Jump to content

DC Replication over IPSec VPN


fumantsu
 Share

Recommended Posts

Καλημέρα σας,

 

Έχει δουλέψει κανείς DC Replication over IPSec VPN πάνω από firewalls με επιτυχία;

Δεν μιλάω για Read Only DC. Λειτουργικό και Forest Level είναι Win 2012 R2

 

Το έχω στήσει κάπου δοκιμαστικά αλλά μου κάνει αρκετά περίεργα. Μερικές φορές δεν γίνεται το Replication και ας έχω ανοιχτές τις πόρτες που προτείνει η Microsoft. 2 φορές την ημέρα περίπου το Replication γίνεται fail. Μετά από 15 λεπτά πχ ξανα δουλεύει σωστά βέβαια. Αλλά επειδή έχω FS server στο άλλο άκρο και επικοινωνούν άμεσα μου δημιουργεί πρόβλημα γιατί μου κόβει την σύνδεση.

Τον 2o DC τον θέλω και για backup σε offsite location σε περίπτωση που μου σκάσουν οι εδώ servers.

 

PS: Παρακαλώ να μεταφερθεί γιατί κατα λάθος μπήκε σε λάθος Section.

Link to comment
Share on other sites

Λοιπόν σε πρόχειρες δοκιμές κανένα από τα παραπάνω link δε με βοήθησε.

Ότι και να κάνω μετά από λίγα λεπτά το replication γίνεται faill και πρόσβαση από το σημείο Α στον file server του σημείου Β δε μου το επιτρέπει. Μου δείχνει τα αρχικά folders που είναι shared, αλλά μετά δε μου ανοίγει τα subfolders χωρίς να μου πετάει error ή κάτι.

 

Επειδή παίζω πάνω από firewall και σε διαφορετικά VLAN δυστυχώς δεν μπορώ να πώ με βεβαιότητα ότι δεν είναι είτε θέμα firewall αλλά ούτε θέμα switch αλλά ούτε θέμα drivers κάρτας δικτύου.

 

Έτσι σήμερα ξεκίνησα firmware upgrade στις κάρτες δικτύου του σημείου Β. Update drivers από την Dell.

 

http://blogs.technet.com/b/luistog/archive/2012/05/08/restricting-ad-replication-traffic-between-dcs-to-only-a-few-ports.aspx

 

Βρήκα και αυτόν τον οδηγό. Σε γρήγορες δοκιμές ακόμα δεν έχω δεί πρόβλημα. Αύριο όμως η μέρα θα δείξει που θα συνδεθούν 3-4 χρήστες πάνω και θα δούμε.

Πρόβλημα με ταχύτητα δεν έχω γιατί στο ένα άκρο έχω VDSL 30mbps και στο άλλο fiber.

Σε ping χάνω κάποια μικρά πακέτα αλλά μπορεί να είναι 1 στα 100 πακέτα.

 

Στα logs των firewall δεν βλέπω κάτι και προσωρινά δεν κόβω και κάτι μέχρι να δουλέψει σωστά. Μετά θα κοιτάξω να περιορίσω τις πόρτες αφού παίζουν όλα.

Link to comment
Share on other sites

Δυστυχώς πάλι πρόβλημα μετά από λίγα λεπτά.

 

 

 

Repadmin: running command /showrepl against full DC localhost
 
Default-First-Site-Name\DC1
 
DSA Options: IS_GC 
 
Site Options: (none)
 
DSA object GUID: 3ac21010-a7be-4dd8-9f5e-2d6cfa66f5c1
 
DSA invocationID: 4b57bf2a-cdcc-4716-99f3-9927708c4072
 
 
 
==== INBOUND NEIGHBORS ======================================
 
 
 
DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 22:13:52 was successful.
 
 
 
CN=Configuration,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 22:17:40 failed, result 1726 (0x6be):
 
            The remote procedure call failed.
 
        1 consecutive failure(s).
 
        Last success @ 2015-10-21 21:50:24.
 
 
 
CN=Schema,CN=Configuration,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 21:50:25 was successful.
 
 
 
DC=DomainDnsZones,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 21:50:25 was successful.
 
