活動目錄的復制及監(jiān)測工具一、概述除了非常小的網(wǎng)絡之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡上的多個位置，以便于所有用戶均等的使用。通過復制，活動目錄服務在多個域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄的可用性與性能。為了維持目錄的一致性、保有最新信息、且提供良好效率和高度可用性，復制程序是必須的。復制程序?qū)⒛夸浶畔⒌亩鄠€副本移到離使用者最近的地方，但是由于每次增加、刪除、修改使用者、應用程序或機器信息等動作都會變更目錄信息，因此這些副本也必須同時被更新。什么時候需要啟用復制程序？目錄服務反應時間太長，使用者會覺得效率非常低下。目錄服務系統(tǒng)停擺，使用者無法完成工作。一臺服務器的沉重負荷或當機必須不會癱瘓整個網(wǎng)絡。1、單主復制在此模式下，每個復制代理DSA可擁有目錄樹DIT的一部分，并且能夠和其他DSA進行復制。此模式存在一個問題，假如一臺服務器“down”機，使用的目錄會變成一個只讀的副本，系統(tǒng)管理員再也無法新增用戶、更改帳戶信息，也不能重新調(diào)整目錄應用程序。對大型的動態(tài)企業(yè)網(wǎng)絡環(huán)境來說，持續(xù)幾分鐘的只讀狀態(tài)是不能接受的。2、多主復制AD目錄服務為域、域樹或森林中所有的域控制器完成多主復制流程。系統(tǒng)會為單一網(wǎng)絡所使用的命名空間和整個森林所用的命名空間分別建立不同的拓撲。每個域控制器會根據(jù)站點的帶寬，自動計算出復制拓撲。系統(tǒng)管理員也可為某特定用戶環(huán)境調(diào)試復制拓撲。優(yōu)點是：高度有效性，缺點是：產(chǎn)生出大量網(wǎng)絡流量。在一個網(wǎng)絡內(nèi)，AD目錄服務會自動連接域控制器到復制拓撲內(nèi)，所以當任何域控制器的信息變更時，它會通知它的復制伙伴，然后復制伙伴初始化或停止更新。一旦初始化后，這些運作透過網(wǎng)絡域控制器的串聯(lián)直接或間接的傳送開來，直到所有域控制器都更新為止。1、通知更新復制DCA建立一個用戶帳號，因為是新建帳號，屬于初始更新。更新完成后，A服務器在15s之后發(fā)出更新通知。此更新通知并非同時通知所有域內(nèi)的DC，在通知B后，間隔3s。B接受到復制信息后，將新的帳號復制到B的數(shù)據(jù)庫中，僅復制發(fā)生改變的數(shù)據(jù)，屬于增量更新。然后A再通知C。此復制過程屬于拉復制，僅復制需要的數(shù)據(jù)。再間隔3s后，通知其他DC3、定時檢查復制每小時（定制的復制時間）檢查復制的狀態(tài)1次，包括更改通知復制和緊急復制，在接受通知更新和緊急復制后的數(shù)據(jù)是否同步、丟失數(shù)據(jù)或復制沒有完成等。如果出現(xiàn)上述狀況，將通知初始域控制器，以“拉”的方式復制沒有更新的數(shù)據(jù)，復制立即執(zhí)行。四、復制方式站點復制通常就是將同一AD站點的數(shù)據(jù)內(nèi)容同時保存在網(wǎng)絡中不同的位置，以便于所有用戶的快速調(diào)用，同時可以起到備份的目的。AD站點復制使用的是一種多主機復制模型，允許在任何DC上（而不只是委派的主域控制器上）更改目錄數(shù)據(jù)。AD依靠站點來保持復制的效率，并依靠KCC來自動確定網(wǎng)絡的最佳復制拓撲。1、站點間復制KCC使用開銷最低的跨越樹設計建立站點間復制拓撲。站點間復制被優(yōu)化為最佳的帶寬效率，并且站點之間的目錄更新可根據(jù)配置的日程安排自動進行。站點間復制的目錄更新被壓縮以節(jié)省帶寬。建立站點間復制拓撲：AD站點復制服務使用用戶提供的關(guān)于站點連接的信息，自動建立最有效的站點間復制拓撲。該目錄將此信息存儲為站點連接對象。每個站點被指派一個域控制器（稱為站點間拓撲生成程序）以建立該拓撲。使用最低開銷跨越樹算法以消除站點間的冗余復制路徑。站點間復制拓撲將定期更新，以響應網(wǎng)絡中發(fā)生的任何更改，可以通過在創(chuàng)建站點連接時所提供的信息來實現(xiàn)DC站點間復制。確定何時發(fā)生站點間復制。AD站點復制服務提供最小化復制的頻率以及允許安排站點復制鏈接的可用性，來節(jié)省站點間的帶寬。默認情況下，跨越每個站點鏈接的站點間復制每180分鐘進行1次。另外如果實際條件不允許，還可以通過調(diào)整該頻率來滿足自己的具體需求。2、站點內(nèi)復制KCC使用雙向環(huán)式設計建立站內(nèi)復制拓撲結(jié)構(gòu)。站內(nèi)復制可實現(xiàn)速度優(yōu)化，站點內(nèi)的目錄更新根據(jù)更改通知自動進行，站內(nèi)復制的目錄更新不壓縮。五、復制內(nèi)容目錄數(shù)據(jù)存儲AD目錄服務的所有目錄新的數(shù)據(jù)存儲。該數(shù)據(jù)存儲通常稱為目錄。目錄包含對象的有關(guān)信息，這些對象包括用戶、組、計算機、域、組織單位和安全策略。這些信息都可以發(fā)布，以供用戶和管理員使用。