Maraun 12 Geschrieben 21. Juli 2016 Melden Teilen Geschrieben 21. Juli 2016 (bearbeitet) Hallo zusammen, kurze Frage zur Replikation:Wir haben neben Deutschland auch Standorte in USA, China, Indien etc.Überall steht ein DC als Global Catalog vor Ort. Mit einem bestimmten DC hier in Deutschland replizieren alle Standort-DC´s. In Sites and Services habe ich überall die Kosten und die Replikationsintervalle der Entfernung bzw. der dortigen Internetleitung angepasst. Langsame und entfernte Standorte replizieren z. B. alle 3 Stunden mit dem definierten DC hier in Deutschland. Wenn ich jetzt aber sowohl auf dem definierten DC hier als auch auf den DC´s an den Standorten per repadmin /showrepl die Replikation prüfe, dann steht dort fast überall das letzte Syncdatum im 15 Minuten Intervall. Wir haben Server 2008 R2 und Server 2012 R2 in Forest/Domain Level 2003 (letzter 2003er DC wurde vor wenigen Wochen demoted).Kann es hier zu erhöhtem Replikationstraffic kommen, solange wir noch auf 2003er Level sind?Unsere Standorte klagen über Performance und VPN Site-to-Site Zugriffe, die seither ganz performant funktioniert haben. Wie kann ich sicherstellen, das an die entferneten Standorte nur nach definiertem Inter-Site Intervall gesynct wird? Danke vorab. Viele Grüße bearbeitet 21. Juli 2016 von Maraun Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 21. Juli 2016 Melden Teilen Geschrieben 21. Juli 2016 Wird denn auch alle 15 Minuten gesynct? AD Objekt verändern und 20 Minuten warten, ist die Änderung an einem DC am entfernten Standort angekommen? Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 21. Juli 2016 Autor Melden Teilen Geschrieben 21. Juli 2016 (bearbeitet) Danke für die schnelle Antwort. Muss ich austesten.Aber wenn nicht, was sind das dann für Werte, die showrepl und das Replication Status Tool melden?Verbindungs- bzw. Replikationsversuche?Das Replication Tool zeigt ja explizit "Last successful sync" an. Und der ist überall in der 15 Minuten Zeitspanne, obwohl nur ein Standort mit Standleitung 15 Minuten bei Intra-Site hinterlegt hat. Alle anderen liegen bei 120 - 180. So, hab ein AD-Objekt hier geändert und auf dem indischen DC jetzt den Status gecheckt. Fazit: ist repliziert. bearbeitet 21. Juli 2016 von Maraun Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 21. Juli 2016 Melden Teilen Geschrieben 21. Juli 2016 Kann es sein, dass der Inder mit dem Chinesen alle 15 min repliziert?Repadmin -replsum , ausgeführt auf dem Inder lliefert vielleicht mehrIch denke nicht, dass der Forest- oder Domainlevel mit der Replikation zu tun hat. Gerade bei so verteilten, evtl. großen Umgebungen musst du dir beim Hochsetzen aber unbedingt vorab ein paar Gedanken machen und recherchieren.Blub Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 22. Juli 2016 Autor Melden Teilen Geschrieben 22. Juli 2016 (bearbeitet) Ergebnis von Repadmin .replsum:Replikation aller DC´s untereinander bleibt im 15 Minuten Takt. Muss ich unter Sites/Services im NTDS des jeweiligen DC´s den standardmäßigen Schedule (four times an hour) ändern?Im Prinzip ist es egal, dass das Inter-Site Verbindungen sind. Die syncen alle 15 Minuten. Genau genommen zielt die Thread-Frage auf folgendes:Der letzte 2003er DC wurde durch einen DC 2012 ersetzt. Domain/Foreslevel weiterhin 2003. DC´s bestehen aus Server 2008 R2/Server 2012 R2. Kann es zu einem erhöten Replikationsverkehr kommen, der ganze Standorte ausbremst?Offtopic:Hab mich schon etwas in das Thema Domain-/Forestlevel Heraufstufung eingelesen. Konnte jetzt aber nichts finden, dass in größeren Umgebungen oder auch mit Maschinenrechner (Win NT, Win 95, Win 2000) dagegen spricht. Hat mir da noch jemand einen Tipp bzw. eine Quelle? bearbeitet 22. Juli 2016 von Maraun Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Juli 2016 Melden Teilen Geschrieben 22. Juli 2016 Auf eine