Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa
Modul: Konfiguracija AD sajtova i replikacije
Autor: Test Instruktor
Naziv jedinice: Konfigurisanje i nadgledanje AD DS replikacije
Materijali vezani uz ovu lekciju:
-
Test konfigurisanje i nadgledanje ad ds replikacije -
Konfigurisanje i nadgledanje AD DS replikacije (PDF dokument)
Najvažniji razlog za kreiranje AD DS koji se prostire na nekoliko sajtova je kontrola replikacionog saobraćaja između lokacija u kompaniji, posebno između lokacija koje su odvojene WAN konekcijama. AD DS sajt je mrežna lokacija u kojoj su svi domenski kontroleri povezani između sebe sa brzim i pouzdanim mrežnim konekcijama. Jedan od zadataka podešavanja AD DS mreže je određivanje i postavljanje granica između sajtova i nakon toga povezivanje svih sajtova.
Kreiranje dodatnih sajtova
Kada je AD DS instaliran, prvi sajt koji je kreiran je Default-First-Site-Name (sajtu možemo da promenimo ime). Zbog toga što su sajtovi obično zasnovani na lokacijama kompanije, možemo da promenimo ime ovom sajtu koje bi trebalo bolje da opisuje lokaciju na kojoj se nalaze domenski kontroleri. Ako dodatni sajtovi nisu kreirani, svi budući domenski kontroleri će biti dodati u sajtu nakon instalacije. Ipak, ako naša kompanija poseduje više lokacija sa ograničenom propusnom moći između lokacija, verovatno ćemo u tom slučaju želeti da kreiramo dodatne sajtove.
Dodatni sajtovi se kreiraju koristeći Active Directory Sites and Services administrativnu alatku. Da bismo kreirali novi sajt, desni klik na Sites kontejner i nakon toga kliknemo na New Site.
Kada smo kreirali novi sajt, moramo da povežemo sajt sa postojećim sajt linkom. Ovo osigurava da će sajt automatski biti uključen u replikacionu topologiju. Iz Link Name liste, treba da izaberemo koji sajt link će se koristiti za povezivanje sajta sa drugim sajtovima.
Svaki sajt je povezan sa jednom ili više IP podmreža u AD DS. Po defoltu, nijedna podmreža nije kreirana u AD DS, tako da bi bilo normalno da počnemo sa kreiranjem podmreža koje su povezane sa Default-First-Name sajtom. Kada kreiramo dodatne sajtove, takođe bi trebalo da kreiramo dodatne podmreže u Subnets kontejneru u Active Directory Sites and Services, zatim povežemo podmreže sa novim sajtom.
Da bismo pomerili (move) postojeći domenski kontroler unutar sajta, desni klik na objekat domenskog kontrolera u njegovom trenutnom server kontejneru i kliknemo na Move. Nakon toga imaćemo izbor u kom je potrebno odrediti sajt u koji želimo da pomerimo domenski kontroler. Ako instaliramo novi domenski kontroler i imamo više od jednog sajta u našoj šumi domena, dobićemo izbor u kom je potrebno odrediti sajt u kom želimo da instaliramo novi domenski kontrolor. U Active Directory Domain Services Installation Wizard-u po defoltu je konfigurisano da će domenski kontroler biti smešten u sajtu u kom IP podmreža odgovara IP adresu domenskog kontrolera.
Site Links (sajt linkovi)
AD DS objekti koji povezuju sajtove zajedno nazivaju se Site Linkovi. Kada je AD DS instaliran, kreiran je sajt link koji se naziva DEFAULTIPSITELINK. Ako ne želimo da kreiramo dodatne sajt linkove pre kreiranja dodatnih sajtova, svaki sajt je uključen u defoltni sajt link. Ako sve WAN konekcije između lokacija u našoj kompaniji jednake (imaju istu propustnost i istu cenu), replikacioni saobraćaj između sajtova će imati potpuno isti Properties. Ako napravimo promenu na ovom sajt linku, konfiguracija replikacije za sve sajtove će biti modifikovana.
