Samba-RODC unter UCS5 lässt sich verändern

Hallo zusammen,

folgendes Problem:
Ich habe 2 UCS5-Systeme am laufen, welche mein Active Directory bereitstellen. Ein System befindet sich im Rechenzentrum in meiner LAN-Zone, welches der RWDC meines Netzwerkes ist. Über VPN wird die Verbindung zum Domänencontroller hergestellt.

In meinem Heimnetz läuft der 2. Domänencontroller als Replica Node, auf welchem ich zusätzlich einen Samba 4 RODC eingerichtet habe. Dieser soll nun eine Replikation bestimmter Benutzerkonten und Kennwörter bereitstellen, falls mein Server im Rechenzentrum wegen Wartungsarbeiten oder anderen Gründen mal nicht erreichbar ist.

Nun ist mir hier aufgefallen, das ich über den RODC mit den Windows-Bordtools (Active Directory-Benutzer und -Computer) oder per LDAP Admin über Port 636 Objekte erstellen kann.

Im Beispiel ein neues Benutzerkonto:

Ich erstelle normal in einer der Verzeichnisse des ADs (zum Beispiel in Users) einen neuen Benutzer, gebe die üblichen Infos wie Name, Vorname, Benutzername und Kennwort in die jeweiligen Felder ein. Der Server bricht anschließend mit einer Fehlermeldung ab - allerdings nicht mit der für mich erwarteten.

Genauer gesagt lautet die Felermeldung:
“Das Objekt Test konnte aufgrund des folgenden Problems nicht erstellt werden: Ein solches Objekt ist auf dem Server nicht vorhanden.”

Zunächst sieht es dann so aus, als wäre das ganze dann fehlgeschlagen. Allerdings sieht man direkt nach dem Versuch dann auf dem RWDC in der LAN-Zone im Rechenzentrum die neu angelegten Objekte.

Nach einer kurzen Weile taucht dann genau das erstellte Element auch auf dem RODC auf, vermutlich weil das Objekt dann planmäßig vom RWDC repliziert wird.

Selbes Verhalten lässt sich im übrigen auch beim Löschen von Objekten provozieren.
Wenn ich ein Element lösche, wird dieses auf dem RODC zunächst scheinbar gelöscht. Aktualisiert man anschließend die Ansicht, taucht das gelöschte Objekt wieder auf - bis zur nächsten Replikation vom RWDC, danach ist auf beiden Seiten das Objekt verschwunden.

Mir erschließt sich hier gerade damit nicht der Sinn des RODCs…

Mit dem OpenLDAP-Zugang über Port 7636 funktioniert das ganze nicht…so wie ich es vom Replica Node eigentlich erwarte.

Die Konfiguration habe ich genau so vorgenommen, wie diese im Wiki unter Univention Corporate Server beschrieben wurde. Ich habe sicherheitshalber die Join-Scripte noch mal drüber laufen lassen - bringt leider aber auch keine Besserung.

Ich würde gern meiner DMZ im Rechenzentrum auch einen RODC für bestimmte Zwecke einsetzen. Wenn sich dieser aber auch so verändern lässt, ist das ganze eher nicht sehr hilfreich…

Ich vermute mal, ich habe hier einen Bug gefunden…?

Würde mich über einige Tipps freuen, wie man das ganze abstellen kann. Falls noch irgendwelche Infos fehlen, kann ich die gern noch nachreichen.

Vielen Dank im Voraus.