Haaaallooo – Wo kann ich mich denn hier anmelden ?

Haaaallooo – Wo kann ich mich denn hier anmelden ?

  • Comments 3
  • Likes

Hi,

Ein RODC (Read-Only-DC) ist oft der einzige DC (Domänenkontroller) an seinem Standort / in seiner Site. Diesen sollen die Clients dann für die Anmeldung verwenden, und es ist ärgerlich, wenn die Anmeldung fehlschlägt, weil der Client (PC oder Mitgliedsserver) den RODC an seinem Standort nicht findet.

Ich hatte kürzlich mehrere Anfragen zu diesem Thema.

Die Rahmenbedingungen waren:

  • Die einzigen DCs in der Site / an dem Standort des Clients sind ein oder mehrere RODCs.
  • Die Clients können mit keinem DC an einem anderen Standort kommunizieren, weil zwischen den Standorten eine Firewall aktiv ist.
  • Die Clients wurden an einem anderen Standort installiert und zur Domäne hinzugefügt und haben sich dort bereits erfolgreich angemeldet.
  • Für die Konten der Clients wurden die „Secrets“ bereits auf den RODC übertragen, so daß die Voraussetzungen für eine Anmeldung auch ohne Kommunikation mit einem RWDC (RW= Read-Write) gegeben wären.
  • Die IP-Adresse des Clients wird vor dem Überführen in die Site mit dem RODC auf das Subnet seiner neuen Site geändert. Die Subnet-Site-Zuordnung stimmt also.
  • Der RODC ist in der IP-Konfiguration des Client als DNS-Server eingetragen.

Trotzdem also Client-seitig alles erfüllt zu sein scheint, schlägt die Anmeldung fehl.

Im Netzwerk-Trace sieht man dann, warum.

Der Client kennt ja „seine Site“, weil er schon mal angemeldet war, nur ist das eben seine alte Site und nicht die aktuelle. Also fragt er bei seinem DNS Server für die Anmeldung zunächst nach DCs in „seiner Site“ und bekommt die DCs in seiner alten Site genannt. Von den DCs dort bekommt er keine Antwort, weil er sie gar nicht erreicht (Firewall = Brandwand).

Danach fragt er nach den DCs, die sich generisch (man könnte auch sagen global) in DNS registrieren, also in dem Bereich, der Site-unabhängig ist. Aber auch hier bekommt er wieder nur RWDCs genannt und erreicht sie ebenfalls nicht wegen der Firewall. Ein RODC ist nicht dabei.

Den RODC bekommt er gar nicht genannt, und so findet er auch nicht heraus, daß er in einer neuen Site ist.

Damit die Anmeldung doch noch erfolgreich werden kann, gibt es mehrere Möglichkeiten, die im Prinzip alle darauf hinauslaufen, daß der Client lernen muß, daß er den Standort gewechselt hat:

  • Ihr könnt in der Firewall, die notwendigen Ports öffnen (evtl. vorübergehend), damit der Client wenigstens einmal einen RWDC erreicht und damit lernt, daß er nun in einer neuen Site ist.
  • Auf dem Client ist unter HKLM\System\CCS\Services\Netlogon\Parameters im Registry Eintrag DynamicSiteName die Site eingetragen, zu der der Client gehört. Dieser Eintrag wird vom System aktualisiert, wenn der Client an einen neuen Standort kommt.
    Ihr könnt nun statt des dynamischen Eintrags einen manuell geführten Eintrag verwenden, der „SiteName“ heißt.
    D.h. Ihr löscht „DynamicSiteName“ und tragt stattdessen „SiteName“ ein und setzt dort den Wert Eurer Wahl.
  • Außerdem gibt es noch eine Gruppenrichtlinie, über die man die Site des Clients setzen kann.
    „site Name“ unter Computer Configuration\Administrative Template\System\Net Logon.
  • RODCs registrieren standardmäßig nur Site-spezifische DNS Einträge. Das wird über den Eintrag
    HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    RegisterSiteSpecificDnsRecordsOnly (DWord)
    gesteuert, der bei RODCs standardmäßig den Wert "1" hat.
    Ihr könnt den Wert auf "0" setzen, dann registriert der RODC auch die generischen Einträge.
    Allerdings kann es dann passieren, daß er auch von Clients an anderen Standorten gefunden wird, was man möglicherweise nicht will.
    Man kann die Priorität dieser DNS-Einträge noch heruntersetzen, so daß sie zumindest am Ende der Liste stehen, aber es ist trotzdem nicht ausgeschlossen, daß dann auch Clients aus anderen Standorten versuchen, mit dem RODC zu reden.
    Das muß man sich also genau überlegen, ob man das will. Denn tendenziell sind ja RODCs für Standorte gedacht, die vielleicht nicht so sicher sind oder wo man kein IT-Personal hat.

Sobald der Client weiß, daß er an einem neuen Standort / in einer neuen Site ist, klappt auch die Anmeldung.

Gruß

Barbara

Comments
  • Was ist aber wenn ein Client in einer RODC-Site sich trotz korrektem Registry-Eintrag "DynamicSiteName" laut Environment-Variable LOGONSERVER mit einem entfernten RWDC verbindet?

  • Hi,

    das läßt sich ohne genauere Untersuchung leider nicht beantworten. Dafür kommen viele mögliche Ursachen infrage.

    Z.B. kann es sein, daß die Secrets des betroffenen Kontos nicht auf den RO-DC übertragen sind und auch nicht automatisch übertragen werden dürfen, wenn der Benutzer sich das erste Mal an diesem DC anmeldet.

    Schau doch mal hier:

    http://www.technet-foren.de/

    Gruß

    Barbara

  • Nachtrag: Wer weder die Registry manipulieren, noch die RODC in den DNS Global Server Records haben möchte, der kann sich auch mit der NetBT Namensauflösung als Fallback behelfen, die er dann via DHCP nur für die RODC IP Bereiche aktiviert. Wer dabei keine Broadcasts (B-node) verwenden möchte, kann den RODC auch zum standalone WINS Server machen und P-node verwenden. Wer sich nicht mehr an diese NetBT Einstellungen erinnert - siehe http://technet.microsoft.com/en-us/library/cc940063.aspx.
    Der RODC selbst muss dann zwar auch NetBT aktiv haben, hier würde ich aber nur P-Node empfehlen.
    Grüße, Rol

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment