活动目录的复制及检测工具

1、通知更新复制
DC A建立一个用户帐号，因为是 新建帐号，属于初始更新。更新 完成后，A服务器在15s之后发出 更新通知。此更新通知并非同时 通知所有域内的DC，在通知B后， 间隔3s。B接受到复制信息后， 将新的帐号复制到B的数据库中， 仅复制发生改变的数据，属于增 量更新。然后A再通知C。此复制 过程属于拉复制，仅复制需要的 数据。再间隔3s后，通知其他DC
确定何时发生站点间复制。AD站点复制服 务提供最小化复制的频率以及允许安排站 点复制链接的可用性，来节省站点间的带 宽。默认情况下，跨越每个站点链接的站 点间复制每180分钟进行1次。另外如果实 际条件不允许，还可以通过调整该频率来 满足自己的具体需求。
2、站点内复制
KCC使用双向环式设 计建立站内复制拓扑 结构。 站内复制可实现速度 优化，站点内的目录 更新根据更改通知自 动进行，站内复制的 目录更新不压缩。
实验p142
定制复制的时间
四、复制方式
站点复制通常就是将同一AD站点的数据内 容同时保存在网络中不同的位置，以便于 所有用户的快速调用，同时可以起到备份 的目的。 AD站点复制使用的是一种多主机复制模型， 允许在任何DC上（而不只是委派的主域控 制器上）更改目录数据。 AD依靠站点来保持复制的效率，并依靠 KCC来自动确定网络的最佳复制拓扑。
五、复制内容
目录数据存储AD目录服务的所有目录新的 数据存储。该数据存储通常称为目录。 目录包含对象的有关信息，这些对象包括 用户、组、计算机、域、组织单位和安全 策略。这些信息都可以发布，以供用户和 管理员使用。
六、复制拓扑
一个林就是一组域构成的集合。每个域都有自己 的专用信息，而且这些专用信息仅在该域的内部 复制。 复制的过程就是在域的内部从一个DC到另一个 DC的更新路径，这个路径被称为复制拓扑。 有些数据是林专用的，这些数据需要每台DC都能 看到而不论这些DC是哪个域的成员。林系统范围 内的数据为架构数据和配置数据，它们会在企业 内所有DC上复制，而不是在域内部，KCC会为这 两种数据创建一个复制拓扑。 KCC规定了哪些DC应该向哪些DC复制数据，以 实现整个森林的数据复制。
2、多主复制
AD目录服务为域、域树或森林中所有的域 控制器完成多主复制流程。 系统会为单一网络所使用的命名空间和整 个森林所用的命名空间分别建立不同的拓 扑。每个域控制器会根据站点的带宽，自 动计算出复制拓扑。系统管理员也可为某 特定用户环境调试复制拓扑。 优点是：高度有效性，缺点是：产生出大 量网络流量。
活动目录的复制及监测工具
一、概述
除了非常小的网络之外，目录数据必须驻 留在网络上的多个位置，以便于所有用户 均等的使用。通过复制，活动目录服务在 多个域控制器上保留目录数据的副本，从 而确保所有用户的目录的可用性与性能。 为了维持目录的一致性、保有最新信息、 且提供良好效率和高度可用性，复制程序 是必须的。
建立站内复制拓扑。 KCC使用双向环式设计自动建立站 内复制拓扑。这种双向环式拓扑至少将为每个DC创建2个 连接（用于容错），任意两个DC之间不多于3个跃点（以 减少复制滞后时间）。为了避免出现多于3个跃点的连接， 此拓扑可以包含跨环的快捷连接。KCC定期更新复制拓扑。 确定何时发生站内复制。站点内的目录更新根据更改通知 自动进行。当在某个DC上执行命令更新时，站内更新就 开始了。默认情况下，原控制器等待15秒钟，然后将更新 通知发送给最近的复制伙伴。如果原控制器有多个复制伙 伴，在默认情况下以3秒为间隔向每个伙伴相继发出通知。 当接受到更改通知后，伙伴域控制器向原域控制器发送目 录更新请求。原域控制器以复制操作响应该请求。3秒的 通知间隔可避免来自复制伙伴的更新请求同时到达而使原 控制器应接不暇。
ห้องสมุดไป่ตู้
