AD Syncronisation schlägt fehl
Hallo zusammen,
ich habe ein Problem mit der Synchronisation bzw. Replikation meiner DomainController.
Der Aufbau sieht wie folgt aus.
DC01 --> WAN --> DC02 --> WAN --> DC03
Ich habe drei Standorte mit jeweils einem DomainController. Standort 1 (DC01) und Standort 2 (DC02) sind über VPN verbunden.
Standort 3 (DC03) ist wiederum per VPN mit Standort 2 verbunden.
Aus aktuell gegebenen Gründen darf es keine Verbindung zwischen Standort 1 und Standort 3 geben.
Damit nun DC01 und DC03 miteinander Replizieren habe ich "Inter-Site Transport" Regeln angelegt.
1. Site1zuSite2 = Standort 1 & Standort 2
2. Site2zuSite3 = Standort 2 & Standort 3
3. Bridge1zu3= Site1zuSite2 & Site2zuSite3
Leider klappt die Synchronisation nicht. Wenn ich "repadmin /syncall /e " ausführe kommt weiterhin folgende Fehlermeldung.
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server fb1583c9-a327-467d-ad84-daebf47a19f4._msdcs.domain.local (Netzwerkfehler): 1722 (0x6ba):
Führe ich den gleichen Befehl auf DC02 aus läuft alles ohne Fehler durch.
ich habe ein Problem mit der Synchronisation bzw. Replikation meiner DomainController.
Der Aufbau sieht wie folgt aus.
DC01 --> WAN --> DC02 --> WAN --> DC03
Ich habe drei Standorte mit jeweils einem DomainController. Standort 1 (DC01) und Standort 2 (DC02) sind über VPN verbunden.
Standort 3 (DC03) ist wiederum per VPN mit Standort 2 verbunden.
Aus aktuell gegebenen Gründen darf es keine Verbindung zwischen Standort 1 und Standort 3 geben.
Damit nun DC01 und DC03 miteinander Replizieren habe ich "Inter-Site Transport" Regeln angelegt.
1. Site1zuSite2 = Standort 1 & Standort 2
2. Site2zuSite3 = Standort 2 & Standort 3
3. Bridge1zu3= Site1zuSite2 & Site2zuSite3
Leider klappt die Synchronisation nicht. Wenn ich "repadmin /syncall /e " ausführe kommt weiterhin folgende Fehlermeldung.
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server fb1583c9-a327-467d-ad84-daebf47a19f4._msdcs.domain.local (Netzwerkfehler): 1722 (0x6ba):
Führe ich den gleichen Befehl auf DC02 aus läuft alles ohne Fehler durch.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 590102
Url: https://administrator.de/forum/ad-syncronisation-schlaegt-fehl-590102.html
Ausgedruckt am: 19.05.2025 um 17:05 Uhr
5 Kommentare
Neuester Kommentar
Hi,
wofür die Brücke?
E.
Edit:
Die Server-Objekte (nicht Computer-Objekte) der DC's hast Du auch in die betreffenden AD-Standorte verschoben?
wofür die Brücke?
E.
Edit:
Die Server-Objekte (nicht Computer-Objekte) der DC's hast Du auch in die betreffenden AD-Standorte verschoben?
Ich habe für jeden Standort eine eigene Site erstellt und dorthin dann den jeweiligen DC verschoben.
Standort 1
Servers
DC01
Standort 2
Servers
DC02
Standort 3
Servers
DC03
Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren habe ich diese Brücke gebaut.
Standort 1
Servers
DC01
Standort 2
Servers
DC02
Standort 3
Servers
DC03
Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren habe ich diese Brücke gebaut.
Zitat von @Flo670:
Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren habe ich diese Brücke gebaut.
Ich würde die Brücke trotzdem wieder entfernen. Sowas macht nur Sinn, wenn man die "nächsten Nachbarn" übersteuern will.Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren habe ich diese Brücke gebaut.
Edit: Außerdem muss dann das Routing es hergeben, dass die DC's dieser beiden Standorte sich gegenseitig erreichen können.
Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren
Dafür kann es mehrere Gründe geben.Entweder war das noch unmittelbar nachdem Du die Standorte aufgebaut hast. Dann hatten zu diesem Zeitpunkt noch nicht alle DC's die Informationen zur neuen Standortaufteilung.
Oder DC2 hat nicht alle Partitionen, welche DC1 und DC3 replizieren wollen. z.B. wenn DC1 und 3 Globaler Katalog sind, aber DC2 nicht. Oder eine Anwendungspartition für DNS, welche nur auf DC1 und DC3 repliziert wird, aber nicht auf DC2. Dann müssen DC1 und 3 direkt miteinander reden können.
Edit:
Sind alle DC auch DNS-Server?
Welchen DNS-Server nutzt ein DC jeweils als primären DNS-Server? Kann er diesen erreichen?
Zitat von @emeriks:
Edit: Außerdem muss dann das Routing es hergeben, dass die DC's dieser beiden Standorte sich gegenseitig erreichen können.
Zitat von @Flo670:
Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren habe ich diese Brücke gebaut.
Ich würde die Brücke trotzdem wieder entfernen. Sowas macht nur Sinn, wenn man die "nächsten Nachbarn" übersteuern will.Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren habe ich diese Brücke gebaut.
Edit: Außerdem muss dann das Routing es hergeben, dass die DC's dieser beiden Standorte sich gegenseitig erreichen können.
Das es ein spezielles Routing gibt ist mir nicht bekannt. Ping und RDP von DC01 zu DC03 geht nicht. Werde daher mal die Brücke wieder entfernen
Nachdem dann aber der DC01 mehrfach versucht hat direkt mit dem DC03 zu kommunizieren
Dafür kann es mehrere Gründe geben.Entweder war das noch unmittelbar nachdem Du die Standorte aufgebaut hast. Dann hatten zu diesem Zeitpunkt noch nicht alle DC's die Informationen zur neuen Standortaufteilung.
Oder DC2 hat nicht alle Partitionen, welche DC1 und DC3 replizieren wollen. z.B. wenn DC1 und 3 Globaler Katalog sind, aber DC2 nicht. Oder eine Anwendungspartition für DNS, welche nur auf DC1 und DC3 repliziert wird, aber nicht auf DC2. Dann müssen DC1 und 3 direkt miteinander reden können.
DC01 hat alle FSMO Rollen und wurde auch als erster erstellt. Er sollte doch dann alle Infos haben oder?
Edit:
Sind alle DC auch DNS-Server?
Welchen DNS-Server nutzt ein DC jeweils als primären DNS-Server? Kann er diesen erreichen?
Sind alle DC auch DNS-Server?
Welchen DNS-Server nutzt ein DC jeweils als primären DNS-Server? Kann er diesen erreichen?
Ja alle DC´s machen auch DNS. DNS konfig sieht wie folgt aus:
DC01
Primär: sich selbst
Sekundär: DC02
DC02
Primär: sich selbst
Sekundär: DC01
Dc03:
Primär: sich selbst
Sekundär: /
Zitat von @Flo670:
DC01 hat alle FSMO Rollen und wurde auch als erster erstellt. Er sollte doch dann alle Infos haben oder?
Was haben die FSMO damit zu tun?DC01 hat alle FSMO Rollen und wurde auch als erster erstellt. Er sollte doch dann alle Infos haben oder?
Wenn man an den AD-Standorten etwas ändert, den Subnets, den Sitelinks und/oder DC's in einen anderen Standort verschiebt, dann tut man das defacto auf nur genau einem DC. Jener, mit welchem die Konsole "Standorte und Dienste" gerade verbunden ist. i.A. ist das der PDC-Emulator.
Diese Änderung(en) müssen dann erstmal noch über den alten Weg (alte Infos über Standorte & Co.) an die anderen DC's repliziert werden, weil die anderen DC's ja noch nicht wissen, dass sich da was geändert hat. Bis alle anderen DC's diese Änderungen mitbekommen haben, kann es sein, dass der eine oder andere DC dann eben in seinen Eventlogs ein paar Fehler meldet. Wenn's ganz krass läuft (man zuviel gleichzeitig oder zu kurz nacheinander ändert, bevor die vorherige Änderung repliziert wurde), dann kann es sogar notwendig werden, diese Änderungen auf mehreren oder gar allen DC's zu wiederholen. (MMC explizit mit diesem DC verbinden)
zu DNS
In Deinem Konstrukt wäre es wahrscheinlich besser, wenn alle drei DC den DC02 als primären DNS verwenden, DC01 und DC03 sich selbst als sekundären DNS und DC02 einen der beiden anderen als sekundären. Somit hätten alle 3 DC immer zeitnah die selben DNS-Informationen, Netzwerkverbindung vorausgesetzt.