 
 
DC=ForestDnsZones,DC=DOMAIN,DC=LOCAL
 
    Default-First-Site-Name\DC2 via RPC
 
        DSA object GUID: c0603cc1-c287-458b-b3d9-0a5a222231ce
 
        Last attempt @ 2015-10-21 21:50:25 was successful.
Link to comment
Share on other sites

Ψαχνοντας το λιγο βλεπω οτι θελει αρκετες πορτες αν κανεις replicate μεσα απο firewall, εισαι σιγουρος οτι ολες ειναι ανοιχτες.

https://msdn.microsoft.com/en-us/library/bb727063.aspx

 

τα χαμενα ping ισως να ειναι και latency η καποιο σημαδι οτι κατι δεν παει καλα.

 

 

ΝΚ

Link to comment
Share on other sites

Αυτή την στιγμή τις έχω όλες ανοιχτές για την επικοινωνία των δύο dc.

Γιατί το πρόβλημα δεν είναι ότι με κόβει το firewall. Ούτε τα logs μου δείχνουν κάτι τέτοιο αλλά ούτε το Wireshark

Link to comment
Share on other sites

Βγες σε ένα command και τρέξε ldp DCNamex από τον έναν στον άλλον για να δεις αν φτάνει 389 , εάν φτάνει η 389 τότε έχεις κάποιο άλλο θέμα , πιθανόν DNS configuration . Και κατέβασε το Active Directory Status replication tool για να δεις τι γίνεται στα Partitions. Στο Log που έχεις στείλει υπάρχει πρόβλημα στο Configuration Partition. Τα υπόλοιπα παίζουν κανονικά. Επίσης στον DC2 κάνε ένα restart τα ADDS Services και τρέξε repadmin /syncall /force και από τους δυο.

Link to comment
Share on other sites

Επίσης δεν έχεις ενημερώσει εάν αυτά είναι VM ,αν είναι φυσικά κτλ για να δούμε λίγο τι παίζει με τον FS. Το να μη σου ανοίγει Folder είναι σχεδόν δικτυακό πρόβλημα . Θα μπορούσε να είναι και από την αδυναμία να βρει tickets για να εξυπηρετεί τους client αλλά εκεί θα είχες κάποιο error. Και ναι δουλεύει κανονικά το Replication over WAN , είναι εξαιρετικά robust και σχεδόν ανίκητο.

Link to comment
Share on other sites

Παναγιώτη, Νίκο και Blackman ευχαριστώ προκαταβολικά.

Και εγώ δεν πιστεύω ότι είναι θέμα Domain αλλά δικτυακό. Αλλά άντε βγάλε με τον Network Admin που επιμένει ότι δεν είναι θέμα δικό του.

Είναι λίγο περίεργη και η εγκατάσταση. Φοβάμαι ότι κόβει την κίνηση το modem του παρόχου γενικά. Για να παίξει το vpn ήθελε πολλά downgrade στο firmware για να αφήσει το ipsec. Και δυστυχώς δεν παίζει καθόλου σωστά αν το γυρίσουμε σε bridge mode κιόλας.

 

Άρα ψάχνομαι για τα πάντα σε κατάσταση πανικού και με λίγο χρόνο διαθέσιμο.

 

Τα μηχανήματα είναι VMs όλα.

 

Δεν μου επιτρέπει σύνδεση ldp στην 389

ld = ldap_open("dc2", 389);
Error <0x51>: Fail to connect to 
 
LDAP_BUSY
Link to comment
Share on other sites

OK Οπότε το τσίμπησες το error , άρα για κάποιο λόγο δεν συνδέεται απέναντι στην 389 οπότε πρέπει να δεις γιατί πέφτει και συνδέεται ξανά :)

 

Όταν έχεις νεότερα ping us

Link to comment
Share on other sites

Update

Το replication εδώ και μια ώρα παίζει χωρίς πρόβλημα.

Active Directory Status replication tool δεν μου βγάζει κανένα error απολύτως.

 

Για να γίνω λίγο ποιο σαφής. Το πρόβλημα μου το κάνει όποτε του κάτσει.

