Strikte Replikationskonsistenz

[Gruffy 10]

Hallo Community,

 

Mein Frage ist:

Wird die bei euch pauschal aktiviert oder wie geht ihr damit um ?

[edocom 10]

erklär mal was das ist, kenn r2 noch nicht...!

[Gruffy 10]

Es geht hier um Aktualisierung von nicht vorhandenen Objekten ( AD Replikation )..

Wird die strikte Replikationskonsistenz auf dem DC aktiviert kann es verhindert werden..

[Daim 12]

Servus,

 

Wird die bei euch pauschal aktiviert oder wie geht ihr damit um ?

 

die "Strict Replication Consistency" (strikte Replikationskonsistenz) ist seit Windows Server 2003, genau genommen sogar ab Windows 2000 SP2 + Hotfix standardmäßig aktiviert. Das ist auch unter Windows Server 2008 und Windows Server 2008 R2 so und wird sich auch nie ändern.

 

Denn diese Funktion ist neben der Tombstone Lifetime die zweite Art, auf die sich ein Domänencontroller vor veralteten und herumlungernden Objekten schützt.

 

Siehe auch:

 

LDAP://Yusufs.Directory.Blog/ - Lingering Objects (veraltete Objekte)

[Gruffy 10]

Sawa Yusuf ):

 

 

Best Practice Analyzer Warnung:

 

Problem:

Die strikte Replikationskonsistenz ist auf dem Domänencontroller ... nicht aktiviert.

 

Der DC (2k8 R2 ) ist vor kurzem neuaufgesetzt worden (wegen grössere Platten .

Wir haben 3 DC´s (2 x 2k8 und 1x2k8 R2 )

 

Nun was soll ich davon halten ?

[NilsK 2.978]

Moin,

 

in Yusufs Artikel steht ja der Registry-Key drin, der das steuert. Wie ist denn der gesetzt?

 

Gruß, Nils

[Gruffy 10]

Moin Nils :)

 

Leider gibt es da diesen Eintrag nicht.

 

Ist das der Grund warum die Warnung erscheint ?

[Daim 12]

Ist das der Grund warum die Warnung erscheint ?

 

Ja, das ist der Grund. Erstelle den Registry-Key, dann verschwindet die Meldung im BPA.

 

Siehe auch:

 

AD DS: Strict replication consistency should be enabled on all domain controllers in this forest

 

 

Es wundert mich das dieser Registryeintrag nicht standardmäßig unter Windows Server 2008 R2 gesetzt ist. Das muss ich heute Abend in meiner Testumgebung prüfen.

[NilsK 2.978]

Moin,

 

Es wundert mich das dieser Registryeintrag nicht standardmäßig unter Windows Server 2008 R2 gesetzt ist. Das muss ich heute Abend in meiner Testumgebung prüfen.

 

das Ergebnis würde mich auch interessieren.

 

Zumindest hat der BPA bei mir noch nie sowas gemeldet - waren aber auch nur ca. 5 sehr einfache Laborumgebungen.

 

Gruß, Nils

[Gruffy 10]

Hallo,

 

Das habe ich jetzt auch mal schnell in meine VM nachgeschaut.

Hier ist der Eintrag eindeutig zu erkennen.

Mittlerweile habe ich die anderen DC´s unter die Lupe genommen und sehe - nix da

 

Nun weiß ich den BPA zu schätzen…

 

Ich frage mich jetzt: Ist das in diesem Zustand eine Frage der Zeit bis ich fehlerhafte Replikation im Umlauf habe ?

[Daim 12]

Das habe ich jetzt auch mal schnell in meine VM nachgeschaut.

Hier ist der Eintrag eindeutig zu erkennen.

 

Dann bin ich ja beruhigt. Der Eintrag wid standardmäßig also doch erstellt, so wie es sein muss. Dann wurde der Registryeintrag "lediglich" in deiner Konstellation - warum auch immer - nicht gesetzt.

 

Mittlerweile habe ich die anderen DC´s unter die Lupe genommen und sehe - nix da

 

Das darf auch nicht sein. Dort müssen die Einträge genauso existieren. Erstelle die Registryeinträge auch auf den 2003er DCs.

 

Da das alles nicht "normal" ist, solltest du deine Umgebung genauer untersuchen. Kontrolliere die Eventlogs und führe auf jedem DC das DCDIAG aus und überprüfe ob alle Tests erfolgreich durchgeführt werden.

 

Nun weiß ich den BPA zu schätzen…

 

Auf alle Fälle. Endlich existiert der BPA nun auch für das AD, DNS usw. Der ist dem Administrator eine echte Hilfe.

 

LDAP://Yusufs.Directory.Blog/ - Der Active Directory Best Practice Analyzer

 

Ich frage mich jetzt: Ist das in diesem Zustand eine Frage der Zeit bis ich fehlerhafte Replikation im Umlauf habe ?

 

Es existiert ja noch die Tombstone Lifetime, die dich vor veralteten Objekten schützt. Also ganz so dramatisch ist es nicht. Trotzdem solltest du die Registryeinträge erstellen.

[oxp 10]

Wenn ein DCDIAG auf den DCs keine besonderen Warnungen zeigt, würde ich mir keine Sorgen machen. Einfach den Eintrag nach BPA-Vorgabe anlegen und fertig.

[Gruffy 10]

Genau das werde ich jetzt machen :)

 

Danke

[hellemon 10]

Hallo Community,

 

habe heute ebenfalls den Eintrag im BPA gefunden und über Google bin ich auf diesen Beitrag gestoßen.

 

Wir haben seit 5 Tagen einen neuen DC Windows Server 2008 R2 SP1 laufen der diesen Fehler projiziert.

 

Werde mir jetzt die Registry Einträge ansehen und ggf neu erstellen.

 

Danke und Gruß

 

Helmut

[-nin 11]

Hallo zusammen,

 

ich muss diesbezüglich auch mal eine Frage stellen.

Ich habe hier zwei 2008R2 DCs. Beide haben wie in Yusufs Blog beschrieben diesen Registry Eintrag nicht.

 

DCDIAG ist in Ordnung (bis auf RODC wird nichts bemängelt)

 

Aber obwohl auf beiden der Eintrag fehlt, meckert der BPA nur auf einem Server deswegen :confused:

 

Ich würde die Einträge dann manuell anlegen, habe aber noch eine Frage dazu.

 

Muss ich nur die Einträge Anlegen oder vorher wie im Blog beschrieben vorgehen:

 

1. repladmin /removelingeringobjects

2. REPADMIN /Repl <Ziel-DC> <Alt-DC> dc=<Domäne>,dc=<TLD> /Force

3. Eintrag anlegen:

HKLM\System\CurrentControlSet\Services\Ntds\Parameters

Allow Replication With Divergent and Corrupt Partner

REG_DWORD

Value: 1

 

Wenn dem so ist, was ist dann im Punkt 2 Ziel-DC und Alt-DC. Ich verstehe das so, dass Alt-DC der DC ist, auf dem der repladmin /removelingeringobjects ausgeführt wurde und Ziel-DC der DC ist, der die "Aufräumaktion" repliziert bekommen soll.

 

Zuletzt noch: Wenn ich den "Yusuf-Weg ;-)" nicht gehen muss, dann brauche ich den Eintrag nur anzulegen aber mit Value = 0 oder???

 

Besten Dank für Euren Rat.

 

-nin