[adde] Re: AW: AW: AW: Re: Logonserver und mehrere AD Sites
- From: "Florian Frommherz" <florian@xxxxxxxxxxxxxxx>
- To: <adde@xxxxxxxxxxxxx>
- Date: Thu, 1 Jul 2010 16:50:24 +0200
Hallo!
Wenn die Konfiguration ?gut? aussieht, würde ich vermutlich einen
Netzwerktrace versuchen und nachforschen, wann der Client welche
DNS-Anfragen startet und wie die Antworten aussehen. Manchmal gibt das
Aufschluss über den Grund, warum der Client in einer ?falschen? Site landet.
Cheers,
Florian
From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of
Andreas.Koch@xxxxxx
Sent: Donnerstag, 1. Juli 2010 16:36
To: adde@xxxxxxxxxxxxx
Subject: [adde] AW: AW: AW: Re: Logonserver und mehrere AD Sites
Hallo zusammen,
In der Registry steht der korrekte Site Name unter ?DynamicSiteName? drin.
Den Schlüssel SiteName gibt es nicht.
Auch sind die Subnets in den entsprechenden AD Sites nicht überlappend, dies
habe ich gerade noch einmal überprüft.
Ich bin mittlerweile ratlos, warum sich manche Clients teilweise an DCs in
entfernten Sites anmelden.
Ich werde das Thema morgen weiter verfolgen. Sobald ich neue Informationen
habe, melde ich mich.
Vielen Dank nochmals an alle.
Mit freundlichen Grüßen
Andreas Koch
Systemadministrator
Netze, Client-Server, Telekommunikation
Deutsche Amphibolin-Werke
von Robert Murjahn Stiftung & Co KG
Roßdörfer Str. 50
D-64372 Ober-Ramstadt
Tel.: +49-6154/71-1330
Fax: +49-6154/71-991330
eMail: <mailto:andreas.koch@xxxxxx> andreas.koch@xxxxxx
Internet: http://www.caparol.de <http://www.caparol.de/>
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Dikmenoglu, Yusuf
Gesendet: Donnerstag, 1. Juli 2010 13:45
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: AW: Re: Logonserver und mehrere AD Sites
Hallo Andreas,
> Für mich liegt die Vermutung nah, dass er bedingt durch das fehlende
Netzwerk nicht weiss, welcher Site er zugeordnet ist und dann,
> wenn der User sich anmeldet einfach per DNS einen Domänencontroller sucht
und sich an diesem anmeldet.
kontrolliere doch mal auf dem Client deines Vorgesetzten in der Registry
unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
den Eintrag "DynamicSiteName". Steht dort der AD-Standort in dem er sich
befindet oder ein anderer?
Oder wurde evtl. im selben Registry-Pfad der Schlüssel "SiteName" gesetzt
und somit der AD-Standort fest verdrahtet?
Wie der Client "seinen" DC findet steht hier:
[LDAP://Yusufs.Directory.Blog/ - Domänencontroller am Standort]
<http://blog.dikmenoglu.de/Dom%c3%a4nencontroller+Am+Standort.aspx>
http://blog.dikmenoglu.de/Dom%c3%a4nencontroller+Am+Standort.aspx
Gruß, Yusuf
=========================================
Viele Grüße aus Mainz
Yusuf Dikmenoglu - Microsoft MVP - Directory Services
Blog: <http://blog.dikmenoglu.de/> LDAP://Yusufs.Directory.Blog/
Jetzt anmelden an der:
<http://blog.dikmenoglu.de/Die+Erste+Deutschsprachige+Active+Directory+Maili
ngliste+Ist+Da.aspx> AD Mailingliste
=========================================
_____
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Andreas.Koch@xxxxxx
Gesendet: Donnerstag, 1. Juli 2010 12:07
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: Re: Logonserver und mehrere AD Sites
Hallo zusammen,
vielen Dank erst einmal für die schnellen Antworten.
Alle DCs sind entsprechend richtig im DNS unter den entsprechenden Sites
gelistet.
Ich habe auf dem Domänencontroller der Site B im Log mal alle Clients
geprüft, welche sich dort eigentlich nicht anmelden sollten.
Bei allen diesen Clients sind die IP Adressen in dem Subnets, welche in der
AD Site A eingetragen sind. Dies kann also auch nicht für diese Störung
verantwortlich sein.
Die Störung bei meinem Vorgesetzten war reproduzierbar.
Folgendes wurde durchgeführt.
1. User hat sich abgemeldet
2. Notebook wurde aus Dockingstation entfernt
3. Notebook ist in den Schlafmodus gegangen
4. Notebook wurde ausserhalb der Dockingstation aus Schlafmodus
?aufgeweckt? und solange gewartet, bis die Windows Anmeldemaske zu sehen war
5. Notebook wurde in Dockingstation gebracht
6. User hat sich an Windows angemeldet
7. Das Notebook hat sich dann an dem Domänencontroller in der Site C
angemeldet.
Für mich liegt die Vermutung nah, dass er bedingt durch das fehlende
Netzwerk nicht weiss, welcher Site er zugeordnet ist und dann, wenn der User
sich anmeldet einfach per DNS einen Domänencontroller sucht und sich an
diesem anmeldet.
Kann man dies irgendwie ändern oder muss ich respektive mein Vorgesetzter
damit leben?
Mit freundlichen Grüßen
Andreas Koch
Systemadministrator
Netze, Client-Server, Telekommunikation
Deutsche Amphibolin-Werke
von Robert Murjahn Stiftung & Co KG
Roßdörfer Str. 50
D-64372 Ober-Ramstadt
Tel.: +49-6154/71-1330
Fax: +49-6154/71-991330
eMail: <mailto:andreas.koch@xxxxxx> andreas.koch@xxxxxx
Internet: http://www.caparol.de <http://www.caparol.de/>
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Thomas.Stemick@xxxxxxxxxxxxxx
Gesendet: Donnerstag, 1. Juli 2010 10:56
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: Logonserver und mehrere AD Sites
Hallo zusammen,
ich würde zusätzlich auch mal die Service-Locator-Records im DNS überprüfen.
