# AD Sites & Services: Die Physische Topologie beherrschen

TL;DR / Management Summary Während Domänen und OUs die logische Struktur definieren, bestimmen Sites & Services die physische Realität. Sie sorgen dafür, dass ein User in Berlin sich gegen den DC in Berlin authentifiziert und nicht über eine langsame WAN-Leitung nach New York telefoniert. Ein Senior Admin nutzt Sites, um Replikations-Traffic zu komprimieren und die Last zwischen Standorten zu balancieren.

# 1. Einführung & Architektur

Wie das AD das Netzwerk ‘sieht’.

Active Directory kennt keine Entfernungen, nur Subnetze.

# Schlüsselkomponenten

Sites: Eine Sammlung von IP-Subnetzen mit schneller Verbindung (LAN).
Subnets: Jedes IP-Netz muss einer Site zugewiesen sein.
Site Links: Die virtuellen Brücken zwischen Sites. Sie definieren Kosten (Cost) und Intervalle (Schedule).
KCC (Knowledge Consistency Checker): Der Kernel-Prozess, der automatisch die Replikations-Pfade (Connections) berechnet.

# Architektur-Übersicht (Mermaid)

graph TD
    subgraph "Site: Berlin (10.1.0.0/16)"
    DC_BE1[DC Berlin 01] <--> DC_BE2[DC Berlin 02]
    end

    subgraph "Site: Munich (10.2.0.0/16)"
    DC_MU1[DC Munich 01]
    end

    DC_BE1 <-->|Site Link: 15 Min / Cost 100| DC_MU1
    
    subgraph "Replication Types"
    INTRA[Intra-Site: Fast / No Compression]
    INTER[Inter-Site: Scheduled / Compressed]
    end

# 2. Standort-Konfiguration in der Praxis

Ordnung im IP-Chaos.

# Schritt 1: Subnetze zuweisen

Gehen Sie in dssite.msc (Sites and Services). Jedes Firmen-Subnetz muss einer Site zugeordnet sein.

Warum?: Wenn ein Client aus einem unbekannten Subnetz anfragt, wählt Windows einen zufälligen DC im Forest (DNS Round Robin) -> Hohe Latenz.

# Schritt 2: Site Links optimieren

Der Standard-Site-Link (DEFAULTIPSITELINK) sollte umbenannt und mit realistischen Werten versehen werden.

Cost: Je niedriger, desto bevorzugter der Pfad.
Interval: Standard ist 180 Min. In modernen Netzen stellen Senior Admins dies oft auf 15-30 Minuten.

# 3. Deep Dive: AD Replikations-Mechanismen

USN und Vektoren.

AD nutzt keine Zeitstempel für die Replikation (wegen Uhrzeit-Differenzen), sondern Update Sequence Numbers (USN).

Jeder DC führt eine USN-Liste seiner Änderungen.
Beim Sync fragt DC-B den DC-A: “Gib mir alles ab USN 5000”.

# Bridgehead Server

In jeder Site wählt der KCC automatisch einen (oder mehrere) DCs als Bridgehead. Nur diese Server kommunizieren über die WAN-Strecke mit anderen Sites, um Traffic zu bündeln.

# 4. Day-2 Operations: Replikations-Check

Alles im grünen Bereich?

# Das Tool der Wahl: repadmin

Vergessen Sie die GUI für den Sync-Check. repadmin liefert die Wahrheit.

# Zusammenfassung aller Sync-Partner und Fehler
repadmin /replsummary

# Detaillierte Liste der letzten Sync-Versuche
repadmin /showrepl

# Sync manuell triggern
repadmin /syncall /AeD

# 5. Troubleshooting & “War Stories”

Wenn die DCs auseinanderdriften.

# Top 3 Fehlerbilder

Symptom: Passwortänderung wird an Standort B erst nach 3 Stunden erkannt.
- Ursache: Zu hohes Replikationsintervall im Site Link.
- Lösung: Intervall auf 15 Min senken und “Change Notification” zwischen Sites aktivieren (Registry: Options = 1 am Site Link).
Symptom: Fehler “Access Denied” bei der Replikation.
- Ursache: Zeitunterschied > 5 Min (Kerberos-Fehler) oder korruptes Computer-Passwort des DCs.
- Lösung: w32tm /resync und DNS-Prüfung.
Symptom: KCC erstellt keine Connection-Objekte.
- Ursache: “Subnet not defined”. Der KCC weiß nicht, welche DCs physisch zusammenstehen.

# “War Story”: Der “Intersite” Geister-Traffic

Ein Unternehmen wunderte sich über massive Lastspitzen auf einer 2-Mbit-Standleitung. Die Entdeckung: Es gab keine konfigurierten Sites. Der KCC dachte, alle 50 DCs stünden im gleichen LAN (Intra-Site). Die Replikation erfolgte unkomprimiert und sofort bei jeder kleinsten Änderung (z.B. User-Logon Timestamp). Lösung: Einrichtung von Sites und Site-Links. Der Traffic sank um 90%, da Inter-Site-Replikation standardmäßig komprimiert wird.

# 6. Monitoring & Alerting

Sync-Fehler sofort erkennen.

# PowerShell Alerting

# Prüft auf Replikationsfehler im gesamten Forest
$ReplErrors = Get-ADReplicationFailure -Target (Get-ADForest).Name -Scope Forest
if ($ReplErrors) { Send-MailMessage -Subject "AD Replication FAILED" ... }

# 7. Fazit & Empfehlung

Sites & Services sind das Fundament für eine gute User-Experience.

Empfehlung: Pflegen Sie Ihre Subnetze akribisch. Jedes neue VLAN im Proxmox-Cluster (Artikel 680) muss im AD registriert werden.
Strategie: Nutzen Sie Read-Only Domain Controller (RODC) für unsichere Außenstellen, um im Falle eines Diebstahls den Forest-Root nicht zu gefährden.

# Anhang: Cheatsheet

Aufgabe	Befehl / Tool
Sites Konsole	`dssite.msc`
Replikations-Status	`repadmin /showrepl`
Topologie-Refresh	`repadmin /kcc`
Verbindung testen	`nltest /dsgetdc:domain.com`