Zabezpečenie správnej replikácie v doménovej štruktúre služby Active Directory je jednou z primárnych úloh správcu AD. V tomto článku sa budeme snažiť porozumieť základným princípom metód replikácie a riešenia problémov s databázou Active Directory. Stojí za zmienku, že replikácia je jedným zo základných princípov budovania modernej podnikovej siete založenej na AD, napríklad sme už hovorili o replikácii skupinových politík v doméne AD a replikácii zón DNS..
Na sledovanie replikácie služby Active Directory v podnikovom prostredí spoločnosť Microsoft odporúča používať produkt SCOM (alebo iné monitorovacie produkty s podobnou funkciou). Okrem toho na sledovanie replikácie AD môžete použiť nástroj repadmin (repadmin / showrepl * / csv) spolu so samostatne napísanými skriptmi na analýzu výstupu tohto nástroja. Bežné problémy spojené s chybami replikácie Active Directory sú situácie, keď sa objekty neobjavia na jednom alebo viacerých serveroch (napríklad novovytvorený užívateľ, skupina alebo iný objekt AD nie je k dispozícii na radičoch domény na iných serveroch)..
Dobrým východiskovým bodom na riešenie problémov s replikáciou služby Active Directory je analýza prihlásenia radičov domény do adresárovej služby. Konkrétne akcie budú závisieť od toho, aké chyby sa zistia v protokole. Na vyriešenie problémov však musíte jasne porozumieť procesom replikácie služby Active Directory..
Jedným zo základných prvkov riadenia prevádzky replikácie medzi radičmi domén sú weby služby Active Directory. Webové stránky sú vzájomne prepojené špeciálnymi odkazmi nazývanými „odkaz na lokalitu“, ktoré určujú náklady na smerovanie údajov AD (doménová štruktúra, doména, priečinok SYSVOL atď.) Medzi rôznymi webovými stránkami. Výpočet algoritmu riadenia a smerovania pre replikačný prenos v lese vykonáva KCC.
KCC definuje partnerov replikácie pre všetky radiče domény v doménovej štruktúre. Pre replikáciu naprieč lokalitami KCC automaticky vyberie špeciálne servery predmostí. Okrem toho môže správca domény manuálne určiť radiče domény, ktorí budú pôsobiť ako server premostenia pre konkrétnu lokalitu, práve tieto servery riadia replikáciu medzi lokalitami. Webové servery a servery spoločnosti Bridgehead sú potrebné na pohodlné spravovanie prenosu replikácií služby Active Directory a na zníženie množstva prenosu prenášaného cez sieť..
Topológia viacerých lokalít v lese sa dá analyzovať pomocou príkazu:
repadmin / showism
tento príkaz zobrazí zoznam lokalít v štruktúre služby Active Directory. Pre každé miesto sú uvedené 3 hodnoty: náklady na replikáciu medzi dvoma servermi, replikačný interval v minútach, ako aj ďalšie nakonfigurované parametre medzisieťovej komunikácie. Výstup tohto príkazu môže vyzerať takto:
C: \> repadmin / showism ==== DOPRAVA CN = IP, CN = medzisystémové prepravy, CN = weby, CN = konfigurácia, DC = winitpro, DC = sk INFORMÁCIE O PRIPOJENÍ PRE 3 STRÁNKY: ==== 0 , 1, 2 miesto (0) CN = LAB-miesto1, CN = stránky, CN = konfigurácia, DC = winitpro, DC = sk 0: 0: 0, 10: 15: 0, 10: 30: 0 Všetky DSA na webe CN = ADP-ADSN, CN = weby, CN = konfigurácia, DC = laboratórium, DC = net (s trans & hosting NC) sú predmostí kandidátov. Miesto (1) CN = LAB-miesto2, CN = stránky, CN = konfigurácia, DC = winitpro, DC = sk 10: 15: 0, 0: 0: 0, 20: 30: 0 Všetky DSA v lokalite CN = ADP- Intranet, CN = stránky, CN = konfigurácia, DC = la b, DC = sieť (s trans & hosting NC) sú predmostí kandidátov. Miesto (2) CN = LAB-Site3, CN = stránky, CN = konfigurácia, DC = winitpro, DC = sk 10: 30: 0, 20: 30: 0, 0: 0: 0 1 servery sú definované ako predmostí pre transport CN = IP, CN = vnútropodniková preprava, CN = stránky, CN = konfigurácia , DC = winitpro, DC = ru & site CN = LAB-Site3, CN = Sites, CN = Configuration, DC = winitpro, DC = ru: Server (0) CN = testlabdc2, CN = Servers, CN = LAB-Site3, CN = Sites, CN = Configuration, DC = winitpro, DC = en C: \>
Z vyššie uvedeného denníka je zrejmé, že v doméne winitpro.ru sa nachádzajú 3 weby, ktoré sa nazývajú Site (0), Site (1) a Site (2). Každá lokalita má 3 sady replikačných informácií, jednu pre každú lokalitu v lese. Napríklad je nakonfigurované spojenie medzi servermi (2) (LAB-Site3) a Site (0) (LAB-Site1), parametre tohto pripojenia sú 10: 30: 0, čo znamená: 10 - náklady na replikáciu a interval replikácie je 30 minút. Tiež si všimnite, že pre lokalitu Site (2) je uvedený server predmostí - jedná sa o radič domény s názvom testlabdc2.
Radiče domény, replikační partneri - je možné identifikovať pomocou grafického Gui alebo pomocou obslužných programov príkazového riadku. Otvorte konzolu MMC „Active Directory Sites and Services“, rozbaľte uzol Sites, vyhľadajte v nej zaujímavé miesto. Táto stránka bude obsahovať radiče domény spojené s touto stránkou. Rozšírením radiča domény a výberom nastavenia NTDS uvidíte všetkých partnerov replikácie tohto radiča domény.
Pomocou príkazu nslookup môžete na príkazovom riadku získať zoznam radičov domény súvisiacich s našou lokalitou (samozrejme to vyžaduje, aby všetky DC mali správne záznamy SRV). Formát príkazu je:
nslookup -type = srv _ldap._tcp ... _sites.dc._
na výstupe dostaneme niečo ako toto:
C: \> _ldap._tcp.LAB-Site1._sites.dc._msdcs.winitpro.ru SRV service location priority = 0 weight = 100 port = 389 svr hostname = testlabdc1.winitpro.ru _ldap._tcp.LAB-Site1._sites .dc._msdcs.winitpro.ru Priorita umiestnenia služby SRV = 0 hmotnosť = 100 port = 389 svr názov hostiteľa = testlabdc2.winitpro.ru testlabdc1.winitpro.ru internetová adresa = 172.21.23.13 testlabdc2.winitpro.ru internetová adresa = 172.21.23.16
Ak chcete zobraziť všetkých partnerov replikácie pre konkrétny radič domény, s dátumom a časom poslednej replikácie, použite príkaz:
repadmin / showrepl
Je potrebné poznamenať, že DNS je dôležitou súčasťou replikácie služby Active Directory. Radiče domény registrujú svoje záznamy SRV v DNS. Každý radič domény v lese registruje záznamy CNAME formulára dsaGuid._msdcs.ForestName, kde dsaGuid -GUID viditeľný pri objekte v položke Nastavenia NTDS v konzole „AD Sites and Services“. Ak denník adresárových služieb obsahuje chyby týkajúce sa DNS, skontrolujte platné záznamy CNAME a A pre radič domény.
dcdiag / test: pripojenie
Ak sa vyskytnú chyby, reštartujte službu Netlogon, čo bude mať za následok opätovnú registráciu chýbajúcich záznamov dns. Ak dcdiag stále zobrazuje chyby, skontrolujte konfiguráciu služby DNS a správne nastavenia DNS na serveri DC. Pre podrobnejší úvod k téme testovania služieb dns vám odporúčame prečítať si článok Diagnostika problémov s hľadaním radiča domény..
