Wie lang dürfen DCs getrennt werden?

[Muffel 11]

Zwischen zwei Standorten wird die Verbindung unterbrochen (bzw. blockiert) und keiner merkt es. An Standort 1 sind alle Betriebsmaster enthalten, an beiden Standorten ein globaler Katalog. Wie lang können die DCs maximal voneinander getrennt sein, bis es ernsthafte Probleme gibt?

[blub 115]

auf jeden Fall hat dein Monitoring-Konzept ein ernsthaftes Problem, wenn es bei sowas nicht anschlägt

[NorbertFe 1.825]

Zwischen zwei Standorten wird die Verbindung unterbrochen (bzw. blockiert) und keiner merkt es. An Standort 1 sind alle Betriebsmaster enthalten, an beiden Standorten ein globaler Katalog. Wie lang können die DCs maximal voneinander getrennt sein, bis es ernsthafte Probleme gibt?

 

Maximal solange wie die Tombstonetime definiert ist.

 

Bye

Norbert

[Daim 12]

Maximal solange wie die Tombstonetime definiert ist.

 

Genau und in Zahlen ausgedrückt sieht das ganze so aus:

 

Yusufs Directory Blog - Die Tombstone Lifetime

[blub 115]

aber auch nach Ablauf der TombstoenLifetime gibts nicht mehr oder weniger ernsthafte Probleme als vorher. (Domäne wird nicht mit konsistenter Zeit versorgt, Passwörter werden inkonsistent und 100 andere Dinge mehr).

[Daim 12]

aber auch nach Ablauf der TombstoenLifetime gibts nicht mehr oder weniger ernsthafte Probleme als vorher. (Domäne wird nicht mit konsistenter Zeit versorgt, Passwörter werden inkonsistent und 100 andere Dinge mehr).

 

Das schon, aber dabei kommt es eben auf die Dauer an, in der der DC nicht verfügbar ist. Das hatte der OP in seinem Beispiel nicht erwähnt. Und nach Ablauf der TSL gibt es sehr wohl "mehr" Probleme, denn dann blocken zusätzlich, neben dem was du erwähnt hast, die Replikationspartner die Replikation mit dem Offline-DC.

[Muffel 11]

Zum Hintergrund: Ich bin bei einem neuen Kunden auf ein geroutetes Netzwerk gestoßen, in welchen von einem externen IT-Dienstleister bei dem einen DC (der mit allen Betriebsmastern) der Default-Gateway zu Wartungszwecken (er sollte wohl vorübergehend nicht ins Internet dürfen) entfernt wurde, man aber vergaß, den Gateway wieder einzutragen. Routen existieren an dem DC auch nicht. So konnte er natürlich auch nicht mehr mit dem anderen DC reden.

 

Ich habe die Yusuf-Seite gelesen. Da auf allen Servern Windows Server 2003 mit SP2 drauf ist sollte die Tombstone Lifetime 180 Tage sein. Die letzte Verbindung war etwa Mitte August, also vor etwa 3 Monaten, noch weit von 180 Tagen entfernt.

 

Kann ich den Gateway "einfach" wieder eintragen und die Replikation abwarten oder ist dann mit lauter Datenschrott zu rechnen? Was sollte ich tun (neben der Datensicherung), was besser sein lassen?

[Jetter 11]

Du solltest schon zusehen das die Server sich wieder untereinander sehen (also Gateway eintragen), und damit auch die Replikation wieder funktioniert.

 

Datenschrott habe ich hier noch nie bekommen, das einzige was ich bisher machen musste sind Objekte, die der Tombstone Zeit zum Opfer gefallen sind, per Hand löschen. Danach liefen die Systeme aber wieder richtig.

 

Aber vielleicht hast du ja wirklich Glück und alles kann wieder ordnungsgemäß repliziert werden.

[NorbertFe 1.825]

Ich habe die Yusuf-Seite gelesen.

 

Gut.

 

Da auf allen Servern Windows Server 2003 mit SP2 drauf ist sollte die Tombstone Lifetime 180 Tage sein.

 

Da hast du die Seite aber schlecht gelesen. Das reine Vorhandensein des SP2 auf allen DCs sagt genau nichts über die Tombstone Lifetime aus. Die Frage ist: Mit welchem Medium wurde die Domäne installiert und promoted. Um es genau zu wissen mußt du nochmal Yusufs Artikel lesen, denn er hat genau beschrieben wie man das herausfindet.

