Репликация в Active Directory

Представьте, что у вас есть несколько идентичных копий базы данных AD, расположенных на разных серверах, называемых контроллерами домена (DC).

Репликация – это механизм, который обеспечивает синхронизацию этих копий. То есть, любое изменение, сделанное на одном контроллере домена, автоматически распространяется на все остальные.

Зачем это нужно:

• Высокая доступность: Если один контроллер домена выйдет из строя, другие продолжат функционировать, обеспечивая бесперебойный доступ к ресурсам AD.
• Балансировка нагрузки: Запросы пользователей могут быть распределены между несколькими контроллерами домена, улучшая производительность.
• Устойчивость к сбоям: Данные AD хранятся в нескольких местах, что значительно снижает риск их потери.
• Распределенная инфраструктура: В крупных организациях контроллеры домена могут располагаться в разных географических точках, и репликация обеспечивает актуальность данных везде.

Основные понятия репликации AD

Прежде чем углубиться в детали советую прочитать предыдущую статью INTRO Active Directory это введение в эту систему, давайте разберем ключевые компоненты репликации:

• Контроллер домена (Domain Controller, DC): Сервер, на котором установлена роль Active Directory Domain Services (AD DS) и который хранит копию базы данных AD.
• База данных AD (NTDS.DIT): Файл, содержащий всю информацию Active Directory.
• Разделы каталога (Naming Contexts/Partitions): AD делится на логические разделы для репликации.
• Сайт (Site): Логическая группа контроллеров домена и других сетевых устройств, подключенных по высокоскоростной и надёжной сети (например, локальная сеть). Обычно соответствует физическому расположению офиса или дата-центра.
• Мосты между сайтами (Site Links): Логическое представление соединения между сайтами, определяющее, как данные реплицируются между ними (обычно через WAN-соединения).

Раздел домена содержит данные, специфичные для конкретного домена (пользователи, группы, компьютеры). Реплицируется только между контроллерами домена внутри этого домена.

Раздел схемы определяет классы объектов и атрибуты, которые могут существовать в AD (например, "пользователь" имеет атрибуты "имя", "фамилия", "пароль"). Реплицируется на все контроллеры домена в лесу.

Раздел конфигурации содержит топологию леса (информация о доменах, сайтах, контроллерах домена, связях между ними). Реплицируется на все контроллеры домена в лесу.

Раздел глобального каталога это частичная, но полная, реплика всех объектов в лесу. Включена в DC, который является сервером глобального каталога.

Как работает репликация в AD

Репликация в AD – это сложный, но хорошо продуманный процесс. Он основан на многомастерной модели, где любое изменение может быть сделано на любом контроллере домена, а затем реплицировано на другие.

1. Обнаружение изменений: Каждый контроллер домена отслеживает изменения в своей копии базы данных AD.
2. Номер обновления (Update Sequence Number, USN): Каждое изменение в AD присваивается уникальный USN. Контроллеры домена используют USN для определения, какие изменения им необходимо получить от других DC.

Инициация репликации:

• Внутрисайтовая репликация: Происходит автоматически и часто (по умолчанию каждые 15 секунд). Контроллеры домена внутри одного сайта постоянно обмениваются информацией о последних изменениях.
• Межсайтовая репликация: Репликация между сайтами происходит по расписанию (по умолчанию каждые 180 минут, но может быть настроено) и использует мосты между сайтами. Она оптимизирована для работы через WAN-каналы с ограниченной пропускной способностью, используя сжатие данных.

Протоколы репликации:

• RPC (Remote Procedure Call): Используется для внутрисайтовой репликации и по умолчанию для межсайтовой.
• SMTP (Simple Mail Transfer Protocol): Может использоваться для межсайтовой репликации (только для разделов схемы, конфигурации и глобального каталога) в случаях, когда прямые IP-соединения по RPC затруднены, например, через фаерволы. Однако RPC over IP является предпочтительным.

Алгоритм проверки согласованности знаний (Knowledge Consistency Checker, KCC): Это автоматический процесс, работающий на каждом контроллере домена. KCC отвечает за создание и поддержание топологии репликации, то есть определяет, какие контроллеры домена реплицируются друг с другом.

Он строит двусторонние кольцевые топологии для обеспечения избыточности.

Предотвращение конфликтов:

• Последовательность обновлений: Используется USN для определения порядка изменений.
• Версия объекта: Каждый объект в AD имеет номер версии. При конфликте (когда два контроллера домена одновременно меняют один и тот же атрибут одного и того же объекта) побеждает изменение с более высоким номером версии. Если версии одинаковы, то побеждает изменение, сделанное на контроллере домена с более высоким GUID.
• Владельцы операций (FSMO roles): Некоторые операции, такие как создание новых доменов или изменение схемы, требуют централизованного управления. Для этого существуют роли FSMO (Flexible Single Master Operations). Только контроллер домена, владеющий определенной ролью FSMO, может выполнять эти специфические операции, предотвращая конфликты.

Что важно учитывать при репликации в AD

Топология сайтов и мостов

Группируйте контроллеры домена по их физическому расположению и сетевой связанности. Плохо настроенные сайты могут привести к неэффективной репликации через медленные каналы.

Настройка мостов между сайтами

Правильно настройте стоимость (cost) и расписание репликации для мостов между сайтами, чтобы оптимизировать использование пропускной способности WAN-каналов. Более низкая стоимость означает предпочтительный путь.

Пропускная способность сети

Репликация требует достаточной пропускной способности сети. Оцените объем данных, которые будут реплицироваться, и убедитесь, что ваши сетевые каналы (особенно WAN) справятся с нагрузкой.

Задержки

Высокие задержки между контроллерами домена (особенно между сайтами) могут замедлить репликацию и привести к устареванию данных. Стремитесь к минимальным задержкам.

Места размещения контроллеров домена

Размещайте контроллеры домена в каждом сайте, где есть пользователи, для обеспечения локальной аутентификации и снижения сетевого трафика.

Избегайте размещения единственного контроллера домена в удаленном офисе без резервного, чтобы избежать единой точки отказа.

Роли FSMO

Размещайте роли FSMO на надёжных контроллерах домена. Роли Schema Master и Domain Naming Master должны быть на контроллере домена с GC, предпочтительно в корневом домене леса.

Убедитесь, что контроллеры домена, владеющие ролями FSMO, всегда доступны.

Знайте, когда и как передавать (graceful transfer) или захватывать (force seizure) роли FSMO в случае сбоя.

Мониторинг репликации

• Инструменты: Используйте встроенные утилиты AD, такие как repadmin.exe, dcdiag.exe, Active Directory Sites and Services (Active Directory — Сайты и службы), а также системные журналы (Event Viewer) для отслеживания состояния репликации.
• События: Обращайте внимание на события с ID 1126, 2042, 2087, 2088 и другие, связанные с репликацией.
• Предупреждения: Настройте оповещения о проблемах репликации, чтобы оперативно реагировать.

Очень важно, чтобы время на всех контроллерах домена было синхронизировано. Разница во времени более 5 минут может привести к проблемам с аутентификацией Kerberos и репликацией.

Убедитесь, что каналы репликации защищены (например, с помощью IPsec), особенно при репликации через недоверенные сети.

Виртуализация

• Не используйте функции моментальных снимков (snapshots) виртуальных машин для резервного копирования контроллеров домена.
• Не откатывайте контроллеры домена к предыдущему состоянию с помощью моментальных снимков, так как это может привести к проблемам с USN и рассогласованию базы данных. Используйте VSS-совместимые решения для резервного копирования.
• В Windows Server 2012 и выше появилась функция VM-Generation ID, которая помогает виртуализированным DC обнаруживать откаты и автоматически сбрасывать USN, однако всё равно рекомендуется использовать правильные процедуры бэкапа.

Репликация – это фундаментальный аспект работы Active Directory, обеспечивающий её отказоустойчивость, высокую доступность и масштабируемость.

Глубокое понимание принципов её работы и тщательное планирование топологии сети, мониторинг и обслуживание являются ключом к стабильной и надёжной работе вашей инфраструктуры AD.

Правильно настроенная репликация минимизирует риски потери данных и обеспечивает бесперебойный доступ пользователей к критически важным ресурсам.