Windows活动目录相关(1)
在Windows的活动目录服务中,域控制器的活动目录数据库里包含着所有目录对象,比如用户帐号,机器帐号和其它各种类型的对象。而“目录复制”组件则负责把发生在该域控制器上的目录对象更改复制到其它域控制器上去,以保证所有域控制器的数据库内容相对一致。如果域控制之间的目录复制发生了问题,则会引起非常严重的问题。比如你在北京的域控制器上创建了一个帐号,如果北京和广州的域控制器复制发生问题,导致广州的域控制器无法得到你刚才创建的用户帐号,那么你在广州的客户就可能无法使用该帐号进行相关的操作了。可想而知,活动目录的复制在企业的应用中是何等的重要。
由于活动目录的复制服务是一项非常高端的应用,它的正常执行非常依赖于相对底层的服务和组件的执行状态。让我们来回顾一下整个复制过程:当一台域控制器上某个目录对象发生了的变更后,该域控制器对这个新的变改赋予一个值,我们称之为USN(unique sequence number)。然后,该域控制器检测哪些域控制器是其复制伙伴,并通过DNS服务器来得到他们的IP地址。随后,该服务器和他的复制伙伴进行基于kerberos协议的双向验证。通过验证后,该两个域控制器建立了RPC(Remote Procedure Call)连接。基于RPC连接,,目标域控制器向源域控制器发出获取最新的更新的请求,当目标服务器得到来自源域控制器的变更后,通过ESENT(Extensible Storage Engine)的引擎把这些内容写到AD的数据库里,复制到此结束。从这一段过程中可以看出,目录复制的成功执行与复制的拓扑结构,网络名字解析(DNS),安全(Kerberos),RPC以及AD的数据库有着紧密的联系。由于目录复制问题的差错覆盖面非常广泛,我们这里就其相依赖的组件这一部分做一下讨论,枚举一些方法来检测这些内容是否正确执行。
目录复制的拓扑结构和复制状态:
通常,你可以使用“repadmin.exe”这个工具可以用来检测该服务器从哪些源域控制器复制AD的内容,同时检测该项复制是否正确。比如:
C:>repadmin /showreps
Default-First-Site-NameDC01
DSA Options : (none)
objectGuid : a0d6dbaf-4297-47b3-92b8-2d604d290bb5
invocationID: e805158b-f7e1-4d23-a797-5121262c0fa2
==== INBOUND NEIGHBORS ======================================
CN=Schema,CN=Configuration,DC=domain,DC=com
Default-First-Site-NameDC02 via RPC
objectGuid: 035046f0-5de5-4adb-b1fc-259614a8de64
Last attempt @ 2007-01-01 05:58.19 failed, result 8453:
Replication access was denied.
Last success @ 2007-01-01 04:12.01. 14 consecutive failure(s).
CN=Configuration,DC=Domain,DC=com
Default-First-Site-NameDC02 via RPC
objectGuid: 035046f0-5de5-4adb-b1fc-259614a8de64
Last attempt @ 2007-01-01 05:58.19 failed, result 8453:
Replication access was denied.
Last success @ 2007-01-01 12:12.01. 14 consecutive failure(s).
DC=RESKIT,DC=com
Default-First-Site-NameDC02 via RPC
objectGuid: 035046f0-5de5-4adb-b1fc-259614a8de64
Last attempt @ 2007-01-01 05:58.19 failed, result 8453:
Replication access was denied.
Last success @ 2007-01-01 12:12.01. 14 consecutive failure(s).
以上列表表明DC01尝试从DC02复制AD内容,但是由于“Access is denied”的错误,复制失败在3个区域全部失败。你从该列表里得到错误的原因是“Access is denied”,那么你的下一步方向就是从安全方面入手查看为什么会有“Access Denied”错误。同时你还可以从刚才的报告中得到附加的信息,比如服务器的GUID。DC02 的ID是035046f0-5de5-4adb-b1fc-259614a8de64。 这个ID非常重要,它是DC01用来寻找DC02IP地址的唯一依据。
网友评论