AD - Computerlöschungen werden zurückrepliziert / zurückgelöscht
Hallo zusammen,
ich habe ein seltsames Phänomen (kann aber auch normal sein).
Aufgrund einer Verschlüsselungslösung müssen wir jeden Computer löschen bevor wir ein Gerät mit dem gleichen Namen in die AD bringen.
Manchmal kann dies aber nur kurz vor der Neuinstallation des Geräts erfolgen.
Nun haben wir das Problem, dass das Gerät sich zwar nach der Löschung in der AD registrieren kann. Aber nach dem 2-3 Boot wird es wieder aus der AD geschmissen.
Ich denke, dass die Löschung von einer unserer Außenstellen dann zurückrepliziert wird und somit das Objekt zur Löschung freigegeben wird.
Infrastruktur
2 DCs am Hauptstandort (RID, PDC auf dem einem und Infrastruktur, schema auf dem anderen)
dann an jedem Standort 1 DC (der auch GC ist)
Kennt jemand dieses Problem ? Die Replikation an sich funktioniert. Wenn man manuell repliziert und dann 10-15 Minuten wartet lässt sich das Notebook ohne Probleme registrieren.
Grüße
Stephan
edit: sorry. hab mich verklickt. ist im falschen forum. kanns einer verschieben bitte ?
Geändert von steppe (03.02.2010 um 11:55 Uhr).
Grund: falsches Forum
wie ist eure Replikationstopologie aufgebaut? Unter welchen OS laufen die DCs? Wie nehmt ihr die PCs in die Domäne auf?
Es ist unwahrscheinlich, dass die gelöschten Objekte "zurückrepliziert" werden, weil AD transaktional arbeitet. Da das "neue" Objekt erst nach der Löschung erzeugt wird, kann es da eigentlich keinen Konflikt geben.
Meine Vermutung ist eher, dass das manuell neu angelegte Objekt noch nicht auf den DC repliziert wurde, über den der Client dann tatsächlich in die Domäne kommt. In dem Moment erzeugt der Client ein neues Computerobjekt, welches dann aufgrund des Namenskonflikts danach nicht mehr nutzbar ist.
Ihr solltet also a) die Replikation prüfen und b) euren Prozess auf die Gegebenheiten anpassen.
die DCs haben Windows 2003 (R2). Ein DC hat Windows 2008.
Die Gesamtstruktur ist Windows 2003.
Die Topologie ist sternförmig. Von Hauptstandort gibt es Verbindungsdokumente (von beiden DCs) an die Standorte.
Die Replikation ist jede Stunde angesetzt.
Der Computer wird nicht manuell angelegt sondern über Sysprep "registriert".
Replikationsprobleme kann ich weder mit Repadmin noch in der Ereignisanzeige entdecken (war auch mein erster Verdacht).
warum repliziert ihr nur jede Stunde? Wie groß ist denn die Umgebung, und wie ist die WAN-Bandbreite?
Wenn ihr die Computerobjekte nicht vorher erzeugt, ist meine obige Vermutung hinfällig. In dem Fall solltet ihr die Ereignisprotokolle überprüfen und dazu mal das Logging für DS-Vorgänge im AD hochdrehen (Def. DC Policy).
Deine Beschreibung ist darüber hinaus nicht allzu aussagefähig: Was heißt "wird es wieder aus der AD geschmissen"? Wie lange ist die zeitliche Dauer von "nach dem 2-3 Boot"? Betrifft das alle Clients dieser Art oder nur manche? Wie lang ist der Abstand zwischen Löschung des Objekts und Neuaufnahme des Clients?
Und darüber hinaus natürlich die Frage: Welchen Zusammenhang gibt es da zu der Verschlüsselungslösung? Warum die Anforderung, die Computer neu in die Domäne zu bringen?
es handelt sich um 7 Außenstellen (alle mit den Subnets in Standorte angelegt) mit Anbindungen zwischen 1 und 6 Mbit (die meisten haben 2 Mbit).
Standard wäre doch 180 Minuten oder ? Wie weit könnte man das runterdrehen ?
Geschmissen=Man kann sich nicht mehr mit dem Computer an der Domäne anmelden (vertrauensstellung..) und das Computerkonto befindet sich auch nicht mehr dort.
Das betrifft nur die Clients die kurz vorher gelöscht worden sind. Ich würde sagen in einem Zeitraum von 5-10 Minuten vor Sysprep.
Aber selbst dann müsste er ja über die Subnetzzuordnung es bei den Servern versuchen auf denen das Objekt gerade gelöscht worden ist.
AD - Computerlöschungen werden zurückrepliziert / zurückgelöscht
Kannst du mir den Weg weisen ?
