winlin
Goto Top

AD Site Configuration über Lokationen

ich habe folgendes Szenario. Wir haben einen Single-Domain Forest und an diesen sind 2 Lokationen angebunden. Im root Forest gibt es zwei DCs und in den anderen beiden Lokationen ebenfalls 2 DCs. Nun gibt es folgendes Problem:

nslookup auf die Domäne zeigt alle DCs an (auch die in den anderen Lokationen). Linux Systeme erhalten per round Robin eben den Server der gerade antwortet und nehmen dann z.b. auch zur Anmeldung einen DC der ausserhalb der eigenen Lokation liegt. Hier schlägt dann die Anmeldung fehl weil die Firewall es nicht erlaubt das ein Client aus lokation01 sich am DC der lokation02 anmeldet. Im AD sind Sites pro lokation angelegt und Windows Systeme verstehen diese - da es bei WIN Systemen keine Probleme gibt, lediglich bei Linux Appliances.

Welche Lösung gibt es hierzu?

Content-Key: 306519

Url: https://administrator.de/contentid/306519

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: 129413
129413 08.06.2016 aktualisiert um 10:31:31 Uhr
Goto Top
Hast du in den DNS-Server-Einstellungen die Option gesetzt: "Netzwerkmaskenanforderung aktivieren" ?, dann sollte der DNS-Server als erste Treffer für die DCs die der aktuellen Site (aktuelles Subnet) ausliefern.
Bestimmt, ob der DNS-Server A-Ressourceneinträge innerhalb desselben Ressourceneintragssatzes in seiner Antwort auf eine Abfrage, die auf der IP-Adresse der Abfragequelle basiert, neu sortiert. 
https://msdn.microsoft.com/de-de/library/cc780279%28v=ws.10%29.aspx

So sollten auch die Linux-System nur die DCs an erster Stelle des nslookups sehen die im aktuellen Subnet liegen. Habe ich hier mal testweise probiert und funktioniert auch wie erwartet.

Gruß skybird
Mitglied: winlin
winlin 12.06.2016 um 12:38:56 Uhr
Goto Top
Hi

Wo stelle ich das genau ein??? Ich möchte das die Linux Rechner den DC nehmen die in der Site config stehen und nicht den DC der in einer anderen Location liegt. Denn auf diese kommen die Rechner ja nicht weil das die Firewall nicht erlaubt....
Mitglied: winlin
winlin 13.06.2016 um 10:30:56 Uhr
Goto Top
Hi Skybird!

Danke dir - genau das scheint wohl das Problem zu sein wie ich ergoogeln konnte.
Wo udn wie stellt man dies im DNS ein???
Mitglied: winlin
winlin 13.06.2016 um 10:34:34 Uhr
Goto Top
Also wenn ich in die DNS Server einstellungen nachschaue dann habe ich folgendes aktiviert:
- Enable netmask ordering
- enable round robin
Mitglied: 129413
129413 13.06.2016 aktualisiert um 10:58:48 Uhr
Goto Top
Zitat von @winlin:

Also wenn ich in die DNS Server einstellungen nachschaue dann habe ich folgendes aktiviert:
- Enable netmask ordering
- enable round robin
Richtig. Damit läuft das hier testweise in einer virtuellen Umgebung einwandfrei. Die DNS Lookups liefern hier auf einem Ubuntu immer nur einen der DCs welcher im selben Subnetz liegt. (Caching natürlich deaktiviert)
Mitglied: winlin
winlin 13.06.2016 um 12:39:18 Uhr
Goto Top
also das war bei uns schon voreingestellt und trotzdem werden auf linux hosts beim nslookup alle DCs angezeigt und duch round robin wird dann irgendein DC angewandt. Wenn dann ein DC genommen wird der ausserhalb des Subnets wird er dann auch durch die Firewall geblockt...
Ich muss sicherstellen das die Linux Hosts den DC aus ihrer Site Configuration nehmen. Bei Windows klappt das bei Linux nicht.
Mitglied: winlin
winlin 13.06.2016 um 12:39:40 Uhr
Goto Top
muss das durch: Dnscmd /Config /LocalNetPriorityNetMask 0x0000FFFF
erzwungen werden?
Mitglied: 129413
129413 13.06.2016 aktualisiert um 12:47:57 Uhr
Goto Top
Hier steht eigentlich alles dazu
http://blogs.msmvps.com/acefekay/2010/05/29/dns-and-subnet-priortizatio ...

If Enable round robin is selected (the default) and the value of LocalNetPriority is 1:
The server rotates among the A resource records that it returns in the order of their similarity to the IP address of the querying client.
If Enable round robin is deselected and the value of LocalNetPriority is 1:
The server returns the records in local net priority order. It does not rotate among available addresses.
If Enable round robin is selected and the value of LocalNetPriority is 0 (the default):
The server rotates among the available records in the order in which the records were added to the database.
If Enable round robin is deselected and the value of LocalNetPriority is 0 (the default):
The server returns the records in the order in which they were added to the database. The server does not attempt to sort them or rotate the records it returns.
Mitglied: winlin
winlin 13.06.2016 aktualisiert um 13:01:56 Uhr
Goto Top
ok dann müsste ich dass nehmen:
If Enable round robin is deselected and the value of LocalNetPriority is 1: 
The server returns the records in local net priority order. It does not rotate among available addresses. 

Wenn ich auf dem DC/DNS Server das eingebe:
dnscmd /info /LocalNetPriority

Wenn ich aber in der regedit schaue dann gibt es HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\LocalNetPriority nicht???

Als Ausgabe des obigen Befehls erhalte ich:
Query result:
Dword:  1 (00000001)

Command completed successfully.

Das heisst die ist bereits auf "1" gesetzt. In diesem Falle müsste ich also nur "round robin" ausschalten????
Würden dann die clients immer den DC/DNS der eigenen Subdomain nehmen und nicht mehr auf andere ausweichen die ausserhalb sind?
Mitglied: 129413
129413 13.06.2016 um 13:55:21 Uhr
Goto Top
Die dnscmd Befehle sind einfach nur das selbe was du in der GUI einträgst ...
Mitglied: winlin
winlin 14.06.2016 um 12:20:51 Uhr
Goto Top
Also in meinem Fall round Robin abschalten , sag mal wieso wird bei mir localnetpriority im regedit nicht angezeigt??? Aber dnscmd /Info localnetpriority liefert succesfull???