Replikace v Active Directory

Home / Uncategorized / Replikace v Active Directory

Seznam možných typů replikací, které jsou v AD možné:

  • Intrasite Replication
  • Intersite Replication
  • Urgent Replication
  • Intersite Change Notification Replication
  • Reciprocal Replication
  • Immediate Replication
  • Manual Replication
Intrasite Replication

Tento typ replikace se provádí mezi jednotlivými DC umístěné v jedné síti (AD Site). Pokud se na jednom DC změní AD, DC po 15 vteřinách od změny v AD, oznámí informaci o změně svým replikačním partnerům (15 vteřin je tam pro snížení zátěže sítě, aby při každé změně AD DC neoznamovalo změny). Pokud zdrojový DC má více než jednoho replikačního partnera, posílá notifikace na ostatní servery s 3 vteřinovým zpožděním (3 vteřinový internal zabraňuje simultání požadavky na update od replikačních partnerů). Poté co DC dostanou informace o změně, vyžádají si od zdrojového DC změny (Pull replication). Pokud nenastane žádná změna, provede se replikace dle definice v scheduleru.image

Pokud potřebujete změnit 15 vteřinový limit (v 99% případu věřím že se tohle měnit nepotřebuje), lze to nastavit na každém DC zvlášť přes registrový klíč:

Path:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Key:   Replicator notify pause between DSAs (secs)
Value: REG_DWORD

KB o změně replikačního intervalu: http://support.microsoft.com/kb/214678

Intersite Replication

Tato replikace se provádí mezi jednotlivými sítěmi AD. Replikace změn se řídí pomocí scheduleru. Nejkratší možný interval pro replikaci je 15 minut a nejdelší 1x týdně. Navíc je možné omezit replikaci na určitou denní dobu.

Urgent Replication

Urgetní replikace je replikace, která je vykonána bez čekání 15 vteřin. Replikační partneři jsou okamžitě informování o změně. Tato replikace se defaultně provádí uvnitř jedné AD sítě, jestliže potřebujete zapnout změnu i mezi AD sítěmi je to možné před ADSIEDIT (této replikaci mezi sítěmi se říká Intersite Change Notification Replication)

ADSIEDIT.MSC ?> Configuration ?> Sites ?> Inter-Site Transports ?> vybrat správný siteLink a v něm změnit vlastnost Option na 1

image

http://technet.microsoft.com/en-us/library/bb727062.aspx#E0PC0AA

Využití:

  • Assigning an account lockout, which a domain controller performs to prohibit a user from logging on after a certain number of failed attempts.
  • Changing a Local Security Authority (LSA) secret, which is a secure form in which private data is stored by the LSA (for example, the password for a trust relationship).
  • Changing the password on a domain controller computer account.
  • Changing the relative identifier (known as a ?RID?) master role owner, which is the single domain controller in a domain that assigns relative identifiers to all domain controllers in that domain.
  • Changing the account lockout policy.
  • Changing the domain password policy.

http://technet.microsoft.com/en-us/library/cc772726(WS.10).aspx

Reciprocal Replication

Pokud máte k DC on-demand připojení, které není trvalé, můžete použít tento typ replikace. Tato replikace se snaží maximalizovat efektivitu replikace a snížit čas replikace na minimum. Nastavit se dá opět přes ADSIEDIT.

ADSIEDIT.MSC ?> Configuration ?> Sites ?> Inter-Site Transports ?> vybrat správný siteLink a v něm změnit vlastnost Option na 2

Immediate Replication

Při změně hesla účtu na DC, se DC snaží okamžitě replikovat změnu na PDC. Tato změna je okamžitá bez čekání na replikační interval. Další replikace z PDC na ostatní DC v doméně je prováděna již standardně v replikačních intervalech.

Pokud se uživatel snaží přihlásit a DC nemá ještě se synchronizované nové heslo, DC kontaktuje PDC zda nebylo změněno heslo. Pokud bylo a heslo je správné, uživatel je úspěšně přihlášen.

Manual Replication

Tuto replikaci spouští admin 🙂

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *