ralpht
Goto Top

Client in die Domäne einbinden - Allgemeine Frage dazu

Moin,

ich habe 2 DCs in einer Hauptstelle und 2 DCs in einer Nebenstelle.

Ich bringe in der Hauptstelle einen Client in die Domäne. Jetzt ist es schon manchmal vorgekommen, dass der Client zuerst auf der Seite der Nebenstelle landet. Ich hatte mich schon manchmal gewundert, dass der neue Client angeblich nicht in der Domäne war.

Nach welcher Reihenfolge werden denn die DCs ausgewählt?

Fragt der der Client das in etwa so ab:

_ldap._tcp.dc._msdcs.firma.de

oder nimmt er den ersten DNS-Server? Oder anders?

An beiden Standorten sind die Sites mit den Subnetzen gepflegt.

Content-Key: 398541

Url: https://administrator.de/contentid/398541

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: itisnapanto
itisnapanto 17.01.2019 um 14:08:13 Uhr
Goto Top
Moin ,

kannst du deine IP Konfiguration . Gerade das DNS besser beschreiben ?
Kannst ja Beispieladressen nehmen und nicht die Originalen .

Wie ist der Sync der Standorte eingestellt ?

Gruss
Mitglied: RalphT
RalphT 17.01.2019 um 14:23:22 Uhr
Goto Top
Daran soll es nicht scheitern!

Die Clients bekommen ihre Adressen vom DHCP-Server.
Das hängt immer davon ab, welcher DHCP-Server welchen Client bedient.
DC-1 und DC-2 in der Haupstelle. DC-3 und DC-4 in der Nebenstelle.

IP-Adressen vom
DC-1: 192.168.0.3
DC-2: 192.168.0.4
DC-3: 192.168.10.12
DC-4: 192.168.10.13

Ist am Client der DHCP vom DC-1, dann ist die Ausgabe am Client wie folgt:

IP-Adresse: 192.168.0.101
DHCP-Server: 192.168.0.3
DNS-1: 192.168.0.3
DNS-2: 192.168.0.4

Ist am Client der DHCP vom DC-1, dann ist die Ausgabe am Client wie folgt:

IP-Adresse: 192.168.0.151
DHCP-Server: 192.168.0.4
DNS-1: 192.168.0.4
DNS-2: 192.168.0.3

In der Gegenstelle ist das analog so. Eben nur ein anderes SUB-Netz.

Wie ist der Sync der Standorte eingestellt ?
Wie meinst du das genau?

Unter standorte und Dienst habe ich dazu nichts verändert. Die NTDS-Settings habe ich auf automatisch einstellen gelassen. Also replizierung alle 15 min.
Oder wolltest du dazu etwas anderes wissen?
Mitglied: NGonTheGo
NGonTheGo 17.01.2019 um 15:13:19 Uhr
Goto Top
Ahoj,

wie schaust du nach das das der Client am DC in der Nebenstelle landet? Über die PS oder Active-Directory-Benutzer und -Computer?

Gruß
Mitglied: RalphT
RalphT 17.01.2019 um 15:16:27 Uhr
Goto Top
Über Teamviewer auf der Gegenseite auf einem der Server. Dort mach ich dann dsa.msc auf.
Mitglied: NGonTheGo
NGonTheGo 17.01.2019 um 15:23:28 Uhr
Goto Top
Dann vermute ich das du auf deinem DC auch über die GUI gehst, richtig?

Auch wenn es jetzt vielleicht doof klingt, aber hast du wenn du an deinem HQ aufm DC schaust und einen Rechner in die Domäne bringst die anzeige aktualisiert? :D

Gruß
Mitglied: erikro
erikro 17.01.2019 um 15:33:00 Uhr
Goto Top
Moin,

Zitat von @RalphT:

Moin,

ich habe 2 DCs in einer Hauptstelle und 2 DCs in einer Nebenstelle.

Ich bringe in der Hauptstelle einen Client in die Domäne.