 

und die Replikation abwarten oder ist dann mit lauter Datenschrott zu rechnen? Was sollte ich tun (neben der Datensicherung), was besser sein lassen?

 

Auch das hat Yusuf in seinem Blog beschrieben.

 

Bye

Norbert

[blub 115]

wiegesagt, mit inkonsistenten User- und Computerpasswörtern musst du nach 3 Monaten wahrscheinlich rechnen. Die beiden DCs werden nicht ohne weiteres replizieren und wenn sie dann replizieren, dann sind Computerkonten abgelaufen, Trusts arbeiten vielleicht nicht mehr, etc, etc. .....Ich hatte so ein Szenario aber auch noch nicht vor mir. Ich würde versuchen ein Abbild der beiden DCs in eine Testumgebung zu bekommen, sei es per Images (das in diesem Fall funktionieren sollte) oder über ein normales Backup/ Restoreverfahren. Dann lassen sich Auswirkungen und Gegegnmassnahmen im voraus abschätzen.

 

cu

blub

[NorbertFe 1.825]

über ein normales Backup/ Restoreverfahren. Dann lassen sich Auswirkungen und Gegegnmassnahmen im voraus abschätzen.

 

Hmm da in jeden Fall aber die inkosistenten User und Benutzerkonten existieren wäre die saubere Methode wahrscheinlich:

- rausfinden wie lang die TSL im betroffenen Forest wirklich ist

- abhängig davon entweder die REplikation wieder aktivieren oder den einen DC mittels forceremoval runterstufen und wieder raufstufen. Mit den von dir angesprochenen Problemen muß man dann leben und sie beseitigen. Eventull helfen solche "Schmerzen" ja, dass sowas in Zukunft nicht nochmal auftritt. ;)

 

Bye

Norbert

[Muffel 11]

Ah Mist, die Installation des AD (und damit die Festlegung der Tombstone TTL) erfolgte noch zu Zeiten, also Windows Server 2003 ganz ohne ServicePacks unterwegs war. Also habe ich doch nur 60 Tage, die jetzt ganz sicher überschritten sind. Na ich werde kommende Woche einfach wieder zusammenfügen, falls es einen Server fetzt wird halt neu installiert.

 

Backups helfen mir ja auch nicht wirklich, weil da auch die 60 Tage drin sind. Welchen DC sollte ich eher am Leben halten, den mit den ganzen Betriebsmastern oder den anderen?

[Jetter 11]

Sind die FSMO Rollen auf mehrere Server verteilt?

Wie viele Server haben den Global Katalog?

 

Am Leben halten kannst du alle, musst nun halt nur ein bisschen "Hand anlegen". Aber bitte beantworte erst die beiden Fragen.

[gysinma1 13]

Hallo

 

Du schreibst die Betriebsmaster sind auf dem einen Server. Der andere Server ist wie Du schreibst mit grösster Sicherheit out of sync d.h. demoten und neu promoten als DC. Immer aus dem Standpunkt der FSMO Rollen arbeiten. Den anderen DC allenfals mit dcpromo /forceremove aus der Domain reissen.

 

Das schlimmste was du machen kannst ist, sind dioe Server wieder so zu verbinden, denn es kann sein, dass von den 5 Partitionen noch eine Intakt repliziert ... hatten das vor einiger Zeit. Dann ist der Salat komplett. Irgendjemand hat eine RAS Verbindung "vergessen".

 

Für den Moment hilft replmon und repadmin um sich eine Übersicht zu verschaffen.

 

Und .... das Monitoring so ausbauen, dass dies nicht mehr vorkommt. Zu dem Backup sage ich besser nix.

 

Gruss

Matthias

[NorbertFe 1.825]

Ah Mist, die Installation des AD (und damit die Festlegung der Tombstone TTL) erfolgte noch zu Zeiten, also Windows Server 2003 ganz ohne ServicePacks unterwegs war. Also habe ich doch nur 60 Tage, die jetzt ganz sicher überschritten sind.

 

Wenns niemand geändert hat. Genau kannst nur du das sagen, wenn du mal nachschauen würdest.

 

Welchen DC sollte ich eher am Leben halten, den mit den ganzen Betriebsmastern oder den anderen?

 

Das ist eine gute Frage :) Wenn es nur zwei DCs sind, dann ist es prinzipiell egal. Dann würde ich im Zweifel den nehmen bei dem mit weniger Auswirkungen zu rechnen ist.

 

Bye

Norbert