Betrachtung oder Diskussion über Steinzeit-Systeme (Win NT, Win 95, Win 2000) habe ich mittlerweile keine Lust mehr. Ist nicht persönlich gemeint! Ein Anheben des Forestlevels führt unter anderem dazu, dass jeder DC alle Objekte in der AD-Datenbank komplett neu indiziert. Abhängig von Größe der DB und Stärke der DC-Hardware steht dieser DC eine mehr oder weniger lange Weile unter Vollast (CPU 100%) und ist von anderen Rechnern fast nicht erreichbar. Große DB + Schwache HW -> mehrere Stunden. Machen das mehrere DCs in einer Site gleichzeitig (und das werden sie ohne vorherige Planung), dann steht die Site ggf. mehrere Stunden! Weiter ändert sich die Verschlüsselung des Kerberospasswortes (krbtgt), was besonders bei schwach angebundenen DCs in Außenstellen zur Verwirrung führen kann. Beides gilt zumindest für ein Anheben des Forestlevels von 2003 auf 2008R2. Nichts spricht gegen ein Anheben der Levels, im Gegenteil!. Aber es ist -entgegen der oft zu lesenden Meinung- nicht immer eine lockere, risikolose Aktion, die man mal ebenso Montag morgen nach dem ersten Kaffee anstößt. blub Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 22. Juli 2016 Melden Teilen Geschrieben 22. Juli 2016 Offtopic: Hab mich schon etwas in das Thema Domain-/Forestlevel Heraufstufung eingelesen. Konnte jetzt aber nichts finden, dass in größeren Umgebungen oder auch mit Maschinenrechner (Win NT, Win 95, Win 2000) dagegen spricht. Hat mir da noch jemand einen Tipp bzw. eine Quelle? Bei Mark gibt es einen Artikel zu dem Thema: http://www.gruppenrichtlinien.de/artikel/nt4-als-domaenenmitglied-in-windows-server-2012-r2/ Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 22. Juli 2016 Autor Melden Teilen Geschrieben 22. Juli 2016 Danke Euch dafür.Hab ich schon richtig verstanden. Bin für jede Hilfe dankbar und plane die Anhebung sorgfältig. Warum jetzt aber meine weltweiten DC´s alle 15 Minuten syncen verstehe ich selber immer noch nicht.Werde mal, wie oben erwähnt, mit den Schedules im NTDS etwas testen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Juli 2016 Melden Teilen Geschrieben 22. Juli 2016 Bei Mark gibt es einen Artikel zu dem Thema: http://www.gruppenrichtlinien.de/artikel/nt4-als-domaenenmitglied-in-windows-server-2012-r2/ Furchtbar! Wenn ohne weitere Erklärung der Konsequenzen eine Securityoption ausgeschaltet wird und das auch noch als "Lösung" verkauft wird! :schreck: Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 25. Juli 2016 Melden Teilen Geschrieben 25. Juli 2016 Secure Channel Encryption abschalten - jaja, kann man machen, muss man aber nicht. Und anonyme Zugriffe - egal auf was - geht auch nicht. Jupp... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. Juli 2016 Melden Teilen Geschrieben 25. Juli 2016 Secure Channel Encryption abschalten - jaja, kann man machen, muss man aber nicht. Klar, Banken könnten dir deine KreditkartenPIN auch offen auf einer Postkarte zuschicken. Wenn alle Postboten ehrliche Männer bzw. ehrliche Frauen sind,...kein Problem! Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 25. Juli 2016 Melden Teilen Geschrieben 25. Juli 2016 Hat er was anderes behauptet? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Juli 2016 Melden Teilen Geschrieben 26. Juli 2016 Ein Forum ist dazu da, andere Sichtweisen kennen zu lernen. Die letzten Posts bzw. der Link sind von daher durchaus interessant. Trotzdem verwundern sich mich schon wieder. Aber jeder, wie er meint! Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 26. Juli 2016 Melden Teilen Geschrieben 26. Juli 2016 Ich meinte... Martin hat wahrscheinlich nur den Ironiemarkierer "vergessen". Vermutlich seid ihr einer Meinung. :) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Juli 2016 Melden Teilen Geschrieben 26. Juli 2016 Ok, das ist eine Erklärung! Merci! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.