none
DC herabstufen / Thombstone / Replikation RRS feed

  • Frage

  • Hallo Forengemeinde !

    Ich ersetze in einem Netzwerk gerade 2 W2K-DCs durch 2 W2K8R2-DCs. Aktuell habe ich alle 4 Server als DCs im Netz, die FSMO-Rollen wurden bereits auf einen der beiden neuen Server verschoben. Den alten Schema-Master habe ich nach der Verschiebung der Rollen - schon vor einiger Zeit - abgeschaltet, jedoch noch nicht mit DCPromo aus der Domäne genommen (ich wollte für den Fall der Fälle noch was in der Hinterhand haben)

    Heute wollte ich das nun machen, gestern Abend ist mir aber eingefallen: Thombstone !

    Im REPLMON sieht es nun so aus, als repliziere sich der alte W2K-Schemamaster sehr wohl noch mit den beiden neuen W2K8R2-DCs, nicht aber mit dem anderen alten W2K-DC. Das verstehe ich schon mal nicht, wie kann das sein ?

    (Ich muss vlt. dazu sagen, dass ich mangels Notwendigkeit bisher nie mit Replmon gearbeitet habe und deswegen evtl. einige Ausgaben des Programms falsch interpretiere, ich bitte um Nachsicht.)

    Thombstone-Zeiten gelten doch in der Domäne einheitlich und nicht nach Serverbetriebssystem, oder ? In der alten Domäne (ich meine nur mit den beiden W2K-DCs) ist mir in mehreren Jahren nie ein Fehler in der AD-Replikation aufgefallen, trotzdem steht im Replmon aber, dass das die letzte erfolgreiche Replikation am 30.05.2008 (!) stattgefunden habe. Darunter steht dann aber mit Datum von heute "Server has seen all changes ... through USN xxx". Was ist da los ?

    Kann ich den alten W2K-Schemamaster bei diesen Voraussetzungen mit DCPromo sauber zum Memberserver degradieren ? Oder wird das fehlschlagen, weil die Replikation zu dem anderen alten W2K-DC fehlt ? (dieser andere alte W2K-DC soll in Kürze ebenfalls degradiert werden, aber bis dahin hätte ich schon noch gerne alles - inkl. diesem anderen alten W2K-DC - "sauber", und natürlich soll die Degradierung dieses anderen alten W2K-DCs demnächst auch nicht daran scheitern, dass ich jetzt was gemacht oder gelassen habe.

    Hat dazu jemand eine Idee ? Danke im voraus !

    TJH

    Montag, 10. Januar 2011 11:33

Antworten

  • > Kann das so sein ?

    Ja, dass kann so sein. Wie ich bereits geschrieben habe, die AD-Replikation findet *nicht* nach dem Prinzip: Jeder DC repliziert mit jedem anderen DC!

    > Sieht doch, hoffe ich, gar nicht so schlecht aus, oder ?

    Dann findet die AD-Replikation statt. Bisher mit den genannten Informationen deinerseits, besteht scheinbar kein Replikationsproblem.
    Du kannst ja auf den 2008 R2 DCs in der Kommandozeile ein REPADMIN /showrepl durchführen. Des Weiteren kannst du im Server-Manager unter den Rollen "AD DS" und "DNS" den BPA die Umgebung überprüfn lassen.

    [LDAP://Yusufs.Directory.Blog/ - Der Active Directory Best Practice Analyzer]
    http://blog.dikmenoglu.de/Der+Active+Directory+Best+Practice+Analyzer.aspx

    >  Was kann mir da schlimmstenfalls passieren ?

    Das du den DC nicht herunterstufen kannst.

    > Wenn es nicht klappt muss ich halt ein Metadaten-Cleanup machen, oder kann durch einen verunglückten Degradierungsversuch
    > mehr kaputt gehen als wenn ich das degradieren lassen und gleich ein Cleanup mache ?

    Wenn sich der DC mit DCPROMO herunterstufen lässt, hast du weniger "Arbeit" damit. Ansonsten wird es etwas aufwändiger.
    "Kaputt gehen" tut hierbei nichts, also nichts, was die Domäne gefährden könnte.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 10. Januar 2011 19:09
    Moderator

Alle Antworten


  • Servus,

    > Den alten Schema-Master habe ich nach der Verschiebung der Rollen - schon vor einiger Zeit - abgeschaltet

    weißt du noch, wann genau das war?

    > Das verstehe ich schon mal nicht, wie kann das sein ?

    Das kann schon sein, denn es ist ja keine keine Full-Mesh AD-Replikation. Nicht jeder DC repliziert mit *jedem anderen* DC.
    Der Knowledge Consistency Checker (KCC) baut einen Ring auf, mit maximal drei Hops zwischen den DCs.

    [KCC and Topology Generation]
    http://technet.microsoft.com/en-us/library/cc961781.aspx

    > (Ich muss vlt. dazu sagen, dass ich mangels Notwendigkeit bisher nie mit Replmon gearbeitet habe und deswegen
    > evtl. einige Ausgaben des Programms falsch interpretiere, ich bitte um Nachsicht.)

