none
Репликация через медленный канал RRS feed

  • Общие обсуждения

  • Здравствуйте,

    Подскажите, как организовать репликацию между DC 2008r2 через спутниковый канал, сама скорость около мегабита, но задержка минимум 700 мс, а в среднем 1500 мс. Стоит VPN.

    Сейчас репликация не происходит, оба сайта в одном домене.

    в логах контроллера на удалённом сайте. Ошибки репликации, Security-Kerberos ID 4, Group-Policy ID 1055.

    Машины соответственно пингуются, имена разрешаются, но я так понимаю проблема именно в больших задержках.

    Какие существуют пути решения? И есть ли они вообще.





    13 июня 2012 г. 8:57

Все ответы

  • Ну вот кажись оно самое. Побольше таймер поставить и должно заработать.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    13 июня 2012 г. 12:40
    Модератор
  • Вы уверены? судя по описанию это увеличени/уменьшение интервала на запрос, а не жизнь самого запроса.

    И к тому же это интервал на запрос внтури сайта, а у меня 2 разных сайта.

    Или это неважно, в данном случае?

    13 июня 2012 г. 13:00
  • Не, если между сайтами, то не смогу помочь. Реквестируйте MVP по Directory Services. Например Мишу Гоча или Сашу Трофимова.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    13 июня 2012 г. 13:09
    Модератор
  • Хотя, как вариант, может у вас просто провайдер не пропускает репликацию? Тогда вам могло бы помочь это или это.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    13 июня 2012 г. 13:26
    Модератор
  • нет, с провайдером проблем нет, там спутниковый канал, пару раз когда задержки были около 500 мс репликация проходила...по ВПН туннелю всё открывается и работает (почта, доступ к файлам и т.д.) только с репликацией проблема.
    13 июня 2012 г. 13:29
  • по ВПН туннелю всё открывается и работает (почта, доступ к файлам и т.д.)
    Так вы статью-то посмотрите! Там у человека тоже всё открывалось и вообще работало. А вот репликация не ходила, как и у вас.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    13 июня 2012 г. 13:31
    Модератор
  • посмотрел, вряд ли это мой случай. 

    При какой задержке в принципе должен идти отбой. Т.е. если реплиакция возможна при задержке более 700мс, тогда надо рыть сам КД и репликацию.

    13 июня 2012 г. 13:35
  • Тогда ждите MVP.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    13 июня 2012 г. 13:37
    Модератор
  • посмотрел, вряд ли это мой случай. 

    При какой задержке в принципе должен идти отбой. Т.е. если реплиакция возможна при задержке более 700мс, тогда надо рыть сам КД и репликацию.


    А покажите вывод команды repadmin /showrepl с bridgehead-КД в обоих сайтах.
    14 июня 2012 г. 5:18
    Отвечающий
  • Из практики могу сказать что задержка 700-1500 точно не является проблемой для репликации.

    В данный момент исправно и достаточно стабильно работает при задержках >2000мс при смешной ширине канала 64-128 кбит/с.

    Посмотрите вывод

    repadmin /replsummary

    repadmin /showrepl

    Есть множество причин по которым репликация может не проходить.

    15 июня 2012 г. 7:04
  • Спасибо за ответы, если и правда допускается до 2000мс, значит будут проверять дальше.

    Но похоже уже поздно,  repadmin /replsummary выдаёт ошибку 8614.

    Похоже USN Rollback, надо поднимать новый кд в удалённом сайте.

    18 июня 2012 г. 10:01
  • И как успехи? Поднятие нового КД решило проблему?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    25 июня 2012 г. 7:43
  • В связи  с тем что объект находится далеко и попасть туда можно только на вертолете, КД туда ещё не приехал. Надеюсь на этой или след. неделе довезут. Тогда проверю.
    25 июня 2012 г. 7:45
  • Кстати, не обязательно даже полноценный КД поднимать. Можно RODC сделать. Гораздо безопаснее.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    25 июня 2012 г. 8:31
    Модератор
  • Если есть RDP - подключение к этому контроллеру, можно сделать совсем интересно: поднять виртуальную машину на этом контроллере, сделать ее контроллером №2, захватить роли, понизить старый контроллер. Единственное но - после этого хост-машину нельзя будет использовать ни для каких задач кроме управления виртуальной машиной, согласно лицензионным ограичениям

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    25 июня 2012 г. 8:54
  • я не могу его понизить, т.к. нет связи с контроллерами в центральном офисе. Т.е. он уже в USN Rollback, об этом я писал выше. И он уже виртуальный, а новый отправил также виртуальный КД, среплицированный в центральном офисе. как привезут подниму и посмотрю что будет.
    25 июня 2012 г. 8:58
  • Если есть RDP - подключение к этому контроллеру, можно сделать совсем интересно: поднять виртуальную машину на этом контроллере, сделать ее контроллером №2, захватить роли, понизить старый контроллер. Единственное но - после этого хост-машину нельзя будет использовать ни для каких задач кроме управления виртуальной машиной, согласно лицензионным ограичениям

    А вот это вот всё вообще зачем?... Мы меняем один контроллер (который уже и так есть), на другой, но только виртуальный.... Где-то тут неуловимый мною профит или это чисто поржать?

