Standortübergreifende Active Directory Replikation und Firewalls 10. Januar 2012

Ab und zu lese ich in den Microsoft Newsgroups Technet Foren, dass Forenteilnehmer Probleme mit der AD-Replikation haben, wenn das Firmennetzwerk nicht vollständig gerouted ist, die einzelnen Standorte voneinander durch Firewalls getrennt sind und die DCs der Zweigstellen ausschließlich mit den DCs der Zentrale replizieren können. Dieses Konstrukt wird auch als “Hub-and-Spoke” Topologie bezeichnet.

 

 

 

 

 

 

 

 

Wie man in der Darstellung sehen kann, verfügt das Netzwerk über vier Standorte. Damit die einzelnen Domänencontroller bei dieser Topologie die Repliaktionsverbindungen korrekt erstellen können, muss man als Erstes die Standorte mit den entsprechenden Subnetzobjekten erstellen.

 

 

 

 

 

Nachdem die Standorte erstellt wurden, müssen die Standortverknüpfungen konfiguriert werden. Durch die vorgegebene Topologie machen sich drei Standortverknüpfungen erforderlich.

  • Standort-A <-> Standort-B
  • Standort-A <-> Standort-C
  • Standort-A <-> Standort-D

Da die Standortverknüpfung “Default-IP-Site-Link” bereits existiert, müssen nur noch zwei weitere Verknüpfungen angelegt werden.

 

 

 

 

 

Die Eigenschaften der einzelnen Verknüpfungen sehen dann so aus:

    

 

 

 

 

 

Durch diese Konfiguration wird dem Active Directory der Pfad vorgegeben, auf denen die Replikation erfolgen kann. Dadurch sollte es eigentlich so sein, dass die Bridgeheadserver der Zweigstellen nur noch Verbindungsobjekte mit dem Bridgeheadserver der Zentrale erstellen und auch nur mit diesem replizieren. Leider wird es bei dieser Konfiguration immer noch zu Fehlern kommen. Nehmen wir einmal an, dass der bzw. die Domänencontroller am Standort-A zu Wartungszwecken heruntergefahren werden. Der ISTG (Intersite Topology Generator) / KCC (Konsistency Knowledge Checker) würde diesen “Ausfall” spätestens nach 15 Minuten erkennen und sofort versuchen, neue Replikationsverbindungen zu anderen Standorten zu erstellen. Wenn am Standort-A keine Domänencontroller mehr verfügbar sind, dann würde z.B. ein ISTG/KCC im Standort-B versuchen, eine Replikationsverbindung mit einem Domänencontroller am Standort-C zu erstellen. Das würde an der Firewall scheitern, da ja eine direkte Kommunikation zwischen den einzelnen Standorten nicht erlaubt ist. Die Ereignisprotokolle der Domänencontroller und auch der Firewalls würden sich jetzt mit roten Einträgen füllen.

Dieser Teilnehmer in den Technet Foren hat offensichtlich genau dieses Problem.

Verantwortlich für diesen Effekt ist ein kleiner Haken in dem Snapin “Standorte und Dienste”, der sehr oft vergessen oder ignoriert wird.

 

 

 

 

 

 

 

Die Einstellung “Brücke zwischen allen Standortverknüpfungen herstellen” hat zur Folge, dass der ISTG/KCC zumindest versucht, zwischen den Standorten Standort-B und Standort-C ein Verbindungsobjekt zwischen zwei Domänencontrollern zu erstellen. Die eigentliche Replikation würde dann an der Firewall scheitern.

Deshalb muss in einer Hub-and-Spoke Topologie dieser Haken zwingend deaktiviert werden! Wenn der Haken deaktiviert ist, dann werden wirklich nur noch die durch die Standortverknüpfungen vorgegebenen Replikationspfade für das Erstellen der Verbindungsobjekte genutzt.

 

Leave a Reply

*