Aktivno upravljanje replikacijom direktorija

Osiguravanje ispravne replikacije u šumi Active Directory jedan je od glavnih zadataka AD administratora. U ovom ćemo članku pokušati razumjeti osnovne principe reprodukcije baze podataka i metode uklanjanja problema. Vrijedi napomenuti da je replikacija jedan od temeljnih principa izgradnje moderne korporativne mreže temeljene na AD-u, na primjer, već smo govorili o preslikavanju grupnih politika u AD domeni i repliciranju DNS zona.

Za praćenje replikacije Active Directory-a u korporativnom okruženju, Microsoft preporučuje korištenje SCOM proizvoda (ili drugih proizvoda za praćenje slične funkcionalnosti). Pored toga, za praćenje replikacije AD možete koristiti program repadmin (repadmin / showrepl * / csv) zajedno sa samostalno napisanim skriptama za analizu rezultata ovog uslužnog programa. Uobičajeni problemi povezani s pogreškama replikacije Active Directory-a su situacije u kojima se objekti ne pojavljuju na jednoj ili više web lokacija (na primjer, novostvoreni korisnik, grupa ili drugi AD objekt nije dostupan na kontrolerima domena na drugim web lokacijama).

Dobra polazišna točka za rješavanje problema replikacije Active Directorya je analiza dnevnika Directory Services na kontrolerima domena. Konkretne radnje ovisit će o tome koje su pogreške otkrivene u dnevniku, ali za rješavanje problema trebate jasno razumjeti procese replikacije Active Directorya.

Jedan od osnovnih elemenata upravljanja prometom replikacije između kontrolera domena su web lokacije Active Directory. Web lokacije međusobno su povezane posebnim vezama pod nazivom "veza na web mjestu", koje određuju trošak usmjeravanja AD podataka (šuma, domena, mapa SYSVOL itd.) Između različitih mjesta. Proračun algoritma upravljanja i usmjeravanja za replikacijski promet u šumi provodi KCC.

KCC definira partnere replikacije za sve kontrolere domena u šumi. Za replikaciju na više stranica, KCC automatski odabire posebne poslužitelje mostova, osim toga, administrator domene može ručno odrediti kontrolere domena koji će djelovati kao poslužitelj mosta na određenoj web lokaciji, upravo ti poslužitelji kontroliraju replikaciju na više mjesta. Web mjesta i poslužitelji Bridgehead potrebni su za prikladno upravljanje prometom replikacije Active Directory-a i za smanjenje količine prometa koji se prenosi putem mreže..

Poprečna topologija u šumi može se analizirati pomoću naredbe:

repadmin / showism

ova naredba prikazuje popis mjesta u šumi Active Directory. Za svaku su web lokaciju naznačene 3 vrijednosti: trošak replikacije između dva mjesta, interval replikacije u minutama, kao i dodatni konfigurirani komunikacijski parametri na više mjesta. Izlaz ove naredbe mogao bi izgledati ovako:

C: \> repadmin / showism ==== PRIJEVOZ CN = IP, CN = prijevozi među stranicama, CN = stranice, CN = konfiguracija, DC = winitpro, DC = hr INFORMACIJE o POVEZIVOSTI ZA 3 MESTE: ==== 0 , 1, 2 web mjesto (0) CN = LAB-stranica1, CN = web mjesta, CN = konfiguracija, DC = winitpro, DC = hr 0: 0: 0, 10: 15: 0, 10: 30: 0 Svi DSA-ovi na web mjestu CN = ADP-ADSN, CN = web stranice, CN = konfiguracija, DC = laboratorija, DC = neto (s trans & hosting NC-om) su kandidati za brza putovanja. Site (1) CN = LAB-Site2, CN = web stranice, CN = konfiguracija, DC = winitpro, DC = hr 10: 15: 0, 0: 0: 0, 20: 30: 0 Svi DSA-ovi na web mjestu CN = ADP- Intranet, CN = web stranice, CN = konfiguracija, DC = la b, DC = neto (s prijenosom i hosting NC-a) su kandidati za brza mjesta Web mjesto (2) CN = LAB-Site3, CN = web mjesta, CN = konfiguracija, DC = winitpro, DC = hr 10: 30: 0, 20: 30: 0, 0: 0: 0 1 poslužitelj definirani su kao mostovi za prijevoz CN = IP, CN = Prijevoz unutar web mjesta, CN = Web stranice, CN = konfiguracija , DC = winitpro, DC = ru & site CN = LAB-Site3, CN = web stranice, CN = konfiguracija, DC = winitpro, DC = ru: poslužitelj (0) CN = testlabdc2, CN = poslužitelji, CN = LAB-Site3, CN = web stranice, CN = konfiguracija, DC = winitpro, DC = hr C: \>