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    25 июня 2012 г. 9:26
    Модератор
  • Установил я новый КД, ситуация повторяется:

    repadmin /replsummary выдает ошибку 1727 со всеми КД в центральном сайте

    по логам:

    1232 - Доменные службы Active Directory попытались выполнить удаленный вызов процедур (RPC) на следующем сервере.  Время ожидания истекло, вызов отменен.

    1925 - Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой.

    Провайдер клянется, что ничего не блокирует. Машины друг друга видят, пинг идёт, имена разрешаются в обе стороны.

    28 июня 2012 г. 9:14
  • Клятва провайдера это хорошо, но всеже проверьте как выглядит порт RPC с обоих сторон с помощью portqry как описано в статье http://support.microsoft.com/kb/310456

    28 июня 2012 г. 12:38
  • TCP port 135 (epmap service): LISTENING

    UDP port 135 (epmap service): LISTENING or FILTERED

    Такое с обоих сторон

    28 июня 2012 г. 12:55
  • Попробуйте поработать с размером MTU на строне проблемного контроллера. Для начала, выставьте его в 1372.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    5 июля 2012 г. 11:49
  • Рекомендую посмотреть в сторону репликации с использованием SMTP вместо RPC, как описано в данном обсуждении. "Работать" с размером MTU дело весьма сомнительное.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    Модератор
  • MTU выставил - не помогло.

    Я тоже думал в сторону smtp, но тогда надо создавать поддомен, насколько я помню, репликация по smtp в одном домене невозможна.

  • Да, но приходится чем-то жертвовать. Просто такие вещи, как удаленное соединение через спутник, нужно учитывать еще при планировании инфраструктуры AD.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    Модератор
  • Согласен, но меня уверяли, до этого момента, что репликация будет работать. Если дело в большой задержке на 100% значит буду менять инфраструктуру.



    • Изменено Snorlax 6 июля 2012 г. 6:06
  • Насколько сильно загружен этот канал? 700 мс точно должно работать, а если канал через один спутник то больше и не должно быть.

    Вот сейчас стоит работает репликация с сайтом до которого задержка плавает от 900 до 2000 и более при 10-15% потерь в рабочие часы. Правда в моем случае на том конце RODC, репликация раз в сутки, настроена классификация трафика по приоритетам. Обычно без проблем проходит если форсировать вручную и в рабочие часы.

    У вас не используется приоритезация трафика? Не рассматривали ли вариант что сетеобразующее оборудование настроено на безусловную приоритезацию SMB/HTTP/FTP/RDP/VoIP чего либо еще а про трафик AD забыли?

    Либо если механизмы приоритезации не используются совсем, можно пробовать назначить приоритет службам AD.

  • как вариант можно попросить провайдера сделать приоритезацию трафика, как ему только корректно это объяснить.
    6 июля 2012 г. 10:48
  • Если "стоит VPN", то провайдер не видит содержимого пакетов уровня пользователя. Ну, если, конечно, это нормальный VPN. Соответственно, он не может ничего ни приоритезировать, ни блокировать.

    Чтобы разобраться, почему пакеты не доходят, нужно трэйсить. Например, traceroute от FreeBSD умеет трэйсрутить любым типом протокола (ip, icmp, ipmobile, esp, ah, etc) и любым сервисом (udp, tcp) по любому порту.

    Или взять в руки что-то типа tcpdump'а и ловить пакеты с обоих концов канала.

    Потому как репликация идёт обычным tcp/udp и таймауты там обычные.

    IMHO.

     

    Сергей Панченко

    6 июля 2012 г. 11:24
  • Ну так WireShark в помощь. У него самый богатый (ИМХО) функционал из виндовых снифферов.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    6 июля 2012 г. 12:00
    Модератор
  • Тут ситуация немного сложнее, впн стоит именно до оборудование провайдера, далее трафик через спутник ротутится, потому что если пробрасывать впн до конечной точки задержки станут ещё больше, поэтому мне кажется, что провайдер может выставить приоритет.
    6 июля 2012 г. 12:05
  • Тут ситуация немного сложнее, впн стоит именно до оборудование провайдера...
    Тогда какой смысл в этой VPN, если свой внутренний траффик Вы всё равно провайдеру показываете? Уберите VPN (хотя бы временно), может тогда репликация и заработает? ;-)

    Сергей Панченко

  • можно убрать, но я уже говорил что проблема не в этом скорее всего...всё же склоняюсь к участку между провайдером и самим объектом.

