Replikacja – czyli podróż przez katalog tam i z powrotem
description
Transcript of Replikacja – czyli podróż przez katalog tam i z powrotem
Speech title here
Replikacja czyli podr przez katalog tam i z powrotemTomasz OnyszkoSenior Consultant | MicrosoftO mnie ... przy klawiaturze od dobrych 18 lat, z tego ostatnie 9 zawodowo
grafomasko prowadz blog W2K.PL (jak i angielsk wersj na stronach DirTeam.Com)
udzielam si czasami na wss.pl (5.5k+ ) i grupach Usenet
w wolnych od powyszego chwilach pracuj w Microsoft Consulting Services jako Senior Consultant (Identity & Access Management)
Speakers: Please use this slide as a master slide.2AgendaAnatomia DCTopologia replikacjiMechanika raplikacjiLinked Value Replication (LVR)Urgent replicationReplikacja hase
Speakers: This slide is ONLY for agenda. Use next slide to all presentations slides.
3Anatomia DC
DC jaki jest kady widzi ... FQDN ... czyli po prostu nazwa DNS:MTSLHFDC01.W2K.PLDC GUID:objectGUID: 04b1beca-e875-4378-8fd2-59f7b98c13e8;Invocation ID:invocationId: 04b1beca-e875-4378-8fd2-59f7b98c13e8; Partycje katalogu:DN: DC=W2K, ......DN:DC=Configuration, ....5
Identyfikatory DCDC GUID:Warto atrybutu objectGUID instancji obiektu NTDSDSA kontroleraIdentyfikator rejestrowany w ramach _msdcsRekord wymagany do poprawnej replikacjiUywany w ramachTopologii replikacji generowanej przez KCCHigh-Watermark Vector (HVM)Niezmienny w okresie ycia DC
NTDS == Domain Information Tree (Table)6
Identyfikatory DCInvocation IDWarto atrybut invocationID instancji obiektu NTDSDSA kontroleraDomylnie taki sam jak DC GUIDZmieniany po:Odtworzeniu bazy danych DC (poprawnym !!!)Re-host partycji aplikacyjnej (+, -, +)Wymuszoniu przez wpis w rejestrzePoprzednie wartoci przechowywane s w retiredReplDSASignatures
NTDS == Domain Information Tree (Table)7
Naming Context (NC)Kontekst nazewniczy (NC)Partycja katalogu LDAPPartycje w ramach bazy danych DITDIT == Directory Information TreeWyznaczaj granice replikacji danychTypyDomenyKonfiguracjiSchematAplikacyjna NDNC == Non-Domain Naming ContextKontrolowany zakres replikacji
Pokaza na szybko w LDP.EXE gdzie to wszystko si znajduje8Topologia replikacjiMetoda replikacjiReplikacja katalogu (Intra-site) == Notify & pull Zmiany wprowadzone na DC1DC1 wysya powiadomienie do partnerw replikacji (DC2) (notify)W ramach lokacji:Windows 2000: 5 minut (+ 30 sek)Windows 2003 i pniejsze: 15 sekund (+ 5 sek)DC2 da zmian (pull)DC1 wysya zmiany do DC1
W przypadku replikacji Inter-site brak powiadmie (domylnie) == Store & ForwardReplikacja wg ustalonego harmonogramu
NTDS == Domain Information Tree (Table)10Topologia replikacjiTopologia replikacji generowana jest przez KCC \ ISTGKCC == Knowledge Consistancy CheckerISTG == Inter-Site Topology GeneratorRola przydzielana per-siteDomylnie pierwszy DC w lokacji, chyba e:Zostanie zmieniony przez administratora: nTDSSiteSettings -> interSiteTopologyGeneratorNastpi failover w wyniku braku oznak ycia obecnego ISTGTopologia replikacji generowana w oparciu o obiekty lokacji (site), czy (site links) i powizanych z nimi kosztem (cost)
NTDS == Domain Information Tree (Table)11Topologia intra-site
DC2DC1DC3DC4DC5
