Replikation im Active Directory
1. Motivation: Warum Replikation?
Ohne Replikation würden Änderungen (z. B. neuer Benutzer) nur auf einem DC existieren. In produktiven Umgebungen laufen mehrere DCs für Ausfallsicherheit und Lastverteilung – deshalb müssen alle denselben Stand halten.
| Ohne Replikation | Mit Replikation |
|---|---|
| Änderung bleibt lokal auf einem DC | Änderung erscheint auf allen DCs |
| Anmeldung ggf. nur am Erstellungs-DC möglich | Anmeldung überall möglich |
| Single Point of Failure | Hohe Verfügbarkeit |
Prinzip: Active Directory nutzt Multimaster – Änderungen dürfen auf jedem DC entstehen; der Abgleich hält die Daten konsistent. Details zur Konfliktauflösung folgen in einer späteren Lektion.
2. Replikationsarten (Überblick)
| Art | Kontext | Timing | Ziel |
|---|---|---|---|
| Intra-Site | Innerhalb desselben Standorts (LAN) | sehr häufig / nahezu ereignisgesteuert | schneller Konsistenzabgleich |
| Inter-Site | Zwischen Standorten (WAN) | zeitgesteuert (Standard: alle 180 Minuten; anpassbar) | Bandbreite schonen, planbarer Transfer |
Standorte (Sites) definierst du i. d. R. per IP-Subnetzen, damit DCs wissen, wer „nah“ bzw. „weit“ ist. Die Berechnung der Verbindungen übernimmt automatisch der KCC (Knowledge Consistency Checker). Feintuning behandeln wir später.
3. Was wird repliziert? (Partitionen)
Die AD-Datenbank ist logisch in Partitionen aufgeteilt:
| Partition | Inhalt | Replikationsumfang |
|---|---|---|
| Schema | Definition von Objekttypen/Attributen | Forest-weit |
| Configuration | AD-Topologie/Services | Forest-weit |
| Domain | Benutzer, Gruppen, Computer dieser Domäne | Domänen-weit |
| Application | Optionale Anwendungsdaten | nach Bedarf |
Merke: Benutzer/Computer liegen in der Domain-Partition und replizieren nur innerhalb der Domäne. Schema-Änderungen sind forest-weit.
4. Visualisierung AD Replikation (Intra vs. Inter)
AD-Replikation – Intra-Site vs. Inter-Site
Modus: Inter-Site – standortübergreifend, zeitgesteuert.
Standort: Stuttgart
Standort: Konstanz
5 Werkzeuge zur Überprüfung
Um sicherzustellen, dass die Replikation korrekt funktioniert, bietet Windows mehrere Werkzeuge.
Wichtig ist, regelmäßig zu prüfen, ob alle Domain Controller miteinander synchron sind – besonders nach Änderungen oder Netzproblemen.
| Werkzeug / Befehl | Beschreibung | Beispiel |
|---|---|---|
| repadmin /replsummary | Zeigt eine Zusammenfassung aller Replikationsverbindungen und Fehler. | repadmin /replsummary |
| repadmin /showrepl <DC> | Detaillierte Anzeige: Wann hat welcher DC zuletzt mit wem repliziert? | repadmin /showrepl DC01 |
| Get-ADReplicationPartnerMetadata | PowerShell-Cmdlet, das Replikationspartner und Zeitstempel auflistet. | Get-ADReplicationPartnerMetadata -Target DC01 |
| Ereignisanzeige → Verzeichnisdienst | Zeigt Replikationswarnungen / -fehler (z. B. ID 1311 oder 1865). | GUI-basiert |
Diese Prüfungen zeigen dir, ob Änderungen zeitnah verteilt werden, ob es Kommunikationsprobleme gibt und welche DCs möglicherweise hinterherhinken.
6 Häufige Ursachen für Replikationsprobleme
Wenn Replikation fehlschlägt, liegt die Ursache fast immer in Netzwerk- oder Namensauflösungsfehlern.
Die Tabelle hilft dir, die häufigsten Gründe einzuordnen.
| Ursache | Beschreibung | Typische Folge |
|---|---|---|
| DNS-Fehler | DCs finden ihre Partner nicht, SRV-Records fehlen oder verweisen falsch. | „Target principal name incorrect“ / Zeitüberschreitungen |
| Zeitabweichung | Kerberos (Sicherheitsprotokoll) erlaubt nur geringe Zeitdifferenzen. | Anmeldung oder Replikation schlägt fehl |
| Firewall / Ports gesperrt | LDAP, Kerberos oder RPC nicht erreichbar. | DCs können sich nicht synchronisieren |
| Netzwerkunterbrechung | Standortverbindung (WAN/VPN) instabil oder unterbrochen. | Inter-Site-Replikation pausiert |
| Veraltete DC-Einträge | Alte Verbindungen nicht bereinigt, KCC-Fehler. | Replikation hängt oder meldet Konflikte |