Назад | Перейти на главную страницу

Внесение изменений в Active Directory атомарно

У меня есть инфраструктура Windows 2003 Active Directory, и бывают моменты (например, при увольнении сотрудника), когда мне нужно мгновенное распространение на обоих моих серверах AD. В настоящее время я вношу изменения в обоих местах, что, как я подозреваю, нездорово, но это единственный известный мне способ убедиться, что учетная запись отключена на каждой машине.

Есть ли способ лучше? Должен ли я ждать нормального времени распространения для схождения, или есть способ "заставить" его?

Есть еще более легкое изменение. Просто сбросьте пароль пользователя. Это одна из немногих мгновенных репликаций, которые выполняет AD. Нет необходимости запускать репликацию сайта

РЕДАКТИРОВАТЬ:

Небольшое редактирование. Это не совсем мгновенно. Что делает, так это пересылать изменения во внеполосном обновлении. (Не дожидается нормальных циклов репликации)

однако это, вероятно, почти мгновенно, что вы можете получить с помощью AD.

Если вы войдете в сайты и службы Active Directory, вы можете принудительно выполнить репликацию. Откройте объект «Сервер» и нажмите «Настройки NTDS». Это даст вам список их партнеров по репликации для данных GC, а также для обычного трафика DC-DC. Насколько я понимаю, вы можете принудительно выполнить репликацию, перейдя к каждому из подключений, щелкнув по нему правой кнопкой мыши и выбрав «Реплицировать сейчас».
(источник: sysadmin1138.net)

Внесите изменения в один контроллер домена. Затем откройте сайты и службы AD. Затем перейдите к каждому сайту, серверам, DC, настройкам NTDS, затем щелкните каждое подключение правой кнопкой мыши и выберите Воспроизвести сейчас.

Примечание. Каждое соединение сообщит вам С сервера и На сервер для репликации.

Примечание: очевидно, запускаем первую репликацию Из DC, в котором вы внесли изменения.

Если у вас небольшой домен, это не должно быть слишком сложной задачей. Если у вас домен большего размера (больше контроллеров домена), вы можете создать сценарий для этого.

Чтобы создать сценарий, вам нужно использовать команду CMD REPADMIN. Полное описание типа команды REPADMIN /?. Короче говоря, вы могли бы использовать команду примерно так:

REPADMIN /replicate DC1.yourdomain.loc DC2.yourdomain.loc dc=yourdomain,dc=loc /u:yourdomain\your_domain_admin_account

Чтобы узнать о партнерствах репликации для определенного контроллера домена из командной строки, введите следующее:

REPADMIN /showrepl DC1.yourdomain.loc

После того, как вы выяснили правильный путь / порядок репликации на все ваши контроллеры домена, вы можете просто выгрузить все команды в пакетный файл и выполнить его, когда вам нужно быстро реплицировать изменения.

Вот статья Technete, в котором описывается модель репликации AD. В разделе «Срочная репликация» обсуждается, что реплицируется немедленно и не требует принудительной репликации. В основном это критические события безопасности пользователей (смена пароля, блокировка учетных записей), которые реплицируются немедленно. Чтобы это произошло, нужно учитывать конфигурацию сайта.

Помните, когда вы играете с принудительной репликацией, все ссылки репликации в одну сторону, входящий. Если хочешь От себя изменяет исходящий трафик с контроллера домена через консоль Sites & Services, вам нужно перейти к каждому партнеру-реплике и ВЫТАЩИТЬ от исходного DC.

Есть более простой способ принудительно выполнить "исходящую полную репликацию" с помощью repadmin.exe инструмент из Инструменты поддержки Windows 2003 SP1 Комплект:

repadmin /syncall /P /e sourceDC1.domain.local

Это протолкнет изменения по всем ссылкам репликации за пределы исходного контроллера домена для контекста именования по умолчанию (где находятся ваши пользовательские данные).

Также есть возможность сделать это, используя repadmin.exe с переключателем / sync или вы даже можете написать сценарий, используя ReplicaSync который входит в состав IADsTools.

Вы можете увидеть этот kb статья, в которой обсуждаются доступные варианты.