Skip to content

IP-Bridgehead-Server für Replikation

MCSE Bridgehead-Server (Brückenkopf-Server) sind sozusagen die Gateways für den Replikations-Traffic des AD. Die Performance wird verbessert mehr innerhalb der lokalen Netze als über die Site-Grenzen hinaus repliziert wird.

Um zwei Domänen an zwei Standorten zu verbinden brauchen beide jeweils einen Bridgehead-Server. Dieser Domain-Controller sollte auch den globalen Katalog beinhalten. Auf jeden Fall sollte ein leistungsfähiger Server (mit schneller CPU) verwendet werden.

Wenn es zwei RRAS-Server gibt, die tatsächlich das Gateway für eine Festverbindung bedienen, dann werden meist diese verwendet (z.B. mit Modems, heute eher selten der Fall).

Vorsicht: Fällt die Kommunikation zwischen diesen beiden Servern oder einer der Server aus, wird gar nicht mehr repliziert!

Soll die Ausfallsicherheit erhöht werden, gibt es zwei Möglichkeiten: Keinen Bridgehead verwenden wenn die Topologie dies erlaubt oder pro Seite zwei Bridgehead-Server.

Bridgehead-Server sind auch sinnvoll um die Replikation durch Firewalls zu erlauben. Dies kann auch durch einen VPN-Tunnel erfolgen.

Auch die Domain-Controller mit dem DNS-Server können sinnvoll für einen Site-Link verwendet werden.

Statt IP könnte zwar auch SMTP verwendet werden, dies aber unnötig aufwendig und umständlich, man benötigt auch zusätzlich eine Zertifizierungstelle mit Public-Key-Verschlüsselung.

Die Replikationsrate für die standortübergreifende Replikation kann mit dem Knoten "Inter-Sites Transports" in der Konsole "Active Directory-Standorte und –Dienste" eingestellt werden.

Werden Zeiten für die Replikation eingestellt, so ist darauf zu achten, dass diese sich überlappen! Wenn eine Standortverknüpfung bis ein Uhr nachts replizieren will und die andere erst danach beginnt (Zeitzonen beachten!) wird sich die gesamte Replikation um einen Tag verzögern.

Kosten einer Standortverbindung konfigurieren

MCSE Der Kostenfaktor für ein schwache Verbindung muss soweit erhöht werden, dass er höher ist als die Summe der anderen Leitungen, die verwendet werden sollen. Nur dann wird diese Verbindung (wie z. B. Modem-Festverbindung) zukünftig nur noch genutzt, wenn die bessere Strecke nicht mehr verfügbar ist (Backup-Verbindung).

Active Directory Migration Tool (ADMT)

MCSE Das ADMT (Active Directory Migration Tool) stellt integrierte Tools zum Vereinfachen von Migration und Umstrukturierungsaufgaben in einer Active Directory-Infrastruktur bereit. Es ist auf jeder Windows 2000 und Windows 2003 Server CD enthalten.


Man kann damit die Konten einer alten Domäne in eine gerade gemäß den neuen Anforderungen strukturierte Domäne überführen.

Um ADMT einzusetzen muss eine temporäre (vor allem aber bidirektionale!) Vertrauensstellung zwischen den Domänen bestehen.

SRV-Einträge im DNS abfragen

MCSE Der SRV-Eintrag ist ein DNS-Ressource-Eintrag und in RFC 2782 definiert. Er wird verwendet um Computern bestimmte Dienste auf einem Server zu identifizieren. Der Netlogon-Dienst z.B. registriert solche Einträge.

Mittels eines SRV-Resource-Records kann per DNS bekanntgegeben werden, welche IP-basierenden Dienste angeboten werden. Dazu wird bei jedem Dienst dann weitere Information geliefert, wie z.B. der Server-Name, der diesen Dienst bereitstellt. Einem Dienst erkennt man am Namen und das mit einem Punkt angehängte Protokoll.

Um Verwechslungen mit anderen Domain-Namen zu verhindern wird jeweils ein "_" vorangestellt.

Wenn der Domain-Controller als DNS eingetragen ist und die Zonenübertragung zugelassen wurde, kann man mit "nslookup" und dem Befehl "ls -t SRV domain.zone" die SRV-Records abfragen:


SRV-Ressource-Einträge werden eingesetzt um im Active Directory die Domäne-Controller zu finden. Ein Client kann z.B. per einfacher DNS-Abfrage ermitteln dass in einer DNS-Domain ein LDAP-Server existiert, der über TCP Port 389 erreichbar ist.

Richtlinien für verschiedene Gruppen durchsetzen

MCSE Wenn für verschiedene Gruppen Richtlinien durchgesetzt werden sollen, dann ist die Reihenfolge zu beachten!

In diesem Beispiel würde nur die Richtlinie "Textverarbeitung" allen Anwendern zur Verfügung stehen. Die GPO "Buchhaltung" würde nie erfolgreich angewendet.


Die Liste wird von oben nach unten abgearbeitet und die erste Richtlinie gewinnen, allen Anwendern steht nur die "Textverarbeitung" und nichts anderes mehr zur Verfügung, weil nur diese Software in der obersten Richtlinie erlaubt und durchgesetzt wird.

Lösung des Problems könnte sein nur der Buchaltungs-Gruppe die GPO für die Buchhaltung zuzuweisen, diese GPO um eins nach vorn zu setzen und um die Textverarbeitung zu ergänzen wenn diese auch verwendet werden soll.
tweetbackcheck