Как принудительно синхронизировать контроллеры домена Active Directory в windows server 2008R2
Как принудительно синхронизировать контроллеры домена Active Directory в windows server 2008R2
Добрый день уважаемые читатели, в большой сети у системного администратора часто возникает задача быстрой синхронизации всех контроллеров домена. Статья предлагает простое решение, позволяющее этого достигнуть в считанные минуты.
Проблема
Active Directory автоматически синхронизирует изменения, но… делает это не сразу, а с задержками в несколько минут. Эти задержки становятся весьма ощутимы, когда системный администратор вносит изменения в Active Directory, а потом тут же пытается увидеть эти изменения в клиентском приложении или в какой-нибудь утилите.
Примеры практических ситуаций, в которых задержка в синхронизации контроллеров домена мешает быстро выполнить задачу:
создана новая учетная запись пользователя или сервиса и нужно войти в домен с ее помощью, причем неизвестно, какой из контроллеров домена будет обрабатывать запрос;
изменены свойства учетной записи и приложению, работающему с глобальным каталогом, нужно увидеть эти изменения;
изменена групповая политика, требуется обновить ее на клиенте, но неизвестно, какой именно контроллер домена обрабатывает запрос клиента.
Дополнительные примеры вспомните сами из своей практики.
Теория
Синхронизация Active Directory – процесс полностью автоматический. Каждый контроллер домена с некоторой периодичностью “тянет” на себя изменения, произошедшие на его партнерах по репликации . Значит, чтобы изменения, внесенные на контроллере dc01, попали на dc02, требуется, чтобы dc02 был партнером по репликации с dc01 и затем запросил эти изменения у dc01.
Для принудительной синхронизации мы должны заставить dc02 запросить изменения с dc01, не дожидаясь очередного цикла репликации. А если контроллеров домена много, топология репликации неизвестна, да еще и мы не знаем, на каком именно контроллере произошли эти самые изменения? Очевидно, нужно принудительно заставить каждый контроллер домена запросить изменения у всех своих партнеров по репликации. И желательно выполнить эту процедуру дважды.
Принудительно инициировать репликацию можно через консоль Active Directory Sites and Services, но на практике это выливается в длительный перебор всех контроллеров домена и выбор для каждого из них опции репликации в контекстном меню.
Практика
Решение автоматизации процедуры принудительной синхронизации достаточно простое.
Маленький блог скромного айтишника.
Итак, у нас есть задача: синхронизировать некоторый набор папок с лежащими в них файлами. Причем задача стоит именно так:
— Синхронизация должна поддерживать передачу файлов по сети — т.е., например, с одного компьютера на другой;
— Синхронизация должна уметь копировать только новые файлы, не передавая заново уже существующие;
Из своей практики я могу предложить 2 пути: ROBOCOPY и XCOPY.
Путь первый — ROBOCOPY
Данная утилита идет из коробки в Windows 7 и Server 2008. На более старых ОС ее может не оказаться (например, на XP и Server 2003 из коробки ее точно нет). В таком случае можно скачать и установить Windows Server 2003 Resource Kit Tools: вот отсюда. В этот тулкит, кроме всего прочего, входит наш инструмент.
Итак, вот пример использования данной утилиты:
В данном примере:
Мы копируем папку «исходная папка», находящуюся на локальном диске D:
Мы копируем эту папку на компьютер \\192.168.0.1 в папку «целевая папка»
/E : Мы копируем все подпапки и файлы
/Z : Включаем поддержку докачки (на случай обрыва связи)
/COPY:TDASO : Копируем все атрибуты и ACL прав доступа NTFS (но не копируем атрибуты аудита)
/DCOPY:T : Копируем время создания папок
/M : Копируем только файлы с установленным атрибутом «A — Архивный» и сбрасываем этот атрибут, что позволяет нам копировать только измененные файлы.
/R : Количество повторных попыток копирования файла в случае, если копирование не удалось. Причем «не удалось» срабатывает и в том случае, если доступ к файлу закрыт. По-умолчанию = 1 миллионы, т.е. бесконечно, потому копирование благополучно встанет на первом же файле, к которому не будет доступа.
/W : Задержка в секундах между попытками копирования. По-умолчанию = 30 секундам.
Заметка. Очень рекомендую задавать вручную параметры /R и /W , иначе при автоматической синхронизации она попросту зависнет, встретив на своем пути ошибку доступа.
Много больше опций Вы можете почерпнуть из хелпа:
robocopy /?
Чем эта утилита хороша по сравнению с XCOPY:
- Она умеет работать с файлами, длина имени которых больше 256 символов
- Она умеет делать зеркало, т.е. чистую синхронизацию, при которой файлы, удаленные в папке-источнике, будут удалены и в папке назначения.
Для того, чтобы зеркалировать папки (т.е. удалять в папке назначения все файлы, которые более не существуют в папке-источнике) — нужно добавить ключ «/PURGE»:
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
Настройка iSCSI-хранилища в Windows Server 2008 R2
Протокол iSCSI разработан для работы в сетях хранения данных и представляет собой способ доступа к блочным устройствам по протоколу SCSI поверх TCP/IP. Это дает возможность организации недорогих сетей хранения данных (SAN) при помощи обычных Ethernet-сетей. Эта возможность широко используется при построении систем высокой доступности и мы будем рассматривать в рамках этого цикла именно решения на основе iSCSI-хранилищ. Сегодня мы рассмотрим создание такого хранилища на платформе Windows Server 2008 R2.
Сначала пару слов о принципиальных отличиях iSCSI от иных сетевых систем хранения данных. Cети хранения данных — SAN ( Storage Area Network ) предусматривают передачу данных в сети в «сыром» виде по протоколу SCSI, также, как если бы они передавались между системой и локальным диском на низком уровне. iSCSI устройства воспринимаются системой практически также, как локальные диски — перед использованием на них нужно создать разделы и отформатировать.
В тоже время привычные всем сетевые хранилища — NAS ( Network Area Storage) обеспечивают доступ на уровне файловой системы, используя протоколы передачи файлов, такие как SMB или NFS.
Проще говоря: NAS — это привычные всем общие сетевые папки, SAN — подключаемые по сети диски. Из этого следует второе важное отличие. Сетевая папка может обслуживать множество клиентов. Устройство SAN может быть подключено к единственному клиенту, точно также как обычный HDD может быть подключен только к одному ПК. Исключение — кластеры, когда к одному SAN-устройству имеют доступ сразу несколько нод, в этом случае используется дополнительный уровень абстракции — кластерная файловая система, например Microsoft Cluster Shared Volumes (CSV) или VMware VMFS.
Перед тем, как приступать к практическому освоению данной технологии, следует познакомиться с принятой терминологией:
- Инициатор iSCSI (iSCSI Initiator) — клиентская часть, направляет запросы цели iSCSI, может быть выполнена программно, в виде драйвера или аппаратно, в виде iSCSI-адаптера;
- Цель iSCSI (iSCSI Target, таргет) — серверная часть, принимает подключения от инициатора и предоставляет ему доступ к связанным с ним блочными устройствами — виртуальными дисками, LUN. Может быть реализован как программно, так и в виде аппаратной СХД.
Одна цель iSCSI может быть связана с несколькими блочными устройствами, которые будут доступны подключившемуся к цели инициатору. Один инициатор может быть подключен к нескольким целям и использовать все связанные с ними устройства. Одна цель также может принимать подключения от нескольких инициаторов, но каждое отдельное устройство может быть доступно только одному из инициаторов.
Еще один момент, теперь уже связанный с практической реализацией iSCSI-хранилищ. Для SAN крайне желательно выделить отдельную сеть, изолированную от сети предприятия.
Это необходимо для обеспечения достаточной пропускной способности в сети хранения данных и избежать перегрузки обычной сети iSCSI-трафиком. Также нет смысла организовывать iSCSI в сетях с пропускной способностью ниже чем 1 Гбит/сек.
В состав Windows Server 2008 R2 роль цели iSCSI не входит и для ее развертывания необходимо скачать Microsoft iSCSI Software Target. Распаковываем его и устанавливаем пакет iscsitarget_public.msi из папки x64. Установка предельно проста и мы не будем заострять на ней внимание.
После установки перейдем к консоли управления iSCSI: Пуск — Администрирование — Программная цель iSCSI. Прежде всего создадим новую цель (таргет). Для этого щелкнем правой кнопкой на Цели iSCSI — Создать цель iSCSI.
Откроется мастер, в котором укажем имя цели и ее описание. Давайте целям осмысленные имена и не ленитесь создавать описания, чтобы потом не приходилось гадать для чего у вас создана та или иная цель.
Следующим шагом нам надо указать идентификаторы инициаторов iSCSI которым будет разрешен доступ к цели. Идентификатор IQN — это специальное имя формата iqn. . : , которое является уникальным для каждого iSCSI-устройства в сети хранения данных. Где:
- year-mo — год регистрации доменного имени;
- reversed_domain_name -доменное имя, записанное наоборот;
- unique_name — уникальное имя устройства, например таргет здесь будет содержать указанное вами имя, а инициатор имя хоста.
Например, в программных решениях Microsoft IQN по умолчанию имеет формат iqn.1991-05.com.microsoft:unique_name.
Чтобы узнать IQN перейдем на инициатор iSCSI, в нашем случае это сервер под управлением Windows Server 2012, но алгоритм действий будет одинаков для любых иных версий Windows. Переходим в Панель управления — Инициатор iSCSI, на предложение задать ее автоматический запуск отвечаем утвердительно:
Затем в открывшемся окне переходим на закладку Конфигурация, где находится искомый идентификатор:
Можно скопировать его и указать при настройке цели, но есть другой способ. Для этого перейдите на закладку Конечные объекты, в поле Объект введите имя сервера с установленной Программной целью iSCSI и нажмите Быстрое подключение.
Понятно, что пока мы ни к чему не подключимся, но сейчас у нас иная задача. Возвращаемся обратно на сервер цели и жмем на странице указанием идентификатора инициатора кнопку Обзор.
Теперь становится понятно, для чего мы делали попытку подключения. Сервер целей iSCSI хранит список последних подключавшихся к ней инициаторов и позволяет их выбрать.
На этом создание цели завершено и мы можем создать и привязать к ней один или несколько дисков. Для этого переходим к пункту Устройства и в меню правой кнопки мыши выбираем Создать виртуальный диск.
Откроется следующий мастер, в котором указываем расположение и имя виртуального диска, обратите внимание, что указывать нужно полное имя файла, вместе с расширением .vhd.
Затем укажем желаемый размер в МБ
И цель iSCSI (таргет) к которой будет привязан данный виртуальный диск.
На этом настройка диска также будет завершена. В результате этих несложных действий мы получили настроенную цель iSCSI с привязанным к ней виртуальным диском. Теперь снова перейдем на инициатор. Можно воспользоваться быстрым подключением и автоматически присоединить диски с обнаруженных целей. Но следует помнить, что наша цель не только подключить диски, но и разделить сеть хранения данных и локальную сеть предприятия.
Поэтому переходим на закладку Обнаружение и нажимаем Обнаружить портал, затем вводим имя сервера с ролью цели iSCSI.
После чего возвращаемся на закладку Конечные объекты, выбираем обнаруженную цель, которая находится в состоянии Неактивно, и нажимаем Свойства.
В открывшемся окне в поле IP-адрес конечного портала выбираем адрес принадлежащий вашей сети хранения данных:
Возвращаемся обратно и нажимаем Подключить. Присоединенные устройства можно обнаружить в оснастке Управление дисками.
Дальнейший алгоритм работы с ними ничем не отличается от работы с обычным диском: подключаем, размечаем, форматируем.
В данном материале мы рассмотрели самый простой вариант настройки хранилища. В наших последующих материалах мы будем возвращаться к отдельным настройкам, не затрагивая общей темы создания хранилища.