus,

"Patrick" wrote:
Es
existieren 3 zentrale DCs in einem Rechenzentrum. Diese halten alle FSMO
Rollen, 2 davon sind globale Katalogserver und 2 DNS Server (ADintegrierte
Zone) und bilden eine eigene Site.



es handelt sich also um einen Single-Domànen Forest.
Wenn es doch mehrere Domànen in der Gesamtstruktur sein sollten,
musst du darauf achten, dass die Rolle des Infrastrukturmasters nicht auf
einem DC, auf dem der GC aktiviert ist liegt. Es muß also jeder DC
_einer_Domàne_ auch GC sein, wenn der Infrastrukturmaster dieser Domàne auf
einem GC liegt.

[Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/PermaLink...d298d.aspx

Abgesehen davon würde ich das DNS auf allen DCs installieren, sofern nichts
dagegenspricht.


Diese Site bildet den Mittelpunkt einer sternförmigen AD Replikationsstruktur.



OK, es besteht also eine Hub-and-Spoke Topologie.


Ich dachte die Zuweisung der
Subnetze im AD zur Site zwingt den Client zur Authentifizierung an dieser
Site (wenn DC verfügbar).



Du hast also für jeden physikalischen Standort auch ein AD-Standort
eingerichtet und das jeweilige Subnetz mit dem AD-Standort verknüpft?

Denn wie so oft, spielt auch dabei die DNS-Namensauflösung eine große Rolle.
Die Voraussetzungen damit ein Client einen lokalen DC nutzt sind folgende:

- Im Snap-In "Active Directory-Standorte und -Dienste" müssen entsprechende
Standorte erstellt sein
- Diesen Standorten muss das entsprechende IP-Subnetz bzw. Subnetze
zugeordnet sein
- Die Server-Icons der jeweiligen Domànencontroller müssen sich in ihrem
Active Directory Standort befinden. Falls es nicht der Fall ist, müssen diese
dort an ihren richtigen Standort verschoben werden

Falls der Client noch keine Standortinformationen hat, erhàlt er bei dem
ersten Kontakt mit einem Domànencontroller von diesem die richtigen
Informationen übermittelt zu welchem Standort der Client gehört.

Wenn ein Client dann erneut startet, versucht er über das DNS immer zuerst
einen DC zu finden, der sich an seinem Standort befindet.

Die DNS-Abfrage die der Client in diesem Moment stellt, wàre:
_ldap._tcp.<Standort>._sites.dc._msdcs.<Domàne>.<TLD>.


Wenn der Client auf diese Abfrage keine Antwort von einem Domànencontroller
aus seinem Standort erhàlt (wenn z.B. kein Domànencontroller an seinem
Standort existiert), versucht er mit einer zweiten Abfrage - in der er nicht
nach einem Domànencontroller an seinem Standort, sondern diesmal in seiner
Domàne sucht -
seine Informationen zu erhalten. Die Abfrage wàre folgende:
_ldap._tcp.dc._msdcs.<Domàne>.<TLD>.

[Yusuf`s Directory - Blog - Domànencontroller am Standort]
http://blog.dikmenoglu.de/PermaLink...76328.aspx


Wenn das bei euch schon alles so eingerichtet ist, würde ich mit einem
Netzwerk-Sniffer den Traffic genauer untersuchen und auch mal kontrollieren,
ob sich die DCs korrekt im DNS eingetragen haben.

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Windows Server
Blog: http://blog.dikmenoglu.de

Ähnliche fragen