Toon posts:

NT4 Netlogon Replication

Pagina: 1
Acties:

donderdag 1 mei 2003 10:40

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 11:24

Dennis

Topicstarter
Even een simpel vraagje aangezien ik er met de helpfiles niet helemaal uit kom.

Ik heb hier 1 PDC en 1 BDC. Zoals iedereen weet kun je in NT4 de netlogon-shares repliceren. Vroeger hadden we een andere PDC maar die is nu uitgezet dus ik kan daar even niet meer spieken en wil het nu goed zetten.

De Scripts$-share (repl\export) van de PDC wil ik naar de PDC én de BDC Netlogon$-share (repl\import) laten repliceren.

Nu heb ik het volgende geconfigureerd:

PDC (ADAM-FS05):
[ ] do not export
• export directories

met een lege to-list

[ ] do not import
• import directories

met in de to-list ADAM-FS05

BDC (HFD_NVE_COM_02):
• do not export
[ ] export directories

met een lege to-list

[ ] do not import
• import directories

met in de to-list ADAM-FS05

Het lijkt mij dat dit goed is, alleen wordt er niet gerepliceerd :'(. Moet ik in de to-list nog een DOMAIN zetten? Uit de helpfile begrijp ik dat dat niet persé noodzakelijk is. Verder staan deze servers bij elkaar dus er is geen sprake van een WAN-link.

Samenvatting: staan deze dingen goed? ;)

donderdag 1 mei 2003 10:52

Acties:
  • Devster
  • Registratie: Februari 2001
  • Laatst online: 14-08-2025

Devster

-=+CLOUDBARISTA+=-

Vraag: Krijg je meldingen van REPLICATOR in je event log?

In de "to-list" van je export directory moet je de servers zetten waar je heen wil repliceren. In de "from-list" moet je de bronserver (in dit geval je PDC) plaatsen.

Je kunt in plaats van de servernamen het DOMAIN in je to list zetten, dan wordt naar alle Domain Controllers gerepliceerd, maar dit is af en toe nog wel eens buggy.

Samenvatting: Bij de EXPORT alle servers waar je heen wil repliceren in de "to-list" zetten. Bij alle servers die de files moeten ontvangen de bronserver in de "from-list" zetten.

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

donderdag 1 mei 2003 10:57

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 07:45

Koffie

Koffiebierbrouwer

Braaimeneer

* Koffie vraagt zich ook af of je errors ziet


Verder vraag ik me af of je bij Manage -> Locked Since nog errors ziet
replicatie van NT4 is IMHO vrij but, omdattie bij het minste of geringste weigerd te repliceren.

Anyway, kijk eens naar zulke errors en/of in de eventvwr

Tijd voor een nieuwe sig..

donderdag 1 mei 2003 11:33

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 11:24

Dennis

Topicstarter
Ja, ik zie net dat ik op de PDC een foutmelding krijg:

http://www.jsiinc.com/SUBK/tip5100/rh5153.htm (heb al even gezocht).

De service staat trouwens op de SYSTEM account en de permissies staan ook goed, dus ik snap die hele foutmelding niet, maarja...

Ik zou hem eigenlijk op de replicator-account moeten zetten, maar daar weet ik het wachtwoord niet van en mn baas is momenteel op vakantie. Overigens staat hij op de BDC wel met de repluser account. Op die BDC geen fouten in de eventlog overigens.

Ik heb nu in de to-list van de PDC (die ik wil laten exporteren) even het domein gezet. Aangezien er geen WAN-verbindingen zijn hoef ik niet de aparte servers erin te doen volgens de helpfile.

Overigens acht ik de kans klein dat hij nu wél gaat repliceren....

donderdag 1 mei 2003 11:43

Acties:

Verwijderd

Volgens mij mag hij niet met het system account repliceren, maar moet je een user aanmaken met admin-rechten.
Weet het niet zeker meer... Is al enige tijd geleden dat ik met replicatie gewerkt heb ;)

donderdag 1 mei 2003 11:46

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 11:24

Dennis

Topicstarter
Verwijderd schreef op 01 mei 2003 @ 11:43:
Volgens mij mag hij niet met het system account repliceren, maar moet je een user aanmaken met admin-rechten.
Weet het niet zeker meer... Is al enige tijd geleden dat ik met replicatie gewerkt heb ;)
Dat zou best kunnen, en we hebben daar dus repluser voor, maar daar weet ik het wachtwoord dus niet van. :). En hoewel het waarschijnlijk maar alleen voor replicatie wordt gebruikt wil ik niet het risico lopen dat ik iets sloop.

donderdag 1 mei 2003 11:47

Acties:
  • Poltergeist
  • Registratie: Oktober 2000
  • Laatst online: 13:54

Poltergeist

Dan maak je toch even een testaccount aan met admin rechten?

donderdag 1 mei 2003 11:53

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

error 5 is acces is denied. Een system account is een lokaal account welke geen rechten op de BDC heeft. Dit had je zelf ook kunnen bedenken.