Ipak, u mnogim slučajevima, možda nećemo želeti da imamo replikaciju između svih sajtova koji su konfigurisani na isti način. Na primer, ako su naše lokacije u kompaniji povezane različitim mrežnim konekcijama, možda ćemo želeti da repliciramo AD DS informacije kroz mrežne konekcije sa ograničenom dostupnom propustnošću ređe nego replikacija AD DS informacija kroz mrežne konekcije koje imaju veću propustnost. Ako želimo da budemo u stanju da konfigurišemo različite postavke za replikaciju između sajtova, moramo kreirati dodatne sajt linkove i moramo dodeliti odgovarajuće sajtove u sajt linkovima koje smo kreirali.
Imamo sledeće konfiguracione opcije na svim sajt linkovima:
- Cost (cena): cena za Site Link je iznos koji određuje administrator koji definiše relativnu cenu sajt linka. Cena obično reflektuje brzinu mrežne konekcije i troškove koji idu uz korišćenje konekcije. Cena je važna ako postoje redundantni sajt linkovi u organizaciji, uz pomoć kojih replikacija može da poseduje dve staze kojima može da putuje od jednog sajta do drugog. U svim slučajevima Lowest-cost ruta će biti izabrana za stazu replikacije (Replication path).
- Replication Schedule: Raspored replikacije definiše u koje vreme u toku dana sajt link će biti dostupan za replikaciju. Defoltni replikacioni raspored dozvoljava odrađivanje replikacije 24h dnevno. Ipak, ako je propustnost konekcije ograničena, možda ćemo želeti da imamo replikaciju koja se odrađuje u toku neradnih sati.
- Replication Interval: Replication Interval definiše intervale u kojima Bridgehead serveri vrše proveru sa Bridgehead serverima u drugim sajtovima da bi videli da li postoje bilo koje promene u direktorijumu. Po defoltu, interval replikacije za sajt linkove podešen je na 180 minuta. Replikacioni interval se primenjuje samo u toku replikacionog rasporeda. Ako je raspored replikacije podešen da dozvoljava replikaciju od 22h pa do 05h, po defoltu, Bridgehead serveri će vršiti proveru u potrazi za promenama u direktorijumu na svaka tri sata u toku tog vremena.
- Replication Transports: Sajt link može da koristi RPC over IP ili SMTP za transport replikacije.
Site Link Bridges
U nekim slučajevima, možda ćemo želeti da isključimo Transitive nature sajt linkova isključivanjem Site Link Bridging-a i ručno konfigušemo Site Link Bridges. Kada konfigurišemo Site-Link-Bridges, tom prilikom definišemo koji site linkovi bi trebalo da se vide kao Transitivni i koji sajt linkovi to ne bi trebalo. Isključivanjem Transitive Nature sajt linkova može biti korisno kada nemamo potpuno rutiranu mrežu, ako svi segmenti na mreži nisu dostupni sve vreme. Site Link Bridges se takođe može koristiti za konfiguraciju replikacije u situacijama kada kompanija poseduje nekoliko sajtova koji su povezani na Fast Backbone sa nekoliko manjih sajtova koji su povezani sporim mrežnim konekcijama. U ovakvom slučaju Site Link Bridges se može koristiti za efikasnije upravljanje protoka replikacionog saobraćaja.
Kada kreiramo Site Link Bridge, moramo definisati site linkove koji će biti deo Bridge-a. Bilo koji sajt link koji dodamo u Site Link Bridge smatraće se trasitivnim sa drugim sajt linkom, ali sajt linkovi koji nisu uključeni u Site Link Bridge smatraće se ne transitivnim.
Ako želimo da isključimo transitive site linkove, potrebno je da proširimo Inter-Site Transport kontejner u Active Directory Sites and Services, desni klik IP, zatim klik na Properties. Nakon toga odčekiramo Bridge All Site Links opciju na General kartici u IP Properties Sheet-u.
Replication Transport protokoli
Windows Server 2008 AD DS može da koristi tri različita Transport protokola za replikaciju:
- RPC over IP within a site: Sve Replication konekcije unutar sajta moraju da koriste RPC-over-IP connection. Ova konekcije je sinhrinizovana, što znači da domenski kontroler može da odrađuje replikaciju samo sa jednim replikacionim partnerom u bilo koje vreme. RPC konekcija koristi donamičko mapiranje ulaza. Prva RPC konekcija je kreirana na RPC Endpoint Mapper Port-u (TCP port 135). Ova konekcija se koristi za određivanje porta koji se na destinacionom domenskom konteoleru koristi za replikaciju.
- RPC over IP between sites: Replikacione konekcije između sajtova takođe koriste RPC over IP. Ova RPC konekcija je ista kao Intrasite konekcija sa jednom važnom razlikom: po defoltu, sav saobraćaj između sajtova je kompresovan.
- SMTP between sites: Replikacione konekcije između sajtova takođe mogu da koriste SMTP za repliciranje informacija između sajtova. SMTP može da bude dobar izbor za replikacioni protokol ako WAN linkovi između lokacija u kompaniji imaju veoma veliko kašnjenje (Latency). SMTP koristi asinhrone konekcije, što znači da domenski kontrolor može da replicira sa više servera u isto vreme.
Konfiguracija SMTP replikacije
Konfigurisanje SMTP replikacije je komplikovaniji proces od konfigurisanja RPC-over-IP replikacije između sajtova. Sa RPC-over-IP replikacijom, domenski kontroleri koriste Built-in (ugrađene) komponente i Kerberos autentifikaciju da automatski konfiguriše i zaštiti replikaciju.
Da bismo konfigurisali SMTP replikaciju, potrebno je odraditi sledeće korake:
-
Instalirati SMTP server karakteristiku na Bridgehead serverima u oba sajta. Kada instaliramo SMTP server karakteristiku, potrebne komponente od Web Server (IIS) uloga servera će takođe biti instalirana.
-
Instalacija Active Directory Certificate Services i konfiguracija Certification Authiority (CA) kao Enterprise CA. CA će se koristiti za dodeljivanje sertifikata domenskim kontrolerima koji će se koristiti za potpisivanje i šifrovanje SMTP poruka koje se razmenjuju između domenskih kontrolera. Kada instaliramo Enterprise CA, on automatski dodeljuje sertifikate za domenske kontrolere domenskim kontrolerima u istom domenu u kom se nalazi i Enterprise CA. Ovi domenski kontroleri mogu da koriste sertifikate za zaštitu SMTP podataka.
-
Konfiguracija MSTP sajt linkova sa cenom (Cost) koja je manja od bilo kog RPC-over-IP linka koji povezuje dva sajta. Dva sajta ne smeju imati domenske kontrolere u istom domenu.
-
Osigurati da SMTP e-mail poruke mogu da se šalju između domenskih kontrolera. Ako domenski kontroleri mogu da komuniciraju direktno koristeći port 25, dalja konfiguracija nije potrebna. Ipak, u nekim slučajevima, domenski kontroleri će morati da prosleđuju SMTP poruke ka SMTP BridgeHead serveru, a ne direktno ka destinacionom Bridgehead serveru.
Konfiguracija Bridgehead servera
Kao što je ranije pomenuto, replikacija između sajtova se odrađuje preko Bridgehead servera. Po defoltu, ISTG automatski identifikuje Brodgehead server i izračunava Intersite Replication topologiju. Da bismo videli koji domenski kontroleri rade kao Bridgehead serveri, možemo da iskoristimo Repadmin/bridgeheads komandu. Komanda izbacuje listu svih trenutnih Bridgehead servera u svakom sajtu, uključujući Directory Partitions svakog odgovornog Bridgehead servera. Komanda takođe prikazuju da li je ili nije poslednja replikacija sa svakim Bridgehead serverom prošla uspešno.
Ako startujemo repadmin/bridgeheads/v komandu, izlazni podaci komande prikazuju poslednji pokušaj replikacije za svaku Directory Partiton na Bridgehead serveru kao i vreme poslednje uspešne replikacije.
U nekim slučajevima, možda ćemo želeti da kontrolišemo koji će domenski kontroleri operisati kao Bridgehead serveri. Bridgehead server će možda zahtevati dodatne serverske resurse ako postoji mnogo promena u informacijama direktorijuma, ako je replikacija podešena da se često odrađuje i ako organizacija poseduje na stotine sajtova. Da bismo konfigurisali servere koji će biti Bridgehead serveri, potrebno je da pristupimo kompjuter objektima u Active Directory Sites and Services administrativnoj alatki. Zatim desni klik na ime servera i selektujemo Properties. Data nam je opcija da konfigurišemo server kao Preffered Bridgehead server za ranije IP ili SMTP transporte.
