Jump to content









Photo

DC Replication over IPSec VPN


  • Please log in to reply
15 replies to this topic

#1 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 12 October 2015 - 11:36 AM

Καλημέρα σας,

 

Έχει δουλέψει κανείς DC Replication over IPSec VPN πάνω από firewalls με επιτυχία;

Δεν μιλάω για Read Only DC. Λειτουργικό και Forest Level είναι Win 2012 R2

 

Το έχω στήσει κάπου δοκιμαστικά αλλά μου κάνει αρκετά περίεργα. Μερικές φορές δεν γίνεται το Replication και ας έχω ανοιχτές τις πόρτες που προτείνει η Microsoft. 2 φορές την ημέρα περίπου το Replication γίνεται fail. Μετά από 15 λεπτά πχ ξανα δουλεύει σωστά βέβαια. Αλλά επειδή έχω FS server στο άλλο άκρο και επικοινωνούν άμεσα μου δημιουργεί πρόβλημα γιατί μου κόβει την σύνδεση.

Τον 2o DC τον θέλω και για backup σε offsite location σε περίπτωση που μου σκάσουν οι εδώ servers.

 

PS: Παρακαλώ να μεταφερθεί γιατί κατα λάθος μπήκε σε λάθος Section.



#2 Blackman

Blackman

    Enterprise Admin!

  • Members
  • PipPipPipPipPipPip
  • 1,966 posts
  • LocationIn a b-boy cypher...

Posted 13 October 2015 - 04:07 PM

πως έχεις ορίσει το AD Sites and Services;


https://technet.micr...ror=-2147217396
https://technet.micr...4(v=ws.10).aspx
https://technet.micr...0(v=ws.10).aspx


BSc in Business Information Systems,
MSc in Information Technology Management,
MCP, MCSA 2003, 2008, 2016
Chief Information Officer @ V-Group
Founder & CEO @ Hood Groove Management


#3 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 19 October 2015 - 04:33 PM

Δεν τα έχω κοιτάξει ακόμα αλλά ευχαριστώ για τα Links.



#4 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 21 October 2015 - 10:07 PM

Λοιπόν σε πρόχειρες δοκιμές κανένα από τα παραπάνω link δε με βοήθησε.

Ότι και να κάνω μετά από λίγα λεπτά το replication γίνεται faill και πρόσβαση από το σημείο Α στον file server του σημείου Β δε μου το επιτρέπει. Μου δείχνει τα αρχικά folders που είναι shared, αλλά μετά δε μου ανοίγει τα subfolders χωρίς να μου πετάει error ή κάτι.

 

Επειδή παίζω πάνω από firewall και σε διαφορετικά VLAN δυστυχώς δεν μπορώ να πώ με βεβαιότητα ότι δεν είναι είτε θέμα firewall αλλά ούτε θέμα switch αλλά ούτε θέμα drivers κάρτας δικτύου.

 

Έτσι σήμερα ξεκίνησα firmware upgrade στις κάρτες δικτύου του σημείου Β. Update drivers από την Dell.

 

http://blogs.technet...-few-ports.aspx

 

Βρήκα και αυτόν τον οδηγό. Σε γρήγορες δοκιμές ακόμα δεν έχω δεί πρόβλημα. Αύριο όμως η μέρα θα δείξει που θα συνδεθούν 3-4 χρήστες πάνω και θα δούμε.

Πρόβλημα με ταχύτητα δεν έχω γιατί στο ένα άκρο έχω VDSL 30mbps και στο άλλο fiber.

Σε ping χάνω κάποια μικρά πακέτα αλλά μπορεί να είναι 1 στα 100 πακέτα.

 

Στα logs των firewall δεν βλέπω κάτι και προσωρινά δεν κόβω και κάτι μέχρι να δουλέψει σωστά. Μετά θα κοιτάξω να περιορίσω τις πόρτες αφού παίζουν όλα.



#5 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 21 October 2015 - 10:24 PM

Δυστυχώς πάλι πρόβλημα μετά από λίγα λεπτά.

 

 

 

Repadmin: running command /showrepl against full DC localhost
 
Default-First-Site-Name\DC1
 
DSA Options: IS_GC 
 
Site Options: (none)
 
DSA object GUID: 3ac21010-a7be-4dd8-9f5e-2d6cfa66f5c1
 
DSA invocationID: 4b57bf2a-cdcc-4716-99f3-9927708c4072
 
 
 
==== INBOUND NEIGHBORS ======================================
 
 
 
DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 22:13:52 was successful.
 
 
 
CN=Configuration,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 22:17:40 failed, result 1726 (0x6be):
 
            The remote procedure call failed.
 
        1 consecutive failure(s).
 
        Last success @ 2015-10-21 21:50:24.
 
 
 
CN=Schema,CN=Configuration,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 21:50:25 was successful.
 
 
 
DC=DomainDnsZones,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 21:50:25 was successful.
 
