Tenho uma infraestrutura do Active Directory do Windows 2003 e há momentos (por exemplo, ao finalizar um funcionário) que desejo a propagação instantânea em ambos os meus servidores do AD. Atualmente, faço a alteração em ambos os locais, o que suspeito não ser saudável, mas é a única maneira de saber se a conta está desativada em todas as máquinas.
Existe uma maneira melhor? Eu tenho que esperar pelo tempo de propagação normal para a convergência, ou existe uma maneira de "forçar" isso?
Se você acessar os Serviços e Sites do Active Directory, poderá forçar replicações. Abra o objeto Servidor e clique nas Configurações NTDS. Isso fornecerá uma lista de seus parceiros de replicação para dados de GC, bem como tráfego regular de DC-DC. Pelo que entendi, você pode forçar a replicação indo para cada uma das conexões, clicando com o botão direito e escolhendo "Replicar agora". texto alternativo http://sysadmin1138.net/images/replicate-now.png
Há uma mudança ainda mais fácil. Apenas redefina a senha do usuário. Essa é uma das poucas replicações instantâneas que o AD executa. Não há necessidade de executar replicação de site
EDITAR:
Edição pequena. Não é completamente instantâneo. O que é fazer é encaminhar a mudança em uma atualização fora de banda. (Não espera por ciclos normais de replicação)
no entanto, provavelmente é o mais próximo do instante que você pode obter com o AD.
Faça a alteração em um controlador de domínio. Em seguida, abra sites e serviços do AD. Em seguida, faça uma busca detalhada em cada site, Servidores, DC, Configurações NTDS, clique com o botão direito do mouse em cada conexão e escolha Replicar agora .
Nota: Cada conexão dirá a você Do servidor e Ao servidor para a replicação.
Nota: Obviamente, inicie a primeira replicação De o DC em que você fez a alteração.
Se você tiver um domínio pequeno, isso não deve sobrecarregar uma tarefa. Se você tem um domínio maior (mais DCs), então você pode fazer o script disso.
Para script, você precisa usar o comando CMD chamado REPADMIN. Para uma descrição completa do tipo de comando REPADMIN /? . Em suma, você usaria o comando de uma maneira semelhante a esta:
REPADMIN /replicate DC1.yourdomain.loc DC2.yourdomain.loc dc=yourdomain,dc=loc /u:yourdomain\your_domain_admin_account
Para descobrir as parcerias de replicação de um DC específico da linha de comando, digite o seguinte:
REPADMIN /showrepl DC1.yourdomain.loc
Uma vez que você tenha descoberto o caminho / a ordem correta para replicar para todos os seus CDs, você pode simplesmente despejar todos os comandos em um arquivo de lote e executá-lo quando precisar replicar as mudanças rapidamente.
Veja um artigo da Technet e que descreve o modelo de replicação do AD. Veja a seção Replicação Urgente para uma discussão sobre o que é replicado imediatamente e não requer uma replicação forçada. Geralmente, são eventos críticos de segurança do usuário (alterações de senha, bloqueios de conta) que são replicados imediatamente. Existem considerações de configuração a serem feitas para que isso aconteça no site.
Lembre-se de que, ao jogar com a imposição da replicação, todos os links de replicação são unidirecionais, recebidos . Se você quiser push , muda de saída de um DC através dos Sites & Console de serviços, você precisa ir para cada parceiro de réplica e PUXAR do DC de origem.
Há uma maneira mais fácil de forçar a "replicação de saída completa" usando o ferramenta repadmin.exe do kit Ferramentas de suporte do Windows 2003 SP1 :
repadmin /syncall /P /e sourceDC1.domain.local
Isso fará com que as alterações sejam enviadas por todos os links de replicação, para fora do DC de origem, para o contaxt de nomenclatura padrão (que é onde estão os dados do usuário).
Existe também a possibilidade de fazer isso usando o repadmin.exe com a opção / sync ou você pode até fazer o script usando o ReplicaSync que está incluído no IADsTools.
Você pode ver este artigo do KB que aborda as opções disponíveis.