Depanarea Active Directory

În această serie de trei articole, veți învăța despre modul de a testa și depana Active Directory. Enumerarea în Active Directory metode de depanare poate duce la o carte de 3 volume, dar vom încerca să atingă doar cele mai frecvente probleme și soluțiile lor în această serie. Aceste sfaturi vă vor fi utile nu numai pentru utilizatorii începători, dar și pentru profesioniști. Prima parte va fi discutat de trafic de backup și metodele de testare și depanare cu ajutorul sfaturi și instrumentele noastre.

Verificarea și depanarea replicare Active Directory

Replicarea poate fi definită ca o copie duplicat a datelor de pe aceeași sau o altă platformă sau un sistem. Dacă utilizați un serviciu de director, cum ar fi Active Directory, baza de date de director este localizat pe toate controlerele de domeniu. Când vă conectați la un controler de domeniu, are întotdeauna o copie locală, astfel încât nu este nevoie pentru a trimite peste WAN. replicare Active Directory lucrează într-un director subsistem de securitate componente. O componentă numită Ntdsa.dll, și este accesat prin intermediul Directory Access Protocol LDAP (Lightweight). Ntdsa.dll este parte a Autorității de Securitate Locală (LSA), care funcționează ca Lsass.exe. Actualizările sunt transmise prin Internet Protocol prin apelul de procedură la distanță (RPC). Simple Mail Transfer Protocol (SMTP) este de asemenea disponibil pentru utilizare, deși sunt utilizate de multe ori RPC over IP.

În ceea ce privește Active Directory, replicarea are loc, o copie a bazei de date Active Directory sunt stocate și actualizate pe fiecare controler de un domeniu de rețea, toate copiile identice ale bazei de date, precum și toate controlerele de domeniu sunt sincronizate. În acest caz, toate controlerele de domeniu sunt sincronizate prin duplicate exactă copii de baze de date Active Directory. Când instalați Active Directory, și replicarea setările implicite de la un controler de domeniu în controlerul de domeniu este automatizat și aproape transparent. Procesele primare de replicare controler de domeniu rula fără setări avansate, iar în cele mai multe cazuri, fără nici o problemă.

Depanarea Active Directory


Figura 1. rețea de arie largă convențională (WAN)

De exemplu, ia în considerare o problemă comună, cum ar fi o conexiune de rețea a eșuat. În figura 2 putem vedea că link-ul WAN este rupt.

Depanarea Active Directory

Figura 2. Eroare de rețea

Verificarea conexiunii de rețea

Pentru buna funcționare a replicării necesită o conexiune la rețea. În mod ideal între toate controlerele de domeniu aveți nevoie de o conexiune de mare viteză și redundante LAN sau WAN, dar acest lucru este rareori posibil, pentru un mediu de mare pentru majoritatea companiilor care utilizează în principal o conexiune lentă WAN, care este rar restabilită după o situație de urgență. Asigurați-vă că topologia rețelei a fost întotdeauna un documentate și testate pentru a confirma prezența comunicării. Există mai multe instrumente pentru a verifica conexiunea, de exemplu, Ping și tracert, care sunt furnizate cu aproape toate sistemele de operare cu TCP / IP.

Verificați setările routerului și sistemului de protecție firewall

Când creați o rețea securizată se concentrează pe dispozitive de rețea pentru a filtra traficul. Cel mai des folosit pentru controlul traficului un firewall. Acesta poate fi, de asemenea, utilizat router sau alt dispozitiv cu funcții de firewall sau alt dispozitiv de control al accesului, care împiedică accesul la sau de la gazdă. Firewall este proiectat pentru a proteja perimetrul, astfel încât sistemul de apărare nu este în măsură să protejeze pe deplin sistemul, reduce doar probabilitatea unui atac.

porturi de rețea utilizate de Directory Replicarea Active

Replicarea utilizează afișajul dinamic RPC a portului implicit. Dacă este necesar, conectați la punctul final RPC în timpul Active Directory, RPC utilizează portul 135 replicare TCP. RPC de la client comunică cu cartograful RPC final pe serverul la un bine, și RPC alocă în mod aleatoriu porturile TCP între 1024 și 65536. Ca urmare a acestei configurații, clientul nu are nevoie să știe ce port de a utiliza pentru replicare Active Directory, deoarece portul va fi ales fara sa participarea și fără știrea lui. Există alte porturi care pot fi atribuite replicare Active Directory:

tcp 3269
tcp 3268

Verificați jurnalul de evenimente

Evenimentele pot include:

  • Event ID 1311 în serviciul de director
  • Event ID 1265 cu eroare de r «Căutare DNS Failure» (DNS căutare de eroare) sau «serverul RPC este indisponibil» (serverul RPC nu este disponibil) în serviciul director. Sau «DNS Failure Căutare» (DNS eroare de căutare) sau «numele contului de destinație este incorectă» (incorectă țintă numele contului) de la comanda repadmin.
  • Event ID 1265 «Acces interzis» (Acces interzis) în serviciul director. Sau «Acces interzis» (Access Denied) de la comanda repadmin.

Notă:
Pentru mai multe informații despre aceste erori, faceți clic pe link-ul de la sfârșitul articolului.

Verificați conexiunea între site-uri

Înainte de controlerele de domeniu pot comunica între ele, între site-urile trebuie să fie stabilită. Dacă replicarea dintre site-uri nu funcționează corect, verificați legătura dintre site-uri. Verificarea este efectuată de către instrumentul de diagnosticare replicare (Repadmin.exe). verificați dacă legătura între site-uri. precum și conexiunile de intrare și de ieșire. Instrumentul poate fi de asemenea utilizat pentru a afișa coada de replicare. Descărcați instrumentul poate fi link-ul de la articol.

Verificarea informațiilor de sincronizare

Destul de des uitați pentru a efectua replicarea manual de validare a datelor Active Directory. Motivul pentru aceasta este faptul că într-un Active Directory controlere de domeniu sunt citite / Active Directory înregistrare de date de exemplare. Astfel, relația ruptă poate fi văzută numai atunci când creați un nou obiect.

Este timpul foarte important să verificați din când în când, astfel încât obiectele să fie sincronizate între controlori. Procesul de verificare este foarte simplu: trebuie să introduceți un controler de domeniu diferit și să verifice obiecte într-un anumit OU. Acest control manual poate fi plictisitor, poate evita o incompatibilitate de informații care sunt stocate pe controlerele de domeniu, sau probleme mai târziu poate fi mult mai grave.

Verificați comanda de autentificare

Verificarea topologia de replicare

Tool-uri Active Directory și servicii este conceput pentru a testa o secvență de o topologie de replicare. Trebuie să faceți clic dreapta pe obiectul Setări NTDS în server și selectați Toate sarcinile (toate sarcinile) => Verificați Replicarea Topologia (Verificați topologia de replicare). apare La detectarea casetei de dialog de eroare.

Verificarea topologie Active Directory se face folosind Active Directory site-uri și servicii instrument.

Ar trebui să știi, de asemenea, modul de a efectua replicarea de scanare pentru a vă asigura că acesta este în mod constant de lucru. Există mai multe metode de verificare Active Directory replicare și depanare. În următorul articol ne vom uita la monitor de replicare, iar a treia parte a articolului va acoperi sistemul.

În acest articol, elementele de bază de replicare au fost acoperite, cum funcționează, testare și depanare, precum și metodele de sănătate cecului Active Directory topologie. Mai mult - mai mult!