gien-app
Goto Top

AD Replikation zwischen untergeordneten Domäne zwingend?

Schönen Guten Tag,

vielen Dank für die hilfreiche Platform.


Leider habe ich zu meiner Frage keine Antwort gefunden, daher stelle ich sie einfach mal.

Folgende Situation:

Wir müssen eine neue Active Directory Domäne erstellen und haben drei Standorte (Windows Server 2012 R2).

Die Hauptdomäne ist HQ.domain.local.
Die Standorte A und B sollen untergeordnet sein.

1. HQ.Domain.local
2. |--> A.HQ.domain.local
3. |--> B.HQ.domain.local

Soweit wurde die Landschaft aufgebaut und funktioniert.


HQ hat jeweils eine Site2Site-VPN-Verbindung zu Standort A und zu Standort B.
Jedoch ist zwischen Standort A und Standort B keine Verbindung eingerichtet und nicht erwünscht.
Aus diesem Grund meldet die Ereignisanzeige eine nicht funktionierende Replikation zwischen den untergeordneten Standorten A und B.


Directory Service ActiveDirectory_DomainService Fehler 1925

Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition. 
 
Verzeichnispartition: 
DC=ForestDnsZones,DC=HQ,DC=domain,DC=local
Quellverzeichnisdienst: 
CN=NTDS Settings,CN=StandortB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=HQ,DC=domain,DC=local
Adresse des Quellverzeichnisdienstes: 
6xx0ce38-887f-4xx1-b276-48387745xx4a._msdcs.HQ.domain.local
Standortübergreifende Übertragung (falls vorhanden): 
 
 
Dieser Verzeichnisdienst kann nicht mit dem Quellverzeichnisdienst replizieren, solange das Problem nicht behoben ist.  
 
Benutzeraktion 
Überprüfen Sie, ob auf den Quellverzeichnisdienst zugegriffen werden kann und ob eine Netzwerkverbindung besteht. 
 
Zusätzliche Daten 
 Fehlerwert: 
1722 Der RPC-Server ist nicht verfügbar.

Meine Frage:

1. Ist diese Replikation zwischen Standort A und Standort B zwingend oder kann sie gelöscht werden? Über Standorte und Dienste?
2. Welche Einschränkungen ergeben sich oder kann dies gar zu einem fehlerhaften Active Directory in der Zukunft führen?
3. Haben Sie eine bessere Idee? Z. B. alle Standorte als eigenständige Domänen.

Ich hoffe ich konnte mein Problem nachvollziehbar rüberbringen und freue mich auf eine Antwort.

Grüße

Gien-App

Content-Key: 322604

Url: https://administrator.de/contentid/322604

Ausgedruckt am: 19.03.2024 um 14:03 Uhr

Mitglied: emeriks
emeriks 01.12.2016 aktualisiert um 17:01:29 Uhr
Goto Top
Hi,
ich gehe davon aus, dass an den Standorten jeweils nur DC's von den zugehörigen Domains stehen?

Wenn Du verhindern willst, dass die DC's der beiden Außenstandorte sich abgleichen (wäre ja eh nur GC und ggf. DNS; Edit: Configuration Partition und Schema natürlich auch), dann musst Du im AD die Standorte abbilden. Also die IP-Subnetze anlegen und den Standorten zuordnen (MMC "AD Standorte und Dienste").
Da Du das ja offensichtlich noch nicht gemacht hast, sind die DC's jetzt alle im Standard-Standort abgelegt. Diese musst Du also jetzt noch zum jeweiligen Standort-Objekt verschieben.
Wenn das erledigt ist und alle DC das kapiert haben (Test: Mit der oben genannten MMC der Reihe nach explizit mit jedem einzelnen DC verbinden), dann richtest Du 2 Site-Links ein und weist diesen jeweils das HQ und einen der Standorte zu. Wenn die DC dieses auch kapiert haben, dann sollten sie aufhören zu versuchen, sich zwischen den Außenstandorten zu replizieren.

E.

EDIT: Hinweis: Abschließend noch den Default-Site-Link löschen (nachdem alle DC die beiden neuen Site-Links repliziert haben)
Mitglied: Gien-app
Gien-app 06.12.2016 um 10:14:03 Uhr
Goto Top
Hallo emeriks,

sorry für die späte Rückmeldung. An den Standorten stehen nur die DCs der Standorte. Bisher jeweils 1 DC.

Ich habe dein Vorschlag mal konfiguriert, siehe Anhang. Ich hoffe das ist nicht zu Bunt und verständlich. :D

repadmin /showrepl zeigt bisher keine Fehler mehr an.

HQ hat jeweils eine Verbindung zu Standort A und Standort B.

Standort A und Standort B haben jeweils eine Verbindung zu HQ.

Sollte ja soweit in Ordnung sein, oder?

Viele Dank für deine Hilfe, hat mir schon sehr weitergeholfen.
unbenannt
Mitglied: emeriks
emeriks 06.12.2016 um 10:41:52 Uhr
Goto Top
Scheint soweit OK. Ich gehe dabei davon aus, dass in den Standortverknüpfungen tatsächlich immer nur das HQ + 1 Standort drin sind.

Haben sich die Logs des DC am Standort jetzt "beruhigt"?

Nur 1 DC pro Domäne: Du kennst das Risiko?
Warum überhaupt mehrere Domänen? Sind das getrennte Organisationen mit jeweils eigener, vollständiger Domänen-Administration?
Mitglied: Gien-app
Gien-app 06.12.2016 um 11:10:20 Uhr
Goto Top
In den Logs treten die vorherigen Ereignisse bisher nicht mehr auf. Ich beobachte das noch.

Die Umgebung wird derzeit aufgebaut und befindet sich noch in der Test/Planungsphase. Weitere DCs (einer zusätzlich pro Standort) kommen, sobald es Produktiv wird.


Die Standorte (Tochterunternehmen) sollen getrennt Administriert werden.

Es soll lediglich Dateiaustausch zwischen HQ und den Standorten stattfinden.