    Вчера мне ответил провайдер, что приоритет убрали, но ситуация не изменилась, я в тупике. Если на самом деле косяк не может быть в туннеле и задержка в 1500мс не проблема, значит где то режется по этому порту и они не могут найти где.

    10 июля 2012 г. 8:28
  •  значит где то режется по этому порту и они не могут найти где.

    Об этом я в самом начале писал (пост за 13 июня)

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 9:11
    Модератор
  • да я помню, на данный момент 3 возможных диагноза.

    1. режется на порту

    2. приоритет по трафику

    3. или всё-таки большая задержка

    по 2 и 3 в теории отметаются...

    а по 1у  провайдер не признается или сам не знает...

    Если идей больше нет, значит надо думать как обойти всю эту схему. что бы отмести хотя бы 1 и 2 пункты.

    10 июля 2012 г. 9:15
  • ИМХО остается SMTP-репликация

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 9:54
    Модератор
  • да, похоже другого варианта не остаётся
    10 июля 2012 г. 9:58
  • Этого варианта у вас тоже нет. SMTP-репликация не работает между сайтами одного домена.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    10 июля 2012 г. 10:08
  • ну значит буду создавать поддомен...какие ещё есть варианты.
    10 июля 2012 г. 10:10
  • где то режется по этому порту и они не могут найти где.

    Чтобы защититься от провайдерских шуток подобного плана как раз и делают VPN. Сделайте нормальный VPN между своими двумя площадками. И посмотрите, всё же, tcpdump'ом доходят от Вас до удалённой точки и обратно пакеты.

    Сергей Панченко

    10 июля 2012 г. 10:31
  • где то режется по этому порту и они не могут найти где.

    Чтобы защититься от провайдерских шуток подобного плана как раз и делают VPN. Сделайте нормальный VPN между своими двумя площадками. И посмотрите, всё же, tcpdump'ом доходят от Вас до удалённой точки и обратно пакеты.

    Сергей Панченко


    Если провайдер где-то режет 1723 или GRE, то VPN они между площадками не сделают никак. Разве что SSTP можно.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 10:34
    Модератор
  • Если провайдер где-то режет 1723 или GRE, то VPN они между площадками не сделают никак.

    Это и будет понятием проблемы: сделают VPN - значит, провайдер нужное не режет. И проверяем репликацию (уж внутри VPN'а провайдер никак не зарежет). Если же VPN не поднимется... значит, провайдер режет чего-то и не сознаётся. Смотрим доку на софт VPN'а, трейсим нужным типом пакета/протокола и показываем провайдеру, где он не прав.

    Ну и, потом, нормальный VPN от площадки до площадки поверх сети провайдера - это, в общем-то, не самое дурное решение само по себе, не так ли?


    Сергей Панченко

    10 июля 2012 г. 11:31
  • VPN - решение относительно дорогое (ибо нужно разворачивать либо на RRAS\TMG, либо на кошках VPN-туннель). Учитывая, что всё это нужно сделать только ради того, чтобы протестировать ISP на наличие блоков - уж точно черезчур дорогое. Но чисто технически да - показательное.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.


    10 июля 2012 г. 11:38
    Модератор
  • VPN - решение относительно дорогое (ибо нужно разворачивать либо на RRAS\TMG, либо на кошках VPN-туннель).

    А что-то встроенное в Windows Server Standard не сможет сделать VPN? Ну, хотя бы, для чисто экспериментальных целей? Ну, или две древние машины с (тьфу, прости Господи!) каким-нибудь Linux'ом или чего там бесплатное есть...

    Да и почему чисто экспериментальные цели? Репликацию AD гонять в открытом виде через чужие сети... это уж как-то совсем через чур открыто.


    Сергей Панченко

    10 июля 2012 г. 11:56

  • А что-то встроенное в Windows Server Standard не сможет сделать VPN?

    Я вроде выше написал RRAS. Кстати, репликация всегда шифруется, есть такой шаблон сертификата Domain Controller, вот он для шифрования репликации как раз используется.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 12:04
    Модератор
  • господа с данной сетью есть нюансы.

    как выглядит сейчас у меня стоит туннель до датацентра провайдера. а далее провайдер по своим сетям гонит трафик через спутник:

    моя сеть - интернет - сеть провайдера - спутниковая сеть - конечная станция, впн стоит между моей сетью и сетью провайдера.

    Если я попытаюсь поднять впн между моей станцией и своей сетью то на шифрование спутникового канал которое присутствует по определению, наложится ещё и мой туннель, что затормозит отклик ещё больше и не факт что поднимется туннель в принципе.  Т.к. провайдер выставляет трафик в приоритет, к примеру, телефонный трафик стоит выше всего остального.