 
 
DC=ForestDnsZones,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 21:50:25 was successful.


#6 Nikos Kastanas

Nikos Kastanas

    Skilled IT Pro

  • Members
  • PipPipPipPip
  • 761 posts

Posted 21 October 2015 - 10:33 PM

Ψαχνοντας το λιγο βλεπω οτι θελει αρκετες πορτες αν κανεις replicate μεσα απο firewall, εισαι σιγουρος οτι ολες ειναι ανοιχτες.

https://msdn.microso...y/bb727063.aspx

 

τα χαμενα ping ισως να ειναι και latency η καποιο σημαδι οτι κατι δεν παει καλα.

 

 

ΝΚ


twitter_logo.png


#7 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 22 October 2015 - 08:42 AM

Αυτή την στιγμή τις έχω όλες ανοιχτές για την επικοινωνία των δύο dc.
Γιατί το πρόβλημα δεν είναι ότι με κόβει το firewall. Ούτε τα logs μου δείχνουν κάτι τέτοιο αλλά ούτε το Wireshark

#8 Panagiotis Pataridis

Panagiotis Pataridis

    Enterprise Admin!

  • Administrators
  • 1,218 posts

Posted 22 October 2015 - 10:11 AM

Βγες σε ένα command και τρέξε ldp DCNamex από τον έναν στον άλλον για να δεις αν φτάνει 389 , εάν φτάνει η 389 τότε έχεις κάποιο άλλο θέμα , πιθανόν DNS configuration . Και κατέβασε το Active Directory Status replication tool για να δεις τι γίνεται στα Partitions. Στο Log που έχεις στείλει υπάρχει πρόβλημα στο Configuration Partition. Τα υπόλοιπα παίζουν κανονικά. Επίσης στον DC2 κάνε ένα restart τα ADDS Services και τρέξε repadmin /syncall /force και από τους δυο.



#9 Panagiotis Pataridis

Panagiotis Pataridis

    Enterprise Admin!

  • Administrators
  • 1,218 posts

Posted 22 October 2015 - 10:15 AM

Επίσης δεν έχεις ενημερώσει εάν αυτά είναι VM ,αν είναι φυσικά κτλ για να δούμε λίγο τι παίζει με τον FS. Το να μη σου ανοίγει Folder είναι σχεδόν δικτυακό πρόβλημα . Θα μπορούσε να είναι και από την αδυναμία να βρει tickets για να εξυπηρετεί τους client αλλά εκεί θα είχες κάποιο error. Και ναι δουλεύει κανονικά το Replication over WAN , είναι εξαιρετικά robust και σχεδόν ανίκητο.



#10 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 22 October 2015 - 11:26 AM

Παναγιώτη, Νίκο και Blackman ευχαριστώ προκαταβολικά.

Και εγώ δεν πιστεύω ότι είναι θέμα Domain αλλά δικτυακό. Αλλά άντε βγάλε με τον Network Admin που επιμένει ότι δεν είναι θέμα δικό του.

Είναι λίγο περίεργη και η εγκατάσταση. Φοβάμαι ότι κόβει την κίνηση το modem του παρόχου γενικά. Για να παίξει το vpn ήθελε πολλά downgrade στο firmware για να αφήσει το ipsec. Και δυστυχώς δεν παίζει καθόλου σωστά αν το γυρίσουμε σε bridge mode κιόλας.

 

Άρα ψάχνομαι για τα πάντα σε κατάσταση πανικού και με λίγο χρόνο διαθέσιμο.

 

Τα μηχανήματα είναι VMs όλα.

 

Δεν μου επιτρέπει σύνδεση ldp στην 389

ld = ldap_open("dc2", 389);
Error <0x51>: Fail to connect to 
 
LDAP_BUSY


#11 Panagiotis Pataridis

Panagiotis Pataridis

    Enterprise Admin!

  • Administrators
  • 1,218 posts

Posted 22 October 2015 - 11:41 AM

OK Οπότε το τσίμπησες το error , άρα για κάποιο λόγο δεν συνδέεται απέναντι στην 389 οπότε πρέπει να δεις γιατί πέφτει και συνδέεται ξανά :)

 

Όταν έχεις νεότερα ping us



#12 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 22 October 2015 - 01:11 PM

Τελικά από 389 παίζει κανονικά χωρίς πρόβλημα

 

Δοκιμάζω και περαιτέρω τις συμβουλές σου και ενημερώνω.

 

Ευχαριστώ πολύ.



#13 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 22 October 2015 - 02:15 PM

Update

Το replication εδώ και μια ώρα παίζει χωρίς πρόβλημα.

Active Directory Status replication tool δεν μου βγάζει κανένα error απολύτως.

 

Για να γίνω λίγο ποιο σαφής. Το πρόβλημα μου το κάνει όποτε του κάτσει.

 

Δηλαδή μπορεί σήμερα να δουλεύει μια χαρά και το απόγευμα ή αύριο να ξεκινήσει πρόβλημα. Μετά να ξαναπαίξει μόνο του και ξανά μανά τελείως τυχαία και με έχει τρελάνει.

