steppe 10 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 (bearbeitet) Hallo zusammen, ich habe ein seltsames Phänomen (kann aber auch normal sein). Aufgrund einer Verschlüsselungslösung müssen wir jeden Computer löschen bevor wir ein Gerät mit dem gleichen Namen in die AD bringen. Manchmal kann dies aber nur kurz vor der Neuinstallation des Geräts erfolgen. Nun haben wir das Problem, dass das Gerät sich zwar nach der Löschung in der AD registrieren kann. Aber nach dem 2-3 Boot wird es wieder aus der AD geschmissen. Ich denke, dass die Löschung von einer unserer Außenstellen dann zurückrepliziert wird und somit das Objekt zur Löschung freigegeben wird. Infrastruktur 2 DCs am Hauptstandort (RID, PDC auf dem einem und Infrastruktur, schema auf dem anderen) dann an jedem Standort 1 DC (der auch GC ist) Kennt jemand dieses Problem ? Die Replikation an sich funktioniert. Wenn man manuell repliziert und dann 10-15 Minuten wartet lässt sich das Notebook ohne Probleme registrieren. Grüße Stephan edit: sorry. hab mich verklickt. ist im falschen forum. kanns einer verschieben bitte ? bearbeitet 3. Februar 2010 von steppe falsches Forum Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Moin, wie ist eure Replikationstopologie aufgebaut? Unter welchen OS laufen die DCs? Wie nehmt ihr die PCs in die Domäne auf? Es ist unwahrscheinlich, dass die gelöschten Objekte "zurückrepliziert" werden, weil AD transaktional arbeitet. Da das "neue" Objekt erst nach der Löschung erzeugt wird, kann es da eigentlich keinen Konflikt geben. Meine Vermutung ist eher, dass das manuell neu angelegte Objekt noch nicht auf den DC repliziert wurde, über den der Client dann tatsächlich in die Domäne kommt. In dem Moment erzeugt der Client ein neues Computerobjekt, welches dann aufgrund des Namenskonflikts danach nicht mehr nutzbar ist. Ihr solltet also a) die Replikation prüfen und b) euren Prozess auf die Gegebenheiten anpassen. Gruß, Nils Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 3. Februar 2010 Autor Melden Teilen Geschrieben 3. Februar 2010 Hallo, danke für die schnelle Antwort. die DCs haben Windows 2003 (R2). Ein DC hat Windows 2008. Die Gesamtstruktur ist Windows 2003. Die Topologie ist sternförmig. Von Hauptstandort gibt es Verbindungsdokumente (von beiden DCs) an die Standorte. Die Replikation ist jede Stunde angesetzt. Der Computer wird nicht manuell angelegt sondern über Sysprep "registriert". Replikationsprobleme kann ich weder mit Repadmin noch in der Ereignisanzeige entdecken (war auch mein erster Verdacht). Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Moin, warum repliziert ihr nur jede Stunde? Wie groß ist denn die Umgebung, und wie ist die WAN-Bandbreite? Wenn ihr die Computerobjekte nicht vorher erzeugt, ist meine obige Vermutung hinfällig. In dem Fall solltet ihr die Ereignisprotokolle überprüfen und dazu mal das Logging für DS-Vorgänge im AD hochdrehen (Def. DC Policy). Deine Beschreibung ist darüber hinaus nicht allzu aussagefähig: Was heißt "wird es wieder aus der AD geschmissen"? Wie lange ist die zeitliche Dauer von "nach dem 2-3 Boot"? Betrifft das alle Clients dieser Art oder nur manche? Wie lang ist der Abstand zwischen Löschung des Objekts und Neuaufnahme des Clients? Und darüber hinaus natürlich die Frage: Welchen Zusammenhang gibt es da zu der Verschlüsselungslösung? Warum die Anforderung, die Computer neu in die Domäne zu bringen? Gruß, Nils Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 3. Februar 2010 Autor Melden Teilen Geschrieben 3. Februar 2010 Hallo Nils, es handelt sich um 7 