Minhas configurações de replicação do Active Directory não parecem corretas

Question

Minhas configurações de replicação do Active Directory não parecem corretas

#1 resposta do (4 votos)

2

Recentemente, adicionei um novo site ao meu domínio do Active Directory (floresta única, domínio único). Eu mapeei sub-redes para os sites e adicionei um DC ao novo site com os 4 restantes no site original.

Como parte da configuração do novo site, observei as configurações do NTDS para garantir que a replicação fosse configurada corretamente e as coisas parecessem ... estranhas.

Eu compilei uma lista de quais servidores têm replicação configurada de outros servidores. Eu tenho obscurecido os nomes por razões de segurança, mas, para o fundo:

O SERVER-A é o detentor da função FSMO para todas as funções.
O SERVER-B é uma instância virtual de um DC.

Tanto o SERVER-A quanto o SERVER-B são o Windows Server 2012 Standard.

O SERVIDOR-C é o nosso detentor de função FSMO anterior, que foi relegado à função de um controlador de domínio padrão. Nenhuma função FSMO é mantida por ele. Este controlador de domínio executa o Windows Server 2003.
O SERVER-D nunca hospedou nenhuma função FSMO. Ele executa o Windows Server 2008.

O SERVIDOR-A através do SERVIDOR-D vive no mesmo local do AD, chamado BHO.

O SERVER-E não possui funções FSMO, mas é o único DC em um novo site, chamado ECO. Ele executa o Windows Server 2012 Standard.

Por fim, SERVER-C e SERVER-D serão rebaixados, removidos do domínio e terão seus discos rígidos formatados. No entanto, estou nervoso para fazer isso porque parece que a replicação depende muito desses servidores atualmente, particularmente do SERVER-C!

A lista abaixo mostra cada servidor, e os servidores de "origem" associados a ele (isto é, os servidores são listados, seguidos pelos servidores que aparecem na página de Configurações NTDS no ADS + S.

SERVER-C -> SERVER-A
SERVER-C -> SERVER-B
SERVER-C -> SERVER-E
SERVER-D -> SERVER-A
SERVER-D -> SERVER-B
SERVER-A -> SERVER-C
SERVER-A -> SERVER-D
SERVER-B -> SERVER-C
SERVER-B -> SERVER-D
SERVER-E -> SERVER-A

Não tenho certeza do que isso significa. Se eu clicar em SERVER-C, acessar as configurações NTDS e ver os servidores A, B e E listados, isso significa que as alterações feitas nos servidores A, B e E serão replicadas para C ou que as alterações em C serão enviadas para A , B e E?

Meu entendimento é que C irá receber mudanças de A, B e E, o que parece estranho, dado que C é o nosso "PDC" (por falta de uma melhor descrição). O que eu quero é que C faça empurrar as alterações para A, B, D e E. E para cada um dos A, B, D e E empurrar as alterações para C. Ainda mais idealmente, C e D seriam ambas cópias mestras, replicariam as alterações entre si, mas todos os outros servidores (A, B, E) replicariam suas alterações para um de C e D, antes que a alteração fosse então enviada para os servidores restantes.

Espero que esta explicação faça sentido. Por favor, alguém poderia esclarecer se estou latindo na árvore errada e, em caso afirmativo, se é seguro adicionar as configurações corretas de replicação de NTDS antes de remover as configurações "incorretas"?

active-directory windows-server-2008 windows-server-2003 replication windows-server-2012

por Daniel Arkley 14.10.2014 / 21:44

1 resposta

Tags active-directory windows-server-2008 windows-server-2003 replication windows-server-2012

Apache2: Permitir indexação de diretório, mas restringir o acesso ao arquivo por tipo track_script keepalived parece não ser executado

score 4 · Accepted Answer

Resposta muito curta: a menos que você tenha realmente conectividade excêntrica (conexões com disponibilidade limitada por tempo, conexões com custos excessivamente altos de largura de banda que garantam o ajuste do tráfego de replicação) você realmente não precisa ajustar manualmente nada sobre o Active Directory (AD ) replicação. Apenas funciona (bem, na verdade).

A Microsoft tem material de apoio sobre como funciona a replicação do AD que eu recomendo que você revise para obtenha detalhes.

A visão geral básica do modelo de replicação nos sites (intrasite) é:

Embora a replicação do AD seja baseada em pull, os controladores de domínio (DCs) enviam notificações de alteração aos seus parceiros de replicação em um site, informando-os quando há alterações disponíveis.
O parceiro de replicação verifica se não possui dados mais recentes do que o DC do servidor de origem (porque, potencialmente, já poderia ter recebido essa ou uma atualização mais recente de outro DC).
O parceiro de replicação solicita atualizações do DC de origem, o que determina que suas réplicas locais do objeto precisam ser atualizadas.

A replicação entre sites não usa notificações de alteração (por padrão), mas, em vez disso, em um intervalo configurável (mínimo de 15 minutos), um DC pesquisará seu parceiro de replicação no site remoto para obter alterações. Você pode ativar o mecanismo de notificação de alteração nos links entre sites para permitir que a replicação ocorra em intervalos menores que 15 minutos.

Além disso, esteja ciente de que há, no mínimo, três topologias de replicação diferentes em execução em uma floresta de AD de domínio único. Cada partição do banco de dados do AD é replicada em uma topologia potencialmente diferente.

Esquema
Domínio
Catálogo Global

No Windows Server 2003 AD Florestas, você também terá uma partição ForestDNSZones e uma partição ForestDNSZones para cada domínio na floresta.

A ferramenta repadmin das ferramentas de suporte do Windows pode ser usada para criar algumas visualizações rudimentares da topologia de replicação do AD.