Tím repadmin má špeciálny parameter / replsummary, čo vám umožní rýchlo skontrolovať stav replikácie na konkrétnom radiči domény (je uvedený jeho názov) alebo na všetkých radičoch (možnosť zástupných znakov).
repadmin / replsummary [targetDC | zástupný znak]
Ak neexistujú žiadne chyby replikácie, výstup tohto príkazu ukáže, že sa vyskytlo 0 chýb:
C: \> repadmin / replsummary testlabdc2 Súhrn replikácie Začiatok: 2010-01-24 15:56:03 Začiatok zhromažďovania údajov pre zhrnutie replikácie môže chvíľu trvať: ... Zdroj DSA najväčšia delta zlyhá / celkom %% chyba testlabdc1 06m: 27s 0/3 0 testlabdc3 06m: 27s 0/6 0 testlabdc4 06m: 27s 0/5 0 Cieľová DSA najväčšia delta zlyhá / celkom %% chyba testlabdc3 06m: 27s 0/14 0 C: \>
V prípade, že sa chyby stále vyskytujú, môžete pomocou nástroja Repadmin získať kompletnejšie informácie. Každý radič domény má svoje jedinečné jedinečné číslo USN (Update Sequence Number), ktoré sa zvyšuje vždy, keď sa uskutoční úspešná aktualizácia objektu Active Directory. Po inicializácii replikácie sa partnerovi pošle USN, ktorý sa porovná s USN získaným v dôsledku poslednej úspešnej replikácie s týmto partnerom, čím sa určí, koľko zmien sa vyskytlo v databáze AD od poslednej replikácie..
S kľúčom / showutdvec, môžete získať zoznam aktuálnych hodnôt USN uložených na určenom DC.
repadmin / showutdvec
napríklad
C: \> repadmin / showutdvec testlabdc4 DC = winitpro, DC = sk Kódy GUID ... LAB-Site1 \ testlabdc1 @ USN 16608532 @ Time 2010-01-24 16:27:11 LAB-Site1 \ testlabdc2 @ USN 307126 @ Time 2010- 01-24 16:27:27 LAB-Site2 \ testlabdc3 @ USN 297948217 @ Time 2010-01-24 16:19:34 LAB-Site3 \ testlabdc4 @ USN 245646728 @ Time 2010-01-24 16:19:36 C: \>
Spustením tohto príkazu na radiči domény, ktorý má problémy s replikáciou, môžete jednoduchým porovnaním hodnôt USN porozumieť tomu, aké odlišné sú AD databázy..
Testovanie replikácie služby Active Directory pomocou pomocného programu repadmin možno vykonať niekoľkými spôsobmi:
- replmon / replicate <targetDC> <sourceDC> <dirPartition> (umožňuje vám spustiť replikáciu konkrétneho oddielu na určený radič domény)
- replmon / replsingleobj <targetDC> <sourceDC> <objPath> (replikácia konkrétneho objektu medzi dvoma DC)
- replmon / syncall <targetDC> (synchronizácia zadaného radiča domény so všetkými partnermi replikácie)
C: \> repadmin / replicate testlabdc1 testlabdc3 DC = winitpro, DC = ru Sync z testlabdc3 na testlabdc1 bol úspešne dokončený. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 cn = stuart, ou = dsu sers, DC = winitpro, DC = ru Úspešne replikovaný objekt cn = stuart, ou = dsusers, DC = winitpro, DC = ru do testlabdc1 od. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 ou = dsusers, dc = la b, dc = net Úspešne replikovaný objekt ou = dsusers, DC = winitpro, DC = ru na testlab dc1 od. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 DC = winitpro, DC = sk Úspešne sa replikoval objekt DC = winitpro, DC = ru na testlabdc1 od. C: \> repadmin / syncall testlabdc3 CALLBACK SPRÁVA: Prebieha nasledujúca replikácia: Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._prodcs. .ru CALLBACK MESSAGE: Nasledujúca replikácia bola úspešne dokončená Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Komu: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru CALLBACK MAGE: prebieha: Od: b0870af5-ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Komu: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru CALLBACK MESSAGE: Nasledujúca replikácia bola úspešne dokončená Od: b0870af ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Komu: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru SPRÁVANIE HOVORÍ: SyncAll Finished. SyncAll bola ukončená bez chýb. C: \>