Iz gornjeg dnevnika se vidi da postoje 3 web lokacije u domeni winitpro.ru, koje se zovu Site (0), Site (1) i Site (2). Svaka lokacija ima 3 skupa informacija o replikaciji, po jednu za svako mjesto u šumi. Na primjer, konfigurirana je veza između web mjesta (2) (LAB-Site3) i stranice (0) (LAB-Site1), parametri ove veze su 10: 30: 0, što znači: 10 - trošak replikacije, a interval replikacije 30 minuta. Također imajte na umu da je za web mjesto Site (2) naveden poslužitelj mosta - to je kontroler domene pod nazivom testlabdc2.

Kontrole domena i partneri za replikaciju - mogu se prepoznati pomoću grafičkog Gui-a ili pomoću alata naredbenog retka. Otvorite MMC konzolu "Web lokacije i usluge Active Directory", proširite čvor Web lokacije, pronađite mjesto koje vas zanima. Ova će web stranica sadržavati kontrolere domena povezane s ovom web stranicom. Širenjem kontrolera domene i odabirom postavki NTDS vidjet ćete sve partnere replikacije ovog kontrolera domene.

Korištenjem naredbe nslookup, u naredbenom retku možete dobiti popis kontrolera domena koji se odnose na našu web lokaciju (naravno, za to su potrebni da svi DC-i imaju ispravne SRV zapise). Format naredbe je:

nslookup -type = srv _ldap._tcp ... _sites.dc._

na izlazu dobivamo nešto poput:

C: \> _ldap._tcp.LAB-Site1._sites.dc._msdcs.winitpro.ru Prioritet SRV usluge = 0 težina = 100 priključka = 389 svrsta ime hosta = testlabdc1.winitpro.ru _ldap._tcp.LAB-Site1._sites .dc._msdcs.winitpro.ru Prioritet lokacije SRV usluge = 0 težina = 100 porta = 389 svrsta ime hosta = testlabdc2.winitpro.ru testlabdc1.winitpro.ru Internet adresa = 172.21.23.13 Internet adresa testlabdc2.winitpro.ru = 172.21.23.16

Za prikaz svih partnera replikacije za određeni kontroler domene, uz datum i vrijeme posljednje replikacije, koristite naredbu:

repadmin / showrepl

Vrijedi napomenuti da je DNS važna komponenta replikacije Active Directory-a. Kontrole domena registriraju svoje SRV zapise u DNS-u. Svaki kontroler domene u šumi registrira CNAME zapise obrasca dsaGuid._msdcs.forestName, gdje dsaGuid -GUID vidljiv na objektu u stavci NTDS postavki na konzoli "AD web mjesta i usluge". Ako dnevnik usluga usluga sadrži pogreške povezane s DNS-om, provjerite valjane CNAME i A zapise za kontroler domene.

dcdiag / test: povezanost

Ako postoje pogreške, ponovno pokrenite Netlogon uslugu, što će rezultirati ponovnom registracijom nestalih dns unosa. Ako dcdiag i dalje prikazuje pogreške, provjerite konfiguraciju DNS usluge i ispravne DNS postavke na DC-u. Za detaljniji uvod u temu testiranja dns usluga, preporučujem vam da pogledate članak Dijagnosticiranje problema s pretraživanjem kontrolera domene.