如果是父子域的复制拓扑，复制可以正常 运行，仅是复制的数据不同，从父域接受 架构分区和配置分区的数据，子域内接受 子域分区的数据，父域内的DC接受父域内 DC的数据。 复制的原则是：复制允许的跃点数不能超 过3个，即：原DC和目标DC之间的路由器 不能超过2个，或者原DC到目标DC之间的 与控制器数量不能超过2个，从第1个DC开 始到最后一个DC的数量总数为4。
单击“Action”菜单，选择“ Domain -〉 Search Domain Controllers For Replication Errors”.在该对话框中，单击 “Run Search”按钮，则开始搜索发生错误 的DC。 如果想立即同步，右击某个服务器，选择 “Synchronize Each Directory Partition With All Servers ” 当然，也可以单独同步 每个分区。
1、自动拓扑
DC之间要直接复制，必须有一个自动生成 的连接对象。自动生成的连接对象是由域 控制器A上的KCC动态创建的到域控制器B 的连接对象，可以通过‘ad站点和复制 “查看这个连接对象。还可以删除自动生 成的连接对象。
域控制器A2和A3是A1的直接复制对象，A4 是A1的间接复制对象，A1的数据间接的由 其他DC复制到目标DC。
1.检测域控制器的复制伙伴 命令提示符下输入： Repadmin /showrepl 目标机器名 域名.如： Repadmin /showrepl QW-W6EXUW2I13C3 dc=ad,dc=com
2.检测域控制器的高水印标记值，并同时显示复 制伙伴 Repadmin /showrepl QW-W6EXUW2I13C3 dc=ad,dc=com /verbos 3.使用知识一致性检查器检查复制完整性 Repadmin /kcc QW-W6EXUW2I13C3
在一个网络内，AD目录服务会自动连接域 控制器到复制拓扑内，所以当任何域控制 器的信息变更时，它会通知它的复制伙伴， 然后复制伙伴初始化或停止更新。一旦初 始化后，这些运作透过网络域控制器的串 联直接或间接的传送开来，直到所有域控 制器都更新为止。
三、复制机制
通知更新复制 紧急复制 定时检查复制
2、紧急复制
帐号管理SAM和安全策略 LSA使用紧急复制的方式。 它以一种“推”的机制来 立即更新DC上的AD数据 库，包括任何新的停用帐 户、RID集区变更和DC帐 户变更。紧急复制运作模 式会立刻传递变更通知给 所有的复制伙伴，而不会 等到暂停时间结束。
3、定时检查复制
每小时（定制的复制时间） 检查复制的状态1次，包括 更改通知复制和紧急复制， 在接受通知更新和紧急复 制后的数据是否同步、丢 失数据或复制没有完成等。 如果出现上述状况，将通 知初始域控制器，以“拉” 的方式复制没有更新的数 据，复制立即执行。
如何确定复制问题的原因
检查网络连通性，保证所有DC能够通信。 检查路由器和防火墙的设置 检查事件日志（如下图）
检查站点连接 检查同步的信息，以防信息矛盾 检查复制拓扑
复制监控器replmon
复制监控器在2003工具包中，默认不安装。 安装后，在运行框输入“replmon”.该窗口 初始是空的，你必须手动添加一个或多个 服务器，才能获得信息。 添加服务器时，右击左侧的“Monitored Servers item ”，选择“Add Monitored Server ”。 添加完成后，就可以开始监测复制流量。 如下图
4.检测域控制器已经建立的信任关系 Repadmin /showtrust QW-W6EXUW2I13C3 5.显示域控制器之间复制数量和状态 Repadmin /replsummary QWW6EXUW2I13C3
Dcdiag
