Осигуряването на правилна репликация в гората на Active Directory е една от основните задачи на AD администратора. В тази статия ще се опитаме да разберем основните принципи на репликацията и методите за отстраняване на проблеми в Active Directory. Заслужава да се отбележи, че репликацията е един от основните принципи за изграждане на модерна корпоративна мрежа, базирана на AD, например, вече говорихме за репликиране на групови политики в AD домейна и репликиране на DNS зони.
За да наблюдава репликацията на Active Directory в корпоративна среда, Microsoft препоръчва да използвате продукта SCOM (или други продукти за мониторинг с подобна функционалност). В допълнение, за да наблюдавате репликацията на AD, можете да използвате помощната програма repadmin (repadmin / showrepl * / csv) във връзка със самонаписаните скриптове за анализ на изхода на тази помощна програма. Чести проблеми, свързани с грешки в репликацията на Active Directory, са ситуации, в които обектите не се появяват в един или повече сайтове (например новосъздаден потребител, група или друг обект AD не е наличен в контролерите на домейни в други сайтове).
Една добра отправна точка за отстраняване на проблеми при репликацията на Active Directory е да се анализира дневника на услугите на директории на контролерите на домейни. Конкретните действия ще зависят от грешките, които са открити в дневника, за да разрешите проблемите, които трябва да разберете ясно процесите на репликация на Active Directory.
Един от основните елементи за управление на трафика на репликация между контролерите на домейни са сайтовете на Active Directory. Сайтовете са свързани помежду си чрез специални връзки, наречени „връзка към сайта“, които определят цената на маршрутизиране на AD данни (гора, домейн, папка SYSVOL и др.) Между различни сайтове. Изчисляването на алгоритъма за управление и маршрутизиране на трафика на репликация в гората се извършва от KCC.
KCC определя партньори за репликация за всички контролери на домейни в гората. За репликация между сайтове, KCC автоматично избира специални сървъри за мостови планини, в допълнение администраторът на домейна може ръчно да посочи контролерите на домейни, които ще действат като сървър на мостовия панел за конкретен сайт, именно тези сървъри контролират репликацията на между сайтове. Сайтовете и сървърите на Bridgehead са необходими за удобно управление на трафика за репликация на Active Directory и за намаляване на количеството трафик, предаван по мрежата..
Междуположната топология в гората може да се анализира с помощта на командата:
repadmin / шоуизъм
тази команда показва списък на сайтове в гората Active Directory. За всеки сайт са посочени 3 стойности: цена на репликация между два сайта, интервал на репликация в минути, както и допълнителни конфигурирани параметри за комуникация между сайтове. Резултатът от тази команда може да изглежда така:
C: \> repadmin / showism ==== ТРАНСПОРТ CN = IP, CN = Транспортиране между сайтове, CN = Сайтове, CN = Конфигурация, DC = winitpro, DC = bg ИНФОРМАЦИЯ ЗА СВЪРЗВАНЕ ЗА 3 САЙТА: ==== 0 , 1, 2 Сайт (0) CN = LAB-Site1, CN = Сайтове, CN = Конфигурация, DC = winitpro, DC = bg 0: 0: 0, 10: 15: 0, 10: 30: 0 Всички DSA в сайта CN = ADP-ADSN, CN = Сайтове, CN = Конфигурация, DC = лаборатория, DC = net (с транс & хостинг NC) са мостови кандидати. Сайт (1) CN = LAB-Site2, CN = сайтове, CN = конфигурация, DC = winitpro, DC = bg 10: 15: 0, 0: 0: 0, 20: 30: 0 Всички DSA в сайта CN = ADP- Интранет, CN = сайтове, CN = конфигурация, DC = la b, DC = net (с транс & хостинг NC) са кандидати за платнища Сайт (2) CN = LAB-Site3, CN = Сайтове, CN = Конфигурация, DC = winitpro, DC = bg 10: 30: 0, 20: 30: 0, 0: 0: 0 1 сървър (и) са дефинирани като мостови глави за транспорт CN = IP, CN = вътрешни превози, CN = сайтове, CN = конфигурация , DC = winitpro, DC = ru & сайт CN = LAB-Site3, CN = сайтове, CN = конфигурация, DC = winitpro, DC = ru: сървър (0) CN = testlabdc2, CN = сървъри, CN = LAB-Site3, CN = сайтове, CN = конфигурация, DC = winitpro, DC = bg C: \>
В горния дневник може да се види, че има 3 сайта в домейна winitpro.ru, които се наричат съответно Site (0), Site (1) и Site (2). Всеки сайт има 3 комплекта информация за репликация, по един за всеки сайт в гората. Например връзката между Сайтове (2) (LAB-Site3) и Сайт (0) (LAB-Site1) е конфигурирана, параметрите на тази връзка са 10: 30: 0, което означава: 10 - цената на репликацията, а интервалът на репликация е 30 минути. Също така имайте предвид, че за сайта Site (2) е посочен мостови сървър - това е контролер на домейн с име testlabdc2.
Контролери на домейни, партньори за репликация - могат да бъдат идентифицирани с помощта на графичен Gui или с помощта на помощните програми на командния ред. Отворете конзолата MMC „Сайтове и услуги на Active Directory“, разгънете възела Sites, намерете интересуващия го сайт. Този сайт ще съдържа контролери на домейни, свързани с този сайт. Разширявайки контролера на домейна и избирайки NTDS Settings, ще видите всички партньори за репликация на този домейн контролер.
Използвайки командата nslookup, можете да получите списък с контролери на домейни, свързани с нашия сайт, в командния ред (естествено, това изисква всички DC да имат правилните SRV записи). Форматът на командата е:
nslookup -type = srv _ldap._tcp ... _sites.dc._
на изхода получаваме нещо като следното:
C: \> _ldap._tcp.LAB-Site1._sites.dc._msdcs.winitpro.ru приоритет на местоположението на услугата SRV = 0 тегло = 100 порта = 389 svr име на хост = testlabdc1.winitpro.ru _ldap._tcp.LAB-Site1._sites .dc._msdcs.winitpro.ru Приоритет на местоположението на SRV услуга = 0 тегло = 100 порт = 389 цел име на хост = testlabdc2.winitpro.ru testlabdc1.winitpro.ru интернет адрес = 172.21.23.13 testlabdc2.winitpro.ru интернет адрес = 172.21.23.16
За да покажете всички партньори за репликация за конкретен контролер на домейн, с датата и часа на последната репликация, използвайте командата:
repadmin / showrepl
Заслужава да се отбележи, че DNS е важен компонент на репликацията на Active Directory. Контролерите на домейни регистрират своите SRV записи в DNS. Всеки контролер на домейн в гората регистрира CNAME записи на формуляра dsaGuid._msdcs.forestName, където dsaGuid -GUID, видим на обекта в елемента NTDS Settings в конзолата "AD Sites and Services". Ако регистърът на услугите на директория съдържа грешки, свързани с DNS, за да проверите за валидни CNAME и A записи за контролера на домейна.
dcdiag / test: свързаност
Ако има грешки, рестартирайте услугата Netlogon, което ще доведе до пререгистрация на липсващи dns записи. Ако dcdiag все още показва грешки, проверете конфигурацията на DNS услугата и правилните настройки на DNS на DC. За по-подробно запознаване с темата за тестване на dns услуги, препоръчвам да се обърнете към статията Диагностициране на проблеми с търсенето на контролер на домейн.
Екипът repadmin има специален параметър / replsummary, което ви позволява бързо да проверите състоянието на репликация на конкретен контролер на домейн (името му е посочено) или на всички контролери (опция за подметка).
repadmin / replsummary [targetDC | wildcard]
Ако няма грешки в репликацията, изходът на тази команда ще покаже, че има 0 грешки:
C: \> repadmin / replsummary testlabdc2 Резюме на резюмето на репликацията: 2010-01-24 15:56:03 Началото на събирането на данни за обобщение на репликацията може да отнеме известно време: ... Източник на DSA най-голямата делта не успява / общо %% грешка testlabdc1 06m: 27s 0/3 0 testlabdc3 06m: 27s 0/6 0 testlabdc4 06m: 27s 0/5 0 Дестинация DSA най-голямата делта се проваля / обща %% грешка testlabdc3 06m: 27s 0/14 0 C: \>
В случай, че все още възникват грешки, с помощта на помощната програма Repadmin можете да получите по-пълна информация. Всеки контролер на домейн има свой уникален USN (Update Sequence Number), който се увеличава всеки път при успешна актуализация на актуализации на обект в Active Directory. Когато репликацията е инициализирана, партньорът се прехвърля с USN, който се сравнява с USN, получен в резултат на последната успешна репликация с този партньор, като по този начин се определя колко промени са настъпили в базата данни на AD след последната репликация.
С ключ / showutdvec, можете да получите списък на текущите USN стойности, съхранени в определен DC.
repadmin / showutdvec
например
C: \> repadmin / showutdvec testlabdc4 DC = winitpro, DC = b Кеширане на GUIDs ... LAB-Site1 \ testlabdc1 @ USN 16608532 @ Време 2010-01-24 16:27:11 LAB-Site1 \ testlabdc2 @ USN 307126 @ Време 2010- 01-24 16:27:27 LAB-Site2 \ testlabdc3 @ USN 297948217 @ Време 2010-01-24 16:19:34 LAB-Site3 \ testlabdc4 @ USN 245646728 @ Време 2010-01-24 16:19:36 C: \>
Изпълнявайки тази команда на контролер на домейн, който има проблеми с репликацията, можете да разберете колко различни са базите данни от AD, като просто сравните USN стойностите.
Тестване на репликацията на Active Directory с помощта на помощната програма repadmin може да се извърши по няколко начина:
- replmon / реплика <targetDC> <sourceDC> <dirPartition> (ви позволява да стартирате репликация на конкретен дял към определен контролер на домейн)
- replmon / replsingleobj <targetDC> <sourceDC> <objPath> (репликация на конкретен обект между два DC)
- replmon / syncall <targetDC> (синхронизиране на зададения контролер на домейн с всички партньори за репликация)
C: \> repadmin / replicate testlabdc1 testlabdc3 DC = winitpro, DC = ru Синхронизиране от testlabdc3 до testlabdc1 завършено успешно. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 cn = stuart, ou = dsu sers, DC = winitpro, DC = ru Успешно репликиран обект cn = stuart, ou = dsusers, DC = winitpro, DC = ru до testlabdc1 от. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 ou = dsusers, dc = la b, dc = net Успешно репликиран обект ou = dsusers, DC = winitpro, DC = ru to testlab dc1 from. C: \> repadmin / replsingleobj testlabdc1 testlabdc3 DC = winitpro, DC = ru Успешно репликиран обект DC = winitpro, DC = ru до testlabdc1 от. C: \> repadmin / syncall testlabdc3 ПОСЛЕДВАНЕ НА ОБОБЩЕНИЕ: Извършва се следната репликация: От: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru До: 99305007-2290-489b-9551-20827ba0664d._ .ru ПОСЛЕДВАНЕ НА ПОСЛЕДВАНЕ: Следната репликация завърши успешно От: 25fdc051-6ff6-4922-bc02-0b77a4652bfc._msdcs.winitpro.ru До: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru CALLBACK повторение е в ход: От: b0870af5-ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru До: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru ПОТВЪРЖДАВАНЕ НА ПОСЛЕДВАНЕ: Следното копиране приключи успешно От: b0870a ab82-4372-9e39-0a9772a5e47c._msdcs.winitpro.ru До: 99305007-2290-489b-9551-20827ba0664d._msdcs.winitpro.ru ПОТВЪРЖДАВАНЕ НА ОБРАТНО: SyncAll Finished. SyncAll прекратява без грешки. C: \>
