AD DS Replikation über IPv4 only

Wenn ein Server korrekt für IPv6 konfiguriert ist, dann wird die AD DS Replikation ausnahmslos versuchen, die Replikation über IPv6 abwickeln. Obwohl der DCdiag Connectivity Test erfolgreich ist, wenn eine Fallback-IPV4-Verbindung zur Verfügung steht, schlägt die Replikation fehlt.

Im Internet finden sich einzelne Anleitungen, die IPv6 abschalten lassen. Das ist grundsätzlich nicht das, was ich möchte. Dennoch gibt es einen recht einfachen Trick, um die Replikation über IPv4 zu erzwingen. Für kleinere Installationen ist das handhabbar.

Die Replikationspartner erkennen sich über den DSA-Namen, der in der DNS-Zone _msdcs.domain.tld als CNAME RR abgelegt ist. Dieser zeigt normalerweise auf den FQDN des Servers und wird vom NETLOGON-Dienst laufend aktualisiert.

Das wollen wir im erstmal austreiben. Dazu in
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
einen REG_MULTI_SZ mit dem Namen DnsAvoidRegisterRecords anlegen und mit DsaCname befüllen.

In einem zweiten Schritt legen wir auf jedem Replikationspartner-DNS-Server einen neuen A-RR an, der auf die IPv4-Adresse dieses Servers zeigt. Diesen Namen setzen wir anschliessend als Ziel des DSA-CNAME-Eintrags. Nun liefert das DNS beim Start der Replikation nur noch eine IPv4-Adresse zurück und die Replikation funktioniert wie erwartet.

Veröffentlicht von Tobias

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

? *