Replikation von Active Directory

Die Replikation zwischen AD-Domänencontrollern läuft meist stabil. Bei Problemen kann die Ursachenforschung aber komplex werden.

Artikel erschienen in Swiss IT Magazine 2005/20

     

Das Active Directory (AD) arbeitet mit einer Multi-Master-Replikation. So können Änderungen an allen Domänencontrollern durchgeführt werden, worauf sie automatisch auf alle anderen Systeme verteilt werden. Die Replikation erfolgt normalerweise innert weniger Minuten nach der Durchführung, wobei besonders kritische Änderungen sofort repliziert werden, während für die standortübergreifende Replikation mit sehr viel längeren Intervallen gearbeitet wird.


Replikationsfehler

Solange die Replikation zwischen den Domänencontrollern korrekt arbeitet, muss man sich auch nicht gross darum kümmern. Natürlich sollte das Ereignisprotokoll nach auftretenden Fehlern und Warnungen überprüft werden. Beim regulären Betrieb wird es aber kaum Einträge geben.
Probleme bei der Replikation werden typischerweise daran sichtbar, dass Informationen auf zwei Domänencontrollern offensichtlich nicht den gleichen Stand haben. Ein häufiges Symptom ist, dass Benutzer neu angelegt oder einer Gruppe zugeordnet wurden, sich diese Änderung aber auf anderen Domänencontrollern nicht wiederfindet. Gelegentlich sind auch Anmeldeprobleme nach Kennwortänderungen zu beobachten, bei denen bei einigen Domänencontrollern noch mit dem alten Kennwort gearbeitet, bei anderen aber zwingend das neue Kennwort genutzt werden muss. In all diesen Fällen haben die Informationen auf den Domänencontrollern einen unterschiedlichen Stand.





Am häufigsten treten solche Probleme in Testumgebungen auf, in denen man mehrere Domänencontroller einsetzt und die Auswirkungen einer Änderung sofort nach der Durchführung überprüfen möchte. Der vermeintliche Fehler ist hier mangelnde Geduld, weil die reguläre Replikation etwas dauert. Solche «Replikationsfehler» «lösen» sich nach kurzer Zeit automatisch, sobald die Replikation durchgeführt wurde.
Um solche Situationen zu vermeiden, kann beispielsweise in «Active Directory-Benutzer und -Computer» mit dem Befehl «Verbindung mit Domänencontroller herstellen» im Kontextmenü einer Domäne auf einen bestimmten Domänencontroller zugegriffen werden. Welcher Domänencontroller bei Abfragen genutzt wird, lässt sich allerdings nur bei einigen Tools wie «ldp.exe» und damit beim Zugriff über LDAP genau steuern, während man bei anderen Mechanismen wie der Authentifizierung eine genaue Kenntnis der Locator-Dienste und der für das AD angelegten DNS-Einträge benötigt, um abschätzen zu können, welcher Controller voraussichtlich verwendet wird. In Testumgebungen mit ihrer begrenzten Anzahl von Systemen lassen sich so aber dennoch viele Problemsituationen ausschliessen oder auch explizit simulieren.







Falls sich die Replikationsprobleme nicht gleich lösen oder man die Replikation manuell durchführen möchte, um Wartezeiten beispielsweise in Testumgebungen zu vermeiden, muss man die Windows Support Tools von der Installations-CD des Windows Server 2003 respektive Windows 2000 Server installieren. Diese finden sich im CD-Verzeichnis «support\tools». Mit diesen speziellen Werkzeugen wird unter anderem der Active Directory Replication Monitor (replmon.exe) eingerichtet.
Nach dem Start des Programms lassen sich zunächst beim Knoten «Add Monitored Server» ein oder mehrere Domänencontroller zur Überwachung einrichten. Für diese werden die Partitionen automatisch ermittelt und als untergeordnete Knoten in der Baumstruktur angezeigt. Zu jeder Partition werden ein oder mehrere Server angezeigt, mit denen eine Verbindung besteht. Mit dem Befehl «View – Refresh» oder durch die Konfiguration der automatischen Aktualisierung über die Schaltfläche «Update Automatically» kann der aktuelle Status ermittelt werden. War die Replikation erfolgreich, wird der Text «The last replication attempt was successful» ausgegeben. Zusätzlich erhält man Informationen zum Zeitpunkt und der USN (Update Sequence Number). Bei Fehlern wird die Meldung «Replication Failure» mit ergänzenden Informationen zur Art des Fehlers angezeigt.


Problemsuche

Damit stehen viele Informationen zur Verfügung. Zum einen lässt sich sofort erkennen, wann die letzte erfolgreiche Replikation durchgeführt wurde, zum anderen werden Replikationsfehler mit entsprechenden Fehlermeldungen angezeigt. Über die Befehle im Kontextmenü von Servern, Partitionen und einzelnen Verbindungen lassen sich jeweils auch Replikationsvorgänge manuell starten. Deren Erfolg oder Misserfolg kann nach einer Aktualisierung der im Replication Monitor angezeigten Daten überprüft werden. Viele Fehlersituationen lassen sich damit bereits ermitteln, wobei das häufigste Problem darin liegt, dass ein Domänencontroller nicht erreichbar ist.
Wenig aussagekräftig ist in diesem Modus die USN. Sie ist eine laufende Nummer pro Domänencontroller für die dort durchgeführten Änderungen. Zwei Domänencontroller einer Domäne haben also unterschiedliche USNs, weil diese lokal und nicht pro Domäne geführt werden.






Bei «View – Options» kann aber der Befehl «Show Transitive Replication Partners and Extended Data» ausgewählt werden. Damit werden einerseits auch Replikationspartner, zu denen keine direkte Verbindung besteht, angezeigt. Das ist etwa in grösseren Domänen der Fall, in denen die Replikationstopologie für Domänencontroller innerhalb eines Standorts ringförmig ist, wobei es bei einer grösseren Zahl von Domänencontrollern auch noch «Abkürzungen» gibt, um eine schnelle Replikation sicherzustellen. Andererseits wird auch die USN des Kommunikationspartners angezeigt. Bei den Statusinformationen zur Replikation sieht man dadurch, welche USN der Replikationspartner intern führt und bis zu welcher die Daten repliziert wurden. Kleine Abweichungen im einstelligen und niedrigen zweistelligen Bereich sind dabei normal.


Die Replikationsereignisse

Neben dem Replication Monitor, mit dem sich der aktuelle Status der Replikation ermitteln lässt, gibt es als zweite Grundlage für die Analyse von Replikationsproblemen die Ereignisanzeige, in der Fehlermeldungen und Warnungen für die Replikation angezeigt werden. Dabei ist zu beachten, dass etwa der fehlgeschlagene Verbindungsaufbau zu einem anderen Domänencontroller nicht als Fehler, sondern nur als Warnung protokolliert wird, weil das Active Directory noch funktioniert und das System davon ausgeht, dass der Fehler automatisch, beispielsweise nach dem Start des nicht erreichbaren Domänencontrollers, beseitigt wird.






Eine häufige Ereignis-ID ist 1925; sie wird vom NTDS KCC erzeugt. Der KCC (Knowledge Consistency Checker) ist die Komponente, die die Replikationstopologie ermittelt. Bei den Details zum Eintrag werden weitere Informationen geliefert, die den Fehler näher beschreiben.
Ähnlich ist die Warnung mit der ID 2088, die von NTDS Replication erzeugt wird. Sie weist auf ein Replikationsproblem hin, wenn die Verbindung mit einem anderen Domänencontroller bereits hergestellt war und dieser vorübergehend nicht erreichbar ist.
Für alle Einträge in diesem Bereich des Ereignisprotokolls gilt, dass sehr umfangreiche Informationen zu dem Problem und Hinweise für die Lösung gegeben werden. So wird teilweise auf Artikel in der Knowledge Base von Microsoft verwiesen.


Nicht erreichbare Domänencontroller

Die mit Abstand häufigste Ursache für Probleme bei der Active Directory-Replikation sind nicht erreichbare Domänencontroller. Gründe dafür sind etwa der Ausfall von Verbindungen vor allem bei der standortübergreifenden Replikation, der Ausfall eines Domänencontrollers selbst und vor allem DNS-Probleme. Die Lokalisierung von Domänencontrollern des AD erfolgt über DNS, so dass Fehler beim DNS-Server respektive der DNS-Konfiguration zwangsläufig dazu führen, dass die Replikation im Active Directory nicht funktioniert.
Typische Fehler sind falsch gesetzte Hinweise auf DNS-Server bei einzelnen Domänencontrollern und nicht verfügbare DNS-Server. Beim Start einer Testumgebung, bei der der DNS-Server auf einem Domänencontroller läuft, kann es auch kurzzeitig zu Warnungen kommen, wenn der DNS-Dienst länger zum Start benötigt als das AD.
Auch wenn die Ursachen für Probleme im Active Directory vielfältig sein können, gilt doch, dass sich die meisten auf einfache Ursachen wie einen ausgefallenen Server oder einen fehlerhaft gesetzten DNS-Eintrag zurückführen lassen und damit auch einfach zu korrigieren sind. Mit dem Replication Monitor und dem Ereignisprotokoll lassen sich die meisten Fehlerursachen ermitteln und beseitigen.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER