Monday, December 11th, 2017

Поиск неисправностей в Active Directory

Published on Февраль 19, 2009 by   ·   Комментариев нет

В данной серии, состоящей из трех статей, будет рассказано о способах проверки и поиска неисправностей в Active Directory. Перечисление способов поиска неисправностей в Active Directory может вылиться в 3-томную книгу, но мы все же постараемся коснуться только наиболее часто встречающихся проблем и их решений в данной серии. Эти советы окажутся полезными не только начинающим пользователям, но и профессионалам. В первой части будут затронуты вопросы дублирующего трафика и способы его проверки и поиска неисправностей с помощью наших советов и инструментов.

Проверка и поиск неисправностей в репликации Active Directory

Репликацию можно определить как дублирующую копию данных на той же самой или другой платформе или системе. При использовании службы директории, такой как Active Directory, база данных директории размещается на всех контроллерах домена. Когда вы связываетесь с контроллером домена, в нем всегда есть локальная копия, поэтому нет необходимости отправлять запросы через сеть WAN. Репликация Active Directory действует в компоненте службы директории подсистемы безопасности. Компонент называется Ntdsa.dll, а доступ к нему осуществляется через протокол упрощенный протокол доступа к каталогам (LDAP). Ntdsa.dll является частью локального администратора безопасности (LSA), который работает как Lsass.exe. Обновления передаются через протокол Internet посредством вызова удаленных процедур (RPC). Простой протокол пересылки электронной почты (SMTP) также доступен для использования, хотя чаще используется RPC через IP.

Что касается Active Directory, то происходить репликация, копия базы данных Active Directory хранится и обновляется на всех контроллерах домена сети, все копии базы данных одинаковы, а все контроллеры домена синхронизированы. В этом случае все контроллеры домена синхронизируются с помощью точных дублирующих копий базы данных Active Directory. При установке Active Directory и настройках по умолчанию процесс репликации из контроллера домена в контроллер домена автоматизирован и почти прозрачный. В основном контроллеры домена управляют процессами репликации без продвинутых настроек и в большинстве случаев без проблем.

На рисунке 1 представлена обычная сеть (2 сайта, объединенные посредством WAN) с контроллером домена на каждом адресе. Преимущество использования локальных контроллеров домена на всех сегментах сети состоит в том, запросы, отправленные из контроллера домена, хранятся на компьютере для ускорения отправки запросов или для восстановления в аварийных ситуациях, которые могут произойти при обрыве связи WAN, а локальные компьютеры смогут найти локальный контроллер домена. Лучше всего пропускать трафик не через глобальную сеть WAN, а через локальную сеть LAN.

Дублирующий контроллер домена

Поиск в active directory
Рисунок 1: Обычная глобальная сеть (WAN)

Как системный администратор, вы должны помнить, что Active Directory необходимо проверять и анализировать. Исправность и производительность Active Directory зависят от правильного процесса репликации. Следствием проблем с репликацией являются не только некорректный вход в Event Viewer, но и плохая производительность. Часто просто невозможно предотвратить проблемы, но после прочтения данной статьи вы будете лучше подготовлены для решения подобных вопросов и для настройки сети, что позволит лучше управлять трафиком.

Для примера возьмем обычную проблему, такую как разорванную сетевую связь. На рисунке 2 можно увидеть, что связь глобальной сети разорвана.

Проверка работы active directory

Рисунок 2: Сбой в сети

Интернет и телефонные провайдеры иногда сталкиваются с неполадками и услуги временно могут не предоставляться, что, в свою очередь, прерывает связь между контроллерами домена и осложняет репликацию. Это мешает синхронизации информации между контроллерами домена и может вызвать разрушение и/или другие проблемы.

