Устранение неполадок Active Directory, часть 1
Мониторинг и устранение неполадок репликации Active Directory
Репликация может быть определена как дублирующая копия подобных данных на той же или другой платформе или системе. При использовании службы каталогов, такой как Active Directory, база данных каталогов переносится всеми контроллерами домена, поэтому, когда вы хотите связаться с контроллером домена для использования, всегда есть локальная копия для использования, чтобы запросы не нужно было отправлять. через глобальную сеть (WAN). Репликация для Active Directory работает в компоненте службы каталогов подсистемы безопасности. Этот компонент называется Ntdsa.dll, и доступ к нему осуществляется через облегченный протокол доступа к каталогам (LDAP). Ntdsa.dll запускается как часть локального центра безопасности (LSA), который запускается как Lsass.exe. Обновления передаются по Интернет-протоколу (IP) с помощью протокола удаленного вызова процедур (RPC). Простой протокол передачи почты (SMTP) также доступен для использования, хотя чаще используется RPC через IP.
При рассмотрении Active Directory происходит репликация, и копия базы данных Active Directory сохраняется и обновляется на всех других участвующих контроллерах домена в вашей сети, и в идеальном мире каждая копия базы данных одинакова, и все контроллеры домена синхронизированы. Если это произойдет, то все ваши контроллеры домена синхронизируются с точной копией базы данных Active Directory. Когда вы устанавливаете Active Directory, по большей части, даже если выбраны все параметры по умолчанию, процесс репликации с контроллера домена на контроллер домена происходит автоматически и практически прозрачен. По большей части контроллеры домена обрабатывают процессы репликации без дополнительной настройки и в большинстве случаев без проблем.
На рисунке 1 вы можете увидеть общую сеть (2 сайта, соединенных через глобальную сеть) с контроллером домена в каждом месте. Опять же, преимущество наличия контроллера домена, локального для вашего ПК в каждом сегменте сети, заключается в том, что запросы, сделанные контроллером домена, остаются локальными для ПК, нуждающихся в его услугах, для ускорения запросов (сохраняя их локальными) или в случае после аварийного восстановления, которое может произойти, если соединение с глобальной сетью прервется, локальные ПК все еще могут найти локальный контроллер домена для использования. Удержание трафика за пределами глобальной сети (WAN) и передача его в локальную сеть (LAN) — лучший способ проектирования, который вы можете реализовать.
Рис. 1. Общая глобальная сеть (WAN)
Как системный администратор вы все равно должны учитывать, что производительность Active Directory по-прежнему нуждается в мониторинге и анализе. Работоспособность и максимальная производительность Active Directory зависят от бесперебойного процесса репликации. Если у вас возникли проблемы с репликацией, вы узнаете об этом не только из вопиющего ведения журнала в средстве просмотра событий, но и из-за низкой производительности. Во многих случаях вы не можете предотвратить возникновение каждой проблемы, но, надеюсь, после прочтения этой статьи вы будете лучше подготовлены к решению проблем и максимально оптимизируете свою сеть для обработки проходящего через нее трафика.
Рассмотрим распространенную проблему, такую как сбой сетевого соединения. На рисунке 2 вы видите, что основной канал глобальной сети был разорван.
Рисунок 2: Неудачный сетевой канал
У интернет-провайдеров и поставщиков телекоммуникационных услуг иногда возникают проблемы, и обслуживание может быть прервано. Это, конечно, останавливает связь между контроллерами домена, поэтому также прерывает процесс репликации. Это может помешать синхронизации информации между контроллерами домена и, возможно, привести к повреждению и/или другим проблемам.
Хороший способ убедиться, что этого не произойдет, — установить резервный канал (например, ISDN, как показано на рис. 2). ISDN (цифровые сети с интеграцией служб) — это цифровая технология WAN, используемая для облегчения соединений между сайтами. ISDN, более широко используемый сегодня для аварийного восстановления, по-прежнему занимает свое место на современном рынке. Несмотря на то, что вы все еще используете, вам не нужно ограничивать себя какой-либо технологией, когда речь идет о резервных каналах, вы можете использовать частичный или полный T1, линию DSL или любую другую технологию, которая позволяет вам иметь избыточность в ваших каналах. Цель состоит в том, чтобы иметь избыточные ссылки, чтобы поддерживать постоянную связь контроллеров домена друг с другом, чтобы база данных Active Directory оставалась синхронизированной и исправной. Распространенным признаком проблем с репликацией является то, что информация не обновляется на некоторых или всех контроллерах домена. Например, системный администратор создает учетную запись пользователя на одном контроллере домена, но изменения не распространяются на другие контроллеры домена. В большинстве сред это потенциально серьезная проблема, поскольку она влияет на безопасность сети и может помешать авторизованным пользователям получить доступ к необходимым им ресурсам. Вы можете предпринять несколько шагов для устранения неполадок репликации Active Directory; каждый из них обсуждается в следующих разделах.
