Zajištění správné replikace v doménové struktuře Active Directory je jednou z primárních úloh správce AD. V tomto článku se pokusíme porozumět základním principům replikace databáze a metod odstraňování problémů. Stojí za zmínku, že replikace je jedním ze základních principů budování moderní podnikové sítě založené na AD, například jsme již hovořili o replikaci skupinových zásad v doméně AD a replikaci zón DNS.
Chcete-li sledovat replikaci služby Active Directory v podnikovém prostředí, společnost Microsoft doporučuje používat produkt SCOM (nebo jiné monitorovací produkty s podobnou funkcí). Kromě toho můžete ke sledování replikace AD použít nástroj repadmin (repadmin / showrepl * / csv) spolu s vlastními skripty pro analýzu výstupu tohoto nástroje. Běžné problémy spojené s chybami replikace služby Active Directory jsou situace, kdy se objekty neobjeví na jednom nebo více webech (například nově vytvořený uživatel, skupina nebo jiný objekt AD není k dispozici v řadičích domény na jiných webech).
Dobrým výchozím bodem pro řešení potíží s replikací služby Active Directory je analýza protokolu adresářových služeb v řadičích domény. Konkrétní akce budou záviset na tom, jaké chyby jsou v protokolu detekovány, ale k vyřešení problémů je třeba jasně porozumět replikačním procesům služby Active Directory.
Jedním ze základních prvků správy provozu replikace mezi řadiči domény jsou weby služby Active Directory. Weby jsou vzájemně propojeny speciálními odkazy nazvanými „site link“, které určují náklady na směrování AD dat (doménová struktura, doména, složka SYSVOL atd.) Mezi různými weby. Výpočet algoritmu správy a směrování pro replikační provoz v doménové struktuře provádí KCC.
KCC definuje partnery replikace pro všechny řadiče domény v doménové struktuře. Pro replikaci napříč lokalitami KCC automaticky vybere speciální servery předmostí. Správce domény může navíc ručně určit řadiče domény, kteří budou působit jako předmostí pro konkrétní server, a právě tyto servery řídí replikaci mezi servery. Weby a servery předmostí jsou potřebné pro pohodlné řízení provozu replikace služby Active Directory a ke snížení objemu přenosu přenášeného sítí..
Topologii napříč lokalitami v doménové struktuře lze analyzovat pomocí příkazu:
repadmin / showismus
tento příkaz zobrazí seznam webů v doménové struktuře Active Directory. Pro každý web jsou uvedeny 3 hodnoty: náklady na replikaci mezi dvěma weby, interval replikace v minutách a další nakonfigurované parametry komunikace mezi weby. Výstup tohoto příkazu může vypadat takto:
C: \> repadmin / showism ==== DOPRAVA CN = IP, CN = Mezisystémové přepravy, CN = weby, CN = konfigurace, DC = winitpro, DC = en INFORMACE O PŘIPOJENÍ PRO 3 SITESY: ==== 0 , 1, 2 Site (0) CN = LAB-Site1, CN = Sites, CN = Configuration, DC = winitpro, DC = cs 0: 0: 0, 10: 15: 0, 10: 30: 0 Všechny DSA na webu CN = ADP-ADSN, CN = weby, CN = konfigurace, DC = laboratoř, DC = síť (s trans & hosting NC) jsou předmostí kandidáti. Site (1) CN = LAB-Site2, CN = Sites, CN = Configuration, DC = winitpro, DC = cs 10: 15: 0, 0: 0: 0, 20: 30: 0 Všechny DSA v síti CN = ADP- Intranet, CN = weby, CN = konfigurace, DC = la b, DC = net (s trans & hostingem NC) jsou předmostí kandidáti Místo (2) CN = LAB-Site3, CN = weby, CN = konfigurace, DC = winitpro, DC = cs 10: 30: 0, 20: 30: 0, 0: 0: 0 1 servery jsou definovány jako předmostí pro transport CN = IP, CN = přenosy na pracovišti, CN = weby, CN = konfigurace , DC = winitpro, DC = ru & site CN = LAB-Site3, CN = Sites, CN = Configuration, DC = winitpro, DC = ru: Server (0) CN = testlabdc2, CN = Servers, CN = LAB-Site3, CN = Weby, CN = Konfigurace, DC = winitpro, DC = en C: \>
Ve výše uvedeném protokolu je vidět, že v doméně winitpro.ru jsou 3 weby nazvané Site (0), Site (1) a Site (2). Každý web má 3 sady replikačních informací, jednu pro každý web v doménové struktuře. Například je nakonfigurováno spojení mezi servery (2) (LAB-Site3) a webem (0) (LAB-Site1), parametry tohoto spojení jsou 10: 30: 0, což znamená: 10 - náklady na replikaci a interval replikace je 30 minut. Také si všimněte, že pro web Site (2) je určen server předmostí - jedná se o řadič domény s názvem testlabdc2.
Řadiče domény, replikační partneři - lze identifikovat pomocí grafického Gui nebo pomocí obslužných programů příkazového řádku. Otevřete konzolu MMC „Active Directory Sites and Services“, rozbalte uzel Sites a najděte v něm zajímavý web. Tento web bude obsahovat řadiče domény spojené s tímto webem. Rozbalením řadiče domény a výběrem nastavení NTDS uvidíte všechny partnery replikace tohoto řadiče domény.
Pomocí příkazu nslookup získáte na příkazovém řádku seznam řadičů domény souvisejících s naším serverem (přirozeně to vyžaduje, aby všechny řadiče domény měly správné záznamy SRV). Formát příkazu je:
nslookup -type = srv _ldap._tcp ... _sites.dc._
na výstupu dostaneme něco jako následující:
C: \> _ldap._tcp.LAB-Site1._sites.dc._msdcs.winitpro.ru Umístění služby SRV priorita = 0 hmotnost = 100 port = 389 svr název hostitele = testlabdc1.winitpro.ru _ldap._tcp.LAB-Site1._sites .dc._msdcs.winitpro.ru Priorita umístění služby SRV = 0 hmotnost = 100 port = 389 svr název hostitele = testlabdc2.winitpro.ru testlabdc1.winitpro.ru internetová adresa = 172.21.23.13 testlabdc2.winitpro.ru internetová adresa = 172.21.23.16
Chcete-li zobrazit všechny partnery replikace pro konkrétní řadič domény, s datem a časem poslední replikace, použijte příkaz:
repadmin / showrepl
Je třeba poznamenat, že DNS je důležitou součástí replikace služby Active Directory. Řadiče domény registrují své záznamy SRV v DNS. Každý řadič domény v doménové struktuře registruje záznamy CNAME formuláře dsaGuid._msdcs.forestName, kde dsaGuid -GUID viditelný u objektu v položce Nastavení NTDS v konzole "AD Sites and Services". Pokud protokol adresářové služby obsahuje chyby související s DNS, zkontrolujte platné záznamy CNAME a A pro řadič domény.
dcdiag / test: připojení
Pokud dojde k chybám, restartujte službu Netlogon, což povede k opětovné registraci chybějících záznamů dns. Pokud dcdiag stále zobrazuje chyby, zkontrolujte konfiguraci služby DNS a správné nastavení DNS na řadiči domény. Pro podrobnější úvod do problematiky testování služeb dns doporučujeme přečíst článek Diagnostika problémů s hledáním řadiče domény..
Tým repadmin má speciální parametr / replsummary, což vám umožní rychle zkontrolovat stav replikace na konkrétním řadiči domény (je uveden jeho název) nebo na všech řadičích (možnost zástupných znaků).
repadmin / replsummary [targetDC | zástupný znak]
Pokud neexistují žádné chyby replikace, výstup tohoto příkazu ukáže, že existuje 0 chyb:
C: \> repadmin / replsummary testlabdc2 Shrnutí replikace Počáteční čas: 2010-01-24 15:56:03 Zahájení sběru dat pro shrnutí replikace může chvíli trvat: ... Zdroj DSA největší delta selhání / celková %% chyba testlabdc1 06m: 27s 0/3 0 testlabdc3 06m: 27s 0/6 0 testlabdc4 06m: 27s 0/5 0 Cílová DSA největší delta selhala / celkem %% chyba testlabdc3 06m: 27s 0/14 0 C: \>
V případě, že k chybám stále dochází, můžete pomocí obslužného programu Repadmin získat úplnější informace. Každý řadič domény má své vlastní jedinečné číslo USN (Update Sequence Number), které se zvyšuje pokaždé, když se aktualizuje aktualizace objektu Active Directory. Při inicializaci replikace je partner převeden s USN, které je porovnáno s USN získaným v důsledku poslední úspěšné replikace s tímto partnerem, čímž je určeno, kolik změn došlo v databázi AD od poslední replikace.
S klíčem / showutdvec, můžete získat seznam aktuálních hodnot USN uložených na určeném DC.
repadmin / showutdvec
například
C: \> repadmin / showutdvec testlabdc4 DC = winitpro, DC = cs GUID pro mezipaměť ... LAB-Site1 \ testlabdc1 @ USN 16608532 @ Time 2010-01-24 16:27:11 LAB-Site1 \ testlabdc2 @ USN 307126 @ Time 2010- 01-24 16:27:27 LAB-Site2 \ testlabdc3 @ USN 297948217 @ Time 2010-01-24 16:19:34 LAB-Site3 \ testlabdc4 @ USN 245646728 @ Time 2010-01-24 16:19:36 C: \>
Spuštěním tohoto příkazu na řadiči domény, který má problémy s replikací, můžete pochopit, jak odlišné jsou databáze AD pouhým porovnáním hodnot USN.
Testování replikace služby Active Directory pomocí obslužného programu repadmin lze provést několika způsoby:
- replmon / replicate <targetDC> <sourceDC> <dirPartition> (umožňuje spustit replikaci určitého oddílu na určený řadič domény)
- replmon / replsingleobj <targetDC> <sourceDC> <objPath> (replikace konkrétního objektu mezi dvěma DC)
- replmon / syncall <targetDC> (synchronizace zadaného řadiče domény se všemi partnery replikace)
C: \> repadmin / replicate testlabdc1 testlabdc3 DC = winitpro, DC = ru Synchronizace z testlabdc3 do testlabdc1 byla úspěšně dokončena. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 cn = stuart, ou = dsu sers, DC = winitpro, DC = ru Úspěšně replikovaný objekt cn = stuart, ou = dsusers, DC = winitpro, DC = ru do testlabdc1 od. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 ou = dsusers, dc = la b, dc = net Úspěšně replikovaný objekt ou = dsusers, DC = winitpro, DC = ru pro testlab dc1 od. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 DC = winitpro, DC = ru Úspěšně replikovaný objekt DC = winitpro, DC = ru na testlabdc1 od. C: \> repadmin / syncall testlabdc3 CALLBACK MESSAGE: Probíhá následující replikace: Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._prodcs. .ru CALLBACK MESSAGE: Následující replikace byla úspěšně dokončena Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru CALLBACK MAGE: probíhá: Od: b0870af5-ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru CALLBACK MESSAGE: Následující replikace byla úspěšně dokončena Od: b0870af ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Komu: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru ZPRACOVÁNÍ HOVORU: SyncAll Finished. SyncAll byla ukončena bez chyb. C: \>
