Seznam možných typů replikací, které jsou v AD možné:

• Intrasite Replication
• Intersite Replication
• Urgent Replication
• Intersite Change Notification Replication
• Reciprocal Replication
• Immediate Replication
• Manual Replication

Intrasite Replication

Tento typ replikace se provádí mezi jednotlivými DC umístěné v jedné síti (AD Site). Pokud se na jednom DC změní AD, DC po 15 vteřinách od změny v AD, oznámí informaci o změně svým replikačním partnerům (15 vteřin je tam pro snížení zátěže sítě, aby při každé změně AD DC neoznamovalo změny). Pokud zdrojový DC má více než jednoho replikačního partnera, posílá notifikace na ostatní servery s 3 vteřinovým zpožděním (3 vteřinový internal zabraňuje simultání požadavky na update od replikačních partnerů). Poté co DC dostanou informace o změně, vyžádají si od zdrojového DC změny (Pull replication). Pokud nenastane žádná změna, provede se replikace dle definice v scheduleru.

Pokud potřebujete změnit 15 vteřinový limit (v 99% případu věřím že se tohle měnit nepotřebuje), lze to nastavit na každém DC zvlášť přes registrový klíč:

Path:  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Key:   Replicator notify pause between DSAs (secs)
Value: REG_DWORD

KB o změně replikačního intervalu: http://support.microsoft.com/kb/214678

Intersite Replication

Tato replikace se provádí mezi jednotlivými sítěmi AD. Replikace změn se řídí pomocí scheduleru. Nejkratší možný interval pro replikaci je 15 minut a nejdelší 1x týdně. Navíc je možné omezit replikaci na určitou denní dobu.

Urgent Replication

Urgetní replikace je replikace, která je vykonána bez čekání 15 vteřin. Replikační partneři jsou okamžitě informování o změně. Tato replikace se defaultně provádí uvnitř jedné AD sítě, jestliže potřebujete zapnout změnu i mezi AD sítěmi je to možné před ADSIEDIT (této replikaci mezi sítěmi se říká Intersite Change Notification Replication)

ADSIEDIT.MSC ?> Configuration ?> Sites ?> Inter-Site Transports ?> vybrat správný siteLink a v něm změnit vlastnost Option na 1

http://technet.microsoft.com/en-us/library/bb727062.aspx#E0PC0AA

Využití:

• Assigning an account lockout, which a domain controller performs to prohibit a user from logging on after a certain number of failed attempts.
• Changing a Local Security Authority (LSA) secret, which is a secure form in which private data is stored by the LSA (for example, the password for a trust relationship).
• Changing the password on a domain controller computer account.
• Changing the relative identifier (known as a ?RID?) master role owner, which is the single domain controller in a domain that assigns relative identifiers to all domain controllers in that domain.
• Changing the account lockout policy.
• Changing the domain password policy.

http://technet.microsoft.com/en-us/library/cc772726(WS.10).aspx

Reciprocal Replication

Pokud máte k DC on-demand připojení, které není trvalé, můžete použít tento typ replikace. Tato replikace se snaží maximalizovat efektivitu replikace a snížit čas replikace na minimum. Nastavit se dá opět přes ADSIEDIT.

ADSIEDIT.MSC ?> Configuration ?> Sites ?> Inter-Site Transports ?> vybrat správný siteLink a v něm změnit vlastnost Option na 2

Immediate Replication

Při změně hesla účtu na DC, se DC snaží okamžitě replikovat změnu na PDC. Tato změna je okamžitá bez čekání na replikační interval. Další replikace z PDC na ostatní DC v doméně je prováděna již standardně v replikačních intervalech.

Pokud se uživatel snaží přihlásit a DC nemá ještě se synchronizované nové heslo, DC kontaktuje PDC zda nebylo změněno heslo. Pokud bylo a heslo je správné, uživatel je úspěšně přihlášen.

Manual Replication

Tuto replikaci spouští admin

Pro mě hodně přínosný článek:
http://blogs.technet.com/askds/archive/2008/04/02/directory-services-debug-logging-primer.aspx

1. Pokud jsou klienské systémy vyšší než Windows 2000 tzn. Windows XP a výše je možné využít funkce Fast Logon Optimization.
   Fast Logon Optimization : Jedná se o možnost ověření uživatele ještě před tím než je připraven počítač uživatele ověřit na sítí. K přihlášení bude využito nakešovaných údajů (nebude fungovat u nového uživatele). GPO bude aplikováno později na pozadí.
   Kdy se nepoužije Fast Logon :
   - při prvním přihlášení uživatele
   - pokud uživatele mají roaming profily nebo pokud mají uživatelský login skript
2. Konfigurace počítače, který ma problém pro hlubší analýzu
   V local computer GPO nastavit (gpedit.msc) :
   - enable System\Verbose vs normal status message KB
   - enable Systém\Logon\Always watt for the network at computer startup and logon (vypne Fast Logon Optimazation)
   - enable Systém\Group policy\Registry policy processing a Systém\Group policy\Security policy processing oba zaskrnout
   Nakonfigurujte do logon a logoff skriptu gpupdate /force
   Zapněte Userenv debug mod KB:
   Windows 2000, XP : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserEnvDebugLevel(DWORD) = 10002
   Windows Vista, 2008 : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics\GpSvcDebugLevel(DWORD) = 10002
   Zapněte debug logovaní pro net logon KB na klientech případně DC pokud je to možné: nltest /dbflag:0x2080ffff
3. Restartujete počítač a projděte logy
   Samozřejmě eventlog!
   Net logon : %windir%\debug\netlogon.log
   UserENV : %Systemroot%\Debug\UserMode\Userenv.log
4. Zapněte si boot looging v proces monitoru download.
   Při bootu si uloží process monitor log do souboru ten je potom nutné projít.
   
   
5. Použijte sítový analyzátor např. Network monitor
6. Použít utilitu Bootvis na analýzu času bootovani download

Prekresli tolopogii Vasi Active Directory rovnou do Visia.

http://www.microsoft.com/downloads/details.aspx?FamilyID=cb42fc06-50c7-47ed-a65c-862661742764&DisplayLang=en