Проверка сетевого подключения
Для правильной работы репликации в распределенных средах необходимо подключение к сети. Хотя в идеале все контроллеры домена должны быть подключены к высокоскоростным и резервным каналам LAN или WAN, это редко имеет место для крупных развертываний и для большинства компаний, использующих медленные каналы WAN, которые невозможно восстановить после аварии. Всегда следите за тем, чтобы топология вашей сети была задокументирована и протестирована, чтобы убедиться, что она подключена. Существует множество инструментов, которые вы можете использовать для проверки подключения, таких как Ping и Tracert, которые поставляются почти со всеми когда-либо созданными операционными системами, поддерживающими TCP/IP.
В реальных условиях широко распространены аналоговые/коммутируемые соединения и медленные соединения. Если вы убедились, что ваша топология репликации настроена правильно, вам следует убедиться, что ваши серверы могут обмениваться данными по сети. Такие проблемы, как неудачная попытка коммутируемого подключения, могут помешать репликации важной информации Active Directory. Узнайте, как использовать ping и другие средства устранения неполадок протокола на основе ICMP, в разделе ссылок в конце этой статьи.
Проверка конфигурации маршрутизатора и брандмауэра
При построении защищенной сети в большинстве случаев на сетевые устройства размещаются элементы управления для фильтрации трафика, проходящего с места на место. Наиболее часто используемым инструментом для контроля трафика является брандмауэр. Также можно использовать маршрутизатор или любое другое устройство, использующее набор функций брандмауэра, или какую-либо другую форму контроля доступа, которая блокирует доступ к другим подключенным хостам и с них. Брандмауэр обычно предназначен только для защиты периметра, поэтому он был разработан для этого, не думайте, что использование брандмауэра предотвращает любой риск атаки на вас, он только минимизирует этот риск.
Брандмауэры используются для ограничения типов трафика, который может передаваться между сетями. Их основное использование заключается в повышении безопасности путем предотвращения передачи информации неавторизованными пользователями. В некоторых случаях брандмауэры компании могут блокировать типы доступа к сети, которые должны быть доступны для выполнения репликации Active Directory. Например, если определенный маршрутизатор или брандмауэр запрещает передачу данных по SMTP, репликация, использующая этот протокол, завершится ошибкой.
Сетевые порты, используемые репликацией Active Directory
Репликация RPC использует динамическое сопоставление портов в соответствии с настройкой по умолчанию. Когда вам нужно подключиться к конечной точке RPC во время репликации Active Directory, RPC использует TCP-порт 135. RPC на клиенте связывается с устройством сопоставления конечных точек RPC на сервере по общеизвестному порту, и RPC случайным образом выделяет старшие порты TCP от портов 1024 до 65536. Благодаря такой конфигурации клиенту никогда не потребуется знать, какой порт использовать для репликации Active Directory; это просто произойдет без проблем. Существуют также другие порты, назначенные для репликации Active Directory. Есть следующие:
Протокол
Порт
LDAP
УДП 389
TCP 389
LDAP (SSL)
УДП 636
TCP 636
Керберос
УДП 88
TCP 88
DNS
УДП 53
TCP 53
SMB через IP
УДП 445
TCP 445
Сервер глобального каталога
TCP 3269
TCP 3268
Изучение журналов событий:
Ошибки, если они происходят, будут отображаться в журналах просмотра событий. В конце этой статьи я разместил ссылку на веб-сайт Microsoft, чтобы вы могли узнать, как использовать средство просмотра событий. Средство просмотра событий может оказаться очень полезным при поиске и устранении проблемы с репликацией. О многих ошибках сообщается в средстве просмотра событий для вашего просмотра.
При возникновении ошибки в конфигурации репликации компьютер записывает события в журналы событий службы каталогов и службы репликации файлов (FRS). Используя инструмент администрирования Event Viewer, вы можете быстро и легко просмотреть сведения, связанные с любыми проблемами репликации. Например, если один контроллер домена не может связаться с другим для передачи изменений, создается запись в журнале.
Вы можете получать такие события, как:
- Идентификатор события 1311 в журнале службы каталогов
- Идентификатор события 1265 с ошибкой «Ошибка поиска DNS» или «Сервер RPC недоступен» в журнале службы каталогов. Или получено «Ошибка поиска DNS» или «Неверное имя целевой учетной записи» от команды repadmin.
