westberliner
Goto Top

Domäne der Vetrauensstellung wird nicht Trennung nicht sofort gefunden

Hallo Zusammen,

ich habe hier ein Firmennetzwerk mit 3 Domain-Controllern.

Zudem haben wir ein Rechenzentrum angemietet, die Verbindung dorthin wird per VPN-IPSec realisiert.

Dort steht eine andere Domäne mit einem DC und es existiert eine Vertrauenststellung transitiv/biderektional.
Die Anmeldung am Terminalserver im Rechenzentrum erfolgt mit der Domäne von meinem unternehmen.

Ich habe ab und an mal das Problem, dass der VPN-Tunnel fliegt. Wenn dieser länger als einige Minuten offline ist, dann kann ich mich für ca 15-25 Minuten nicht mit der Unternehmensdomäne am Rechnenzentrum anmelden. Hier bekomme ich immer den Fehler "angegebene Domäne ist nicht verfügbar...".

Ist natürlich im Wiederherstellungsfall dann äusserst ungünstig, da hier Zeit verloren geht.

Ist das Problem anderen bekannt und kann ich das irgendwie schnell lösen im Fehlerfall?

Content-Key: 311845

Url: https://administrator.de/contentid/311845

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: emeriks
emeriks 05.08.2016 aktualisiert um 11:49:39 Uhr
Goto Top
Hi,
Dort steht eine andere Domäne mit einem DC und es existiert eine Vertrauenststellung transitiv/biderektional.
Also ein Forest Trust?

Die Anmeldung am Terminalserver im Rechenzentrum erfolgt mit der Domäne von meinem unternehmen.
(editiert) Und zu welcher Domäne gehört der TS?

Ich habe ab und an mal das Problem, dass der VPN-Tunnel fliegt. Wenn dieser länger als einige Minuten offline ist, dann kann ich mich für ca 15-25 Minuten nicht mit der Unternehmensdomäne am Rechnenzentrum anmelden. Hier bekomme ich immer den Fehler "angegebene Domäne ist nicht verfügbar...".
Ist das immer so, wenn der Tunnel mal offline war oder nur manchmal/öfters?
Das kann u.U. auch durch DNS kommen. Wie ist hier das Konstrukt? Einfach nur Weiterleitungen oder habt Ihr überkreuz Sekundär-Zonen erstellt?

Ist natürlich im Wiederherstellungsfall dann äusserst ungünstig, da hier Zeit verloren geht.
Welche Wiederherstellung jetzt?
Mitglied: westberliner
westberliner 05.08.2016 um 12:17:48 Uhr
Goto Top
Hallo emeriks,

wenn ich das richtig verstehe, dann ist es ein Forest Trust.
Der Terminalserver steht im Rechenzentrum und gehört zur Domäne "RZ-Domäne" (Die User melden sich dort aber mit "Firmendomäne\Username" an).

Das Problem tritt nur auf, wenn der Tunnel länger als wenige Minuten down war - ansonsten läuft es reibungslos.

Im DNS sind bedingte Weiterleitungen für "RZ-Domäne" eingestellt, welche dann auf den DC im Rechenzentrum verweisen und dort entsprechend zurück.

Mit Wiederherstellungsfall meinte ich: Wenn der Tunnel wiederhergestellt ist, muss eben abgewartet werden... face-smile
Mitglied: emeriks
emeriks 05.08.2016 um 12:44:07 Uhr
Goto Top
Das Problem tritt nur auf, wenn der Tunnel länger als wenige Minuten down war - ansonsten läuft es reibungslos.
Ja, schon klar. Aber tritt es immer auf, wenn die Verbidung "länger als wenige Minuten down war", oder nur in manchen dieser Fälle?

Im DNS sind bedingte Weiterleitungen für "RZ-Domäne" eingestellt, welche dann auf den DC im Rechenzentrum verweisen und dort entsprechend zurück.
Ich würde es damit versuchen, jeweils überkreuz Sekundär-Zonen anzulegen. Dann könnten die jeweils lokalen DNS-Server immer die (bekannten) Namen der Gegenseite auflösen, auch wenn mal die Verbindung unterbrochen ist.

Nur mit reinen Weiterleitungen ist folgendes denkbar:
DC oder Client am Standort will einen Namen aus dem RZ auflösen. Im lokalen Cache hat er nichts. Er fragt seinen DNS. In dessen Cache ist der Eintrag für diesen Namen gerade abgelaufen. Er will diesen beim RZ-DNS anfragen. Die Leitung steht aber nicht. Er liefert dem DC oder Client eine negative Antwort ("BlaBlaBa gibt es nicht").
Kurz danach steht die Leitung wieder. Der DC oder Client will wieder auf diesen Namen zugreifen, fragt aber dieses Mal nicht bei seinem DNS-Server nach, weil er die letzte negative Antwort in seinem lokalen Cache zwischengespeichert hat. Also kennt er diesen immer noch nicht und meldet "unbekannt". Erst nach Ablauf des Eintrags in seinem lokalen Cache fragt er wieder bei senem DNS-Server nach.