Außenstellen (alle mit den Subnets in Standorte angelegt) mit Anbindungen zwischen 1 und 6 Mbit (die meisten haben 2 Mbit). Standard wäre doch 180 Minuten oder ? Wie weit könnte man das runterdrehen ? Geschmissen=Man kann sich nicht mehr mit dem Computer an der Domäne anmelden (vertrauensstellung..) und das Computerkonto befindet sich auch nicht mehr dort. Das betrifft nur die Clients die kurz vorher gelöscht worden sind. Ich würde sagen in einem Zeitraum von 5-10 Minuten vor Sysprep. Aber selbst dann müsste er ja über die Subnetzzuordnung es bei den Servern versuchen auf denen das Objekt gerade gelöscht worden ist. Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 3. Februar 2010 Melden Teilen Geschrieben 3. Februar 2010 Moin, wie gesagt: Dreht das Logging für DS-Vorgänge hoch und prüft danach das Security-Protokoll auf allen DCs, um herauszufinden, was da im AD passiert. Gruß, Nils Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 3. Februar 2010 Autor Melden Teilen Geschrieben 3. Februar 2010 (bearbeitet) Ok mach ich. Allerdings finde ich die Einstellung nicht :) Kannst du mir den Weg weisen ? Hast du für mich noch ein Tipp wegen der Replikationseinstellungen (wie oft) ? Grüße Stephan Edit: Befehl repadmin /showrepl * /csv >showrepl.csv von http://technet.microsoft.com/en-us/library/cc949120(WS.10).aspx zeigt schonmal keine Fehler. bearbeitet 3. Februar 2010 von steppe Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 5. Februar 2010 Autor Melden Teilen Geschrieben 5. Februar 2010 Kann mir noch jemand einen Tipp geben wegen der Loggingfunktion ? Grüße Stephan Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 5. Februar 2010 Melden Teilen Geschrieben 5. Februar 2010 Moin, in der Default Domain Controllers Policy unter Computer/Windows/Sicherheit/ Lokal/Überwachung. Dort nimmst du den Verzeichnisdienstzugriff. Dass die Interpretation der Ergebnisse einiges Hintergrundwissen verlangt, ist dir sicher klar. Gruß, Nils Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 5. Februar 2010 Autor Melden Teilen Geschrieben 5. Februar 2010 Hehe da werde ich mich dann schon reinarbeiten :) Vielen Dank und schönes Wochenende. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 5. Februar 2010 Melden Teilen Geschrieben 5. Februar 2010 Aloha, zusätzlich könntest du dann noch das Logging in der Registry der DCs erhöhen: LDAP://Yusufs.Directory.Blog/ - Die Protokollierung des Active Directory`s konfigurieren Standard wäre doch 180 Minuten oder ? Korrekt. Standardmäßig findet standortübergreifend alle 180 Minuten (also alle drei Stunden) die AD-Replikation statt. Wie weit könnte man das runterdrehen ? Höchstens auf alle 15 Minuten. Eine Faustregel wie oft die AD-Replikation stattfinden soll gibt es nicht. Das bestimmt jedes Unternehmen für sich. Denn davon hängen mehrere Faktoren ab: 1. Welche Bandbreite existiert zwischen den Standorten? 2. Was geht noch alles über die Leitung (Internet, Mail, Dateizugriff, CRM etc.)? 3. Wie oft finden welche Änderungen im AD statt? 4. Wechseln die Mitarbeiter wie oft den AD-Standort? 5. Wie schnell sollen Änderungen im AD an die AD-Standorte repliziert werden? usw. Wie gesagt, dass müsst ihr entscheiden. Prinzipiell könnte man standortübergreifend die gleiche Replikationslatenz wie standortintern konfigurieren [1]. Das bedeutet aber auch, dass standortübergreifend viel mehr repliziert wird. Wenn dann keine Flat-Leitungen zwischen den AD-Standorten existieren, könnte das kostspielig werden. [1] LDAP://Yusufs.Directory.Blog/ - Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.