Внутрисайтовая репликация ч.2

Информация в этой статье справедлива не только для внутрисайтовой репликации, но и репликаций между сайтами.

 

Обеспечение корректной репликации в домене Active Directory – это одна из главных задач системного администратора. 

 

Типичные проблемы, связанные с ошибками репликации Active Directory,  – ситуации, когда объекты не появляются на одном или нескольких контроллерах(например, только что созданный пользователь, группа или другой объект AD не доступны на  других контроллерах домена).

 

Итак, в решении проблем нам помогут журналы событий и пакет утилит Windows Support Tools.

 

В журналах событий обращаем внимание как на журнал службы каталогов -Event Viewer (Средство просмотра событий) - Directory Service (Служба каталога), так и на системные журналы. 

 

Первое на что следует обратить внимание это DNS, без его правильного функционирования репликация работать не будет.

 

Контроллеры домена регистрируют свои SRV записи в DNS. Каждый контроллер домена в лесу регистрирует записи CNAME вида dsaGuid._msdcs.forestName, где dsaGuid –GUID видимый у объекта в пункте NTDS Settings в консоли «AD Sites and Services». Если в журнале Directory Services есть ошибки, связанные со службой DNS, для проверки корректных записей  типа CNAME и A для контроллера домена.

 

dcdiag /test:connectivity

 

Если будут ошибки, перезапустите службу Netlogon, в результате чего произойдет перерегистрация отсутствующих dns записей. Если dcdiag все также будет выдавать ошибки, проверьте конфигурацию службы DNS и корректность DNS настроек на DC.

 

Если в системном журнале есть сведения об ошибках, попробуйте запустить NetDiag(Подразумевается, что Windows Support Tools уже установлен). Даже без параметров командной строки NetDiag выполняет 23 проверки сетевой конфигурации компьютера. Среди выполняемых утилитой полезных проверок -- членство в домене, DNS, конфигурация клиентов, доверительные отношения, Kerberos и функциональность LDAP. 

Формат команды Netdiag и ключи.

 

Если обнаружены неполадки, перезапустите NetDiag с ключом /test:testname, где testname имя параметра (параметры и ключи можно посмотреть по ссылке выше) и параметром /v, чтобы произвести тщательный анализ проблемной области. 

 

Если сведения об ошибках содержатся в службе каталогов, запустите DCDiag, исчерпывающую тестовую утилиту для контроллеров домена. Даже без параметров командной строки DCDiag выполняет 25 тестов DC. Как и в случае с NetDiag, при обнаружении неполадок нужно перезапустить DCDiag с ключом /test:testname и параметром /v, чтобы выполнить тест проблемной области. Не следует придавать чрезмерное значение ошибкам в системном журнале; достаточно любого недавнего сбоя, чтобы тест завершился неудачей.

Ключи и параметры DcDiag

 

Если с помощью NetDiag и DCDiag не удалось обнаружить ошибок в операционной системе и службах каталогов, значит, пришло время заняться репликацией. Лучшая отправная точка -- анализ результатов тестов DCDiag, так как DCDiag выполняет многочисленные тесты репликации. 

 

Чтобы для определенного контролера домена отобразить всех партнеров по репликации, с датой и временем  последней репликации, воспользуйтесь командой:

 

repadmin /showrepl

 

Команда repadmin имеет специальный параметр /replsummary, который позволяет быстро проверить состояние репликации на конкретном контроллере домена (указывается его имя) или на всех контроллерах (опция wildcard).

 

repadmin /replsummary [targetDC|wildcard]

 

В том случае, если ошибки репликации отсутствуют, в выводе этой команды будет видно, что ошибок – 0.

 

В том случае, если ошибки все-таки будут, при помощи утилиты Repadmin можно получить более полную информацию. Каждый контроллер домена имеет собственный   уникальный USN (Update Sequence Number), который инкрементируется каждый раз при успешном изменении обновлении  объекта Active Directory. При инициализации репликации, партнеру передается USN, который сравнивается с USN, полученным в результате последней успешной репликации  с данным партнером, тем самым определяя сколько изменений произошло в базе AD со времени последней репликации.

 

При помощи ключа /showutdvec, можно получить список текущих значений USN, хранящихся на указанном DC.

 

repadmin /showutdvec

 

Запустив эту команду на контроллере домена, на котором наблюдаются проблемы с репликацией, можно понять насколько различаются базы AD, просто сравнив значения USN.

 

Тестирование репликации  Active Directory при помощи утилиты  repadmin можно осуществить несколькими способами:

 

repadmin /replicate <targetDC> <sourceDC> <dirPartition>  

-позволяет запустить репликацию определенного раздела на указанный контроллер домена

 

repadmin /replsingleobj <targetDC> <sourceDC> <objPath>

- репликация конкретного объекта между двумя DC

 

repadmin /syncall <targetDC>

- синхронизация указанного контроллера домена со всем партнерами по репликации.

 

Ну и не забываем про Replmon -графический инструмент для анализа состояния различных разделов каталога, задействованных в репликации. По сравнению с командой repadmin, интерфейс replmon несколько ограничен.

 

Важно!

И помните, для завершения репликации требуется время. Например, если DC не отвечает, то служба контроля целостности Knowledge Consistency Checker (KCC) ожидает 90 минут, прежде чем выполнить перерасчет объектов связи вокруг DC. 

 

Источники:

1. technet.microsoft.com

2. Системный администратор №1-2 2010г.

3. Сетевые сервисы Active Directory

4.Управление репликацией Active Directory