AD Replikation - fehlende Verbindungen

[StefanWe 14]

Hallo,

 

ich habe hier eine größere AD Umgebung mit mehreren Sites. An einer Site funktionierte der DC mit seiner Replizierung nicht mehr sauber. Habe ihn herausgestuft und wieder hereingestuft. Die erst Replizierung lief soweit auch durch. User sind alle da usw. Namensauflösung funktioniert auch.

Allerdings kann ich in den Sites und Services erkennen, dass ich nur Replicate From connections habe und keine Replicate to connections.

 

Kann ich irgendwo konfigurieren, welche Connections automatisch angelegt werden? Oder eine Idee wie das kommen kann? Firewall zwischen den Standorten blockt keinen Verkehr.

[NilsK 2.930]

Moin,

 

die Replikationsverbindungen werden durch den KCC automatisch erzeugt und regelmäßig neu berechnet. Es ist nicht so, dass jeder DC alles überallhin repliziert, gerade in großen Umgebungen.

 

Manuelle Änderungen sollte man nur vornehmen, wenn es zwingend nötig ist (was ein seltener Ausnahmefall ist). Sobald man nämlich etwas ändert, greift die Automatik nicht mehr, und dann muss man manuell weitermachen.

 

Gibt es Hinweise auf Replikationsprobleme? Dazu sollten die Eventlogs, DCDiag sowie Repadmin Auskunft geben können. Wird nichts gemeldet, dann solltest du an den Verbindungen und sonstigen Einstellungen nichts ändern.

 

Gruß, Nils

[StefanWe 14]

Das versteh ich ja, aber müsste nciht wenigstens eine connection "To" vorhanden sein.

 

Ich meine, wenn sich ein PC oder Benutzer an dem DC anmeldet und sein Kennwort ändert, würde dieses Kennwort ja nicht zu den anderen DC's repliziert werden, richtig?

[NilsK 2.930]

Moin,

 

ist denn das so? Mach doch mal eine Änderung auf dem DC. Kommt die auf den anderen DCs an?

 

Gruß, Nils

[StefanWe 14]

Hab jetzt mal die Event Logs der anderen DC's überprüft und folgende Meldung gefunden:

This is the replication status for the following directory partition on the local domain controller.

 

Directory partition:

DC=ww,DC=rougp,DC=local

 

The local domain controller has not recently received replication information from a number of domain controllers. The count of domain controllers is shown, divided into the following intervals.

 

More than 24 hours:

1

More than a week:

1

More than one month:

1

More than two months:

1

More than a tombstone lifetime:

1

Tombstone lifetime (days):

60

Domain controllers that do not replicate in a timely manner may encounter errors. It may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.

 

To identify the domain controllers by name, install the support tools included on the installation CD and run dcdiag.exe.

You can also use the support tool repadmin.exe to display the replication latencies of the domain controllers in the forest. The command is "repadmin /showvector /latency <partition-dn>".

 

For more information, see Help and Support Center at Events and Errors Message Center: Basic Search.

 

Und auf dem DC, welchen ich ansprach find ich folgende Meldung im Log

 

The attempt to establish a replication link for the following writable directory partition failed.

 

Directory partition:

CN=Schema,CN=Configuration,DC=group,DC=local

Source domain controller:

CN=NTDS Settings,CN=SV-DC04,CN=Servers,CN=group,CN=Sites,CN=Configuration,DC=group,DC=local

Source domain controller address:

1e8e057c-628d-4bfd-a69e-5cfa81e1e5ee._msdcs.group.local

Intersite transport (if any):

CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=group,DC=local

 

This domain controller will be unable to replicate with the source domain controller until this problem is corrected.

 

User Action

Verify if the source domain controller is accessible or network connectivity is available.

 

Additional Data

Error value:

1722 The RPC server is unavailable.

 

For more information, see Help and Support Center at Events and Errors Message Center: Basic Search.

 

Das sieht für mich nach Netzwerkfehlern aus.

Wobei mir die Netzwerkabteilung hoch und heilig zugesagt hat, dass die Netzwerkports zwischen den Standorten auf ANY-ANY Allow stehen. Kein Proxy dazwischen hängt und nach erneuter Kontrolle keine Pakete im BLOCK, oder Reject zustand zu finden sind.

Ich habe auf dem DC04 nun mal einen User erstellt. Mal schauen ob dieser repliziert wird

 

Nachtrag: Das Object wurde repliziert... sehr seltsam..

[NorbertFe 2.027]

Wobei mir die Netzwerkabteilung hoch und heilig zugesagt hat, dass die Netzwerkports zwischen den Standorten auf ANY-ANY Allow stehen. Kein Proxy dazwischen hängt und nach erneuter Kontrolle keine Pakete im BLOCK, oder Reject zustand zu finden sind.

 

Das sagt die Netzwerkabteilung aber immer. ;) Meist ist dann in irgendeiner ganz tiefen Einstellung doch irgendwo die RPC Filterung aktiv, weil RPC ja per Definition böse ist. ;)

 

Bye

Norbert

 

PS: Die AD Replikation ist das eine, die sysvol Replikation sollte aber auch funktionieren.

[StefanWe 14]

Gibt es denn für DC's ein quasi Diagnose Programm um zu prüfen, ob alle Ports eines anderes DC's soweit erreichbar sind?

 

Ich habe rpcping gefunden, allerdings checkt dieser wohl nur Exchange RPC Ports..

[fluehmann 10]

Hallo

 

Die Adresse aus deinem geposteten Eventlog kann per nslookup aufgelöst und gepingt werden?

 

nslookup 1e8e057c-628d-4bfd-a69e-5cfa81e1e5ee._msdcs.group.local

ping 1e8e057c-628d-4bfd-a69e-5cfa81e1e5ee._msdcs.group.local

 

Dies sind die DNS Alias für die Replikationsobjekte der DCs.

 

Grüsse

Fluehmann