Для предотвращения подобных последствий необходимо установить дублирующую связь, например, ISDN, как показано на рисунке 2. Цифровая сеть с интегрированными услугами (ISDN ) – это цифровая версия сети WAN, которая используется для улучшения связи между сайтами. Она широко представлена на рынке, хотя в основном используется для восстановления в аварийных ситуациях. Что касается установки дублирующей связи, вы не должны ограничиваться никакими технологиями: можно использовать частичную или полную линию T1, линию DSL или любую другую технологию, которая может быть дублирующей. Такая связь необходима для того, чтобы между контроллерами домена была постоянная связь, тогда база данных Active Directory будет всегда синхронизирована и исправна. Признаком наличия проблем с репликацией является то, что информация не обновляется на некоторых или на всех контроллерах домена. Например, системный администратор создает учетную запись пользователя на одном из контроллеров, а изменения не распространяются на все контроллеры. В большинстве случае это серьезная проблема, так как это влияет на сетевую безопасность, а авторизированные пользователи не могут получить доступ к требуемым ресурсам. Для поиска неисправностей в репликации Active Directory необходимо выполнить несколько действий, которые описываются в данной статье.

Проверка сетевого соединения

Для правильной работы репликации необходимо сетевое соединение. В идеале между всеми контроллерами домена необходимо высокоскоростное соединение и дублирующая связь LAN или WAN, но такое редко возможно для большого окружения и для большинства компаний, которые в основном используют медленную связь WAN, которая редко восстанавливается после аварийной ситуации. Необходимо следить, чтобы топология сети всегда была задокументирована и протестирована для подтверждения наличия связи. Существует много инструментов для проверки связи, например, Ping и Tracert, которые поставляются почти со всеми ОС с TCP/IP.

В действительности медленные соединения по телефонным линиям – встречаются часто. После того как вы убедились, что топология репликации установлена правильно, следует проверить, соединены ли между собой серверы по сети. Разорванное соединение может препятствовать репликации важной информации Active Directory. Ознакомьтесь с использованием ping и других инструментов поиска неисправностей, основанных на протоколе ICMP, в конце статьи.

Проверка настроек маршрутизатора и защитной системы Firewall

При создании безопасной сети основное внимание уделяется сетевым устройствам для фильтрации трафика. Чаще всего для контроля трафика используется защитная система Firewall. Также может быть использован маршрутизатор или иное устройство с функциями Firewall или другого устройства контроля доступа, которое запрещает доступ к или из хостов. Firewall предназначен для защиты периметра, поэтому защитная система не в состоянии полностью обезопасить систему, она только уменьшает вероятность атаки.

Защитные системы Firewall применяются для ограничения типов трафика, которые передается между сетями. Их основная задача состоит в том, чтобы неавторизированные пользователи не смогли передавать информацию. В некоторых случаях корпоративные защитные системы блокируют типы сетевого доступа, что необходимо для репликации Active Directory. Например, если определенный маршрутизатор или защитная система Firewall блокирует информацию, передаваемую с помощью протокола SMTP, репликация, использующая данный протокол, будет невозможна.

Сетевые порты, используемые репликацией Active Directory

Репликация RPC использует динамическое отображение портов по умолчанию. При необходимости подключиться к конечной точке RPC во время репликации Active Directory, RPC использует порт 135 TCP. RPC со стороны клиента связывается с топографом конечной точки RPC на сервере на известном порту, и RPC наугад выделяет порты TCP от 1024 до 65536. Вследствие такой конфигурации клиенту не нужно знать, какой порт использовать для репликации Active Directory, так как порт будет выбран без его участия и незаметно для него самого. Существуют и другие порты, которые могут быть назначены для репликации Active Directory:

Протокол Порт
LDAP udp 389
tcp 389
LDAP (SSL) udp 636
tcp 636
Kerberos udp 88
tcp 88
DNS udp 53
tcp 53
SMB over IP udp 445
tcp 445
Global Catalog Server tcp 3269
tcp 3268

Проверка журнала регистрации событий

Обнаруженные ошибки отображаются в Event Viewer. В конце статьи я разместил ссылку на сайт компании Microsoft, где можно узнать, как пользоваться Event Viewer. Он может очень пригодиться, когда необходимо определить и решить проблему, связанную с репликацией. Множество ошибок отображаются в Event Viewer, где их можно просмотреть.

Когда происходят ошибки в репликации, компьютер записывает событие в логи Direcotry Service и в Filre Replication Service (FRS). Используя администраторские инструменты Event Viewer, вы можете быстро и легко просмотреть подробную информацию насчет любых проблем, связанных с репликацией. Например, если один из контроллеров доменов не может связаться с другим для того, чтобы передать изменения, то создается запись в логе.

События могут быть такими:

  • Событие ID 1311 в службе каталогов
  • Событие ID 1265 с ошибкой r «DNS Lookup Failure» (Ошибка поиска DNS) или «RPC server is unavailable» (Сервер RPC недоступен) в службе каталогов. Или «DNS Lookup Failure» (Ошибка поиска DNS) или «Target account name is incorrect» (Неправильное имя целевой учетной записи) от команды repadmin.
  • Событие ID 1265 «Access denied» (В доступе отказано) в службе каталогов. Или «Access denied» (В доступе отказано) от команды repadmin.

Примечание:
Для получения более подробной информации о данных ошибках перейдите по ссылке в конце статьи.

Проверка связи между сайтами

Прежде чем контроллеры доменов смогут связаться друг с другом, между сайтами должна быть установлена связь. Если репликация между сайтами работает неправильно, следует проверить наличие связи между сайтами. Проверка производится с помощью инструмента диагностики репликации (Repadmin.exe). проверьте наличие связи между сайтами , а также входящие и исходящие подключения. Инструмент можно также использовать для отображения очереди репликации. Скачать инструмент можно по ссылке в конце статьи.

Проверка синхронизации информации

Довольно часто забывают производить ручные проверки репликации информации Active Directory. Причиной тому служит то, что в контроллерах домена Active Directory имеются копии чтения/записи базы данных Active Directory. Таким образом, разорванную связь можно заметить только при создании нового объекта.

Очень важно время от времени проверять, чтобы объекты были синхронизированы между контроллерами. Процесс проверки очень прост: необходимо входить в различные контроллеры домена и проверять объекты в пределах определенного OU. Такая ручная проверка, может быть несколько нудная, поможет избежать несовместимости информации, которая хранится в контроллерах домена, иначе впоследствии неприятности могут оказаться значительно серьезнее.

Проверка порядка аутентификации

Обычная конфигурация репликации происходит, когда клиенту приходится авторизироваться по медленной сетевой связи. Основной признак проблемы – огромное время, которое необходимо, чтобы войти в Active Directory, особенно это характерно для периодов с большим числом авторизаций, например, в начале рабочего дня. Проблема устраняется с помощью дополнительных контроллеров домена или изменением топологии сайта. Это можно проверить, рассмотрев возможные сценарии для различных клиентов. Проблему можно выявить, пройдя по конфигурации: клиент в домене А пытается авторизироваться с помощью контроллера домена В при наличии медленной связи WAN.

Проверка топологии репликации

Инструмент Active Directory Sites and Services предназначен для проверки последовательности топологии репликации. Необходимо щелкнуть правой кнопкой мыши на Настройках NTDS в объекте сервера и выбрать All Tasks (Все задания) => Check Replication Topology (Проверить топологию репликации). При обнаружении ошибок появится диалоговое окно.

Проверка топологии Active Directory производится с помощью инструмента Active Directory Sites and Services.

Также следует знать, как производить проверку репликации, чтобы быть уверенным, что она постоянно работает. Существует несколько способов проверки репликации Active Directory и поиска неисправностей. В следующей статье мы рассмотрим вопросы проверки репликации, а в третьей части коснемся вопроса проверки системы.

Краткий обзор

В данной статье были освещены основы репликации, принципы ее работы, проверки и поиска неисправностей, а также способы проверки исправности топологии Active Directory. Дальше – больше!

discount oem software download

www.windowsnetworking.com

jfdghjhthit45









Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]