117471
Goto Top

2012R2 - Replikation gelöschter AD-Nutzer

Zwei globale Katalogserver sind über einen IPSec-Tunnel verbunden und funktionieren (gut) als GC für ihr jeweiliges Subnetz.

Wenn ich auf einem Server einen Benutzer lösche(*), wir dieser Status auch dann nicht auf dem anderen Server dargestellt, wenn ich dort in der Benutzerverwaltung F5 drücke.

Die Replikation habe ich manuell über "Standorte und Dienste" vorweggenommen. Laut repadmin und dem AD Replication Status Tool läuft die Replikation auch in beide Richtungen fehlerfrei durch. Testweise angelegte (statische) DNS-Einträge werden fehlerfrei repliziert. In der Ereignisanzeige finde ich weder Warnungen, geschweige denn Fehler.

Ist das eine Eigenart des AD, dass das Löschen von Benutzerkonten nicht zwischen GCs repliziert wird bzw. dass es eine geraume Zeit dauert, bis die Löschung abgebildet wird? (Es ist durchaus möglich, dass ich da etwas ungeduldig bin).

Ich habe das Benutzerobjekt auf dem Replikationsziel mit dem ADSI-Editor ausgelesen. Das "deleted"-Flag ist nicht gesetzt.

(*) Ich bin mir durchaus bewusst, dass man Benutzer prinzipiell deaktiviert. In diesem Fall handelt es sich um ein Testkonto, dass eigens zur Überprüfung der Replikation angelegt und nie benutzt wurde.

Content-Key: 279790

Url: https://administrator.de/contentid/279790

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: 114757
Lösung 114757 10.08.2015 aktualisiert um 14:35:07 Uhr
Goto Top
Moin,
wahrscheinlich zu ungeduldig ...
Mit Repadmin den Status der synchronisierten Objekte auf beiden DCs anzeigen lassen, das sollte Klarheit schaffen
http://searchwindowsserver.techtarget.com/tip/Tracking-a-deleted-Active ...

Gruß jodel
Mitglied: 117471
117471 10.08.2015 um 14:34:58 Uhr
Goto Top
Du hast mal wieder Recht.

Aber, mal so rein als Verständnisfrage - welches Zeitfenster habe ich denn hier abwarten müssen? Die Replikation hatte ich ja über die Standortverwaltung angestoßen...

Änderungen in der Benutzerverwaltung sollten m.Ea. sofort umgesetzt werden - es kann ja auch mal sein, dass man einen ungeliebten Benutzer *sofort* aussperren möchte. Oder werden Accountsperren / Passwortänderungen usw. mit einer höheren Priorität synchronisiert?
Mitglied: 114757
114757 10.08.2015 aktualisiert um 15:21:50 Uhr
Goto Top
Intersite-Transports sind besonders zu betrachten und zu konfigurieren, denn sie sind was anderes als Intra-Site Replication. Der Replikationsinterval zwischen unterschiedlichen Sites beträgt Standardmäßig 180 Minuten.


p.s. Die MMC bekommt das oft nicht sofort mit, manchmal muss man sie auch neu starten.