Powiadomienia replikacyjne Active Directory między lokacjami

Powiadomienia replikacyjne Active Directory między lokacjami

Jak zapewne wiadomo replikacja danych w środowisku Active Directory dzieli się w najprostszym ujęciu na replikację:

  1. Wewnątrz-lokacyjną – (Intra-Site)
  2. Między-lokacyjną – (Inter-Site)

O ile z tą pierwszą zazwyczaj nie występują problemy ze względu na świetnie działający mechanizm KCC (Key Consistency Checker) oraz ze względu na fakt, że replikacja danych w obrębie lokacji odbywa się niemalże natychmiast. Więcej problemów sprawia natomiast drugi rodzaj replikacji danych. Przykład: http://mkrzanowicz.pl/?p=417

W tym wpisie chciałbym się jednak skupić na czasie a dokładniej mówiąc interwale replikacji danych pomiędzy lokacjami. Gdy pada (moje ulubione pytanie 😉 ) „Jaki jest najkrótszy czas replikacji danych między lokacjami AD” – 90% ludzi odpowiada „15 minut”… Patrząc na pobieżne artykuły dla początkujących administratorów, czy przeklikując się przez GUI, które informuje administratora o dozwolonych wartościach:

Ad-Rep-IntervalCzy jest to jednak prawdą? I tak i nie 🙂 Jeśli mamy świadomość tego jak replikacja danych Active Directory działa na niższych warstwach to wiemy, że prawdą to nie jest. Jeśli natomiast trzymamy się „płytkiej wiedzy” to będzie to prawdą – i w sumie niech tak pozostanie, bo administratorzy bez świadomości i znajomości mechanizmów replikacji danych nie powinni dotykać ustawień opisywanych niżej.

Wracając jednak do „niższych warstw”. Oprócz replikacji „standardowej” czyli obejmującej zwykłe zakładanie kont, zmiany parametrów, maili etc. działającej w zarysowanym wyżej modelu – istnieje również replikacja pilna/nagła (urgent replication). Obejmuje ona zdarzenia takie jak zablokowanie konta użytkownika, zmiany zasad haseł, zmiany posiadacza roli RID itd. Jak sama nazwa wskazuje odbywa się ona w sposób pilny i nie są tu brane pod uwagę interwały replikacji między-lokacyjnej. Wielu organizacjom zależy jednak na skróceniu tego czasu z 15 minut. O tym, że się da już wspominałem – o tym jak to zrobić będzie na końcu – o tym, czemu nie działa to „by default” – wspomnijmy teraz 🙂

Przede wszystkim replikacji wewnątrz-lokacyjna jest nieskompresowana, działa szybko bo ideą tworzenia lokacji jest szybkie połaczenie sieciowe pomiędzy kontrolerami domeny. Jeśli więc ten sam mechanizm zostałby użyty w przypadku replikacji pomiędzy lokacjami trzeba sobie odpowiedzieć na pytania:

  • Czy połączenie sieciowe pomiędzy lokacjami jest wystarczająco szybkie i stabilne?
  • Czy przepustowość łącza pomiędzy lokacjami pozwala na jego dodatkowe wysycenie ruchem replikacyjnym?
  • Czy mamy dobry proces wprowadzania zmian na obiektach AD, żeby uniknąć sytuacji generowania setek, tysięcy, milionów konfliktów, które muszą być obsłużone przez mechanizmy wewnętrzne Active Directory? Bo jeśli nie to w skrajnym wypadku możemy pogorszyć cała wydajność naszego AD

Jeśli odpowiedzieliśmy na wszystkie pytania „TAK” i chcemy zrobić dobrze dla naszego biznesu, który nie może czekać 15 minut bo czas to pieniądz 😉

  1. Używając konta użytkownika będącego członkiem grupy „Enterprise Administrators” uruchamiamy przystawkę ADSIEdit
  2. Klikamy prawym przyciskiem w ADSIEdit a następnie „połącz z”
  3. W sekcji „Punkty połączenia” wybieramy „Wybierz dobrze znane konteksty nazewnictwa” i wybieramy z poniższej listy rozwijanej :”Konfiguracja”

ADSIPo uzyskaniu połączenia przechodzimy kolejno do gałęzi konfiguracji:

  1. Konfiguracja
  2. CN=Configuration, DC=<Moja_Domena>, DC=<CORP>  ; gdzie znazczniki < … > odpowiadają nazwie Twojej domeny
  3. CN=Sites
  4. CN=Inter-Site Transports
  5. CN=IP

I wybieramy łącze między-lokacyjne, które chcemy zmodyfikować. (Jeśli chcemy aby replikacja działała niemal natychmiast w całej domenie – poniższa operacja musi być wykonana dla każdego łącza między-lokacyjnejgo)

Klikamy właściwości łącza między-lokacyjnego i przechodzimy w edytorze atrybutów do atrybutu „options”, gdzie dodajemy wartość ‚1’ do obecnej. (jeśli jest pusto – ustawiamy 1)

Site-LinkA teraz słowo wyjaśnienia dlaczego jest to możliwe. Otóż cała „tajemnica” tkwi w tym, że domyślnie tylko replikacja wewnątrz-lokacyjna wykorzystuje proces powiadomień (Notifications) a my uruchomiliśmy go również dla replikacji między-lokacyjnej 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *