Jump to content

Domain/Forest Level 2003 - Offline Replikation möglich?


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben einen Standort in Asien, der vom VPN getrennt ist und scheinbar auch nicht mehr verbunden werden kann.

Die einzige Lösung ist eine MPLS-Leitung. Die Tombstone Lifetime in unserem AD ist 60 Tage.

Der DC ist jetzt seit knapp 3 Wochen offline.

Gibt es eine Möglichkeit, das AD mit dem DC offline zu replizieren?

Hab ich irgendeine Möglichkeit, die Tombstone Lifetime an dem Offline-DC zu erhöhen?

 

Wir haben dort circa 100 Clients am Standort und das ist der einzige DC.
Als Backup-DC arbeiten alle über unseren DC´s in Deutschland.

Sollte ich weder eine Offline-Replikation noch eine andere Möglichkeit haben, die Tombstone Lifetime zu erhöhen,

was kann ich tun, um den Schaden und die Probleme so gering wie möglich zu halten?

 

Viele Grüße

Alex

Link zu diesem Kommentar
  • 2 Wochen später...

Hi zusammen,

 

ich wollte das Thema nochmals pushen.

Mir ist es möglich, auf Clients am Standort eine Teamviewer-Sitzung herzustellen.
Gibt es irgendeine Chance, hier eine Offline-Replikation per Datentransfer oder ähnliches zu bewerkstelligen?
Ich würde im Nachgnag den DC auch demoten und einen neuen aufsetzen, aber mittlerweile starten die ersten Probleme am Standort.

Einige Clients verlieren die Vertrauensstellung und melden das beim Loginversuch.
 

Link zu diesem Kommentar

Moin,

 

eine Offline-Replikation gibt es nicht. Das Hochsetzen der Tombstone Lifetime würde das Problem nicht lösen, dafür bei Replikationsproblemen während des Änderungsvorgangs aber u.U. gravierende Probleme hervorrufen. Auf keinen Fall solltest du diese Änderung ausführen, wenn keine zuverlässige Verbindung vorhanden ist.

 

Es gibt drei realistische Möglichkeiten:

  1. Du sorgst für eine stabile Verbindung der beiden DCs, bevor die Replikationspause die Tombstone Lifetime erreicht (rechtzeitig vorher!)
  2. Du nimmst den DC am entfernten Standort außer Betrieb (vom Netz nehmen und deinstallieren) und entfernst ihn aus dem AD
  3. Du tust nichts und lässt die Replikate auseinander laufen. Wenn dann irgendwann die Verbindung wieder zuverlässig funktioniert, versuchst du das AD um die Lingering Objects zu bereinigen. Achtung, das wird sehr wahrscheinlich zu Datenverlusten führen - die Änderungen auf dem entfernten DC nach Abbruch der Replikation wirst du verlieren

Variante 3 ist am wenigsten erstrebenswert.

 

Gruß, Nils

Link zu diesem Kommentar

Hi Nils,

 

vielen Dank für die umfassende Antwort.

Ich will den DC am Standort nicht verlieren, denke aber, dass es keine rechtzeitig funktionierende Verbindung zum Standort geben wird,

da das ganze geblockt wird und wir so schnell keine MPLS Leitung aus dem Hut zaubern.

Von daher war die Idee mit der Teamviewer / VPN Lösung nur dazu gedacht, den DC zumindest wieder kurzzeitig an die Replikation zu bringen und

damit die Tombstone auf erneut 60 Tage zu verlängern.

Ich werde ganz bestimmt keine Änderungen á la Tombstone Lifetime verlängern oder ähnliches durchführen, solange ein DC offline ist.

 

Aber so wie ich das sehe kommt nur Variante 2 in Frage.

 

Gruß

Link zu diesem Kommentar

Moin,

 

verstehe ich nicht ganz. Ihr kriegt keine Direktverbindung hin, aber jeder Standort kommt noch ins Internet?

 

Warum macht ihr dann kein "richtiges" VPN? Schon als Fallbacklösung wäre das doch auch für den Normalbetrieb interessant. Mit Teamviewer würde ich da jedenfalls nicht rumbasteln, das ist dafür weder gedacht noch geeignet.

 

Gruß, Nils

Link zu diesem Kommentar

Also der Standort ist im asiatischen Raum und das Land blockt seit mehr als 4 Wochen unsere bisher bestehende Site-to-Site VPN-Verbindung.

Wir haben jetzt alles mögliche drum herum gebastelt (Citrix) und parallel eine MPLS-Leitung in der Planung.

Aber für die 60 Tage Tombstone kriegen wir die Leitung sicher nicht mehr hin.

Und jetzt tauchen eben erste Probleme mit Computeraccounts auf, die die Vertrauensstellung zur Domäne verloren haben.

Link zu diesem Kommentar

Hi NeMiX,

 

Gute Idee. Werde ich anbringen. Verwalte selber die FW nicht, aber eine Möglichkeit wäre es.

Danke nochmals.

 

Kurze Frage noch:

Ist ein Site-to-Site VPN.

Das heißt, wir werden über den Provider die öffentliche IP ändern und auf unserer Firewall hier die Ziel-IP in China anpassen.

Nur zum Verständnis, weil Du schreibst, die externe IP auf beiden Seiten anpassen.

Wir ändern unsere öffentliche IP nicht.

 

Gruß

Alex

bearbeitet von Maraun
Link zu diesem Kommentar
  • 3 Wochen später...

Hallo zusammen,

 

ich würde gerne das Thema nochmals für ein paar Fragen aufnehmen.
Unsere SIte-to-Site VPN Verbindung ist nach wie vor nicht aktiv und am Sonntag, 12.04.,

sind es dann 60 Tage. Unsere Kollegen am Standort (circa 100) arbeiten aber noch über den Offline-DC am Standort.
Wenn ich jetzt den DC vorher nicht demote um die Mitarbeiter vor Ort nicht noch mehr zu behindern/einzuschränken (Login, Fileserver Zugriffe etc.),

gleichzeitig aber auch nicht plane, den DC vor Ort wieder in die Domäne zu nehmen, was muss ich dann tun?
Anders gesagt rechne ich damit, einen neuen DC für die Replikaton am Standort zu erstellen, wenn die Verbindung denn irgendwann (MPLS) wieder steht.
Wenn ich jetzt den DC im Vorfeld der abgelaufenen Tombstone demote, dann kriegt der Standort noch mehr Probleme, als ohnehin schon.

Daher habe ich die Idee, den DC hier vollständig aus der Domäne zu entfernen (Sites and Services, ntdsutil), damit er nicht repliziert, sobald die VPN Verbindung wieder aktiv geht.
Kann ich das so umsetzen?
Versucht ein DC, dessen Tombstone abgelaufen ist, überhaupt noch zu replizieren?

 

Vielen Dank vorab.

Gruß

Alex

bearbeitet von Maraun
Link zu diesem Kommentar

Moin,

 

wenn der entfernte DC länger offline ist, als die Tombstone Liftetime dauert, dann wird er beim Wiederherstellen der Netzwerkverbindung nicht mehr replizieren. AD merkt das und beendet die Replikation. Es gibt dann auch Eventlog-Einträge.

 

Nach diesem Zeitpunkt besteht das Risiko von "Lingering Objects" (genau genommen besteht das jetzt auch schon, aber bis zum 11.4. könnte AD das selbst beheben). Wenn du danach den DC deinstallierst und einen neuen einrichtest, werden die User, die als Konten noch vorhanden sind, sich weiter anmelden können.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...