Zum Inhalt springen

Replikation AD


Borsti

Empfohlene Beiträge

Hi,

ich habe mal ein Szenario:

In einem größerem Netzwerk mit mehreren Standorten, gibt es einen User, der in 2 Standorten angemeldet ist. Da er nicht an beiden gleichzeitig sein kann, arbeitet an Standort A, User 1 mit diesem Account und an Standort B, User 2 mit dem selben Account.

Jetzt ändern beide ihre Passwörter, zur gleichen Zeit!

Nach der Replikation, welches Passwort ist das Aktuelle?

Landen beide Änderungen nach der Replikation im "Lost and Found" Ordner?

mfg

Borst

p.s. Ich möchte jetzt ungern hören, dass man sich eh nicht an 2 Standorten anmelden sollte (vergessen zu sperren) oder eben, dass jeder user seinen eigenen account haben sollte und nicht 2 user den selben account benutzen...

/edit

Ich habe auch schon etwas von priorisierter Replikation gehört, dass z.B. die Passwort-Änderung des Administrators eine höhere Priorität hat, als wenn der User das Passwort ändert (auch wieder zur gleichen Zeit). Dann sollte die Änderung des Admins das Aktuelle sein?!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Die priorisierte Replikation ist eigentlich eher der Unteschied welche Infos direkt repliziert werden (immer sicherheitsrelevante Informationen) und welche Infos erst mit dem nächsten Replikationsinmtervall abgeglichen werden(z. B. Benutzername).

Demzufolge ist es in dem von Dir geschilderten Fall so, dass die Information gelten die zuletzt den PDC-Emulator erreicht haben, da dieser für die Passwort Latenz zuständig ist. Der geschilderte Fall ist ein klassisches Beispiel für die Sperrung von Nutzeraccounts durch weniger als 3 falsche Passworteingaben da die Anfrage über mehrere Server geleitet werden muss und mehrfach abgelehnt wird.

Deine Frage mit dem Admin an einem Standort und am anderen nicht versteh ich allerdings nicht. Entweder ist es ein Account das an allen Standorten Mitglied der selben Gruppen ist (Gruppenmitgliedschaften sind Standortunabhängig) oder es sind 2 Accounts.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das Zweite Szenario beruht darauf:

ich habe mein PW vermeindlich vergessen

ich probiere ob ich mein PW herauskriege

ich rufe die Administratoren an

diese setzen mein PW zurück, allerdings genau wärend dieser Zeit fiel mir mein PW wieder ein, ich melde mich an, ändere das PW in eines, das ich nicht mehr so schnell vergessen. Doch zugleich haben die Administratoren mein PW auch geändert.

Jetzt wäre es ja so, dass ich einmal mein PW geändert habe und die Administratoren... (beide schickten die Passwortänderung gleichzeitig los)

Welches wäre hier aktuell?

Zum anderen Szenario:

das das Signal welches zuletzt am PDC-Emulator ankommt, das aktuellere ist, ist eigentlich auch klar.. allerdings welches dieser Signale wäre das letzte? Die DC untereinander haben ja ein virtuelles Token Ring-Netz aufgebaut. ein DC kann senden und die anderen hören zu, also kann immer nur einer senden und empfangen, nur wie ist es dann, DC1 schickt die PW-Änderung an DC2 und DC 4 schickt seine PW-Änderung an DC5, somit würde das ganze zu einer schleife führen, bis alle die aktuellsten USN erhalten haben, allerdings wäre dann ein falscher Abgleich?! denn jeder hatte seine aktuelle PW-Änderung weiterrepliziert?!

Also wäre das so eine Schleife ohne Ende, oder wie wird das jetzt gehandelt?

mfg

Borsti

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi,

ich gehe immer von den Standardkonfigurationen aus, dementsprechend wäre der Replikationsintervall intern (innerhalb eines Standortes) 5 min und extern (von Standort zu Standort) 3 Stunden. (Natürlich werden wichtige Attribute sofort übermittelt, nur ob wieder eine PW-Änderung dazu zählt...)

Dementsprechend würde die Metric keine Rolle Spielen, oder?

Es muss ja irgendeine Lösung geben, die man später nicht manuell Einstellen muss, sondern, eine "Fabrik-Lösung". Ohne jeglichen weiteren Einstellungen.