Tim repadmin ima poseban parametar / replsummary, koji vam omogućuje brzu provjeru statusa replikacije na određenom kontroleru domene (navedeno je njegovo ime) ili na svim kontrolerima (opcija zamjenskih znakova).

repadmin / replsummary [targetDC | zamjenski znak]

Ako nema pogreške replikacije, izlaz ove naredbe pokazat će da postoje 0 pogreške:

C: \> repadmin / replsummary testlabdc2 Početak sažetka replikacije Vrijeme: 2010-01-24 15:56:03 Početak prikupljanja podataka za sažetak replikacije, ovo može potrajati: ... Izvor DSA najveće delta ne uspije / ukupna %% error testlabdc1 06m: 27s 0/3 0 testlabdc3 06m: 27s 0/6 0 testlabdc4 06m: 27s 0/5 0 Destinacija DSA najveća delta ne uspije / ukupna% greška testlabdc3 06m: 27s 0/14 0 C: \>

U slučaju da se pogreške ipak pojave, pomoću uslužnog programa Repadmin možete dobiti potpunije informacije. Svaki kontroler domene ima vlastiti jedinstveni USN (Update Sequence Number), koji se povećava svaki put kada se uspješno ažurira ažuriranje objekta Active Directory. Kada se replikacija inicijalizira, partner se prenosi s USN-om, koji se uspoređuje s USN-om dobivenim kao posljednja posljednja uspješna replikacija s ovim partnerom, čime se utvrđuje koliko je promjena došlo u bazi podataka AD od posljednje replikacije.

S ključem / showutdvec, možete dobiti popis trenutnih USN vrijednosti pohranjenih na određenom DC-u.

repadmin / showutdvec

na primjer

C: \> repadmin / showutdvec testlabdc4 DC = winitpro, DC = hr Keširanje GUID-ova ... LAB-Site1 \ testlabdc1 @ USN 16608532 @ Vrijeme 2010-01-24 16:27:11 LAB-Site1 \ testlabdc2 @ USN 307126 @ Vrijeme 2010- 01-24 16:27:27 LAB-Site2 \ testlabdc3 @ USN 297948217 @ Vrijeme 2010-01-24 16:19:34 LAB-Site3 \ testlabdc4 @ USN 245646728 @ Vrijeme 2010-01-24 16:19:36 C: \>

Izvođenjem ove naredbe na kontroleru domene koji ima problema s replikacijom, možete shvatiti koliko su različite baze podataka AD jednostavnom usporedbom USN vrijednosti.

Testiranje replike Active Directory pomoću uslužnog programa repadmin može se provesti na nekoliko načina:

  • replmon / replika <targetDC> <sourceDC> <dirPartition> (omogućuje pokretanje replikacije određene particije na određeni kontroler domene)
  • replmon / replsingleobj <targetDC> <sourceDC> <objPath> (replikacija određenog objekta između dva DC-a)
  • replmon / syncall <targetDC> (sinkronizacija navedenog kontrolera domene sa svim partnerima za replikaciju)
C: \> repadmin / repliciraj testlabdc1 testlabdc3 DC = winitpro, DC = ru Sinkronizacija s testlabdc3 u testlabdc1 uspješno je dovršena. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 cn = stuart, ou = dsu sers, DC = winitpro, DC = ru Uspješno je repliciran objekt cn = stuart, ou = dsusers, DC = winitpro, DC = ru do testlabdc1 iz. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 ou = dsusers, dc = la b, dc = net Uspješno je repliciran objekt ou = dsusers, DC = winitpro, DC = ru u testlab dc1 iz. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 DC = winitpro, DC = ru Uspješno repliciran objekt DC = winitpro, DC = ru u testlabdc1 iz. C: \> repadmin / syncall testlabdc3 PORUKA POZIVA: Sljedeća replikacija je u tijeku: Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._ .ru PORUKA PORUKA: Sljedeća replika uspješno završena Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru POVRATAK PORUKA u tijeku: Od: b0870af5-ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru POZIVNA PORUKA: Sljedeća replikacija uspješno završena Od: b0870a ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru PORUKA PORUKA: SyncAll Finished. SyncAll prekida bez grešaka. C: \>