Jump to content

Erzwingen der Synchronisation von AD, GPO und SYSVOL-Änderungen auf anderen Standort


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben eine Domäne mit drei DCs an insgesamt zwei Standorten. Es sind:

 

DC01 - DC am Standort 1

DC02 - DC am Standort 1

 

DC03 - DC am Standort 2

 

Die Standorte sind mittels 300 MBit gegenseitig angebunden.

 

Werden Änderungen am AD vorgenommen und GPOs editiert und verändert, werden die entsprechenden Veränderungen auch immer repliziert. Unser Problem ist die Zeit der Synchronisierung zwischen den Standorten. Dies ist vor allem wichtig, wenn Fehler gemacht werden und Skripte fehlerhaft sind. Die Korrekturen sollen dann sofort synchronisiert werden.

 

Die Synchronisierung am eigenen Standort ist immer sehr schnell, nur nicht zum zweiten (geschätzt max. 3h).

 

Mit welchen Befehlen ist es möglich, die Replizierung über den eigenen Standort hinweg zu erzwingen, sodass die AD-Veränderungen, geänderten GPOs und das SYSVOL-Verzeichnis sofort synchronisiert werden? Die Befehle sollen dann bei Bedarf über eine bat-Datei ausgeführt werden.

 

Bei Anpassung am DC01 wurden schon die Befehle:

 

repadmin /syncall /force

repadmin -showrepl *

ntfrsutl forcerepl dc03 /r "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" /p dc01

ntfrsutl forcerepl dc01 /r "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" /p dc03

 

ausgeführt. Es erfolgt aber keine sofortige Synchronisation mit dem zweiten Standort.

 

Es werden keine Fehler ausgegeben. In der Ereignisanzeige gibt es auch keine Einträge.

 

Änderungsort und Ausführungsort der Befehle sind der gleiche Server!

 

Bereits Danke für die Unterstützung.

 

Schöne Tage

d.pabst

 

PS: Die Support-Tools sind auf allen DCs installiert.

Link zu diesem Kommentar

Moin,

 

lustigerweise entspricht "drei Stunden" genau dem Standardeintrag für die Replikationsverzögerung zwischen zwei Standorten. Kontrolliere also die Konfig der Standortverbindung und passe sie an. Bei 300 Mbit/s kannst du durchaus auf 15 Minuten runtergehen.

 

Wenn du "sofortige" Replikation willst, könntest du auch die DCs alle in denselben AD-Standort packen. Bei der Leitungsgeschwindigkeit denkbar, aber nicht ohne weitere Detailanalyse zu empfehlen.

 

Gruß, Nils

Link zu diesem Kommentar

Servus,

 

Die Synchronisierung am eigenen Standort ist immer sehr schnell, nur nicht zum zweiten (geschätzt max. 3h).

 

dann verschiebe so wie es Nils bereits geschrieben hatte alle DCs an den gleichen AD-Standort oder du konfigurierst die standortübergreifende Änderungsbenachrichtigung. Was für die AD-Replikation nichts anderes darstellt, als wären alle DCs am gleichen AD-Standort. Nur wenn du das konfigurierst, wird halt öfters über die Leitung repliziert.

 

LDAP://Yusufs.Directory.Blog/ - Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren

 

Mit welchen Befehlen ist es möglich, die Replizierung über den eigenen Standort hinweg zu erzwingen, sodass die AD-Veränderungen, geänderten GPOs und das SYSVOL-Verzeichnis sofort synchronisiert werden?

 

Deine aufgeführten Befehle sind schon ok.

 

Es erfolgt aber keine sofortige Synchronisation mit dem zweiten Standort.

 

Keine "sofortige" bedeutet genau? Aber es findet eine AD-Replikation statt?

Link zu diesem Kommentar

Hallo Nilsk und Daim,

 

Danke für Eure Antworten.

 

Wir haben den Replikationsintervall für Inter-Site-Transport auf 15 Minuten angepasst.

 

Die DCs wollen wir nicht an einem AD-Standort legen, da wir bedenken haben, wenn sich die Clients am anderen Standort aktualisieren wollen.

 

Den Punkt "Änderungsbenachrichtigung für die Inter-Site Replikation aktivieren", im Yusufs.Directory.Blog, finden wir sehr interessant. Den entsprechenden Punkt konnte ich bereits mit adsiedit finden. Er ist aber vorerst nicht aktiv.

 

Die von mir aufgeführten Befehle scheinen wohl nur innerhalb des eigenen Standortes zu funktionieren. Vielleicht werden diese dann funktionieren, wenn wird den Punkt "Änderungsbenachrichtigung für die Inter-Site Replikation aktivieren" vollzogen haben.

 

Eine sofortige Synchronisation bei entsprechenden Änderungen ist für uns zum Teil sehr interessant, da die Mitarbeiter an mehreren Standorten und in Schichten arbeiten. Der tatsächliche Einsatzort des Mitarbeiters ist uns nicht immer bekannt.

 

Besten Dank. :)

d.pabst

Link zu diesem Kommentar

Huhuu,

 

Off-Topic:

wow, das neue Titelformat ist cool!

 

Off-Topic:

Da mich schon meine Plattform nervt (und dabei ist die besch...eidene Suche nur das kleinste Übel), dachte ich mir, änderst du mal den Titel. Evtl. tut es dann nicht mehr ganz so weh... ;)

 

 

@d.pabst

 

Die DCs wollen wir nicht an einem AD-Standort legen, da wir bedenken haben, wenn sich die Clients am anderen Standort aktualisieren wollen.

 

Das musst du aber noch genauer erläutern. Was meinst du damit? Bei einer vernünftigen VPN-Anbindung benötigt man, je nach Anzahl der Clients, keinen einzigen DC vor Ort. Die Authentifizierung funktioniert problemlos und ohne performanceverlust über die Leitung an einem DC, der in der Zentrale steht.

 

Die Clients finden ihren DC über das DNS.

 

LDAP://Yusufs.Directory.Blog/ - Domänencontroller am Standort

 

 

Die von mir aufgeführten Befehle scheinen wohl nur innerhalb des eigenen Standortes zu funktionieren. Vielleicht werden diese dann funktionieren, wenn wird den Punkt "Änderungsbenachrichtigung für die Inter-Site Replikation aktivieren" vollzogen haben.

 

Dann führe zum Test mal diese Befehle aus:

 

Für die Inbound-Replikation (eingehend):

REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q

Für alle Verzeichnispartitionen: REPADMIN /SYNCALL <FQDN DC> /A /e /d /q

 

Für die Outbound-Replikation (ausgehend):

REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q /P

REPADMIN /SYNCALL <FQDN DC> /A /e /d /q /P

 

Achtung: Die Parameter sind "case sensititve".

 

 

Eine sofortige Synchronisation bei entsprechenden Änderungen ist für uns zum Teil sehr interessant, da die Mitarbeiter an mehreren Standorten und in Schichten arbeiten. Der tatsächliche Einsatzort des Mitarbeiters ist uns nicht immer bekannt.

 

Lies dir meinen Artikel in diesem Post durch, wie ein Client "seinen" DC findet. Dann verstehst du auch, dass sich an dem AD-Standort kein DC befinden muss. Da ihr ausreichende Leitungen habt, sollte die Anmeldung der Benutzer kein Problem sein. Es kommt halt darauf an, was alles über die Leitung geht und wie ausgelastet sie ist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...