Prednost konfigurisanja Preffered Bridgehead servera je to da možemo da osiguramo da domenski kontroleri koje izaberemo postaju Bridgehead serveri. Ako želimo kompletnu kontrolu nad serverima koji će se koristiti kao Bridgehead serveri, moramo da konfigurišemo Preffered Bridgehead server za svaku particiju koja mora da bude replicirana unutar sajta. Na primer, ako sajt sadrži replike ADLinkgroup.com domain directory partition, ITAkademija.com domain directory particija, global catalog particija i Application Directory particija, moraćemo da konfigurišemo bar jedan domenski kontroler sa replikom svih ovih particija. Ako nismo konfigurisali Bridgehead servere za sve particije, dobićemo poruku upozorenja (Warning Message) i ISTG će Log-ovati događaj u Event Log-u i nakon toga izabrati Preffered Bridgehead server za particije. Takođe, možemo da konfigurišemo više Preffered Bridgehead servera. Ako ovo odradimo, ISTG će izabrati jedan od Bridgehead servera koji su identifikovani.
Rešavanje problema sa replikacijom
Windows Server 2008 nudi nekoliko alatki za rešavanje problema sa AD DS replikacijom. Sve ove alatke su instalirane u Windows Server 2008 nakon konfiguracije servera kao domenskog kontrolera.
Active Directory Sites and Services
Kao dodatak korišćenja Active Directory Sites and Services za konfiguraciju sajtova i replikacije, možemo takođe da koristimo ovu alatku za odrađivanje određenih Troubleshooting zadataka. Ovi zadaci uključuju:
- Forcing the KKC to recalculate the replication topology: Da bismo ovo odradili, potrebno je da proširimo objekat domenskog kontrolera u AD DS Site Servers kontejneru, desni klik na NTDS Settings, zatim pokažemo na All Tasks i kliknmo na Check Replication Topology. Ovo primorava KCC da se startuje odmah.
- Forcing Domain Controller to pull replication changes: Lociramo domenskog kontrolera koji treba da pošalje promene u site servers kontejneru. U NTDS Settings kontejneru ispod domenskog kontrolera, desni klik na objekat konekcije sa domenskim kontrolerom od kog želimo da povučemo promene i nakon toga kliknemo na Replicate now. Ako su oba domenska kontrolera u istom sajtu, dobićemo poruku greške ili ćemo dobiti poruku da je replikacija prošla uspešno. Ako su domenski kontroleri u različitim sajtovima, dobićemo poruku u kojoj se kaže da će domenski kontroler odmah pokušati da odradi replikaciju. Potrebno je proveriti Event Viewer ako želimo da vidimo poruke greške.
- Forcing the replication of the configuration partition from or to a domain controller: Kada kliknemo desnim klikom miša na NTDS objekat ispod domenskog kontrolera koji nije domenski kontroler na kog smo fokusirali Active Directory Sites and Services, možemo da izaberemo Replicate Configuration from selected DC ili Replicate Configuration to the selected DC. Jedna od prednosti korišćenja komandi će to da konfiguracione informacije biti replicirane čak i ako nijedan Connection objekat ne postoji između domenskih kontrolera.
Repadmin
Najkorisnija alatka za nadgledanje i Troubleshooting replikacije je Repadmin. Možemo da koristimo Repadmin.exe komand-line alatku za pogled na topologiju replikacije iz perspektive svakog domenskog kontrolera. Takođe možemo da iskoristimo Repadmin.exe da ručno kreiramo topologiju replikacije, da primoramo replikaciju između dva domenska kontrolera i da vidimo Metadata replikacije i ažurirano stanje vektora.
Da bi startovali Repadmin alatku za komandu liniju, potrebno je da koristimo sledeću sintaksu:
Repadmin command arguments [/u:[domain\]user /pw:{password|*}]
Moramo da ponudimo informacije o korisničkom nalogu samo ako trenutni ulogovani korisnik nije član grupe Domain Admins.
Dcdiag
Dcdiag.exe alatka odrađuje brojne testove koji proveravaju domenske kontrolere u potrazi za problemima koji mogu negativno da utiču na replikaciju. Ovi testovi uključuju konektivnost, integritet topologije i Intersite Health testovi.
Da bismo startovali Dcdiag alatku za komandnu liniju, potrebno je da koristimo sledeću sintaksu:
Dcdiag command arguments [/v /f:logfile /ferr:ErrLog ]