Zapewnienie poprawnej replikacji w lesie usługi Active Directory jest jednym z podstawowych zadań administratora usługi AD. W tym artykule postaramy się zrozumieć podstawowe zasady replikacji bazy danych usługi Active Directory i metody rozwiązywania problemów. Warto zauważyć, że replikacja jest jedną z podstawowych zasad budowy nowoczesnej sieci korporacyjnej opartej na AD, na przykład już rozmawialiśmy o replikowaniu zasad grupy w domenie AD i replikacji stref DNS.
Aby monitorować replikację usługi Active Directory w środowisku korporacyjnym, Microsoft zaleca używanie produktu SCOM (lub innych produktów do monitorowania o podobnej funkcjonalności). Ponadto, aby monitorować replikację AD, możesz użyć narzędzia repadmin (repadmin / showrepl * / csv) wraz z własnymi skryptami do analizy danych wyjściowych tego narzędzia. Typowe problemy związane z błędami replikacji usługi Active Directory to sytuacje, w których obiekty nie pojawiają się w co najmniej jednej witrynie (na przykład nowo utworzony użytkownik, grupa lub inny obiekt AD nie jest dostępny na kontrolerach domeny w innych witrynach).
Dobrym punktem wyjścia do rozwiązywania problemów z replikacją usługi Active Directory jest analiza dziennika usług katalogowych na kontrolerach domeny. Konkretne działania będą zależeć od tego, jakie błędy zostaną wykryte w dzienniku, jednak aby rozwiązać problemy potrzebne do jasnego zrozumienia procesów replikacji usługi Active Directory.
Jednym z podstawowych elementów zarządzania ruchem replikacji między kontrolerami domeny są witryny Active Directory. Witryny są połączone specjalnymi linkami o nazwie „link witryny”, które określają koszt routingu danych AD (las, domena, folder SYSVOL itp.) Między różnymi witrynami. Obliczenia algorytmu zarządzania i routingu dla ruchu replikacji w lesie przeprowadza KCC.
KCC definiuje partnerów replikacji dla wszystkich kontrolerów domeny w lesie. W przypadku replikacji między lokacjami KCC automatycznie wybiera specjalne serwery czołowe, a ponadto administrator domeny może ręcznie określić kontrolery domeny, które będą działać jako serwer czołowy dla konkretnej lokacji, to te serwery kontrolują replikację krzyżową. Witryny i serwery Bridgehead są potrzebne do wygodnego zarządzania ruchem związanym z replikacją Active Directory i zmniejszenia ruchu przesyłanego przez sieć..
Topologię krzyżową w lesie można analizować za pomocą polecenia:
repadmin / showism
to polecenie wyświetla listę witryn w lesie usługi Active Directory. Dla każdej z lokalizacji wskazane są 3 wartości: koszt replikacji między dwiema lokalizacjami, interwał replikacji w minutach, a także dodatkowe skonfigurowane parametry komunikacji między lokalizacjami. Dane wyjściowe tego polecenia mogą wyglądać następująco:
C: \> repadmin / showism ==== TRANSPORT CN = IP, CN = Transport między lokalizacjami, CN = Miejsca, CN = Konfiguracja, DC = winitpro, DC = pl INFORMACJE O ŁĄCZNOŚCI DLA 3 STRON: ==== 0 , 1, 2 Witryna (0) CN = LAB-Site1, CN = Witryny, CN = Konfiguracja, DC = winitpro, DC = en 0: 0: 0, 10: 15: 0, 10: 30: 0 Wszystkie DSA na stronie CN = ADP-ADSN, CN = witryny, CN = konfiguracja, DC = lab, DC = sieć (z trans i hostem NC) są kandydatami do przyczółka. Witryna (1) CN = LAB-Witryna2, CN = Witryny, CN = Konfiguracja, DC = winitpro, DC = en 10: 15: 0, 0: 0: 0, 20: 30: 0 Wszystkie DSA w witrynie CN = ADP- Intranet, CN = witryny, CN = konfiguracja, DC = la b, DC = sieć (z trans i hostem NC) to kandydaci do przyczółka Witryna (2) CN = LAB-Site3, CN = witryny, CN = konfiguracja, DC = winitpro DC = en 10: 30: 0, 20: 30: 0, 0: 0: 0 1 serwer (y) są zdefiniowane jako przyczółki do transportu CN = IP, CN = Transport wewnątrz lokacji, CN = Witryny, CN = Konfiguracja , DC = winitpro, DC = ru & site CN = LAB-Site3, CN = Sites, CN = Konfiguracja, DC = winitpro, DC = ru: Serwer (0) CN = testlabdc2, CN = Serwery, CN = LAB-Site3, CN = Witryny, CN = Konfiguracja, DC = winitpro, DC = en C: \>
W powyższym dzienniku można zauważyć, że w domenie winitpro.ru istnieją 3 witryny o nazwach, odpowiednio, Site (0), Site (1) i Site (2). Każda witryna ma 3 zestawy informacji o replikacji, po jednym dla każdej witryny w lesie. Na przykład skonfigurowano połączenie między lokacjami (2) (LAB-Site3) i lokacją (0) (LAB-Site1), parametry tego połączenia wynoszą 10: 30: 0, co oznacza: 10 - koszt replikacji, a interwał replikacji wynosi 30 minut. Należy również pamiętać, że dla witryny Site (2) określono serwer czołowy - jest to kontroler domeny o nazwie testlabdc2.
Kontrolery domeny, partnerzy replikacji - można zidentyfikować za pomocą graficznego interfejsu GUI lub narzędzi wiersza polecenia. Otwórz konsolę MMC „Lokacje i usługi Active Directory”, rozwiń węzeł Witryny, znajdź interesującą go witrynę. Ta witryna będzie zawierać kontrolery domeny powiązane z tą witryną. Po rozwinięciu kontrolera domeny i wybraniu Ustawień NTDS zobaczysz wszystkich partnerów replikacji tego kontrolera domeny.
Za pomocą polecenia nslookup można uzyskać w wierszu poleceń listę kontrolerów domeny powiązanych z naszą witryną (oczywiście wymaga to, aby wszystkie kontrolery domeny miały poprawne rekordy SRV). Format polecenia to:
nslookup -type = srv _ldap._tcp ... _sites.dc._
na wyjściu otrzymujemy coś takiego:
C: \> _ldap._tcp.LAB-Site1._sites.dc._msdcs.winitpro.ru Priorytet lokalizacji usługi SRV = 0 waga = 100 port = 389 svr nazwa hosta = testlabdc1.winitpro.ru _ldap._tcp.LAB-Site1._sites .dc._msdcs.winitpro.ru Lokalizacja usługi SRV priorytet = 0 waga = 100 port = 389 nazwa hosta svr = testlabdc2.winitpro.ru testlabdc1.winitpro.ru adres internetowy = 172.21.23.13 testlabdc2.winitpro.ru adres internetowy = 172.21.23.16
Aby wyświetlić wszystkich partnerów replikacji dla określonego kontrolera domeny, z datą i godziną ostatniej replikacji, użyj polecenia:
repadmin / showrepl
Warto zauważyć, że DNS jest ważnym składnikiem replikacji usługi Active Directory. Kontrolery domeny rejestrują swoje rekordy SRV w DNS. Każdy kontroler domeny w lesie rejestruje rekordy CNAME formularza dsaGuid._msdcs.forestName, gdzie dsaGuid -Identyfikator GUID widoczny w obiekcie w elemencie Ustawienia NTDS w konsoli „Witryny i usługi AD”. Jeśli dziennik usług katalogowych zawiera błędy związane z DNS, sprawdź poprawność rekordów CNAME i A dla kontrolera domeny.
dcdiag / test: łączność
Jeśli wystąpią błędy, uruchom ponownie usługę Netlogon, co spowoduje ponowną rejestrację brakujących wpisów dns. Jeśli dcdiag nadal wyświetla błędy, sprawdź konfigurację usługi DNS i poprawne ustawienia DNS na kontrolerze domeny. Aby uzyskać bardziej szczegółowe wprowadzenie do tematu testowania usług dns, zalecamy zapoznanie się z artykułem Diagnozowanie problemów z wyszukiwaniem kontrolera domeny.
Zespół repadmin ma specjalny parametr / replsummary, co pozwala szybko sprawdzić status replikacji na określonym kontrolerze domeny (jego nazwa jest wskazana) lub na wszystkich kontrolerach (opcja symbolu wieloznacznego).
repadmin / replsummary [targetDC | wildcard]
Jeśli nie ma błędów replikacji, dane wyjściowe tego polecenia pokażą, że wystąpiły 0 błędów:
C: \> repadmin / replsummary testlabdc2 Podsumowanie replikacji Czas rozpoczęcia: 2010-01-24 15:56:03 Rozpoczęcie zbierania danych do podsumowania replikacji, może to chwilę potrwać: ... Źródło DSA największej delty kończy się niepowodzeniem / błąd całkowity %% testlabdc1 06m: 27s 0/3 0 testlabdc3 06m: 27s 0/6 0 testlabdc4 06m: 27s 0/5 0 Największa docelowa delta DSA kończy się niepowodzeniem / całkowity %% błąd testlabdc3 06m: 27s 0/14 0 C: \>
Jeśli nadal występują błędy, za pomocą narzędzia Repadmin możesz uzyskać pełniejsze informacje. Każdy kontroler domeny ma swój własny unikalny numer USN (numer sekwencji aktualizacji), który jest zwiększany za każdym razem, gdy pomyślna aktualizacja aktualizacji obiektu usługi Active Directory. Po zainicjowaniu replikacji partner jest przenoszony z USN, który jest porównywany z USN uzyskanym w wyniku ostatniej udanej replikacji z tym partnerem, określając w ten sposób liczbę zmian w bazie danych AD od ostatniej replikacji.
Z kluczem / showutdvec, możesz uzyskać listę bieżących wartości USN przechowywanych na określonym kontrolerze domeny.
repadmin / showutdvec
na przykład
C: \> repadmin / showutdvec testlabdc4 DC = winitpro, DC = pl Buforowanie GUID ... LAB-Site1 \ testlabdc1 @ USN 16608532 @ Time 2010-01-24 16:27:11 LAB-Site1 \ testlabdc2 @ USN 307126 @ Time 2010- 01-24 16:27:27 LAB-Site2 \ testlabdc3 @ USN 297948217 @ Time 2010-01-24 16:19:34 LAB-Site3 \ testlabdc4 @ USN 245646728 @ Time 2010-01-24 16:19:36 C: \>
Uruchamiając to polecenie na kontrolerze domeny, który ma problemy z replikacją, możesz zrozumieć, jak różne są bazy danych AD, porównując po prostu wartości USN.
Testowanie replikacji usługi Active Directory za pomocą narzędzia repadmin można wykonać na kilka sposobów:
- replmon / replicate <targetDC> <sourceDC> <dirPartition> (pozwala rozpocząć replikację określonej partycji na określonym kontrolerze domeny)
- replmon / replsingleobj <targetDC> <sourceDC> <objPath> (replikacja określonego obiektu między dwoma DC)
- replmon / syncall <targetDC> (synchronizacja określonego kontrolera domeny ze wszystkimi partnerami replikacji)
C: \> repadmin / replicate testlabdc1 testlabdc3 DC = winitpro, DC = ru Synchronizacja z testlabdc3 do testlabdc1 zakończyła się powodzeniem. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 cn = stuart, ou = dsu sers, DC = winitpro, DC = ru Pomyślnie zreplikowany obiekt cn = stuart, ou = dsusers, DC = winitpro, DC = ru do testlabdc1 z. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 ou = dsusers, dc = la b, dc = net Pomyślnie zreplikowany obiekt ou = dsusers, DC = winitpro, DC = ru to testlab dc1. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 DC = winitpro, DC = ru Pomyślnie zreplikowano obiekt DC = winitpro, DC = ru do testlabdc1 z. C: \> repadmin / syncall testlabdc3 KOMUNIKAT ODWOŁANIA: Trwa następująca replikacja: Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d. .ru KOMUNIKAT WEZWANIA: Następująca replikacja zakończyła się pomyślnie Od: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro .ru KOMUNIKAT POŁĄCZENIA: replika jest w toku: Od: b0870af5-ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru KOMUNIKAT ODWOŁANIA: Następująca replikacja została pomyślnie zakończona Od: b0870af5 ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru Do: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru KOMUNIKAT POŁĄCZENIA: SyncAll Finished. SyncAll został zakończony bez błędów. C: \>