- Идентификатор события 1265 «Отказано в доступе» в журнале службы каталогов. Или получил «Отказано в доступе» от команды repadmin
Примечание:
Ссылка в конце статьи содержит объяснение этих конкретных ошибок и многое другое.
Проверка ссылок на сайты
Прежде чем контроллеры домена на разных сайтах смогут взаимодействовать друг с другом, сайты должны быть связаны ссылками сайтов. Если репликация между сайтами не выполняется должным образом, убедитесь, что установлены правильные связи сайтов. Проверьте ссылки на сайты с помощью служебной программы диагностики репликации (Repadmin.exe). Используйте этот инструмент для проверки правильности ссылок на сайты и отображения входящих и исходящих подключений. Вы также можете использовать его для отображения очереди репликации. Вы можете получить инструмент, используя ссылку в конце этой статьи.
Проверка синхронизации информации
Часто легко забыть выполнить ручную проверку репликации информации Active Directory. Одна из причин этого заключается в том, что контроллеры домена Active Directory имеют собственные копии базы данных Active Directory для чтения и записи. Поэтому, если подключения нет, вы не столкнетесь с ошибками при создании новых объектов.
Важно периодически проверять синхронизацию объектов между контроллерами домена. Этот процесс может быть таким же простым, как вход в систему на другом контроллере домена и просмотр объектов внутри определенной OU. Эта ручная проверка, хотя она может быть утомительной, может предотвратить несоответствия в информации, хранящейся на контроллерах домена, которые со временем могут стать кошмаром для администрирования и безопасности.
Проверка сценариев аутентификации
Распространенная проблема с конфигурацией репликации возникает, когда клиенты вынуждены проходить аутентификацию через медленные сетевые подключения. Основным признаком проблемы является то, что пользователи жалуются на то, что им требуется много времени для входа в Active Directory (особенно в периоды большого количества проверок подлинности, например, в начале рабочего дня). Обычно эту проблему можно решить, используя дополнительные контроллеры домена или реконфигурируя топологию сайта. Хороший способ проверить это — рассмотреть возможные сценарии для различных клиентов, которые вы поддерживаете. Часто просмотр конфигурации, такой как «Клиент в домене А пытается аутентифицироваться с помощью контроллера домена в домене Б, который расположен через очень медленное подключение к глобальной сети», может помочь определить потенциальные проблемные области.
Проверка топологии репликации
Инструмент сайтов и служб Active Directory позволяет проверить логическую согласованность топологии репликации. Вы можете быстро и легко выполнить эту задачу, щелкнув правой кнопкой мыши параметры NTDS в объекте сервера и выбрав «Все задачи» => «Проверить топологию репликации». Если присутствуют какие-либо ошибки, диалоговое окно уведомит вас о проблеме.
Вы можете проверить топологию Active Directory с помощью инструмента Active Directory Sites and Services.
Кроме того, чтобы убедиться, что репликация всегда продолжается, вы также можете узнать, как ее контролировать. Существует несколько способов отслеживания поведения репликации Active Directory и устранения неполадок процесса в случае возникновения проблем. В нашей следующей статье мы рассмотрим монитор репликации, а часть III этой статьи будет посвящена системному монитору.
Резюме
В этой статье мы рассмотрели основы репликации, принципы ее работы, способы ее проверки и устранения неполадок, а также способы обеспечения работоспособности топологии Active Directory. Оставайтесь с нами, чтобы узнать больше!
Ссылки и справочные материалы
Cisco: понимание ISDN
http://www.cisco.com/warp/public/2/ISDN.html
http://www.cisco.com/warp/public/129/27.html
Использование трассировки
http://www.windowsnetworking.com/articles_tutorials/Using-Tracert.html
Использование путей
http://www.windowsnetworking.com/articles_tutorials/Using-Pathping.html
RFC 792: Протокол управляющих сообщений Интернета
http://www.faqs.org/rfcs/rfc792.html
RFC 1050: Спецификация протокола удаленного вызова процедур
http://www.faqs.org/rfcs/rfc1050.html
MSDN на RPC
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnanchor/html/rpcank.asp
Ограничение трафика репликации Active Directory определенным портом
http://support.microsoft.com/default.aspx?scid=224196
Средство просмотра событий Microsoft http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/97339b5b-54d1-49a6-9475-7f67ac40aea0.mspx
Объяснение распространенных ошибок репликации
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/22764cb5-9860-4f8f-95e7-337df24edf74.mspx
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/opsguide/part1/adogd12.mspx
Использование репадмина
http://support.microsoft.com/?kbid=249256
http://support.microsoft.com/kb/229896/EN-US/