Domain/Forest Level 2003 - Offline Replikation möglich?

[Maraun 12]

Hallo zusammen,

 

wir haben einen Standort in Asien, der vom VPN getrennt ist und scheinbar auch nicht mehr verbunden werden kann.

Die einzige Lösung ist eine MPLS-Leitung. Die Tombstone Lifetime in unserem AD ist 60 Tage.

Der DC ist jetzt seit knapp 3 Wochen offline.

Gibt es eine Möglichkeit, das AD mit dem DC offline zu replizieren?

Hab ich irgendeine Möglichkeit, die Tombstone Lifetime an dem Offline-DC zu erhöhen?

 

Wir haben dort circa 100 Clients am Standort und das ist der einzige DC.
Als Backup-DC arbeiten alle über unseren DC´s in Deutschland.

Sollte ich weder eine Offline-Replikation noch eine andere Möglichkeit haben, die Tombstone Lifetime zu erhöhen,

was kann ich tun, um den Schaden und die Probleme so gering wie möglich zu halten?

 

Viele Grüße

Alex

[NeMiX 76]

Könnt Ihr evtl. eine temporäre Lösung bauen via UMTS, Internet ö.ä.?

Ein VPN connect für eine Stunde sollte ja genügen und dann kannst du die Lifetime auch hochsetzen.

[Maraun 12]

Wir sind auf der suche nach alternativen Möglichkeiten. Aber momentan steht der Tunnel temporär nur für gerade mal 2 Minuten.
Mit Internet meinst Du, dass ich in unserer Zentrale einen DC in die DMZ stellen soll??
 

[Maraun 12]

Hi zusammen,

 

ich wollte das Thema nochmals pushen.

Mir ist es möglich, auf Clients am Standort eine Teamviewer-Sitzung herzustellen.
Gibt es irgendeine Chance, hier eine Offline-Replikation per Datentransfer oder ähnliches zu bewerkstelligen?
Ich würde im Nachgnag den DC auch demoten und einen neuen aufsetzen, aber mittlerweile starten die ersten Probleme am Standort.

Einige Clients verlieren die Vertrauensstellung und melden das beim Loginversuch.
 

[NeMiX 76]

Teamviewer kann auch VPN:

http://www.teamviewer.com/de/res/pdf/TeamViewer9-Manual-RemoteControl-de.pdf

Seite 23

 

Mit passenden Routen solltest du da evtl. etwas "basteln" können.

[Maraun 12]

Danke für den Tipp.

Wenn ich das richtig verstehe, bräuchte ich auf dem Replikations-DC hier Teamviewer mit VPN und auf dem Problem-DC im Standort ebenso.

Hat das schon mal jemand getestet oder realisiert?

[NilsK 2.930]

Moin,

 

eine Offline-Replikation gibt es nicht. Das Hochsetzen der Tombstone Lifetime würde das Problem nicht lösen, dafür bei Replikationsproblemen während des Änderungsvorgangs aber u.U. gravierende Probleme hervorrufen. Auf keinen Fall solltest du diese Änderung ausführen, wenn keine zuverlässige Verbindung vorhanden ist.

 

Es gibt drei realistische Möglichkeiten:

1. Du sorgst für eine stabile Verbindung der beiden DCs, bevor die Replikationspause die Tombstone Lifetime erreicht (rechtzeitig vorher!)
2. Du nimmst den DC am entfernten Standort außer Betrieb (vom Netz nehmen und deinstallieren) und entfernst ihn aus dem AD
3. Du tust nichts und lässt die Replikate auseinander laufen. Wenn dann irgendwann die Verbindung wieder zuverlässig funktioniert, versuchst du das AD um die Lingering Objects zu bereinigen. Achtung, das wird sehr wahrscheinlich zu Datenverlusten führen - die Änderungen auf dem entfernten DC nach Abbruch der Replikation wirst du verlieren

Variante 3 ist am wenigsten erstrebenswert.

 

Gruß, Nils

[Maraun 12]

Hi Nils,

 

vielen Dank für die umfassende Antwort.

Ich will den DC am Standort nicht verlieren, denke aber, dass es keine rechtzeitig funktionierende Verbindung zum Standort geben wird,

da das ganze geblockt wird und wir so schnell keine MPLS Leitung aus dem Hut zaubern.

Von daher war die Idee mit der Teamviewer / VPN Lösung nur dazu gedacht, den DC zumindest wieder kurzzeitig an die Replikation zu bringen und

damit die Tombstone auf erneut 60 Tage zu verlängern.

