Active Directory Replikation – alles synchron

von

Stefan
in ,

Die Replikation in Active Directory (AD) ist ein zentraler Mechanismus, um sicherzustellen, dass alle Domänencontroller (DCs) in einer Domäne oder Gesamtstruktur konsistente und aktuelle Daten haben. Sie erfolgt automatisch und basiert auf einem mehrstufigen System, das verschiedene Mechanismen und Topologien verwendet.

1. Replikationsmechanismen und -topologien

a) Replikationsmechanismen:

  1. Multimaster-Replikation:
    • In AD ist die Replikation standardmäßig multimasterfähig, was bedeutet, dass Änderungen auf jedem Domänencontroller vorgenommen werden können und anschließend an andere DCs repliziert werden.
    • Vorteil: Hohe Verfügbarkeit und Flexibilität.
    • Konfliktlösung: Wenn Änderungen an mehreren DCs gleichzeitig vorgenommen werden, verwendet AD Zeitstempel und eine USN (Update Sequence Number), um Konflikte zu lösen.
  2. Single-Master-Operationen (FSMO-Rollen):
    • Einige Operationen (z. B. das Hinzufügen einer neuen Domäne) erfordern einen einzigen Master (FSMO-Rollen), um Konflikte zu vermeiden.
    • Beispiele: Schema-Master, RID-Master.
  3. Intrasite- und Intersite-Replikation:
    • Intrasite-Replikation: Innerhalb eines Standorts erfolgt die Replikation häufig und mit hoher Geschwindigkeit, da eine zuverlässige Netzwerkverbindung vorausgesetzt wird.
    • Intersite-Replikation: Zwischen Standorten wird die Replikation optimiert, um Bandbreite zu sparen. Hierbei werden Komprimierung und geplante Replikationsintervalle verwendet.
  4. Delta-basierte Replikation:
    • Nur Änderungen (Deltas) werden repliziert, nicht die gesamte Datenbank.
    • Dies reduziert die Netzwerklast erheblich.
  5. Verzeichnispartitionen:
    • AD-Daten sind in Partitionen unterteilt, die unabhängig voneinander repliziert werden:
      • Schema-Partition: Enthält das Schema der Gesamtstruktur.
      • Konfigurationspartition: Enthält Informationen zur Gesamtstruktur und Topologie.
      • Domänenpartition: Enthält Benutzerdaten und Gruppen.
      • Anwendungsverzeichnispartitionen: Für DNS-Zonen und andere Anwendungen.

b) Replikationstopologien:

  1. Intrasite-Topologie:
    • Innerhalb eines Standorts wird die Replikation automatisch durch den Knowledge Consistency Checker (KCC) konfiguriert.
    • Ring-Topologie: Jeder DC ist mit mindestens zwei anderen DCs verbunden, um Redundanz zu gewährleisten.
  2. Intersite-Topologie:
    • Zwischen Standorten wird die Replikation über Bridgehead-Server durchgeführt.
    • Die Topologie wird ebenfalls vom KCC verwaltet, kann aber manuell angepasst werden.
    • Standortverknüpfungen: Definieren die Replikationspfade zwischen Standorten.
    • Kosten: Jeder Standortverknüpfung können Kosten zugewiesen werden, um die bevorzugten Replikationspfade zu steuern.
  3. Bridgehead-Server:
    • Ein Bridgehead-Server ist für die Kommunikation zwischen Standorten verantwortlich.
    • Änderungen werden von einem Bridgehead-Server an andere Standorte weitergeleitet.

2. Überwachung und Fehlerbehebung

a) Überwachung der Replikation:

  1. Replikationsstatus überprüfen:
    • Verwende das Tool repadmin, um den Status der Replikation zu überprüfen.
      • Beispiel: repadmin /showrepl zeigt die Replikationspartner und den Status an.
  2. Ereignisanzeige:
    • Überwache die Ereignisanzeige auf den Domänencontrollern unter „Verzeichnisdienst“.
    • Fehlercodes wie Event ID 2042 können auf Replikationsprobleme hinweisen.
  3. Active Directory-Replikationsmonitor (ReplMon):
    • Ein älteres, aber nützliches Tool zur grafischen Überwachung der Replikation.
  4. DCDiag:
    • Führe dcdiag aus, um den allgemeinen Zustand eines Domänencontrollers zu überprüfen.
      • Beispiel: dcdiag /test:replications prüft die Replikation.

b) Häufige Probleme und Lösungen:

  1. Replikationskonflikte:
    • Problem: Änderungen an denselben Objekten auf verschiedenen DCs.
    • Lösung: AD verwendet die USN und Zeitstempel, um Konflikte zu lösen. Überprüfe Konflikte mit repadmin /showobjmeta.
  2. Ungültige Standortverknüpfungen:
    • Problem: Falsche oder fehlende Standortverknüpfungen können die Replikation verhindern.
    • Lösung: Überprüfe die Standortverknüpfungen in der Active Directory-Standorte und -Dienste-Konsole.
  3. Netzwerkprobleme:
    • Problem: Schlechte Verbindungen zwischen Standorten.
    • Lösung: Stelle sicher, dass die Ports 135, 389, 636, 3268 und 3269 geöffnet sind.
  4. Veraltete Domänencontroller:
    • Problem: Ein DC wurde länger als die Tombstone-Lebensdauer (Standard: 180 Tage) nicht repliziert.
    • Lösung: Entferne den veralteten DC aus der Domäne und füge ihn erneut hinzu.
  5. Zeitabweichungen:
    • Problem: Zeitabweichungen zwischen DCs können die Kerberos-Authentifizierung und Replikation stören.
    • Lösung: Stelle sicher, dass alle DCs die gleiche Zeitquelle verwenden (z. B. NTP).

c) Tools zur Fehlerbehebung:

  1. repadmin:
    • Zeigt detaillierte Informationen zur Replikation an.
    • Beispiel: repadmin /syncall erzwingt die Replikation.
  2. dcdiag:
    • Führt umfassende Diagnosen durch.
    • Beispiel: dcdiag /test:replications prüft Replikationsprobleme.
  3. Ereignisanzeige:
    • Überwache Fehler in der Ereignisanzeige.
  4. Active Directory-Standorte und -Dienste:
    • Überprüfe und bearbeite die Replikationstopologie.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert