Tw-city.info

IT Новости
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контроллер домена синхронизация данных

Контроллер домена синхронизация данных

Продолжаем разговор о импортозамещении. В одной из прошлых статей мы рассматривали вопрос о замене MS Active Directory на сервер авторизации в Unix среде FreeIPA и настройки доверительных отношений между доменами MS AD и FreeIPA. Пользователи из домена FreeIPA могут авторизоваться и работать на ПК в домене MS AD и наоборот. Но что делать, если в старом домене (Active Directory) уже существует достаточно большое количество пользователей, которых надо будет переносить в новый домен? Можно конечно это все сделать руками, но это весьма трудоемкий процесс. Поэтому рассмотрим процесс переноса пользователей в новый домен с сохранением их паролей.

Управление идентификацией использует активную синхронизацию для интеграции пользовательских данных, хранящихся в домене Active Directory, и пользовательских учетных данных, хранящихся в домене IPA. Критические атрибуты пользователя, включая пароли, синхронизируются между службами.

Синхронизации доменов Active Directory и IPA возможна, когда сервер IPA впервые установлен. Процесс синхронизации настраивается путем создания соглашений между сервером IPA и контроллером домена Active Directory.

Синхронизация пользователей выполняется с помощью процесса, аналогичного процессу репликации.

Синхронизация паролей выполняется через службу Windows, установленную на контроллере домена Windows и настроенную на связь с сервером IPA.

Ограничения на синхронизацию:

  1. Контроллер домена Windows должен быть не ниже 2008 R2.
  2. Только один контроллер Windows может быть настроен для синхронизации с доменом IPA. Это как раз вызывает трудности при переносе пользователей из нескольких доменов Windows (если такое необходимо).
  3. Версия службы синхронизации паролей, которая работает с Windows (на момент написания статьи) — 1.1.5 (об этом речь ниже). Данную утилиту можно взять на сайте «389 Directory Server»
  4. Хотя синхронизация является двунаправленной, но новые пользователи автоматически добавляются только в домен FreeIPA. Т.е. если в домене Active Directory создается новый пользователь, то он автоматически будет добавлен в домен FreeIPA. В обратную сторону это не работает. Т.е. если необходима синхронизация пользователя из домена FreeIPA в домен Active Directory, то его необходимо сначала создать в домене Windows.
  5. Информация о блокировки учетных записях синхронизируются по умолчанию. Т.е. если учетная запись будет блокирована в одном домене, то она заблокируется и в другом.
  6. Изменения синхронизации паролей вступают в силу немедленно.

Хотя между схемой LDAP Active Directory и 389 Directory Server LDAP-схемой, используемой FreeIPA, существуют значительные различия схем, существует много атрибутов, которые одинаковы. Эти атрибуты просто синхронизируются между элементами Active Directory и FreeIPA, без изменений в имени атрибута или в формате значений.

Атрибуты пользователей, которые одинаковы в FreeIPA и MS Active Directory:

  • cn
  • physicalDeliveryOfficeName
  • description
  • postOfficeBox
  • destinationIndicator
  • postalAddress
  • facsimileTelephoneNumber
  • postalCode
  • givenname
  • registeredAddress
  • homePhone
  • sn
  • homePostalAddress
  • st
  • initials
  • street
  • l
  • telephoneNumber
  • mail
  • teletexTerminalIdentifier
  • mobile
  • telexNumber
  • o
  • title
  • ou
  • usercertificate
  • pager
  • x121Address

Некоторые атрибуты имеют разные имена, но все же их можно ассоциировать между собой:

Таблица сопоставлений пользовательских атрибутов между FreeIPA и Active Directory

Синхронизация с доменными службами Active Directory

Синхронизация данных из доменных служб Active Directory (AD DS) в набор конфигурации экземпляра служб Active Directory облегченного доступа к каталогам (AD LDS) состоит из двух этапов.

    Подготовка экземпляра AD LDS к синхронизации.

Обычно первое действие совершается только один раз. Второй шаг выполняется при необходимости синхронизации экземпляра AD LDS.

Минимальным требованием для выполнения этой процедуры является членство в группе экземпляра AD LDS Администраторы. По умолчанию субъект безопасности, указанный во время настройки AD LDS как администратор AD LDS, становится членом группы «Администраторы» в разделе конфигурации. Дополнительные сведения о группах AD LDS см. в разделе Общее представление о пользователях и группах AD LDS.

Подготовка экземпляра AD LDS для синхронизации.

Откройте окно командной строки.

В командной строке введите указанный ниже текст и нажмите клавишу ВВОД.

Выполните одно из следующих действий.

    Чтобы подготовить экземпляр AD LDS к синхронизации с лесом Windows Server 2003, введите следующую команду и нажмите клавишу ВВОД.

ldifde -i -u -f ms-adamschemaw2k3.ldf -s сервер:порт -b имя_пользователя домен пароль -j . -c «cn=Configuration,dc=X» #configurationNamingContext

Чтобы подготовить экземпляр AD LDS к синхронизации с лесом Windows Server 2008 R2, введите следующую команду и нажмите клавишу ВВОД.

ldifde -i -u -f ms-adamschemaw2k8.ldf -s сервер:порт -b имя_пользователя домен пароль -j . -c «cn=Configuration,dc=X» #configurationNamingContext

Между -j и -c должна стоять точка (.).

Введите следующую команду и нажмите клавишу ВВОД:

ldifde -i -s сервер:порт-c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf

Введите указанную ниже команду и нажмите клавишу ВВОД.

С помощью Блокнота произведите следующие изменения содержимого файла конфигурации.

    Замените значение именем исходного контроллера домена AD DS.

Замените значение различающимся именем исходного домена.

Замените значение именем учетной записи из группы администраторов исходного домена.

Замените значение именем раздела экземпляра AD LDS, в который происходит синхронизация.

Замените значение различающимся именем базы исходного домена.

Находясь в Блокноте, откройте меню Файл, выберите пункт Сохранить как, введите имя для файла, нажмите кнопку Сохранить, а затем закройте Блокнот.

Введите следующую команду в командной строке, подставляя имя файла, описанного в предыдущем шаге, вместо XML_файл, и нажмите клавишу ВВОД:

adamsync /install сервер:порт файл_XML

После завершения подготовки экземпляра AD LSD к синхронизации пользователь может выполнить следующие действия для синхронизации данных из указанного леса AD DS в экземпляр AD LDS.

Синхронизация данных леса AD DS с экземпляром AD LDS

В командной строке введите указанный ниже текст и нажмите клавишу ВВОД:

adamsync /sync server:port configuration_dn /log

Дополнительная информация

  • Чтобы открыть командную строку, нажмите кнопку Пуск, правой кнопкой мыши щелкните Командная строка, а затем щелкните пункт От имени администратора.

В следующей таблице содержатся параметры, используемые в упомянутых выше процедурах, а также другие часто используемые параметры adamsync. Для получения дополнительных сведений о параметрах adamsync введите в командной строке adamsync /? и нажмите клавишу ВВОД.

Контроллер домена синхронизация данных

Данная глава руководства администратора рассказывает о возможности импорта объектов ARTA Synergy из сторонних каталогов посредством Active Directory . В ней детально описано как настроить и эксплуатировать LDAP а рамках ARTA Synergy .

Читать еще:  Доменные имена dns

Что такое LDAP

LDAP — это аббревиатура от Lightweight Directory Access Protocol . Как следует из названия, это облегчённый протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500 . LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов. LDAP стандартизирован в качестве протокола IETF .

Информационная модель LDAP основана на записях ( entry ). Запись — это коллекция атрибутов ( attribute ), обладающая уникальным именем ( Distinguished Name, DN ). DN глобально-уникально для всего каталога и служит для однозначного указания на запись. Каждый атрибут записи имеет свой тип ( type ) и одно или несколько значений ( value ). Обычно типы — это мнемонические строки, в которых отражено назначение атрибута, например cn — для общепринятого имени ( common name ), или mail — для адреса электронной почты. Синтаксис значений зависит от типа атрибута.

Записи каталога LDAP выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое и/или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог.

Кроме того, LDAP , посредством специального атрибута objectClass , позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы ( schema ), которым должны подчиняться записи.

В LDAP определены операции для опроса и обновления каталога. К числу последних относятся операции добавления и удаления записи из каталога, изменения существующей записи и изменения названия записи. Однако, большую часть времени LDAP используется для поиска информации в каталоге. Операции поиска LDAP позволяют производить поиск записей в определённой части каталога по различным критериям, заданным поисковыми фильтрами. У каждой записи, найденной в соответствии с критериями, может быть запрошена информация, содержащаяся в её атрибутах.

LDAP и Arta Synergy

При синхронизации LDAP и Arta Synergy можно выделить некоторые особенности:

Синхронизация LDAP и Arta Synergy осуществима из LDAP каталога в ARTA Synergy , причем за тот период, который указан в конфигурационном файле.

Синхронизация возможна сразу с несколькими каталогами.

Списки синхронизируемых пользователей и групп определяются фильтрами, указанными в конфигурационном файле.

Ключ соответствия (поле, по которому будет определяться связка « Объект каталога LDAP Пользователь Synergy » ) настраиваемый, например, можно использовать для этого ИИН.

Пароли пользователей не синхронизируются, авторизация происходит непосредственно на LDAP каталоге посредством Simple Bind .

Помимо стандартных полей карточки пользователя (ФИО, доступ в систему и т.п.) можно синхронизировать произвольные поля — с добавлением в карточку пользователя на формах.

Установка и настройка Active Directory

Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.

Подробно рассмотрим установку и настройку Active Directory в ОС Windows Server 2012 R2.

Перейдите в Server Manager и нажмите на Add roles and features .

Откроется мастер установки ролей и компонентов.

В шаге Installation Type выберите пункт Role-based of feature-based installation .

В шаге Server Selection выберите пункт сервер, для которого будет установлена роль.

В шаге Server Roles выберите пункт Active Directory Domain Services .

Подтвердите добавление компонентов роли, нажав на кнопку Add Features .

Пропустите шаг Features и подтвердите установку роли Active Directory.

После успешной установки роли мастер установки отобразит окно подтверждения.

После успешной установки необходимо настроить Active Directory. Откройте Server Manager и нажмите на пиктограмму флага. В открывшемся выпадающем списке нажмите на Promote this server to a domain controller .

В открывшемся мастере настройки Active Directory добавьте новый лес. Для этого в шаге Deployment Configuration выберите пункт Add a new forest и укажите название корневого домена.

В шаге Domain Controller Service задайте пароль для режима восстановления служб каталогов.

В шаге Additional Options измените имя домена NetBIOS.

В шаге Paths укажите папки базы данных, файлов журнала и SVSVOL.

В шаге Review Options отобразится список всех настраиваемых опций.

В шаге Prerequisites Check подтвердите настройку выбранных опций.

После успешной настройки компьютер будет перезагружен автоматически.

Создание пользователей в Active Directory

После успешных установки и настройки Active Directory добавим пользователей для доступа к ARTA Synergy.

Откройте Active Directory Users and Computers .

Выделите ноду Вашего домена (в примере synergy.tm ) и нажмите кнопку добавления подразделения.

Введите название будущего подразделения.

Выбрав новое созданное подразделение, нажмите на кнопку создания пользователей.

Укажите имя, фамилию и логин будущего пользователя.

Задайте пароль и включите флаг, отвечающий за устаревание пароля (если включен — пароль никогда не устаревает).

Подтвердите создание нового пользователя.

Повторив пп. 4-7 создайте требуемых пользователей.

Теперь необходимо выдать этим пользователям доступ в систему ARTA Synergy. Для этого нажмите на кнопку создания новых групп.

Укажите название будущей группы. В данную группу будет входить Администратор Active Directory.

Нажмите на кнопку Add .

Введите имя пользователя и нажмите на кнопку Check Names .

Мастер автоматически дополнит значение учетной записи соответствующего пользователя.

Создайте еще одну группу для доступа всех пользователей к системе ARTA Synergy.

Повторив пп. 11-13 добавьте всех пользователей в группу доступа.

Работа с LDAP-каталогами

Для работы с LDAP -каталогами возможно использовать любой клиент с поддержкой LDAP -протокола. Одним их таких клиентов является JXplorer .

JXplorer — кроссплатформенный LDAP браузер и редактор с поддержкой безопасности (в том числе SSL , SASL и GSSAPI ), перевода на многие языки, онлайн-помощью, коммерческой поддержкой, пользовательскими формами и многими другими возможностями.

Читать еще:  Изменение часового пояса в домене

Соответствует общим стандартам клиентов LDAP , которые можно использовать для поиска, чтения и редактирования любого стандартного каталога LDAP или любой службы каталогов с LDAP или интерфейсом DSML .

Рассмотрим его функциональность на примере поиска пользователя в одном из каталогов.

Подключимся к серверу с данными Администратора:

Рисунок 6.2. Рисунок 1

В открывшейся закладке Explore отобразилось дерево со всеми объектами каталога, доступные авторизованному Администратору. При выборе объекта из навигатора в основной рабочей области отобразились все атрибуты данного объекта, а также их значения:

Рисунок 6.3. Рисунок 2

Примечание

Полный список возможных атрибутов представлен здесь

Вызовем окно поиска по каталогу — Search -> Search Dialog . В открывшемся диалоге укажем базовый узел поиска, от которого он будет осуществляться, и сам фильтр:

Рисунок 6.4. Рисунок 3

Клиент автоматически перешел на вкладку Results с найденными результатами запроса:

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Управление репликацией Active Directory

Обеспечение корректной репликации в лесу Active Directory – это одна из главных задач администратора AD. В этой статье попытаемся понять базовые принципы репликации базы Active Directory и методики диагностики неисправности. Стоит отметить, что репликации — один из основополагающих принципов построения современной корпоративной сети на базе AD, так, например, мы уже говорили о репликации групповых политик в домене AD и репликации зон DNS.

Читать еще:  Второй контроллер домена 2020

Для мониторинга репликации Active Directory в корпоративной среде Microsoft рекомендует использовать продукт SCOM (либо другие продукты мониторинга с похожим функционалом). Кроме того, для мониторинга репликации AD можно использовать утилиту repadmin (repadmin /showrepl * /csv) совместно с самописными скриптами анализа вывода этой утилиты. Типичные проблемы, связанные с ошибками репликации Active Directory, — ситуации, когда объекты не появляются в одном или нескольких сайтах (например, только что созданный пользователь, группа или другой объект AD не доступны на контроллерах домена в других сайтах).

Хорошая отправная точка для поиска неисправности в механизме репликации Active Directory – анализ журнала «Directory Services» на контроллерах домена. Конкретные действия будут зависеть от того, какие ошибки будут обнаружены в журнале, однако для разрешения проблем нужно достаточно четко понимать процессы репликации Active Directory.

Одним из базовых элементов управлением трафиком репликации между контроллерами домена являются сайты Active Directory. Сайты связаны между собой особыми связями, называемыми «site link», которые определяют стоимость маршрутизации данных AD (элементы леса, домена, папка SYSVOL и т.д.) между различными сайтами. Расчет алгоритма управления и маршрутизации трафика репликации в лесу ведется службой KCC.

KCC определяет партнеров по репликации для всех контроллеров домена в лесу. Для межсайтовой репликации KCC автоматически выбирает специальные сервера-плацдармы (bridgehead server), помимо этого, администратор домена может вручную указать контролеры домена, которые будут выполнять роль сервера-плацдарма для того или иного сайта, именно эти сервера и управляют межсайтовой репликацией. Сайты и сервера bridgehead нужны для того, чтобы удобно управлять трафиком репликации Active Directory, и чтобы уменьшить объем передаваемого трафика по сети.

Межсайтовую топологию в лесу можно проанализировать при помощи команды:

данная команда отобразит список сайтов в лесу Active Directory. Для каждого из сайтов указаны 3 значения: стоимость репликации между двумя сайтами, интервал репликации в минутах, а также дополнительные настроенные параметры межсайтовой связи. Вывод этой команды может выглядеть так:

В вышеприведённом логе видно, что в домене winitpro.ru существует 3 сайта, которые называется соответственно Site(0), Site(1) иSite(2). Каждый из сайтов имеет 3 набора репликационной информации, по одной для каждого сайта в лесу. Например, настроена связь между Sites(2) (LAB-Site3) и Site(0) (LAB-Site1), параметры этой связи — 10:30:0, что означает: 10 – стоимость репликации, и интервал репликации 30 минут. Также обратите внимание, что для сайта Site(2) задан сервер-плацдарм (bridgehead) – это контроллер домена с именем testlabdc2.

Контроллеры домена, партнеры по репликации – могут быть идентифицированы при помощи графического Gui или при помощи утилит командной строки. Откройте консоль MMC «Active Directory Sites and Services», разверните узел Sites, в нем найдите интересующий ваш сайт. В этом узле будут содержатся контроллеры домена, относящиеся к этому сайту. Развернув контроллер домена и выбрав пункт NTDS Settings, вы увидите всех партнеров по репликации данного контроллера домена.

В командной строке при помощи команды nslookup можно получить список контроллеров домена, относящихся к нашему сайту (естественно для этого необходимо, чтобы все DC имели корректные записи SRV). Формат команды такой:

на выходе получаем примерно следующее:

Чтобы для определенного контролера домена отобразить всех партнеров по репликации, с датой и временем последней репликации, воспользуйтесь командой:

Стоит отметить, что служба DNS – это важный компонент службы репликации Active Directory. Контроллеры домена регистрируют свои SRV записи в DNS. Каждый контроллер домена в лесу регистрирует записи CNAME вида dsaGuid._msdcs.forestName, где dsaGuid –GUID видимый у объекта в пункте NTDS Settings в консоли «AD Sites and Services». Если в журнале Directory Services есть ошибки, связанные со службой DNS, для проверки корректных записей типа CNAME и A для контроллера домена.

Если будут ошибки, перезапустите службу Netlogon, в результате чего произойдет перерегистрация отсутствующих dns записей. Если dcdiag все также будет выдавать ошибки, проверьте конфигурацию службы DNS и корректность DNS настроек на DC. Для более детального знакомства с темой тестирования служб dns, рекомендую обратиться к статье Диагностика проблем с поиском контроллера домена.

Команда repadmin имеет специальный параметр /replsummary, который позволяет быстро проверить состояние репликации на конкретном контроллере домена (указывается его имя) или на всех контроллерах (опция wildcard).

В том случае, если ошибки репликации отсутствуют, в выводе этой команды будет видно, что ошибок – 0.:

В том случае, если ошибки все-таки будут, при помощи утилиты Repadmin можно получить более полную информацию. Каждый контроллер домена имеет собственный уникальный USN (Update Sequence Number), который инкрементируется каждый раз при успешном изменении обновлении объекта Active Directory. При инициализации репликации, партнеру передается USN, который сравнивается с USN, полученным в результате последней успешной репликации с данным партнером, тем самым определяя сколько изменений произошло в базе AD со времени последней репликации.

При помощи ключа /showutdvec, можно получить список текущих значений USN, хранящихся на указанном DC.

Запустив эту команду на контроллере домена, на котором наблюдаются проблемы с репликацией, можно понять насколько различаются базы AD, просто сравнив значения USN.

Тестирование репликации Active Directory при помощи утилиты repadmin можно осуществить несколькими способами:

  • replmon /replicate (позволяет запустить репликацию определенного раздела на указанный контроллер домена)
  • replmon /replsingleobj (репликация конкретного объекта между двумя DC)
  • replmon /syncall (синхронизация указанного контроллера домена со всем партнерами по репликации)

При наличии проблем с механизмом репликации Active Directory, нужно знать и уметь пользоваться утилитами repadmin, nslookup, dcdiag, крайне полезен при анализе журнал событий Directory Services. В особо сложный и нестандартных ситуациях может помочь база знаний Microsoft KB, в которой описаны типовые проблемы и методики их решения. Поиск по базе KB обычно осуществляется по идентификаторам ошибок (Event ID), полученным из указанного журнала..

Ссылка на основную публикацию
Adblock
detector