Ich werde ganz bestimmt keine Änderungen á la Tombstone Lifetime verlängern oder ähnliches durchführen, solange ein DC offline ist.

 

Aber so wie ich das sehe kommt nur Variante 2 in Frage.

 

Gruß

[NilsK 2.930]

Moin,

 

verstehe ich nicht ganz. Ihr kriegt keine Direktverbindung hin, aber jeder Standort kommt noch ins Internet?

 

Warum macht ihr dann kein "richtiges" VPN? Schon als Fallbacklösung wäre das doch auch für den Normalbetrieb interessant. Mit Teamviewer würde ich da jedenfalls nicht rumbasteln, das ist dafür weder gedacht noch geeignet.

 

Gruß, Nils

[Maraun 12]

Also der Standort ist im asiatischen Raum und das Land blockt seit mehr als 4 Wochen unsere bisher bestehende Site-to-Site VPN-Verbindung.

Wir haben jetzt alles mögliche drum herum gebastelt (Citrix) und parallel eine MPLS-Leitung in der Planung.

Aber für die 60 Tage Tombstone kriegen wir die Leitung sicher nicht mehr hin.

Und jetzt tauchen eben erste Probleme mit Computeraccounts auf, die die Vertrauensstellung zur Domäne verloren haben.

[Doso 77]

Naja, da wird es dann wohl eher eine organistorische Lösung als einer technischen Lösung bedürfen. Eigenes AD-DC, lokale IT Abteilung.

[NeMiX 76]

Könnt Ihr die externe IP ändern (auf beiden Seiten)?

Habe in China das Phänomen auch schon mal gehabt, da half ein IP wechsel und danach ging es wieder.

[Maraun 12]

Hi NeMiX,

 

Gute Idee. Werde ich anbringen. Verwalte selber die FW nicht, aber eine Möglichkeit wäre es.

Danke nochmals.

 

Kurze Frage noch:

Ist ein Site-to-Site VPN.

Das heißt, wir werden über den Provider die öffentliche IP ändern und auf unserer Firewall hier die Ziel-IP in China anpassen.

Nur zum Verständnis, weil Du schreibst, die externe IP auf beiden Seiten anpassen.

Wir ändern unsere öffentliche IP nicht.

 

Gruß

Alex

bearbeitet 19. März 2015 von Maraun

[Maraun 12]

Hallo zusammen,

 

ich würde gerne das Thema nochmals für ein paar Fragen aufnehmen.
Unsere SIte-to-Site VPN Verbindung ist nach wie vor nicht aktiv und am Sonntag, 12.04.,

sind es dann 60 Tage. Unsere Kollegen am Standort (circa 100) arbeiten aber noch über den Offline-DC am Standort.
Wenn ich jetzt den DC vorher nicht demote um die Mitarbeiter vor Ort nicht noch mehr zu behindern/einzuschränken (Login, Fileserver Zugriffe etc.),

gleichzeitig aber auch nicht plane, den DC vor Ort wieder in die Domäne zu nehmen, was muss ich dann tun?
Anders gesagt rechne ich damit, einen neuen DC für die Replikaton am Standort zu erstellen, wenn die Verbindung denn irgendwann (MPLS) wieder steht.
Wenn ich jetzt den DC im Vorfeld der abgelaufenen Tombstone demote, dann kriegt der Standort noch mehr Probleme, als ohnehin schon.

Daher habe ich die Idee, den DC hier vollständig aus der Domäne zu entfernen (Sites and Services, ntdsutil), damit er nicht repliziert, sobald die VPN Verbindung wieder aktiv geht.
Kann ich das so umsetzen?
Versucht ein DC, dessen Tombstone abgelaufen ist, überhaupt noch zu replizieren?

 

Vielen Dank vorab.

Gruß

Alex

bearbeitet 7. April 2015 von Maraun

[NilsK 2.930]

Moin,

 

wenn der entfernte DC länger offline ist, als die Tombstone Liftetime dauert, dann wird er beim Wiederherstellen der Netzwerkverbindung nicht mehr replizieren. AD merkt das und beendet die Replikation. Es gibt dann auch Eventlog-Einträge.

 

Nach diesem Zeitpunkt besteht das Risiko von "Lingering Objects" (genau genommen besteht das jetzt auch schon, aber bis zum 11.4. könnte AD das selbst beheben). Wenn du danach den DC deinstallierst und einen neuen einrichtest, werden die User, die als Konten noch vorhanden sind, sich weiter anmelden können.

 

Gruß, Nils