Δεν είναι το πρώτο που στήνω αλλά το συγκεκριμένο θα με στείλει στο Δαφνή.



#14 Panagiotis Pataridis

Panagiotis Pataridis

    Enterprise Admin!

  • Administrators
  • 1,218 posts

Posted 22 October 2015 - 03:07 PM

Δύσκολα θα είναι πρόβλημα των DC's το πιο πιθανό είναι να υπάρχει πρόβλημα στο Routing , είναι διαφορετικά subnet; Επίσης όταν κολλάει κάνει ping ,tracert κτλ;



#15 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 22 October 2015 - 03:34 PM

Επειδή το έκανε.
 
Tracing route to dc2.domain.LOCAL [17x.1x.217.20]
over a maximum of 30 hops:
 
  1     *        *        *     Request timed out.
  2     *        *        *     Request timed out.
  3    69 ms    68 ms    68 ms  dc2.domain.local [17x.1x.217.20]
 
Trace complete.
 
 
 
 
Tracing route to dc1.domain.LOCAL [17x.1x.201.20]
over a maximum of 30 hops:
 
  1     *        *        *     Request timed out.
  2     *        *        *     Request timed out.
  3    68 ms    68 ms    68 ms  dc1.domain.local [17x.1x.201.20] 
 
Trace complete.
 
Τα tracert.
icmp περνάει κανονικά. 

 

 

Το log από το AD Replication Status Tool

 

 

"Parent.Name","ErrorInformation"
"dc2.domain.LOCAL","Failed to collect data against Node 'dc2.domain.LOCAL'.  It was retried 0 time(s). The following error occurred:
 
Domain controller "dc2.domain.LOCAL" does not exist or cannot be contacted..
Type=Microsoft.Sirona.Collection.CollectionException
 
 
Server stack trace: 
   at Microsoft.Sirona.Collection.DataCollectorBase.Collect(INode node, IDataNodeReference existingReference)
   at Microsoft.Sirona.Workflow.Activities.Collection.DataCollectorActivity`1.ExecuteDataCollector(T dataCollector, INode node, IDataNodeReference existingReference)
   at System.Runtime.Remoting.Messaging.StackBuilderSink._PrivateProcessMessage(IntPtr md, Object[] args, Object server, Object[]& outArgs)
   at System.Runtime.Remoting.Messaging.StackBuilderSink.AsyncProcessMessage(IMessage msg, IMessageSink replySink)
 
Exception rethrown at [0]: 
   at System.Runtime.Remoting.Proxies.RealProxy.EndInvokeHelper(Message reqMsg, Boolean bProxyCase)
   at System.Runtime.Remoting.Proxies.RemotingProxy.Invoke(Object NotUsed, MessageData& msgData)
   at Microsoft.Sirona.Workflow.Activities.Collection.DataCollectorActivity`1.CollectMethodCaller.EndInvoke(IAsyncResult result)
   at Microsoft.Sirona.Workflow.Activities.Collection.DataCollectorActivity`1.EndExecute(NativeActivityContext context, IAsyncResult result)
 
+Domain controller "dc2.domain.LOCAL" does not exist or cannot be contacted.
+Type=System.DirectoryServices.ActiveDirectory.ActiveDirectoryObjectNotFoundException
 
+   at System.DirectoryServices.ActiveDirectory.DomainController.GetDomainController(DirectoryContext context)
   at Microsoft.ADReplStatus.ReplicationStatusDataCollector.<ExecuteQuery>d__0.MoveNext()
   at Microsoft.ADReplStatus.ReplicationStatusDataCollector.CollectInternal(INode node, IDataNodeReference dataNode)
   at Microsoft.Sirona.Collection.DataCollectorBase.ImpersonateAndCollect(INode node, IDataNodeReference reference)
   at Microsoft.Sirona.Collection.DataCollectorBase.Collect(INode node, IDataNodeReference existingReference)"
 
 
 
Και όπως ήταν αρχικά η φοβία μου επιβεβαιώνεται ότι είναι δικτυακό το πρόβλημα.
 
Και μόλις επιβεβαίωσα ότι είναι δικτυακό το πρόβλημα.
Όπως έκανε reconnect το VPN έπαιξε χωρίς πρόβλημα.
 
 
Ευχαριστώ όλους για τον χρόνο τους. Πραγματικά.


#16 fumantsu

fumantsu

    Junior IT

  • Members
  • PipPip
  • 132 posts
  • LocationL.A (Lekanopedio Attikis)

Posted 09 November 2015 - 10:58 AM

Τελικά ήταν πρόβλημα στα Devices του VPN.

Έγιναν firmware upgrade που βγήκε πρόσφατα και το πρόβλημα λύθηκε. 

Ευχαριστώ πολύ για τον χρόνο σας.


  • Nikos Kastanas and Blackman like this




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users