 

Δηλαδή μπορεί σήμερα να δουλεύει μια χαρά και το απόγευμα ή αύριο να ξεκινήσει πρόβλημα. Μετά να ξαναπαίξει μόνο του και ξανά μανά τελείως τυχαία και με έχει τρελάνει.

Δεν είναι το πρώτο που στήνω αλλά το συγκεκριμένο θα με στείλει στο Δαφνή.

Link to comment
Share on other sites

Επειδή το έκανε.
 
Tracing route to dc2.domain.LOCAL [17x.1x.217.20]
over a maximum of 30 hops:
 
  1     *        *        *     Request timed out.
  2     *        *        *     Request timed out.
  3    69 ms    68 ms    68 ms  dc2.domain.local [17x.1x.217.20]
 
Trace complete.
 
 
 
 
Tracing route to dc1.domain.LOCAL [17x.1x.201.20]
over a maximum of 30 hops:
 
  1     *        *        *     Request timed out.
  2     *        *        *     Request timed out.
  3    68 ms    68 ms    68 ms  dc1.domain.local [17x.1x.201.20] 
 
Trace complete.
 
Τα tracert.
icmp περνάει κανονικά. 

 

 

Το log από το AD Replication Status Tool

 

 

"Parent.Name","ErrorInformation"
"dc2.domain.LOCAL","Failed to collect data against Node 'dc2.domain.LOCAL'.  It was retried 0 time(s). The following error occurred:
 
Domain controller "dc2.domain.LOCAL" does not exist or cannot be contacted..
Type=Microsoft.Sirona.Collection.CollectionException
 
 
Server stack trace: 
   at Microsoft.Sirona.Collection.DataCollectorBase.Collect(INode node, IDataNodeReference existingReference)
   at Microsoft.Sirona.Workflow.Activities.Collection.DataCollectorActivity`1.ExecuteDataCollector(T dataCollector, INode node, IDataNodeReference existingReference)
   at System.Runtime.Remoting.Messaging.StackBuilderSink._PrivateProcessMessage(IntPtr md, Object[] args, Object server, Object[]& outArgs)
   at System.Runtime.Remoting.Messaging.StackBuilderSink.AsyncProcessMessage(IMessage msg, IMessageSink replySink)
 
Exception rethrown at [0]: 
   at System.Runtime.Remoting.Proxies.RealProxy.EndInvokeHelper(Message reqMsg, Boolean bProxyCase)
   at System.Runtime.Remoting.Proxies.RemotingProxy.Invoke(Object NotUsed, MessageData& msgData)
   at Microsoft.Sirona.Workflow.Activities.Collection.DataCollectorActivity`1.CollectMethodCaller.EndInvoke(IAsyncResult result)
   at Microsoft.Sirona.Workflow.Activities.Collection.DataCollectorActivity`1.EndExecute(NativeActivityContext context, IAsyncResult result)
 
+Domain controller "dc2.domain.LOCAL" does not exist or cannot be contacted.
+Type=System.DirectoryServices.ActiveDirectory.ActiveDirectoryObjectNotFoundException
 
+   at System.DirectoryServices.ActiveDirectory.DomainController.GetDomainController(DirectoryContext context)
   at Microsoft.ADReplStatus.ReplicationStatusDataCollector.<ExecuteQuery>d__0.MoveNext()
   at Microsoft.ADReplStatus.ReplicationStatusDataCollector.CollectInternal(INode node, IDataNodeReference dataNode)
   at Microsoft.Sirona.Collection.DataCollectorBase.ImpersonateAndCollect(INode node, IDataNodeReference reference)
   at Microsoft.Sirona.Collection.DataCollectorBase.Collect(INode node, IDataNodeReference existingReference)"
 
 
 
Και όπως ήταν αρχικά η φοβία μου επιβεβαιώνεται ότι είναι δικτυακό το πρόβλημα.
 
Και μόλις επιβεβαίωσα ότι είναι δικτυακό το πρόβλημα.
Όπως έκανε reconnect το VPN έπαιξε χωρίς πρόβλημα.
 
 
Ευχαριστώ όλους για τον χρόνο τους. Πραγματικά.
Link to comment
Share on other sites

  • 3 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...