六、復制拓撲一個林就是一組域構(gòu)成的集合。每個域都有自己的專用信息，而且這些專用信息僅在該域的內(nèi)部復制。復制的過程就是在域的內(nèi)部從一個DC到另一個DC的更新路徑，這個路徑被稱為復制拓撲。有些數(shù)據(jù)是林專用的，這些數(shù)據(jù)需要每臺DC都能看到而不論這些DC是哪個域的成員。林系統(tǒng)范圍內(nèi)的數(shù)據(jù)為架構(gòu)數(shù)據(jù)和配置數(shù)據(jù)，它們會在企業(yè)內(nèi)所有DC上復制，而不是在域內(nèi)部，KCC會為這兩種數(shù)據(jù)創(chuàng)建一個復制拓撲。KCC規(guī)定了哪些DC應該向哪些DC復制數(shù)據(jù)，以實現(xiàn)整個森林的數(shù)據(jù)復制。域控制器A2和A3是A1的直接復制對象，A4是A1的間接復制對象，A1的數(shù)據(jù)間接的由其他DC復制到目標DC。如果是父子域的復制拓撲，復制可以正常運行，僅是復制的數(shù)據(jù)不同，從父域接受架構(gòu)分區(qū)和配置分區(qū)的數(shù)據(jù)，子域內(nèi)接受子域分區(qū)的數(shù)據(jù)，父域內(nèi)的DC接受父域內(nèi)DC的數(shù)據(jù)。復制的原則是：復制允許的躍點數(shù)不能超過3個，即：原DC和目標DC之間的路由器不能超過2個，或者原DC到目標DC之間的與控制器數(shù)量不能超過2個，從第1個DC開始到最后一個DC的數(shù)量總數(shù)為4。實驗：查看KCC自動生成的復制鏈接p1503、GC復制拓撲在林系統(tǒng)中，如果A1是GC，A1除了正常的復制（復制架構(gòu)分區(qū)、配置分區(qū)和域分區(qū)數(shù)據(jù)）以外，還需要從另一個域（B1）中復制域分區(qū)的數(shù)據(jù)。4、查看復制伙伴實驗p154八、目錄復制的監(jiān)測及工具在大多數(shù)情況，DC會自動進行復制，但是網(wǎng)絡連接的失敗及不正確的設置會影響DC之間信息的同步，因此，管理員必須監(jiān)測AD復制的性能。復制問題最常見的征兆就是，某些或全部DC的信息不能更新。例如，某個DC創(chuàng)建了用戶帳戶，但是這個更改沒有傳送到其他DC，這是非常嚴重的。如何確定復制問題的原因檢查網(wǎng)絡連通性，保證所有DC能夠通信。檢查路由器和防火墻的設置檢查事件日志（如下圖）檢查站點連接檢查同步的信息，以防信息矛盾檢查復制拓撲復制監(jiān)控器replmon復制監(jiān)控器在2003工具包中，默認不安裝。安裝后，在運行框輸入“replmon”.該窗口初始是空的，你必須手動添加一個或多個服務器，才能獲得信息。添加服務器時，右擊左側(cè)的“MonitoredServersitem”，選擇“AddMonitoredServer”。添加完成后，就可以開始監(jiān)測復制流量。如下圖單擊“Action”菜單，選擇“Domain-〉SearchDomainControllersForReplicationErrors”.在該對話框中，單擊“RunSearch”按鈕，則開始搜索發(fā)生錯誤的DC。如果想立即同步，右擊某個服務器，選擇“SynchronizeEachDirectoryPartitionWithAllServers”當然，也可以單獨同步每個分區(qū)。RepadminRepadmin可以用來確定目標服務器的目錄復制伙伴，并通過發(fā)送一個命令將源服務器與目標服務器同步。通過使用源服務器的對象全局唯一識別符GUID完成。Repadmin可以在兩個域控制器之間進行強制復制，并可顯示出復制的內(nèi)部過程，幫助系統(tǒng)管理員排除故障和發(fā)現(xiàn)問題。應用實例1.檢測域控制器的復制伙伴命令提示符下輸入：Repadmin/showrepl目標機器名域名.如：Repadmin/showreplQW-W6EXUW2I13C3dc=ad,dc=com2.檢測域控制器的高水印標記值，并同時顯示復制伙伴 Repadmin/showreplQW-W6EXUW2I13C3dc=ad,dc=com/verbos3.使用知識一致性檢查器檢查復制完整性 Repadmin/kccQW-W6EXUW2I13C34.檢測域控制器已經(jīng)建立的信任關(guān)系 Repadmin/showtrustQW-W6EXUW2I13C35.顯示域控制器之間復制數(shù)量和狀態(tài) Repadmin/replsummaryQW-W6EXUW2I13C3DcdiagDcdiag是域控制器診斷工具，可以分析目錄林或“組織單元”中的域控制器狀態(tài)，并生成一個報告，報告將所有通過診斷測試得到的問題匯集在一個文件中，可作為故障判斷的資料。Dcdiag可以測試下列項目：連通性、復制、拓撲完整性、檢查NCHead安全描述符、檢查登陸權(quán)、取得域控制器位置、安全邊界、檢查任務或角色、信任關(guān)系的驗證。應用實例1.診斷主域控制器的狀況Dcdiag/s:QW-W6EXUW2I13C32.診斷域控制器的連