Verder moet bij PDC
Export Directory optie
from path c:\winnt\system32\repl\export
TO List
zichzelf
BDC
BDC2(als je die hebt)

Import directory optie.
To path
c:\winnt\system32\repl\import
From List.
zichzelf

Bij de BDC
alleen Import Directory
to path
c:\winnt\system32\repl\import
Ook kun je error32 nog krijgen welke inhoud dat de share in gebruik is. Op dit moment zal er geen replicatie plaatst vinden.

Om passwords te recoveren kun je L0hpt gebruiken. Deze zal binnen 2 dagen alle passwords achterhaalt hebben. Ik gebruik dit zelf ook als ik een account moet gebruiken wat nog niet genoteerd staat in een apparte paskeeper file.

[ Voor 36% gewijzigd door mutsje op 01-05-2003 11:59 ]

donderdag 1 mei 2003 13:15

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 11:24

Dennis

Topicstarter
mutsje schreef op 01 May 2003 @ 11:53:
Om passwords te recoveren kun je L0hpt gebruiken. Deze zal binnen 2 dagen alle passwords achterhaalt hebben. Ik gebruik dit zelf ook als ik een account moet gebruiken wat nog niet genoteerd staat in een apparte paskeeper file.
Bij mij deed ie over het password voor repluser slechts 2 seconden..

Maargoed, ik had alles al goed ingesteld zoals je vertelde mutsje, alleen draaide het op de PDC nog als systemaccount.

Inmiddels draait het als repluser account en het eerste resultaat is er: op de PDC wordt gerepliceerd van de export naar de import directory. Echter, de BDC blijft geheel buitenspel. Er zijn netjes Change-rechten toegewezen aan de import directory op de BDC, dus dat is niet zozeer het probleem...

:|

donderdag 1 mei 2003 13:33

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 11:24

Dennis

Topicstarter
Na een tigtal minuten wachten repliceert hij nu ook goed naar de BDC. *D.

:*.

[edit]
Oja, wat is de default replication interval en kan ik die veranderen? Zoja, waar?

[ Voor 37% gewijzigd door Dennis op 01-05-2003 13:38 ]

donderdag 1 mei 2003 14:07

Acties:
  • Devster
  • Registratie: Februari 2001
  • Laatst online: 14-08-2025

Devster

-=+CLOUDBARISTA+=-

FF google gebruiken:

Registry Keys that configure the service.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Replicator\Parameters

Two values are
Interval : The time to wait before the export server check for changes in the export directory
Default is 5 mins, max is 60 mins
GuardTime : Number of minutes an export dir must be stable (unchanged for)
Default is 2 mins, Minimum is 0 max is 0.5 of the Interval value

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

donderdag 1 mei 2003 16:12

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

Je kunt een replicator account net zo goed full control geven want de enige die het gebruikt is de replicator service. Dit soort zaken kun je beter niet dicht gaan bouwen.
En de default replication interval zou je ook gewoon default kunnen laten.

donderdag 1 mei 2003 21:39

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

mutsje schreef op 01 May 2003 @ 16:12:
Je kunt een replicator account net zo goed full control geven want de enige die het gebruikt is de replicator service. Dit soort zaken kun je beter niet dicht gaan bouwen.
En de default replication interval zou je ook gewoon default kunnen laten.
beveiligingshalve zou ik ook even instellen dat het replicator account alleen mag aanmelden op de pdc en de bdc, en niet vanaf een werkstation kan inloggen op het domain

dat ding heeft immers meer rechten als een gewone user, en je zou er niet aan moeten denken als iemand met dit account gaat inloggen

* Zwelgje heeft het vroeger wel eens meegemaakt dat het administrator account een heeeel moeilijk wachtwoord had, maar dat de service accounts (welke ook domain admin rechten hadden) gewoon als password hun eigen inlognaam hadden |:( :P

A wise man's life is based around fuck you

vrijdag 2 mei 2003 08:18

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 23-04 19:36

mutsje

Certified Prutser

zwelgje schreef op 01 May 2003 @ 21:39:
[...]


* Zwelgje heeft het vroeger wel eens meegemaakt dat het administrator account een heeeel moeilijk wachtwoord had, maar dat de service accounts (welke ook domain admin rechten hadden) gewoon als password hun eigen inlognaam hadden |:( :P
Dat ligt dan gewoon aan rete slecht beheer maar je hebt wel een mooi punt. Alleen moet dat wel gedocumenteerd worden dat een replicator account alleen op pdc/bdc kan inloggen.
Pagina: 1
Reageer