    Das Eventlog muss dazu aber auch einiges protokollieren. Denn wenn etwas im AD nicht rund läuft, ist das Eventlog ein verlässlicher Einstiegspunkt. Da kann man schnell erkennen, ob es Probleme gibt und wenn es mit der AD-Replikation Probleme geben sollte, dann ist sehr schnell "Karneval in Rio" im Eventlog angesagt. ;-)

    > Thombstone-Zeiten gelten doch in der Domäne einheitlich und nicht nach Serverbetriebssystem, oder ?

    Die Tombstone Lifetime (TSL) wird mit dem installieren des allerersten DCs in einer Gesamtstruktur und zwar für alle Domänen festgelegt. Diese kann nicht pro Domäne konfiguriert werden. Natürlich kann aber der Wert der TSL jederzeit manuell verändert werden.

    Die TSL legt fest, wie lange noch ein gelöschtes Objekt im Active Directory weiterhin gespeichert wird. Denn ein Objekt wird erst nach Ablauf der TSL _endgültig_ aus dem AD entfernt.

    Die TSL beträgt unter:

    - Windows 2000 (mit allen SPs) = 60 Tage
    - Windows Server 2003 ohne SP = 60 Tage
    - Windows Server 2003 mit Service Pack 1 = 180 Tage
    - Windows Server 2003 R2 mit Service Pack 1, installiert mit beiden R2-CDs = 60 Tage
    - Windows Server 2003 R2 mit Service Pack 1, installiert *nur* mit der ersten R2-CD = 180 Tage
    - Windows Server 2003 mit Service Pack 2 = 180 Tage
    - Windows Server 2003 R2 mit Service Pack 2 = 180 Tage
    - Windows Server 2008 = 180 Tage


    Kontrollieren kann man die TSL mit ADSIEdit im folgenden Container:
    CN=Directory Services,CN=Windows NT,CN=Services,CN=Configuration,DC=Root-Domäne

    Dort findet man in den Eigenschaften des Containers das Attribut "tombstoneLifetime". Ist dort ein Wert gesetzt, beträgt die TSL
    den eingetragenen Wert in Tagen. Steht im Attribut als Wert hingegen <Not Set>, so beträgt die TSL den Standardwert von 60 Tagen.

    Kontrollieren kann man das Attribut tombstoneLifeTime auch mit Dsquery.
    Der Befehl lautet:
    Dsquery * "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=intra,dc=dikmenoglu,dc=de" -attr tombstoneLifetime

    Falls kein Wert angezeigt wird, dann gilt der Standardwert von 60 Tagen. Ansonsten gilt der angezeigte Wert.

    [LDAP://Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
    http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx

    Wenn mehrere DCs existieren, müssen sich die DCs mindestens einmal in der TSL mit ihren Replikationspartnern repliziert haben.
    Ansonsten entstehen "Lingering Objects" zu deutsch, herumlungernde Objekte:

    [Yusufs Directory Blog - Lingering Objects (veraltete Objekte)]
    http://blog.dikmenoglu.de/PermaLink,guid,f6157d8b-2424-4279-bb59-b55273f7d599.aspx

    > trotzdem steht im Replmon aber, dass das die letzte erfolgreiche Replikation am 30.05.2008 (!) stattgefunden habe.

    Überprüfe das Eventlog.

    > Darunter steht dann aber mit Datum von heute "Server has seen all changes ... through USN xxx". Was ist da los ?

    Wenn du in der MMC "AD-Standorte und Dienste" auf ein Verbindungsobjekt mit rechts klickst und wählst "Jetzt replizieren", was erhälst du für eine Meldung? Kontrolliere mit REPADMIN, welche USNs dir auf zwei verschiedenen DCs (auf einem 2000 DC und einem 2008 R2 DC) angezeigt werden:

    Repadmin /showvector = Windows 2000
    Repadmin /showutdvec = Ab Windows Server 2003

    [LDAP://Yusufs.Directory.Blog/ - Die Vektoren zur Steuerung der AD-Replikation]
    http://blog.dikmenoglu.de/Die+Vektoren+Zur+Steuerung+Der+ADReplikation.aspx

    > Kann ich den alten W2K-Schemamaster bei diesen Voraussetzungen mit DCPromo sauber zum Memberserver degradieren ? Oder wird das fehlschlagen, weil die Replikation zu dem anderen alten W2K-DC fehlt ?

    Wenn tatsächlich Replikationsprobleme bestehen, kannst du den 2000er DC nicht mit DCPROMO herunterstufen. Du müsstest auf diesem mit DCPROMO /FORCEREMOVAL gewaltsam LOKAL die AD-Informationen entfernen. Im zweiten Schritt musst du dann die Metadaten des AD bereinigen. Soll der 2000er DC ohnehin ausgeschaltet oder verschrottet werden, musst du DCPROMO /Forceremoval nicht ausführen. Dann kannst du den DC ausschalten und direkt die Metadaten bereinigen.

    [LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
    http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfernen.aspx

    [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
    http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Windows+Server+2008+Bereinigen.aspx

     


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 10. Januar 2011 15:32
    Moderator
  • Hallo !

    Zunächst: DANKE für Deine ausführliche Antwort.

    Ich bin aktuell nicht vor Ort sondern nur per Fernwartung mit dem Server verbunden, habe auf diesem Weg aber einiges ausprobiert und wollte die Ergebnisse hier gerne kund tun.

    Abgeschaltet habe ich meinen alten W2K-Schema-Master lt. EventLog am 2. Dezember. Das wär ja (deutlich) innerhalb der 60-Tage-Thombstone-Frist. Es KANN aber sein, dass der Server zu diesem Zeitpunkt nur noch "an" war aber keine Verbindung mehr zum Netzwerk hatte, leider erinnere ich das nicht mehr so ganz genau...

    EventLog sieht so weit sauber aus, mir fällt aber auf, dass FRS auf dem alten W2K-Schema-Master zum letzten mal schon am 05.10.2010 Erfolg in Bezug auf Replizierung mit dem anderen alten W2K-DC gemeldet hat, danach wurde nur noch mit den beiden neuen W2K8R2-DCs repliziert (die sind schon eine ganze Weile parallel im Netz.

    Im AD-Standorte und Dienste kann ich alle Verbindungsobjekte problemlos replizieren lassen, aber auch hier fällt mir etwas auf, nämlich das der alte W2K-Schema-Admin nur Verbindungsobjekte für die beiden neuen W2K8R2-DCs hat. Auch der andere alte W2K-DC hat nur Objekte für die beiden W2K8R2s. Die beiden neuen haben hingegen jeweils 3 Verbindungsobjekte, nämlich für die beiden alten W2Ks und für den jeweils anderen W2K8R2.

    Was Du über "Nicht-Full-Mesh-AD-Replikation" gesagt hast macht mir da Hoffnung. Es scheint mir fast so, als hätten die beiden alten W2Ks mit erscheinen der beiden neuen W2K8R2s ihre Replikation untereinander eingestellt und sich von da an nur noch mit den beiden neuen abgeglichen. Da aber beide W2Ks mit den beiden neuen replizieren kommt am Ende - sozusagen - doch auf allen Servern alles an. Kann das so sein ?

    Habe heute übrigens per Zufall einen neuen User anlegen müssen, den finde ich nun auf allen 4 Servern wieder (wenn ich mich mit AD Benutzer und Computer der Reihe nach mit den 4 DCs verbinde ist er überall vorhanden). Sieht doch, hoffe ich, gar nicht so schlecht aus, oder ?

    Ich tendiere dazu es mal mit dem degradieren zu versuchen. Was kann mir da schlimmstenfalls passieren ? Wenn es nicht klappt muss ich halt ein Metadaten-Cleanup machen, oder kann durch einen verunglückten Degradierungsversuch mehr kaputt gehen als wenn ich das degradieren lassen und gleich ein Cleanup mache ?

    DANKE !

    TJH

    Montag, 10. Januar 2011 18:24
  • > Kann das so sein ?

    Ja, dass kann so sein. Wie ich bereits geschrieben habe, die AD-Replikation findet *nicht* nach dem Prinzip: Jeder DC repliziert mit jedem anderen DC!

    > Sieht doch, hoffe ich, gar nicht so schlecht aus, oder ?

    Dann findet die AD-Replikation statt. Bisher mit den genannten Informationen deinerseits, besteht scheinbar kein Replikationsproblem.
    Du kannst ja auf den 2008 R2 DCs in der Kommandozeile ein REPADMIN /showrepl durchführen. Des Weiteren kannst du im Server-Manager unter den Rollen "AD DS" und "DNS" den BPA die Umgebung überprüfn lassen.

    [LDAP://Yusufs.Directory.Blog/ - Der Active Directory Best Practice Analyzer]
    http://blog.dikmenoglu.de/Der+Active+Directory+Best+Practice+Analyzer.aspx

    >  Was kann mir da schlimmstenfalls passieren ?

    Das du den DC nicht herunterstufen kannst.

    > Wenn es nicht klappt muss ich halt ein Metadaten-Cleanup machen, oder kann durch einen verunglückten Degradierungsversuch
    > mehr kaputt gehen als wenn ich das degradieren lassen und gleich ein Cleanup mache ?

    Wenn sich der DC mit DCPROMO herunterstufen lässt, hast du weniger "Arbeit" damit. Ansonsten wird es etwas aufwändiger.
    "Kaputt gehen" tut hierbei nichts, also nichts, was die Domäne gefährden könnte.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 10. Januar 2011 19:09
    Moderator
  • So, hab es "gewagt" und es hat 1A funktioniert, DANKE FÜR DIE UNTERSTÜTZUNG !

    Was mich noch interessieren würde: Es sieht ja so aus, als hätten, wie oben beschrieben, die beiden alten W2K-DCs ihre Replikation untereinander mit erscheinen der beiden neuen W2K8R2-DCs in der Donäne eingestellt und fortan jeweils nur noch mit denen repliziert. Liegt das daran das deren Betriebssystem das neuere ist oder war das reiner Zufall ? Nach welchen Regularien baut der KCC den Repli-Ring auf ?

    DANKE !

    TJH

    Dienstag, 11. Januar 2011 16:57