    На мой взгляд бить напрямую не вариант, не факт что даже установка туннеля сработает не говоря уже о репликации.

    10 июля 2012 г. 12:07
  • господа с данной сетью есть нюансы.

    как выглядит сейчас у меня стоит туннель до датацентра провайдера. а далее провайдер по своим сетям гонит трафик через спутник:

    моя сеть - интернет - сеть провайдера - спутниковая сеть - конечная станция, впн стоит между моей сетью и сетью провайдера.

    Если я попытаюсь поднять впн между моей станцией и своей сетью то на шифрование спутникового канал которое присутствует по определению, наложится ещё и мой туннель, что затормозит отклик ещё больше и не факт что поднимется туннель в принципе.  Т.к. провайдер выставляет трафик в приоритет, к примеру, телефонный трафик стоит выше всего остального.

    На мой взгляд бить напрямую не вариант, не факт что даже установка туннеля сработает не говоря уже о репликации.


    А вы не рассматривали вариант использовать для репликации банальный диалап? Очень во многих экзаменах МС по Active Directory даже задачки есть, где в условиях сказано, что с отдаленными офисами репликация осуществляется по модему. Старый вариант, зато верняк.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 12:13
    Модератор
  • идея интересная, но как я прокину диалап по спутниковому каналу, там задержка по голосу 1 секунда, да и помех выше крыши.
    10 июля 2012 г. 12:15
  • Ну, древний 486DX2 под не менее древней BSD 4.x в своё время шифровал 3DES и подписывал MD5 тоннель IPIP и это давало не больше 2..3 мсек лишней задержки. Учитывая, что нынче меньше CoreDuo не найти, а задержки в канале у Вас и так под полторы секунды, то особого замедления от VPN Ваша сеть не заметит.

    Впрочем, как я говорил, второй вариант - сниффер в руки и смотреть на пакеты репликации: доходят от одного DC к другому, или нет...

    Какие могут быть ещё варианты?

    PS. А время на контроллерах домена у Вас синхронизируется?


    Сергей Панченко

    10 июля 2012 г. 12:18
  • Кстати, репликация всегда шифруется, есть такой шаблон сертификата Domain Controller, вот он для шифрования репликации как раз используется.

    Не знал. Спасибо за информацию.

    Можно попутно два вопроса? Чтобы был шаблон сертификата DC нужно чтобы был поднят центр сертификации? Иначе, кто выдаст контроллеру сертификат? И второй вопрос: группа "котроллеров домена предприятия только для чтения" по-умолчанию не имеет права на чтение шаблонов сертификатов, и поэтому RODC по-дефолту получить сертификат не может. Значит, с RODC репликация идёт открытая?


    Сергей Панченко

    10 июля 2012 г. 12:23
  • Кстати, репликация всегда шифруется, есть такой шаблон сертификата Domain Controller, вот он для шифрования репликации как раз используется.

    Не знал. Спасибо за информацию.

    Можно попутно два вопроса? Чтобы был шаблон сертификата DC нужно чтобы был поднят центр сертификации? Иначе, кто выдаст контроллеру сертификат? И второй вопрос: группа "котроллеров домена предприятия только для чтения" по-умолчанию не имеет права на чтение шаблонов сертификатов, и поэтому RODC по-дефолту получить сертификат не может. Значит, с RODC репликация идёт открытая?


    Сергей Панченко

    As mentioned previously, a stand-alone CA is not capable of publishing certificates in Active Directory. However, SMTP replication requires the use of domain controller certificates published in Active Directory. For certificates that are enrolled asynchronously through an offline process, you must manually publish these certificates in Active Directory.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 12:27
    Модератор
  • идея интересная, но как я прокину диалап по спутниковому каналу, там задержка по голосу 1 секунда, да и помех выше крыши.

    Я имел ввиду соединить только КД по диалапу. То есть диалап совершается раз в день на короткий период, только для репликации.

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 12:28
    Модератор
  • с RODC репликация идёт открытая?

    На RODC невозможно ничего изменить. Вы всё еще реплицируете с RODC? Тогда мы идем к вам )))

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 12:34
    Модератор
  • с RODC репликация идёт открытая?

    На RODC невозможно ничего изменить. Вы всё еще реплицируете с RODC? Тогда мы идем к вам )))
    Имел в виду "с ним", а не "с него". Наверное, грамотнее было написать "на RODC". Спасибо за замечание.

    Сергей Панченко

    10 июля 2012 г. 12:37

  • Имел в виду "с ним", а не "с него". Наверное, грамотнее было написать "на RODC".
    Тут керберос никто не отменял )))))))

    I'm inspired! Are you? Где смекалка и сноровка, там и палка что винтовка.

    10 июля 2012 г. 12:41
    Модератор