Ich vermute, dass Du die Clients einbindeste ohne es vorher im AD vorzubereiten. Richtig?

Nach welcher Reihenfolge werden denn die DCs ausgewählt?

Sehr hübsch ist das hier erklärt (ab ca. 4:30 geht es von vorne los und es kommt nichts Neues).
https://www.youtube.com/watch?v=YFs41KI2V44

hth

Erik
Mitglied: RalphT
RalphT 17.01.2019 um 15:36:51 Uhr
Goto Top
Nee alles gut.

Meine Vorgehensweise ist immer wie folgt:

Im HQ habe ich das Tool auf. Nachdem der Client einen Neustart haben möchte, klicke ich im Tool auf aktualiseren. Wenn er denn im HQ landet, dann ist der Client auch binnen weniger Sekunden dort zu sehen.

Kommt nichts, dann gehe ich per Teamviewer auf den DC der Nebenstelle und dort das gleiche Spiel. Der Client ist dort zusehen.

Natürlich kann es dann bis zu 15 min. dauern, bis dieser dann auch im HQ zu sehen ist.
Mitglied: NGonTheGo
NGonTheGo 17.01.2019 aktualisiert um 15:45:45 Uhr
Goto Top
Okay dann vielleicht mal nach der Gewichtung im DNS schauen.

Hier die MS-Erklärung.

"To receive information from the domain, a client uses DNS to locate a domain controller and then sends the request to that domain controller. By default, DNS performs rudimentary load balancing and randomizes the distribution of client requests so they are not always sent to the same domain controller. If too many client requests are sent to a domain controller while it attempts to perform other duties, such as those of the PDC emulator, it can become overloaded, which has a negative impact on performance. To reduce the number of client requests that are processed by the PDC emulator, you can adjust its weight or its priority in the DNS environment."

Gruß
Mitglied: RalphT
RalphT 17.01.2019 um 15:40:07 Uhr
Goto Top
Ich vermute, dass Du die Clients einbindeste ohne es vorher im AD vorzubereiten. Richtig?

Ich gehe mal fast davon aus. Was heißt bei dir AD vorbereiten?

Das Video gucke ich mir etwas später an, wenn ich dazu mehr Ruhe habe.
Mitglied: erikro
erikro 17.01.2019 um 15:42:15 Uhr
Goto Top
Moin,

bessere Vorgehensweise:

1. Im AD den Computer in der richtigen OU und mit dem richtigen Standort anlegen. Dann kann man sogar festlegen, dass ein bestimmter User oder eine Gruppe den Computer in den Domain einbinden darf. Replikation abwarten.

2. Jetzt erst auf die bekannte Weise den Rechner in die Domain clientseitig einfügen.

Schon hast Du den Ärger nicht mehr.

Liebe Grüße

Erik
Mitglied: erikro
erikro 17.01.2019 um 15:45:46 Uhr
Goto Top
Moin,

Zitat von @NGonTheGo:

Okay dann vielleicht mal nach der Gewichtung im DNS schauen.

Hier die MS-Erklärung.

Damit kommt er nicht weiter. Denn wenn er die Gewichtung des DC1 und DC2 absenkt, dann werden immer die aus der Nebenstelle bevorzugt genommen und umgekehrt.

Liebe Grüße

Erik
Mitglied: NGonTheGo
NGonTheGo 17.01.2019 um 15:48:13 Uhr
Goto Top
Sind doch getrennte Netze, kann er das dann nicht für die Standorte entsprechend anpassen?

Vielleicht verstehe ich das auch falsch. :D

Gruß
Nils
Mitglied: erikro
erikro 17.01.2019 um 15:51:08 Uhr
Goto Top
Moin,

jetzt muss ich doch nochmal zurückfragen: Hast Du in der Domain im AD Standorte eingerichtet?