Dcdiag是域控制器诊断工具，可以分析目 录林或“组织单元”中的域控制器状态， 并生成一个报告，报告将所有通过诊断测 试得到的问题汇集在一个文件中，可作为 故障判断的资料。 Dcdiag可以测试下列项目：连通性、复制、 拓扑完整性、检查NC Head安全描述符、 检查登陆权、取得域控制器位置、安全边 界、检查任务或角色、信任关系的验证。
应用实例
1.诊断主域控制器的状况 Dcdiag /s: QW-W6EXUW2I13C3 2.诊断域控制器的连通性 Dcdiag /s: QW-W6EXUW2I13C3 /test:connectivity 3.测试系统中的所有服务器 Dcdiag /a
4.验证所有的域控制器是否具有共享的sysvol 共享 Dcdiag.exe /e /test:frssysvol 5.验证所有的域控制器中的账号信息 Dcdiag.exe /e /test:machineAccount
复制程序将目录信息的多个副本移到离使 用者最近的地方，但是由于每次增加、删 除、修改使用者、应用程序或机器信息等 动作都会变更目录信息，因此这些副本也 必须同时被更新。 什么时候需要启用复制程序？
目录服务反应时间太长，使用者会觉得效率非常 低下。 目录服务系统停摆，使用者无法完成工作。 一台服务器的沉重负荷或当机必须不会瘫痪整个 网络。
4、查看复制伙伴
实验p154
七、管理复制
配置站点链接 站点链接开销 复制频率 设置站点链接可用性 配置站点链接桥 配置首选桥头服务器
八、目录复制的监测及工具
在大多数情况，DC会自动进行复制，但是 网络连接的失败及不正确的设置会影响DC 之间信息的同步，因此，管理员必须监测 AD复制的性能。 复制问题最常见的征兆就是，某些或全部 DC的信息不能更新。例如，某个DC创建了 用户帐户，但是这个更改没有传送到其他 DC，这是非常严重的。
二、复制类型
活动目录数据库中存在两种复制类型：单 主复制和多主复制。 只有当AD运行在本机模式或者2003功能级 别时才使用多主复制 混合模式或2003临时模式的域采用单主复 制。
1、单主复制
在此模式下，每个复制代理DSA可拥有目 录树DIT的一部分，并且能够和其他DSA进 行复制。 此模式存在一个问题，假如一台服务器 “down”机，使用的目录会变成一个只读的 副本，系统管理员再也无法新增用户、更 改帐户信息，也不能重新调整目录应用程 序。对大型的动态企业网络环境来说，持 续几分钟的只读状态是不能接受的。
1、站点间复制
KCC使用开销最低的跨越树设计建立站点 间复制拓扑。 站点间复制被优化为最佳的带宽效率，并 且站点之间的目录更新可根据配置的日程 安排自动进行。 站点间复制的目录更新被压缩以节省带宽。
建立站点间复制拓扑： AD站点复制服务使用用户 提供的关于站点连接的信 息，自动建立最有效的站 点间复制拓扑。该目录将 此信息存储为站点连接对 象。每个站点被指派一个 域控制器（称为站点间拓 扑生成程序）以建立该拓 扑。使用最低开销跨越树 算法以消除站点间的冗余 复制路径。站点间复制拓 扑将定期更新，以响应网 络中发生的任何更改，可 以通过在创建站点连接时 所提供的信息来实现DC站 点间复制。
A8的数据直接复制给A1，间接复制给A2， A3，但是不能间接复制给A4，所以在A8与 A4之间，KCC建立直接复制。
实验：查看KCC自动生成的复制链接
p150
3、GC复制拓扑
在林系统中，如果A1是GC，A1除了正常的复制 （复制架构分区、配置分区和域分区数据）以外， 还需要从另一个域（B1）中复制域分区的数据。
Repadmin
Repadmin可以用来确定目标服务器的目录 复制伙伴，并通过发送一个命令将源服务 器与目标服务器同步。通过使用源服务器 的对象全局唯一识别符GUID完成。 Repadmin可以在两个域控制器之间进行强 制复制，并可显示出复制的内部过程，帮 助系统管理员排除故障和发现问题。
应用实例
FRSDiag