H@K@N 10 Geschrieben 27. November 2005 Melden Teilen Geschrieben 27. November 2005 Hallo Zusammen, ich habe im Unternehmen 6 W2K3-DC's, die widerum einem Forest angehören. Die Enterprise Admins haben die Replizierung zwischen den DC's auf 180 Minuten default gesetzt. Teilweise habe ich probleme das bestimmte Aktionen wie z.b. GPO Änderungen, ACL Änderungen erst nach 3 Stunden greifen. Beispiel: Lege einen Benutzer an, füge diesen in eine Gruppe, auf dem Fileserver gebe ich der Grupps NTFS Berechtigungen, wenn ich manuell Repliziere, kann ich in der AD die Benutzer und die Gruppenzugehörigkeit sehen, leider haben diese aber kein Zugriff auf das Share, wohl aber nach 3 Stunden. Ich habe zwar die ForestAdmins gefragt ob diese Einstellung auf 15 Minuten reduziert werden kann, zumindest bis ich meine Migration von Novell>W2K3 fertig habe. Welche vor und Nachteile gibt es bei dieser Einstellung, wenn ich in Sysvol keine Dateien reinkopiere die Übergross sind und die Bandbreite beeinflussen könnten. Gruss Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. November 2005 Melden Teilen Geschrieben 27. November 2005 Hi, in "Sysvol" werden die Gruppenrichtlinien gespeichert und ggf. Login-Scripts abgelegt. Du kannst Du die Replikation mit "AD Sites and Services" auch manuell triggern, wenn du keine 3 Std. warten willst. Die 180 (Voreinstellung) bzw. 15 (Minimum) Minuten Replikationsintervall gelten ja auch nur für Intersite-Replikation, innerhalb einer Site wird spätestens alle 5 Minuten repliziert, im W2K3 native Level (forest functional Level!) sogar noch schneller. Je kürzer der Replikationsintervall, desto aktueller sind deine AD Daten an den verschiedenen Standorten, aber desto mehr Netzverkehr entsteht auch. Wenn Du nun viel Bandbreite zwischen den Sites nutzen kannst, könnte man das Intervall kürzen, wenn nur wenig Bandbreite zur Verfügung steht, wird man i.d.R. längere Intervalle einstellen. Es kommt eben auch darauf an, ob mehrere AD-Domains im Einsatz sind, wie groß die AD-Datenbank ist, wieviele Global Catalogs vorhanden sind, wieviele universelle Gruppen es gibt und wieviele Gruppen-Richtlinien erstellt wurden. Hast Du z.B. kleinere Standorte, kannst Du ggf. überlegen, dort keinen GC zu haben, sondern Universal Group Membership caching einzusetzen. Wir haben den Replikationsintervall bei unseren 4 Standorten auf 60 min. eingestellt. Falls eine Änderung schneller von A nach B repliziert werden muss, machen wir das eben per Hand. Christoph Zitieren Link zu diesem Kommentar
H@K@N 10 Geschrieben 27. November 2005 Autor Melden Teilen Geschrieben 27. November 2005 Danke für die Info Christoph ... Wir haben bisher 4 AD-Domains, wobei einer davon meine Domäne ist. In meiner Domäne gibt es 6 Domain Controller in verschiedenen Niederlassungen, ich habe nur einen GC in der Hauptverwaltung. Die Niederlassungen sind mit 0,6Mbit ATM verbunden und nutzen nur ca %50 der Netzlast. Wenn ich Einstellungen an der AD vornehme und möchte diese schnell in den Standorten haben, mach ich das wie du schon sagtest manuell über die Sites und Services. Jedoch habe ich festgestellt das einige Einstellungen ( wie in meinem ersten Beitrag beschrieben ) z.b. die NTFS-Berechtigungen mit Gruppen manuell nicht triggern kann. Dies hat zwar nicht unmittelbar mit diesem Replizierungsthema zu tun, jedoch würde mich interessieren, ob es ein Fehler ist, oder ob dies gewollt so passiert, dass diese Einstellungen erst nach den besagten 3 Stunden erst in Kraft treten. gruss Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. November 2005 Melden Teilen Geschrieben 27. November 2005 Hi, ich habe den Verdacht, es könnte damit zusammenhängen, dass nur ein DC in der Hauptverwaltung auch GC ist. Ein bischen mehr Info wäre daher nicht schlecht. Wie sieht eure Dom.-Struktur aus, wieviele User habt ihr insgesamt und wieviele pro Domain? Bei uns sieht es so aus, dass wir alle DCs zu GCs gemacht haben und, wie erwähnt, beträgt unser Repl.-Intervall 60 min. Damit wird zwar die Netzwerkauslastung etwas erhöht, aber Probleme, wie Du sie hast, haben wir nicht. Zumindest sind sie uns noch nicht zu Ohren gekommen :D. Vielleicht hilft Dir dieser Artikel weiter in Bezug auf GC Planung. Christoph Zitieren Link zu diesem Kommentar
H@K@N 10 Geschrieben 27. November 2005 Autor Melden Teilen Geschrieben 27. November 2005 Hi Christoph, mit deinem Verdacht hast du recht: Wir haben nur einen GC in der Hauptverwaltung. Die Niederlassungen haben auch nur maximal 25 User, deshalb haben wir auch keine GC in den Niederlassungen aktiviert. Bisher haben wir im Forest 4 Domains und 4 Subdomains, werden aber noch einige hinzukommen. 2 Domains in Deutschland, die anderen in den Benelux Ländern verteilt. Wenn die Benutzer den GC abfragen und dieser den aktuellen Sysvol hat (bin noch nicht im Thema GC vertieft, kann mich auch irren), müsste doch normalerweise das problem nicht auftauchen, es sei den der GC aktualisiert sich mit anderen intervallen. Zumindest bin ich auf keine Lösung gestossen, warum die NTFS-Berechtigungen mit Gruppen erst nach diesen besagten 3 Stunden funktionieren. Mal schaun vielleicht kann ich die Kollegen doch überreden das Intervall zu verkürzen, oder jeweils einen GC in die Niederlassungen zu installieren. th@nks Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. November 2005 Melden Teilen Geschrieben 28. November 2005 Ich nehme an, der GC steht in der Forest-Root-Domain? Mich würde noch interessieren, ob der GC auch gleichzeitig Infrastruktur-Master in seiner Domain ist. Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.