Liebe Grüße

Erik
Mitglied: RalphT
RalphT 17.01.2019 um 15:52:59 Uhr
Goto Top
Sind doch getrennte Netze, kann er das dann nicht für die Standorte entsprechend anpassen?

DNS ist auf beiden Seiten gleich. Wäre auch nicht gut, wenn es nicht so wäre.

Wenn die dort rumdrehen würde, dann gilt das immer für beide Seiten. Für eine Seite wäre das dann ok, nur auf der anderen Seite, habe ich immer die falsche Gewichtung.

Ich hatte ehrlich gesagt darüber mal kurz nachgedacht. Wenn man mit nslookup das eingibt:

_ldap._tcp.dc._msdcs.firma.de

dann werden die 4 DCs angezeigt. Hier ist auch die Gewichtung zu erkennen. Da habe ich aber Finger von gelassen.
Mitglied: RalphT
RalphT 17.01.2019 um 15:54:00 Uhr
Goto Top
jetzt muss ich doch nochmal zurückfragen: Hast Du in der Domain im AD Standorte eingerichtet?

Ja sind eingetragen und die Subnetze zu den Standorten sind zugewiesen.
Mitglied: erikro
Lösung erikro 17.01.2019 um 15:57:26 Uhr
Goto Top
Moin,

dann guck Dir mal das Video an. Dann wirst Du verstehen, warum er das beim ersten Einbinden in die Domain nicht kann. Der Client weiß ja noch nicht, zu welchem Standort er gehört. Demzufolge nimmt er irgend einen DC, der ihm antwortet. Erst dann bekommt er die Info, zu welchem Standort er denn gehört und kann das dann bei der nächsten Anmeldung auch berücksichtigen.

Liebe Grüße

Erik
Mitglied: itisnapanto
itisnapanto 17.01.2019 um 15:58:42 Uhr
Goto Top
Ich schmeiß mal DNS Round Robin in die Runde.
Mitglied: RalphT
RalphT 17.01.2019 um 17:13:52 Uhr
Goto Top
Demzufolge nimmt er irgend einen DC, der ihm antwortet. Erst dann bekommt er die Info, zu welchem Standort er denn gehört und kann das dann bei der nächsten Anmeldung auch berücksichtigen.

So ab ca 3:35 wird das dort so erklärt.

Na dann ist das Verhalten ja richtig.
Ich werde mir das mal durch den Kopf gehen lassen, ob ich die Clients vorher im AD vorbereite.

Ich denke, dann kann ich das hier als gelöst markieren.
Danke an alle.
Mitglied: erikro
erikro 18.01.2019 um 08:07:25 Uhr
Goto Top
Moin,

Zitat von @RalphT:

Demzufolge nimmt er irgend einen DC, der ihm antwortet. Erst dann bekommt er die Info, zu welchem Standort er denn gehört und kann das dann bei der nächsten Anmeldung auch berücksichtigen.

So ab ca 3:35 wird das dort so erklärt.

Ist ja eigentlich auch ganz logisch. Woher soll denn der Client wissen, welchen DC er nehmen soll, bevor er in der Domain ist. face-wink

Na dann ist das Verhalten ja richtig.
Ich werde mir das mal durch den Kopf gehen lassen, ob ich die Clients vorher im AD vorbereite.

Das ist m. E. sowieso best practice. Nicht nur, dass man so die Rechner schon in der richtigen OU hat, man kann auch Tippfehler im Rechnernamen verhindern. Ich mache das so, dass ich meinem eingeschränkten User das Recht gebe, den Computer in die Domain einzufügen und den dann auch dazu benutze. Stimmt der Rechnername, den ich clientseitig eingetippt habe, dann geht's. Vertippe ich aber die Namen, so wird, da ja der eingeschränkte User einen unbekannten Rechner nicht einfügen darf, der Vorgang abgelehnt. Würde ich das als Domadmin machen, dann würde der DC das Einbinden akzeptieren und ich hätte einen falsch benannten Computer im Container Computer.

Liebe Grüße

Erik