Finden von Domänencontrollern in Windows 2000/XP

29/01/2010 - 11:46 von Patrick Cervicek | Report spam
Ich habe eine Verstàndnissfrge zu "Finden von Domànencontrollern in
Windows 2000/XP" [1]

Gegeben sei ein Firmennetz mit internationalen Standorten. Jeder
Standort hat eigene Domaincontroller (auch in AD über "Standorte"
eingetragen)

Normalerweise cacht ein Windows Client in "DynamicSiteName" an welchen
Standort er ist. Was passiert mit einem User der normalerweise mit
seinem Notebook in Deutschland arbeitet in die USA geht?

Der Client wird über seinen lokalen DNS _LDAP._TCP.dc._msdcs.domainname
auflösen lassen um die Default-Domaincontroller zu ermitteln (stehen in
Deutschland). Über einen LDAP-Ping an diese Domaincontroller wird er nun
seinen Standort festestellen wollen

Muss der LDAP-Ping nach Deutschland gehen (WAN,teuer/performance)? Oder
ist dieser LDAP-Ping-Traffic derart gering und daher zu vernachlàssigen?
Würde bei einer Firewall-sperrung zwischen Client <-> Deutschen DCs
Site-Disvoery noch funktionieren? Ich habe "leider" keine Domàne und
kann es nicht ausprobieren. ;-)

[1]: http://support.microsoft.com/kb/247811/EN-US/
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
29/01/2010 - 19:31 | Warnen spam
Salve,

"Patrick Cervicek" schrieb:
Muss der LDAP-Ping nach Deutschland gehen (WAN,teuer/performance)?



nein, muss er nicht. Denn der Client sucht in seiner zweiten Abfrage
einen DC aus der Domàne und nicht gezielt aus seinem ursprünglichen
AD-Standort. Aber auch wenn der Client, der sich am USA AD-Standort
befindet, einen DC aus dem DE AD-Standort erreichen würde, würde der
DE DC dem Client ohnehin anhand seiner IP-Adresse und dem Design in
der MMC "Standorte und -Dienste" den Client seinen neuen AD-Standort
zurückliefern. Diesen tràgt dann der Client in dem Registry-Key
"DynamicSiteName" ein.


Oder ist dieser LDAP-Ping-Traffic derart gering und daher zu vernachlàssigen?



Das auf jedenfall. Ich habe das zwar noch nicht ausgewertet, aber das ist
nicht der Rede Wert. Es wird also dadurch keine Last auf der VPN-Leitung
erzeugt.
Auch die Benutzerauthentisierung über das WAN betràgt i.d.R.
sehr wenige KBs.


Würde bei einer Firewall-sperrung zwischen Client <-> Deutschen DCs
Site-Disvoery noch funktionieren?



Ja, da wie bereits geschrieben der Client in seiner zweiten Abfrage
nach einem DC diesmal in der Domàne sucht und nicht bloß in seinem
AD-Standort. Die Abfrage die der Client dabei stellt ist dieser:
_ldap._tcp.dc._msdcs.<Root-Domàne>.

Siehe dazu:

[LDAP://Yusufs.Directory.Blog/ - Domànencontroller am Standort]
http://blog.dikmenoglu.de/Dom%c3%a4...ndort.aspx


Gruß, Yusuf

##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
Twitter: http://twitter.com/YusufsDSBlog
=

Ähnliche fragen