Vielleicht sind dort DCs in den falschen Sites registriert?.
Mit freundlichen Grüßen/Best Regards
Thomas Stemick
Managing Consultant
---------------------------------------------------------
arvato systems GmbH Infrastructure Consulting
Rheinlanddamm 185
44139 Dortmund
Thomas.Stemick@xxxxxxxxxxxxxx
Tel.: +49 (0) 2 31 / 9 43 40-330
Fax: +49 (0) 2 31 / 9 43 40-331
---------------------------------------------------------
www.arvato-systems.de/ic
<http://www.arvato-systems.de/page/de/loesungen/it-services/infrastructure_c
onsulting/index.html>
Geschäftsführung: Carsten Bittner | Beate Bruelheide
Amtsgericht Dortmund - HRB 18841
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Meinolf Weber
Gesendet: Donnerstag, 1. Juli 2010 11:04
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: Logonserver und mehrere AD Sites
Hallo Andreas,
sind alle DCs richtig gelistet mit dem SRV Eintrag im DNS Server, unter der
Forward Lookup Zone\FDQN\_Sites\Site Name?
Mit freundlichen Grüssen
Meinolf Weber
[MVP-Directory Services]
Description: MVP_Horizontal_BlueOnly
From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of
Andreas.Koch@xxxxxx
Sent: Thursday, July 01, 2010 10:42 AM
To: adde@xxxxxxxxxxxxx
Subject: [adde] Logonserver und mehrere AD Sites
Hallo zusammen,
ich habe ein Ph?nomen, an dem ich hier gerade sitze und nicht weiter komme.
Vielleicht habe ich ja ein Verst?ndnisproblem und ihr k?nnt mir helfen.
Folgende Situation
6 AD Sites mit insgesamt 9 Dom?nencontrollern
Standort A àSite A: 3 Dom?nencontroller (ca. 110 Subnets) (Hauptsitz der
Firma)
Standort B àSite B: 1 Dom?nencontroller (2 Subnets)
Standort C àSite C: 1 Dom?nencontroller (1 Subnet)
Standort D àSite D: 1 Dom?nencontroller (1 Subnet)
Standort E àSite E: 1 Dom?nencontroller (2 Subnets)
Standort F àSite F: 1 Dom?nencontroller (1 Subnet)
Jeder Site sind die entsprechenden Subnets des jeweiligen Standorts
zugeordnet.
Beispiel: Subnet 10.2.16.0/24 ist der Site A zugeordnet.
Nach meinem Verst?ndnis, m?ssten sich alle Clients aus diesen Subnet an
einem der 3 Dom?nencontroller der Site A anmelden.
Dies klappt auch fast immer, aber heute zum Beispiel hat der Client von
meinem Vorgesetzten sich an dem Dom?nencontroller in der Site B angemeldet,
obwohl der Client eine IP-Adresse im Subnet 10.2.16.0/24 hat
Bei der Pr?fung des Log auf dem Dom?nencontroller der Site B hat sich
gezeigt, dass weitere ca. 25-30 Rechner an Standort A aus verschiedenen
Subnetzen (die eigentlich jeweils der Site A zugeordnet sind) sich an diesem
Dom?nencontroller anmelden.
Die anderen Dom?nencontroller an den anderen Sites habe ich gar nicht erst
?berpr?ft, wahrscheinlich sieht es dort ?hnlich aus.
Wieso passiert dies? Hab ich irgendwo einen Denkfehler und es fehlt noch
eine Einstellung oder sind die Dom?nencontroller an der Site A ?berlastet
und deswegen melden sich die Clients bei anderen Dom?nencontrollern an
anderen Sites an?
Ich w?rde mich freuen, wenn jemand dazu einen Rat wei?.
Vielen Dank im Voraus.
Mit freundlichen Gr??en
Andreas Koch
Systemadministrator
Netze, Client-Server, Telekommunikation
Deutsche Amphibolin-Werke
von Robert Murjahn Stiftung & Co KG
Ro?d?rfer Str.. 50
D-64372 Ober-Ramstadt
Tel.: +49-6154/71-1330
Fax: +49-6154/71-991330
eMail: andreas.koch@xxxxxx
Internet: http://www.caparol.de <http://www.caparol.de/>
____________________________________________________________________________
_____________________________
Deutsche Amphibolin-Werke von Robert Murjahn Stiftung & Co KG
Roßdörfer Straße 50, 64372 Ober-Ramstadt
Amtsgericht Darmstadt HR A 5541
Persönlich haftender Gesellschafter:
CAPAROL Stiftung
Roßdörfer Straße 50, 64372 Ober-Ramstadt
Amtsgericht Darmstadt HR A 6927
Vorstand: Dr.. Klaus Murjahn, Deutsche Amphibolin-Werke von Robert Murjahn
Verwaltungs-GmbH
Deutsche Amphibolin-Werke von Robert Murjahn Verwaltungs-GmbH
Roßdörfer Straße 50, 64372 Ober-Ramstadt
Amtsgericht Darmstadt HR B 4000
Geschäftsführer: Dr. Ralf Murjahn (Vors.), Arie van Dieren, Christoph H.
Hentzen, Dr. Helmut Plum, Rainer Reucker
____________________________________________________________________________
_____________________________
__________ Information from ESET Smart Security, version of virus signature
database 5241 (20100630) __________
The message was checked by ESET Smart Security.
http://www.eset.com
Other related posts:
