A helyes replikáció biztosítása az Active Directory-erdőben az AD-rendszergazda egyik elsődleges feladata. Ebben a cikkben megpróbáljuk megérteni az Active Directory adatbázis replikációs és hibaelhárítási módszereinek alapelveit. Érdemes megjegyezni, hogy a replikáció az AD-alapú modern vállalati hálózat kiépítésének egyik alapelve, például már beszéltünk a csoportszabályok replikálásáról az AD tartományban és a DNS-zónák replikációjáról.
Az Active Directory replikációjának vállalati környezetben történő nyomon követése érdekében a Microsoft javasolja a SCOM termék (vagy más, hasonló funkcióval rendelkező figyelő termékek) használatát. Ezen felül az AD replikáció ellenőrzéséhez a repadmin segédprogramot (repadmin / showrepl * / csv) az önírott szkriptekkel együtt használhatja ennek a segédprogram kimenetének elemzésére. Az Active Directory replikációs hibákkal kapcsolatos gyakori problémák olyan helyzetek, amikor az objektumok nem jelennek meg egy vagy több helyen (például egy újonnan létrehozott felhasználó, csoport vagy egyéb AD objektum nem érhető el más helyek tartományvezérlőin)..
Az Active Directory replikáció hibaelhárításának jó kiindulópontja a Directory Services naplójának elemzése a tartományvezérlőkön. A konkrét műveletek attól függnek, hogy milyen hibákat észlelnek a naplóban, az Active Directory replikációs folyamatainak egyértelmű megértéséhez szükséges problémák megoldásához.
A tartományvezérlők közötti replikációs forgalom kezelésének egyik alapvető eleme az Active Directory webhelyek. A webhelyeket speciális "site link" elnevezésű linkek kapcsolják össze, amelyek meghatározzák az AD-adatok (erdő, tartomány, SYSVOL mappa stb.) Átirányításának költségeit a különböző helyek között. Az erdőben történő replikációs forgalom kezelési és útválasztási algoritmusának kiszámítását a KCC végzi.
A KCC replikációs partnereket határoz meg az erdő összes tartományvezérlőjére. A webhelyek közötti replikációhoz a KCC automatikusan kiválasztja a speciális hídfejű kiszolgálókat, emellett a tartományi rendszergazda manuálisan meghatározhatja azokat a tartományvezérlőket, akik egy adott hely hídfej-kiszolgálójaként fognak működni, ezek a szerverek irányítják a helyszíni replikációt. A hídfejű helyekre és kiszolgálókra van szükség az Active Directory replikációs forgalom kényelmes kezeléséhez és a hálózaton keresztül továbbított forgalom csökkentéséhez..
Az erdő helyszínek közötti topológiáját a következő paranccsal lehet elemezni:
repadmin / showism
ez a parancs megjeleníti az Active Directory-erdőben található helyek listáját. Minden webhelyen 3 értéket jeleznek: replikációs költség két hely között, replikációs intervallum percekben, valamint további konfigurált helyszínek közötti kommunikációs paraméterek. A parancs kimenete így néz ki:
C: \> repadmin / showism ==== SZÁLLÍTÁS CN = IP, CN = telephelyek közötti szállítás, CN = helyek, CN = konfigurációs arány, DC = winitpro, DC = hu CSATLAKOZTATÁSI INFORMÁCIÓK 3 HELYRE: ==== 0 , 1, 2 site (0) CN = LAB-site1, CN = helyek, CN = konfiguráció, DC = winitpro, DC = hu 0: 0: 0, 10: 15: 0, 10: 30: 0 Az összes DSA az oldalon CN = ADP-ADSN, CN = helyek, CN = konfiguráció, DC = lab, DC = net (transz és fogadó NC-vel) hídjelöltek. 1. hely: CN = LAB-oldal2, CN = helyek, CN = konfiguráció, DC = winitpro, DC = hu 10: 15: 0, 0: 0: 0, 20: 30: 0 Az összes DSA a CN = ADP- Intranet, CN = helyek, CN = konfiguráció, DC = la b, DC = nettó (transz és fogadó NC-vel) hídjelölt jelöltek (2. oldal) CN = LAB-oldal3, CN = webhelyek, CN = konfiguráció, DC = winitpro, DC = hu 10: 30: 0, 20: 30: 0, 0: 0: 0 1 kiszolgáló (k) hídfejekként vannak meghatározva a szállításhoz CN = IP, CN = telephelyen belüli szállítás, CN = helyek, CN = konfiguráció , DC = winitpro, DC = ru és site CN = LAB-site3, CN = oldalak, CN = konfiguráció, DC = winitpro, DC = ru: Szerver (0) CN = testlabdc2, CN = Szerverek, CN = LAB-Site3, CN = helyek, CN = konfiguráció, DC = winitpro, DC = hu C: \>
A fenti naplóból kitűnik, hogy a winitpro.ru domainben 3 webhely található, melyeknek neve Site (0), Site (1) and Site (2). Minden webhelynek 3 replikációs információ-halmaza van, egy az erdőben lévő minden egyes helyhez. Például a 2-es hely (LAB-site3) és a (0) -hely (LAB-site1) közötti kapcsolat konfigurálva van, ennek a kapcsolatnak a paraméterei 10: 30: 0, ami azt jelenti: 10 - a replikáció költsége, és a replikációs időköz 30 perc. Azt is vegye figyelembe, hogy a Site (2) webhelyhez hídfejű kiszolgáló van megadva - ez egy testlabdc2 nevű tartományvezérlő..
Domainvezérlők, replikációs partnerek - grafikus Gui vagy parancssori segédprogramok segítségével azonosíthatók. Nyissa meg az MMC "Active Directory webhelyek és szolgáltatások" konzolt, bontsa ki a Sites csomópontot, keresse meg az érdeklődő webhelyet benne. Ez a webhely tartalmazza a webhelyhez társított tartományvezérlőket. A tartományvezérlő kibontásával és az NTDS-beállítások kiválasztásával látni fogja ennek a tartományvezérlőnek a replikációs partnereit.
Az nslookup paranccsal kaphat egy listát a webhelyünkhöz tartozó tartományvezérlőkről a parancssorban (ez természetesen megköveteli, hogy minden DC-nek megfelelő SRV-rekordok legyenek). A parancs formátuma:
nslookup -type = srv _ldap._tcp ... _sites.dc._
a kimeneten valami hasonlót kapunk:
C: \> _ldap._tcp.LAB-Site1._sites.dc._msdcs.winitpro.ru SRV service location prioritás = 0 weight = 100 port = 389 svr hostname = testlabdc1.winitpro.ru _ldap._tcp.LAB-Site1._sites .dc._msdcs.winitpro.ru SRV szolgáltatás hely prioritása = 0 súly = 100 port = 389 svr gazdagépnév = testlabdc2.winitpro.ru testlabdc1.winitpro.ru internetcím = 172.21.23.13 testlabdc2.winitpro.ru internetcím = 172.21.23.16.
Egy adott tartományvezérlő összes replikációs partnerének megjelenítéséhez az utolsó replikáció dátumával és időpontjával használja a következő parancsot:
repadmin / showrepl
Érdemes megjegyezni, hogy a DNS az Active Directory replikáció fontos eleme. A tartományvezérlők regisztrálják SRV-rekordjaikat a DNS-ben. Az erdőben minden tartományvezérlő regisztrálja az űrlap CNAME rekordjait dsaGuid._msdcs.forestName, ahol dsaGuid -Az objektumon látható GUID az NTDS-beállítások elemben az "AD helyek és szolgáltatások" konzolon. Ha a Directory Services napló hibákat tartalmaz a DNS-sel kapcsolatban, akkor ellenőrizze, hogy érvényes-ea CNAME és A rekordok a tartományvezérlőhöz.
dcdiag / test: csatlakoztathatóság
Hiba esetén indítsa újra a Netlogon szolgáltatást, amelynek eredményeként a hiányzó dns bejegyzések újraregisztrálódnak. Ha a dcdiag továbbra is hibákat jelez, ellenőrizze a DNS szolgáltatás konfigurációját és a helyes DNS beállításokat a DC-n. A dns-szolgáltatások tesztelésének témájának részletesebb ismertetése érdekében azt javasoljuk, hogy olvassa el a Tartományvezérlő keresésével kapcsolatos problémák diagnosztizálása című cikket..
A csapat repadmin egy speciális paraméterrel rendelkezik / újraösszegzés, amely lehetővé teszi a replikáció állapotának gyors ellenőrzését egy adott tartományvezérlőn (a neve meg van jelölve) vagy az összes vezérlőn (helyettesítő lehetőség).
repadmin / replsummary [targetDC | helyettesítő karakter]
Ha nincsenek replikációs hibák, akkor a parancs kimenete 0 hibát mutat:
C: \> repadmin / replsummary testlabdc2 Replikációs összefoglaló kezdési ideje: 2010-01-24 15:56:03 A replikációs összefoglaló adatgyűjtésének megkezdése eltarthat egy ideig: ... Forrás DSA legnagyobb delta sikertelen / teljes %% hiba testlabdc1 06m: 27s 0/3 0 testlabdc3 06m: 27s 0/6 0 testlabdc4 06m: 27s 0/5 0 A cél-DSA legnagyobb delta hibája / összes %% hiba testlabdc3 06m: 27s 0/14 0 C: \>
Abban az esetben, ha továbbra is hibák fordulnak elő, a Repadmin segédprogrammal teljes körű információkat kaphat. Mindegyik tartományvezérlőnek megvan a saját egyedi USN-je (frissítési sorozatszám), amelyet minden egyes Active Directory-objektum sikeres frissítésekor növelik. A replikáció inicializálásakor a partner átadódik az USN-rel, amelyet összehasonlítanak az ezzel a partnerrel folytatott utolsó sikeres replikáció eredményeként kapott USN-rel, ezáltal meghatározva, hogy hány változás történt az AD adatbázisban az utolsó replikáció óta.
Kulccsal / showutdvec, beszerezheti a megadott DC-n tárolt aktuális USN-értékek listáját.
repadmin / showutdvec
például
C: \> repadmin / showutdvec testlabdc4 DC = winitpro, DC = hu Gyorsítótár-kezelési útmutatók ... LAB-site1 \ testlabdc1 @ USN 16608532 @ Idő 2010-01-24 16:27:11 LAB-Site1 \ testlabdc2 @ USN 307126 @ Idő 2010- 01-24 16:27:27 LAB-Site2 \ testlabdc3 @ USN 297948217 @ Idő 2010-01-24 16:19:34 LAB-Site3 \ testlabdc4 @ USN 245646728 @ Idő 2010-01-24 16:19:36 C: \>
Ha ezt a parancsot olyan tartományvezérlőn futtatja, amelynek problémái vannak a replikációval, megértheti, mennyire különböznek az AD-adatbázisok az USN-értékek egyszerű összehasonlításával..
Az Active Directory replikációjának tesztelése a repadmin segédprogrammal többféle módon végezhető el:
- replmon / replicate <targetDC> <forrás-> <dirPartition> (lehetővé teszi egy adott partíció replikációjának elindítását egy megadott tartományvezérlőre)
- replmon / replsingleobj <targetDC> <forrás-> <objPath> (egy adott objektum replikálása két DC között)
- replmon / syncall <targetDC> (a megadott tartományvezérlő szinkronizálása az összes replikációs partnerrel)
C: \> repadmin / replicate testlabdc1 testlabdc3 DC = winitpro, DC = ru A szinkronizálás a testlabdc3-ról a testlabdc1-re sikeresen befejeződött. C: \ repadmin / replsingleobj testlabdc1 testlabdc3 cn = stuart, ou = dsu sers, DC = winitpro, DC = ru Sikeresen replikált objektum cn = stuart, ou = dususers, DC = winitpro, DC = ru a testlabdc1-hez. C: \ repadmin / replsingleobj testlabdc1 testlabdc3 ou = dususers, dc = la b, dc = net Sikeresen replikált objektum ou = dsusers, DC = winitpro, DC = ru a testlab dc1-re. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 DC = winitpro, DC = ru Sikeresen replikálta a DC = winitpro, DC = ru objektumot a testlabdc1-re. C: \> repadmin / syncall testlabdc3 VISSZAJELZŐ ÜZENET: A következő replikáció folyamatban van: Feladó: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru ide: 99305007-2290-489b-9551-20827ba0664d. .ru VISSZAJELZŐ ÜZENET: A következő replikáció sikeresen befejeződött: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Címzett: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru CALLBACK folyamatban: Feladó: b0870af5-ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Címzett: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru VISSZAJELZŐ ÜZENET: A következő replikáció sikeresen befejeződött: b05 ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Cím: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru VISSZAJELZŐ ÜZENET: A SyncAll kész. A SyncAll hiba nélkül befejeződött. C: \>
