Mehrere Standort & FSMOs

16/10/2007 - 17:10 von Tobias Punke | Report spam
Hallo zusammen,

wir haben in unserem AD zwei Standorte mit je einem Domain Controller, der
DC am ersten Standort hat alle FSMOs inne. Ich habe alle AD-relevaten
Zugriffe unter den DCs selbst freigegeben, am zweiten Standort möchte ich
allerdings lediglich den lokalen DC verwenden, weshalb ich den Datenverkehr
entsprechend eingeschrànkt habe. Allerdings bin ich so nicht in der Lage,
einen Computer in die Domàne aufzunehmen. Erst wenn ich auch den AD-Traffic
zum abndere DC freigebe, haut's hin.

Kann das mit den FSMOs zu tun haben? Muß der Client zum Hinzufügen zur
Domain den PDC oder RID erreichen können?

Vielleicht kann mir jemand bei der Gelegenheit einen Literatur-Tip geben,
denn die meisten im lokalen Buchhandel erhàltlichen Bücher gehen nicht
wirklich tiefgehend auf die Interna des Active Directory ein -> langweilig &
Geldverschwendung.

Viele Dank im voraus & beste Grüße,
Tobias Punke
 

Lesen sie die antworten

#1 Frank Röder [MVP]
16/10/2007 - 19:21 | Warnen spam
Hallo Tobias,

du solltest Dir einmal ganz kurz das Standortkonzept im AD ansehen. Ein
guter Anlaufpunkt wàre hier:

[Replikation: Standorte & Standortverknüpfungsbrücken -
faq-o-matic.net]
http://faq-o-matic.net/blogs/faq-o-...ecken.aspx

Weitere Quelle:

[How Active Directory Replication Topology Works]
http://technet2.microsoft.com/windo...31033.mspx

Als Erstes solltest Du im AD zwei Standorte einrichten. Für jeden
Standort im AD legst Du die entsprechenden Subnetze fest. Dadurch
können die Clients den DC für den jeweiligen Standort finden und sich
auch dort authentifizieren. Als Nàchstes solltest Du auch beide DCs zum
globalen Katalog deklarieren. Dadurch werden auch die GC Abfragen bei
dem lokal vorhandenen DC beantwortet. Der RID wird nicht wirklich in
dem Szenario benötigt. Jeder DC der Domàne holt sich im Standard 500
RIDs die er erstmal aufbrauchen muss (um genau zu sein nach 250
verbrauchten RIDs). Danach fordert er neue an. Solange noch genug RIDs
da sind, wird also der RID Master nicht involviert.

Zum Thema Firewall: Du solltest Dir dort genau überlegen was Du tust.
Du kannst durch diese Experimente die Replikation des ADs erheblich
stören. Die Replikation über Firewalls ist keine triviale Sache wie
dieses Dokument darlegt:

[Active Directory Replication over Firewalls]
http://technet.microsoft.com/en-us/...27063.aspx

Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Ähnliche fragen