В данной серии, состоящей из трех статей, будет рассказано о способах проверки и поиска неисправностей в Active Directory. Перечисление способов поиска неисправностей в Active Directory может вылиться в 3-томную книгу, но мы все же постараемся коснуться только наиболее часто встречающихся проблем и их решений в данной серии. Эти советы окажутся полезными не только начинающим пользователям, но и профессионалам. В первой части будут затронуты вопросы дублирующего трафика и способы его проверки и поиска неисправностей с помощью наших советов и инструментов.
Проверка и поиск неисправностей в репликации Active Directory
Репликацию можно определить как дублирующую копию данных на той же самой или другой платформе или системе. При использовании службы директории, такой как Active Directory, база данных директории размещается на всех контроллерах домена. Когда вы связываетесь с контроллером домена, в нем всегда есть локальная копия, поэтому нет необходимости отправлять запросы через сеть WAN. Репликация Active Directory действует в компоненте службы директории подсистемы безопасности. Компонент называется Ntdsa.dll, а доступ к нему осуществляется через протокол упрощенный протокол доступа к каталогам (LDAP). Ntdsa.dll является частью локального администратора безопасности (LSA), который работает как Lsass.exe. Обновления передаются через протокол Internet посредством вызова удаленных процедур (RPC). Простой протокол пересылки электронной почты (SMTP) также доступен для использования, хотя чаще используется RPC через IP.
Что касается Active Directory, то происходить репликация, копия базы данных Active Directory хранится и обновляется на всех контроллерах домена сети, все копии базы данных одинаковы, а все контроллеры домена синхронизированы. В этом случае все контроллеры домена синхронизируются с помощью точных дублирующих копий базы данных Active Directory. При установке Active Directory и настройках по умолчанию процесс репликации из контроллера домена в контроллер домена автоматизирован и почти прозрачный. В основном контроллеры домена управляют процессами репликации без продвинутых настроек и в большинстве случаев без проблем.
На рисунке 1 представлена обычная сеть (2 сайта, объединенные посредством WAN) с контроллером домена на каждом адресе. Преимущество использования локальных контроллеров домена на всех сегментах сети состоит в том, запросы, отправленные из контроллера домена, хранятся на компьютере для ускорения отправки запросов или для восстановления в аварийных ситуациях, которые могут произойти при обрыве связи WAN, а локальные компьютеры смогут найти локальный контроллер домена. Лучше всего пропускать трафик не через глобальную сеть WAN, а через локальную сеть LAN.
Рисунок 1: Обычная глобальная сеть (WAN)
Как системный администратор, вы должны помнить, что Active Directory необходимо проверять и анализировать. Исправность и производительность Active Directory зависят от правильного процесса репликации. Следствием проблем с репликацией являются не только некорректный вход в Event Viewer, но и плохая производительность. Часто просто невозможно предотвратить проблемы, но после прочтения данной статьи вы будете лучше подготовлены для решения подобных вопросов и для настройки сети, что позволит лучше управлять трафиком.
Для примера возьмем обычную проблему, такую как разорванную сетевую связь. На рисунке 2 можно увидеть, что связь глобальной сети разорвана.
Рисунок 2: Сбой в сети
Интернет и телефонные провайдеры иногда сталкиваются с неполадками и услуги временно могут не предоставляться, что, в свою очередь, прерывает связь между контроллерами домена и осложняет репликацию. Это мешает синхронизации информации между контроллерами домена и может вызвать разрушение и/или другие проблемы.
Для предотвращения подобных последствий необходимо установить дублирующую связь, например, ISDN, как показано на рисунке 2. Цифровая сеть с интегрированными услугами (ISDN ) – это цифровая версия сети WAN, которая используется для улучшения связи между сайтами. Она широко представлена на рынке, хотя в основном используется для восстановления в аварийных ситуациях. Что касается установки дублирующей связи, вы не должны ограничиваться никакими технологиями: можно использовать частичную или полную линию T1, линию DSL или любую другую технологию, которая может быть дублирующей. Такая связь необходима для того, чтобы между контроллерами домена была постоянная связь, тогда база данных Active Directory будет всегда синхронизирована и исправна. Признаком наличия проблем с репликацией является то, что информация не обновляется на некоторых или на всех контроллерах домена. Например, системный администратор создает учетную запись пользователя на одном из контроллеров, а изменения не распространяются на все контроллеры. В большинстве случае это серьезная проблема, так как это влияет на сетевую безопасность, а авторизированные пользователи не могут получить доступ к требуемым ресурсам. Для поиска неисправностей в репликации Active Directory необходимо выполнить несколько действий, которые описываются в данной статье.
Проверка сетевого соединения
Для правильной работы репликации необходимо сетевое соединение. В идеале между всеми контроллерами домена необходимо высокоскоростное соединение и дублирующая связь LAN или WAN, но такое редко возможно для большого окружения и для большинства компаний, которые в основном используют медленную связь WAN, которая редко восстанавливается после аварийной ситуации. Необходимо следить, чтобы топология сети всегда была задокументирована и протестирована для подтверждения наличия связи. Существует много инструментов для проверки связи, например, Ping и Tracert, которые поставляются почти со всеми ОС с TCP/IP.
В действительности медленные соединения по телефонным линиям – встречаются часто. После того как вы убедились, что топология репликации установлена правильно, следует проверить, соединены ли между собой серверы по сети. Разорванное соединение может препятствовать репликации важной информации Active Directory. Ознакомьтесь с использованием ping и других инструментов поиска неисправностей, основанных на протоколе ICMP, в конце статьи.
Проверка настроек маршрутизатора и защитной системы Firewall
При создании безопасной сети основное внимание уделяется сетевым устройствам для фильтрации трафика. Чаще всего для контроля трафика используется защитная система Firewall. Также может быть использован маршрутизатор или иное устройство с функциями Firewall или другого устройства контроля доступа, которое запрещает доступ к или из хостов. Firewall предназначен для защиты периметра, поэтому защитная система не в состоянии полностью обезопасить систему, она только уменьшает вероятность атаки.
Защитные системы Firewall применяются для ограничения типов трафика, которые передается между сетями. Их основная задача состоит в том, чтобы неавторизированные пользователи не смогли передавать информацию. В некоторых случаях корпоративные защитные системы блокируют типы сетевого доступа, что необходимо для репликации Active Directory. Например, если определенный маршрутизатор или защитная система Firewall блокирует информацию, передаваемую с помощью протокола SMTP, репликация, использующая данный протокол, будет невозможна.
Сетевые порты, используемые репликацией Active Directory
Репликация RPC использует динамическое отображение портов по умолчанию. При необходимости подключиться к конечной точке RPC во время репликации Active Directory, RPC использует порт 135 TCP. RPC со стороны клиента связывается с топографом конечной точки RPC на сервере на известном порту, и RPC наугад выделяет порты TCP от 1024 до 65536. Вследствие такой конфигурации клиенту не нужно знать, какой порт использовать для репликации Active Directory, так как порт будет выбран без его участия и незаметно для него самого. Существуют и другие порты, которые могут быть назначены для репликации Active Directory:
| Протокол | Порт |
| LDAP | udp 389 tcp 389 |
| LDAP (SSL) | udp 636 tcp 636 |
| Kerberos | udp 88 tcp 88 |
| DNS | udp 53 tcp 53 |
| SMB over IP | udp 445 tcp 445 |
| Global Catalog Server | tcp 3269 tcp 3268 |
Проверка журнала регистрации событий
Обнаруженные ошибки отображаются в Event Viewer. В конце статьи я разместил ссылку на сайт компании Microsoft, где можно узнать, как пользоваться Event Viewer. Он может очень пригодиться, когда необходимо определить и решить проблему, связанную с репликацией. Множество ошибок отображаются в Event Viewer, где их можно просмотреть.
Когда происходят ошибки в репликации, компьютер записывает событие в логи Direcotry Service и в Filre Replication Service (FRS). Используя администраторские инструменты Event Viewer, вы можете быстро и легко просмотреть подробную информацию насчет любых проблем, связанных с репликацией. Например, если один из контроллеров доменов не может связаться с другим для того, чтобы передать изменения, то создается запись в логе.
События могут быть такими:
Примечание:
Для получения более подробной информации о данных ошибках перейдите по ссылке в конце статьи.
Проверка связи между сайтами
Прежде чем контроллеры доменов смогут связаться друг с другом, между сайтами должна быть установлена связь. Если репликация между сайтами работает неправильно, следует проверить наличие связи между сайтами. Проверка производится с помощью инструмента диагностики репликации (Repadmin.exe). проверьте наличие связи между сайтами , а также входящие и исходящие подключения. Инструмент можно также использовать для отображения очереди репликации. Скачать инструмент можно по ссылке в конце статьи.
Проверка синхронизации информации
Довольно часто забывают производить ручные проверки репликации информации Active Directory. Причиной тому служит то, что в контроллерах домена Active Directory имеются копии чтения/записи базы данных Active Directory. Таким образом, разорванную связь можно заметить только при создании нового объекта.
Очень важно время от времени проверять, чтобы объекты были синхронизированы между контроллерами. Процесс проверки очень прост: необходимо входить в различные контроллеры домена и проверять объекты в пределах определенного OU. Такая ручная проверка, может быть несколько нудная, поможет избежать несовместимости информации, которая хранится в контроллерах домена, иначе впоследствии неприятности могут оказаться значительно серьезнее.
Проверка порядка аутентификации
Обычная конфигурация репликации происходит, когда клиенту приходится авторизироваться по медленной сетевой связи. Основной признак проблемы – огромное время, которое необходимо, чтобы войти в Active Directory, особенно это характерно для периодов с большим числом авторизаций, например, в начале рабочего дня. Проблема устраняется с помощью дополнительных контроллеров домена или изменением топологии сайта. Это можно проверить, рассмотрев возможные сценарии для различных клиентов. Проблему можно выявить, пройдя по конфигурации: клиент в домене А пытается авторизироваться с помощью контроллера домена В при наличии медленной связи WAN.
Проверка топологии репликации
Инструмент Active Directory Sites and Services предназначен для проверки последовательности топологии репликации. Необходимо щелкнуть правой кнопкой мыши на Настройках NTDS в объекте сервера и выбрать All Tasks (Все задания) => Check Replication Topology (Проверить топологию репликации). При обнаружении ошибок появится диалоговое окно.
Проверка топологии Active Directory производится с помощью инструмента Active Directory Sites and Services.
Также следует знать, как производить проверку репликации, чтобы быть уверенным, что она постоянно работает. Существует несколько способов проверки репликации Active Directory и поиска неисправностей. В следующей статье мы рассмотрим вопросы проверки репликации, а в третьей части коснемся вопроса проверки системы.
Краткий обзор
В данной статье были освещены основы репликации, принципы ее работы, проверки и поиска неисправностей, а также способы проверки исправности топологии Active Directory. Дальше – больше!
www.windowsnetworking.com
Tags: dns, ldap, quote, replication