DC6Powyej 7 DC w ramach lokacji dodawane s dodatkowe obiekty pocze (losowo)Tworzona wedug kolejnoci GUID DC12Change notificationReplikacja inter-site domylnie podlega harmonogramowiMoliwe jest wczenie powiadomie o zmianach:Atrybut options:Obiektu cza (site link): 1 bit (0001)Obiektu poczenia (connection): 3 bit (0100)Wymaga wydajnego cza WANEfektywnie replikacja jak w ramach jednej lokacji
NTDS == Domain Information Tree (Table)13Mechanika replikacjiReplikacja katalogu ADMultimasterOparta na numerach sekwencyjnych USNDotyczyUtworzenia \ zmian obiektwPoza atrybutami non-replicatedUsunicie obiektuPoprzez obiekty tombstonePoza obietami tymczasowymiOriginating updateInformacja o DC, na ktrym dokonana zostaa zmianaReplicated updateWszystkie inne zmiany
NTDS == Domain Information Tree (Table)15USNUpdate Sequence Number64-bitowy numerUtrzymywany lokalnie dla kadego DC Przypisany do kadej wykonanej transakcjiNiezalene od czasu Do czasu USN przypisane do obiektuusnCreated, usnChangedUSN przypisane do atrybutuLokalny USN, originating USN
NTDS == Domain Information Tree (Table)16Jak to dziaa?usnCreated = 1000usnChanged = 1000AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski10001
1000SnKowalski10001
1000givenNameJan10001
1000samAccountNameJan.kowalski10001
1000Dodanie nowego uytkownika:DC: DC 1Lokalny USN: 1000
USN: 1000DB GUID == InvocationIDNTDS == Domain Information Tree (Table)17Jak to dziaa?usnCreated = 2500usnChanged = 2500AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski25001
1000SnKowalski25001
1000givenNameJan25001
1000samAccountNameJan.kowalski25001
1000Replikacja nowego uytkownikaDC: DC2Lokalny USN: 2500
USN: 2500
DB GUID == InvocationIDNTDS == Domain Information Tree (Table)18Jak to dziaa?usnCreated = 2500usnChanged = 2501AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski25001
1000SnKowalski25001
1000givenNameMarian25012
2501samAccountNameJan.kowalski25001
1000Zmiana atrybutu obiektu na DC2
givenName: JangivenName: MarianUSN: 2501DB GUID == InvocationIDNTDS == Domain Information Tree (Table)19Jak to dziaa?usnCreated = 1000usnChanged = 1701AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski10001
1000SnKowalski10001
1000givenNameMarian17012
2501samAccountNameJan.kowalski10001
1000Replikacja zmiany z DC2 na DC1
givenName: JangivenName: Marian
givenName: MarianUSN: 1701DB GUID == InvocationIDNTDS == Domain Information Tree (Table)20High-Watermark vectorUtrzymywany per-DC, dla kadej z partycji kataloguZawiera informacj o najwyszych numerach USN zreplikowanych od partnera replikacjiPrzechowywany w atrybucie repsFrom obiektu partycji katalogu
DC1USN: 1500DC4USN: 2350DC2USN: 34565DC3USN: 15432DC InvocationIDHighest known USNDC2 GUID34565DC4 GUID2350repadmin /showrepl /verboseNTDS == Domain Information Tree (Table)21Up-to-dateness vectorUtrzymywany per-DC, dla kadej partycji kataloguZawiera informacj o najwyszych numerach originating USN dla wszystkich DC Przechowywany w atrybucie replUpToDateVector obiektu partycji katalogu
DC1USN: 1000DC4USN: 1111DC2USN: 2501DC3USN: 12456DC InvocationIDHighest originating USNTimestampDC2 GUID2501
DC4 GUID1111
DC3 GUID12456
repadmin /showutdvecNTDS == Domain Information Tree (Table)22Up-to-dateness vector
