Microsoft настоятельно рекомендует иметь в производственной среде минимум

двух контроллеров домена. Практика показывает, что есть организации, где

домен контроллеры могут достигать 1000 или больше.

И представьте себе обслуживать 100-1000 домен контроллеров? Первое что

приходит на ум, это репликация. Естественно можно автоматизировать процесс,

мониторить итд. Но никто не застрахован от не корректных действий самих

администраторов.

Сегодня я хочу рассказать вам немного о структуре межсайтовой репликации и

дать некоторые рекомендации как правильно настраивать репликацию, а также

какие шаги необходимо совершить прежде чем добавлять новые домен

контроллеры в разных географически расположенных сайтах.

Прежде всего, как это работает?

Любые изменения в Active Directory, будь это создание, удаление учетных

записей, изменение атрибута, в общем изменение конфигураций, то все это

пишется в конфигурационный файл NTDS.DIT. Название файла исходит от

старого названия службы каталогов NT Directory Service. Сейчас носит

название ADDS (Active Directory Domain Services). В этом одном файле

NTDS.DIT объединены несколько разделов.

Раздел Schema - хранит в себе схему Active Directory.

Раздел Configuration - содержит информацию о конфигурации Active Directory.

Раздел Domain - доменный.

Разделы Application - опциональные разделы.

Более подробно вы можете ознакомится тут

Итак, когда вы поднимаете первый домен контроллер, создается сайт по

умолчанию с именем Default-First-Site-Namе и если не создавать другие сайты,

то все последующие домен контроллеры, которые вы будете поднимать, будут

попадать в этот сайт. После появления второго и более домен контроллеров,

создаются связи для репликации. Увидеть эти связи можно через Active

Directory Сайты и Службы, либо PowerShell командой Get-

ADReplicationSiteLink -Filter *. Если не будет связей между домен

контроллерами, то увы не будет работать репликация.

Очень часто, когда администраторы, установив новый домен контроллер, не

найдя связей для репликации, создают их вручную. Это большая ошибка. За эти

связи отвечает служба KCC.

1. Если вы не обнаружили эти связи, то я вам советую не создавать вручную а

запустить команду repadmin /kcc server.test.local (замените server.test.local на ваш

сервер.

2. Если для всего леса, то введите команду repadmin /kcc *

Создание связей между домен контроллерами, расположенными в разных

сайтах, выполняется с учетом топологии сайтов, сайт линков и мостов между

сайт линками. Бывают случаи, когда администраторы сначала поднимают домен

контроллеры, а затем создают сайт линки (Site Link) это может привезти к не

правильной топологии репликации в вашей организации. См рис.1

Не правльная топология

Прежде чем поднимать новый домен контроллер в новом сайте, рекомендую

создать сайт, подсеть, а также привязки к сайту с учетом топологии сайтов. См

рис.2

Правильная топология

Рекомендую использовать очень полезную утилиту Microsoft Active Directory

Topology Diagrammer скачать можно тут, а вот подробно об этой утилите

рекомендую почитать вот этот пост. И еще одна неплохая утилита для

выявления проблем репликации Active Directory Replication Status Tool скачать

можно тут

Автор: Namik Heydarov