Ich Danke dir auf jeden Fall schoneinmal für deine Antworten und dein bemühen!

mfg

Borsti

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi,

ich habe eben nochmal weiter geschaut und habe dabei dieses gefunden:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/8fdb8bc9-bf93-4e6b-b350-f812c7607f7d.mspx

Lösen von Änderungskonflikten

Es besteht die Möglichkeit, dass zwei unterschiedliche Benutzer Änderungen an exakt denselben Objekteigenschaften vornehmen, und dass diese Änderungen von zwei verschiedenen Domänencontrollern in derselben Domäne übernommen werden, bevor eine dieser beiden Änderungen repliziert wird. In diesem Fall werden beide Änderungen als neue Änderungen repliziert, was zu einem Konflikt führt. Zur Behebung dieses Konflikts analysieren Domänencontroller, die diese widersprechenden Änderungen empfangen, die Attributdaten der Änderungen, die jeweils eine Version und einen Zeitstempel aufweisen. Domänencontroller akzeptieren die Änderung mit der höheren Versionsnummer und verwerfen die andere Änderung. Falls die Versionen identisch sind, akzeptieren Domänencontroller die Änderung neueren Datums.

Allerdings, wenn jetzt ein Zeitserver verwendet wird (was man bei Kerberos tun sollte, dementsprechend auch bei AD) wäre die Zeit überall die gleiche, sowie das Datum!

Was tritt jetzt in Kraft, welche Daten werden übernommen?

mfg

Borsti

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi,

die USN (Unique Sequenz Number) ist für jeden DC "verschieden" jeder DC hat seinen eigenen Pool an USN. Sobald es eine Veränderung gibt, wird diese inkrementiert.

Jeder DC hat eine USN-Tabelle der anderen DC und diese wird abgeglichen, ob ein anderer DC eine andere USN hat. (sprich wie eben gesagt, hat jeder seinen "eigene" USN)

Bei der Veränderung auf 2 DC würden beide USN jeweils um ein inkrementiert und würden somit als geändert gelten (also wieder beide)

die GUID (Global Unique Identifier) ist doch die Nummer, die Eindeutig für ein Objekt ist (also nur zum Festlegen des Objektes)

mfg

Borsti

P.s. Ich danke euch weiterhin für eure Bemühungen!

Link zu diesem Kommentar
Auf anderen Seiten teilen

die GUID (Global Unique Identifier) ist doch die Nummer, die Eindeutig für ein Objekt ist (also nur zum Festlegen des Objektes)

Aber immer dran denken der DC ist ja auch ein Objekt. Also lässt sich auch jeder DC anhand der GUID eindeutig identifizieren.

Die gängigen Konflikte bei der Replikation werden anhand der bereits erwähnten Daten aber automatisch gelöst, so das nach einer Replikation nur ein Wert für das jeweilige Attribut des AD-Objekt gilt um keine Inkonsistenzen im AD entstehen zu lassen. Welcher Wert das dann aber ist.. :hells:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hi,

mir ist grad ein wenig zum schmunzeln...

Wenn man den ganzen Thread bald liest, hätte man ihn auch: "So funktioniert AD und eine Replikation im AD" nennen können :D

Wir können ja mal gucken, was wir noch explizit zu der Replikation beitragen können, durchnehmen, vllt. kommen wir dann auf eine Lösung?!

Also was hatten wir jetzt bereits alles? USN, GUID, Interne-, Externe Replikation, Zeitstempel

Allerdings fällt mir gerade auch nichts weiter dazu ein...

mfg

Borsti

P.S. Wenn man sich das Überlegt, bei beiden Standorten, bei der PW-Änderung, ändert sich die USN, beide replizieren sich. Bei der Replikation verändern sie die USN der nächsten DC, da sich aber 2 Veränderungen im Umlauf befinden, wäre dies doch eine Schleife?

Allerdings sollte man beachten, dass wenn das PW geändert worden ist, der evtl Abgleich des alten PWs nicht mehr stimmt, doch hierzu müsste geklärt werden, ob der ganze Prozess übermittelt wird, oder einfach nur gesagt wird, hier neues PW für Benutzer XYZ.

Da es Standort-Extern Komprimiert wird, denke ich mal, dass nur gesagt wird, hier neues PW für XYZ...

Sollte der Abgleich stattfinden, könnte es dann sein, dass dann ein Konflikt auftritt und die Änderung dann im Ordner "Lost and Found" landen??

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich habe eine Lösung laut meines Ausbilders für dieses Problem:

da das PW auf beiden Domänenkontrollern geändert wird und diese Repliziert werden, wird die Prüfroutine nach einiger Zeit fehlschlagen und einen Konflikt feststellen. Da die Änderung eines PWs eine Sicherheitsrelevante Änderung ist, wird das Konto deaktiviert.

Beim aktivieren des Kontos muss ein neues PW eingegeben werden, da ansonster der Konflikt weiterhin besteht!

mfg

Borsti

P.s. Ich habe z.Zt. allerdings keinen Quelltext zur Hand, Sorry

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...