DC1USN: 1000DC4USN: 1111DC2USN: 2501DC3USN: 12456DC InvocationIDHighest originating USNDC2 GUID2501DC4 GUID1111DC InvocationIDHighest originating USNDC1 GUID1000DC3 GUID12456Up-to-date vector: DC1Up-to-date vector: DC4DC1USN: 1001DC InvocationIDHighest originating USNDC1 GUID1001DC2 GUID2501DC3 GUID12456NTDS == Domain Information Tree (Table)23Metadane replikacji w praktyceLVRReplikacja wielowartoci
JanBorysJanBorysTomek@ 2:14Czarek@2:13DC1DC2
Tomek
TomekReplikacja danych + rozwizanie konfliktuReplikacja wielowartoci (na przykadzie grup):Uytkownik dodany do grupy na DC2W tym samym czasie dodany zostaje inny uytkownik na DC1Wedug standardowych regu rozwizywania konfliktwZachowana zostaje ostatnia zmianaZmiany z DC2 zostaj utracone
NTDS == Domain Information Tree (Table)26Linked Value Replication
JanBorysJanBorysTomek@ 2:14Czarek@2:13DC1DC2
Tomek
CzarekReplikacja danychKada z wartoci to osobna zmianaReplikacja wielowartoci z uyciem LVR:Uytkownicy dodani na rnych DC w tym samym czasieKada z wartoci posiada wasne metadane replikacji-> BRAK KONFLIKTU DANYCHUsuwa ograniczenie do 5 tys czonkw w grupie
Czarek
Tomekrepadmin /showvalue NTDS == Domain Information Tree (Table)27Linked Value ReplicationUrgent replicationUrgent replicationPilna replikacja danychWywoywana przez SAM lub LSA, nigdy przez zmiany z uyciem LDAP
Wyzwalana w wypadku:Zmiany hasa LSAReplikacji informacji o zablokowaniu konta (lockout)Zresetowaniu hasa uytkownikaWymuszenie wyganicia hasa konta uytkownikaZmiana waciciela roli RID MasterZmiana wartoci atrybutu userAccountControl
Pilna oznacza:Wymuszenie natychmiastowe cykly replikacji w ramach lokacjiUstawienie flagi urgent dla powiadomienia o zmianach
NTDS == Domain Information Tree (Table)30Kolejki replikacjiReplikacja haseReplikacja hasaUytkownik zmienia hasoDomylnie haso jest przekazywane do PDC Emulator -> bezporednie wywoanie RPC -> best effort, czyli nie ma gwarancji dostarczenia hasa do PDCE
AvoidPDConWAN (rejestr)-> Standardowa replikacja danych
DC1PDCZmiana hasaBezporednie wywoanie RPCReplikacja danych kataloguNTDS == Domain Information Tree (Table)33PDC chainingAdministrator resetuje haso \ zmiana na innym DCUytkownik loguje si-> bd hasaDC przekazuje haso do PDC Emulator-> Poprawnie zweryfikowane hasoPDC Emulator inicjuj replikacj danych-> Replicate single object (repadmin.exe)Uytkownik moe si zalogowa
DC1PDC
Zmiana hasaLogowanieNTDS == Domain Information Tree (Table)34Podsumowanie
Oce moj sesjAnkieta dostpna na stronie www.mts2008.pl Dodatkowe komentarze mile widziane:E-mail: [email protected]: http://www.w2k.plSpeakers: Please do not remove nor edit this slide! This is information about evaluation form.
36 2008 Microsoft Corporation. Wszelkie prawa zastrzeone. Microsoft, Windows oraz inne nazwy produktw s lub mog by znakami towarowymi lub zastrzeonymi znakami towarowymi firmy Microsoft wStanach Zjednoczonych iinnych krajach. Zamieszczone informacje maj charakter wycznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ADNYCH GWARANCJI (WYRAONYCH WPROST LUB DOMYLNIE), WTYM TAKE USTAWOWEJ RKOJMI ZA WADY FIZYCZNE IPRAWNE, CO DO INFORMACJI ZAWARTYCH WTEJ PREZENTACJI.