Como optimizar a replicação do Active Directory numa rede grande

Este artigo descreve como optimizar a replicação do Active Directory em configurações de rede de grandes dimensões.

Importante Esta secção, método ou tarefa contém passos que a saber como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: O Verificador de consistência de conhecimento (KCC) ajusta dinamicamente a topologia de replicação de dados da rede quando controladores de domínio são adicionados ou removidos da rede, quando um controlador de domínio não está disponível ou quando as agendas de replicação de dados são alteradas.

As tarefas do KCC são:

• Com base na topologia da rede descrita por objectos do Active Directory, o KCC cria objectos de ligação que são utilizados para definir a replicação de entrada e saída para controladores de domínio:
  
  
  • Para obter fontes no mesmo local, de entrada para o controlador de domínio no qual o KCC está a ser executado.
  • Para obter fontes em locais diferentes, entrada para o site no qual o KCC está em execução, se o controlador de domínio no qual o KCC está a ser executado estiver o interSiteTopologyGenerator eleito para seu site.
• Converter os objectos de ligação de serviço de directório do Microsoft Windows NT (ntdsConnection) definido pelo KCC e definidas pelo administrador numa configuração compreendida pelo motor de replicação do serviço de directório (DS).

Por predefinição, cada uma destas tarefas é executada a cada 15 minutos. Para obter mais informações sobre o KCC, consulte o capítulo do Active Directory Replication no Windows 2000 Resource Kit.

Exemplo

Em algumas configurações do site de grandes dimensões que contenham muitos sites, domínios muitos ou muitos sites de betweens rotas, o KCC inter-local executa lentamente, a consumir demasiados recursos de memória e tempo de unidade de processamento central (CPU).

Se D for o número de domínios na rede, S é o número de locais na rede, e em seguida, pode ignorar com segurança o resto deste artigo.

A tabela seguinte lista os tempos de execução e ilustrações de consumo de memória para um KCC inter-local numa variedade de configurações com concentrador hub-and-spoke sem optimização do desempenho aplicado. Cada site contém um controlador de domínio para um único domínio e um catálogo global. Domínios são dispersos equitativamente entre os sites. Bridging de ligação de locais automática está activado. Medições foram efectuadas num Intel Pentium III Xeon a 500 MHz com 1 gigabyte (GB) de acesso aleatório memória (RAM, Random Access Memory). Utilização da memória inclui a colocação em cache de base de dados. Consumo de memória será inferior em computadores com memória física menos.

A fórmula para o tempo de execução é: Pode determinar executa o KCC quanto na sua configuração existente utilizando o snap-in Serviços e locais do Active Directory:

1. Determine qual controlador de domínio no site é o gerador de topologia inter-local actual visualizando as propriedades do objecto NTDS Settings do site.
2. Tempo de execução do KCC existente nesse controlador de domínio:
   
   
   1. Clique com o botão direito do rato em definições de NTDS.
   2. Clique em Verificar a topologia de replicação.

Além disso, pode monitorizar o tempo de execução do KCC numa base contínua utilizando o Editor de registo para visualizar a seguinte chave de registo: Altere o valor "1 Knowledge Consistency Checker" para um valor de 3 ou superior.

Com este valor definido como 3 ou superior, o KCC irá registar eventos 1009 e 1013 para significar o início e fim da verificação.

Recomendações

Se a configuração não satisfaz os critérios acima, em seguida, utilize o método adequado:

Reduzir a utilização de pontes de ligação de sites na configuração do site

Esta opção funciona bem no concentrador típica e configurações de spoke, reduzindo o número de potenciais rotas entre sites.

Bridging de ligação de locais automática indica que toda a rede totalmente é (PROTOCOLO Internet) encaminhada. Nesta situação, qualquer computador num determinado site pode comunicar através de IP com qualquer computador no outro site. Bridging de ligação de locais automática está activado para transportes inter-local o IP e o protocolo simples de transporte de correio ' (SMTP) por predefinição. Desactivar esta funcionalidade requer que adicione ponte de ligação de site explícita objectos onde for necessário. Bridges de ligação de locais são necessários apenas se um determinado site contiver um controlador de domínio de um domínio que não está presente em qualquer site adjacente, mas outro controlador de domínio desse domínio ocorrer noutros locais na floresta. Um site adjacente é definido para ser qualquer site incluído qualquer ligação de locais que contém o site em questão. Maioria das configurações não requerem a utilização de bridges de ligação de locais, uma vez que qualquer site mantendo um controlador de domínio de um determinado domínio, que ocorre no site mais do que um é quase sempre adjacente a pelo menos um site que contém um controlador de domínio do mesmo domínio.

Se o KCC não conseguir directamente ou forma transitória ligar todos os sites que contém controladores de domínio de um determinado domínio depois de desactivar o bridging de ligação de locais automática, o KCC irá registar evento 1311.

Exemplo

O Verificador de consistência do serviço de directório determinou que quer:

1. Não existe suficiente conectividade física publicada, utilizando o Gestor de serviços e locais do Active Directory para criar uma árvore abrangente liga todos os locais na floresta.
2. Não pode ser efectuada a replicação com um ou mais servidores críticos para alterações propagar em todos os sites. Isto se frequentemente a servidores que está a ser inatingíveis.

Para resolver um problema, utilize o Gestor de serviços e locais do Active Directory para efectuar um dos seguintes procedimentos:

• Publicar informações de conectividade de site suficientes de modo a que o computador pode inferir uma rota através do qual esta partição pode alcançar este site. Esta opção é preferida.
• Adicionar um objecto ntdsConnection um controlador de domínio que contém o controlador de domínio partição = europe, controlador de domínio = mycorp, controlador de domínio = com neste site a partir de um controlador de domínio que contém a mesma partição noutro local.

Para resolver problema B, examine o registo de eventos actual para determinar qual servidor ou servidores não podem ser contactados pelo KCC.

Para desactivar o bridging de ligação de locais automática:

1. Faça duplo clique no snap-in Serviços e locais do Active Directory.
2. Clique com o botão direito do rato no objecto de transporte IP e, em seguida, clique em Propriedades.
3. No contentor de transportes entre locais, clique na caixa de verificação apropriada para a desmarcar e, em seguida, clique em OK.

Ainda existem limites para as configurações para o qual o KCC pode calcular automaticamente uma topologia inter-local, mesmo quando não pontes de ligação de local está a ser utilizado. A tabela seguinte lista os tempos de execução e ilustrações de consumo de memória para o KCC inter-local com uma variedade de configurações com concentrador ' hub-and-spoke '. Cada site contém um controlador de domínio de um único domínio e um catálogo global (GC). Domínios são dispersos equitativamente entre os sites. Bridging de ligação de locais automática está desactivado e não bridges de ligação de locais tiverem sido definidos. Foram efectuadas as medidas num Intel Pentium III Xeon a 500 MHz com 1 GB de RAM; tempos de execução nos processadores Intel Pentium II 200 MHz são sobre dupla esses listados. Utilização da memória inclui a colocação em cache de base de dados. Consumo de memória será inferior em computadores com memória física menos.

A fórmula para o tempo de execução para sites de satélite é onde o number of domains é o número de domínios e o number of sites é o número de sites.

A fórmula para sites de concentrador é:

Executar o KCC Inter-site apenas durante terminar horas de ponta

Esta opção funciona bem quando o computador tem um horário quando está a ser realizado trabalho pouco e um KCC inter-local executar caiba neste horário. Esta técnica normalmente seria utilizada apenas se a utilização de pontes de ligação de sites já foi reduzida e o tempo de execução ou utilização da memória do KCC permanece um problema durante as horas de negócio críticas.

KCCs num determinado site podem ser configurados para desactivar apenas o cálculo de topologia inter-local, manter a sua capacidade para responder a alterar os requisitos de replicação dentro do site. O cálculo de topologia entre locais, em seguida, pode ser reactivado uma altura específica do dia apenas suficientemente longo para um KCC no site executar a verificação inter-local e, em seguida, pode ser desactivado novamente.

Quando a verificação de topologia inter-local está desactivada para um site específico, esse site não vai responder a alterações na topologia inter-local. Se um ou ambos os parceiros de replicação para todas as ligações inter-local replicam um determinado domínio não estiverem disponíveis, não será efectuada nenhum adaptação automática KCC para uma nova origem ou destino até ficarem novamente online os controladores de domínio ou parte do KCC inter-local é executada novamente.

Nota: O administrador pode adicionar manualmente ligações enquanto inter-local KCC está desactivado.

Para avaliar se esta opção é realista na configuração, primeiro determine o KCC quanto tempo demora a executar no seu ambiente. Em seguida, determine se existe um bloco de tempo num controlador de domínio em cada local para acomodar os requisitos de tempo e memória. Não é necessário para a parte inter-local do KCC para ser executado em todos os sites ao mesmo tempo.

Para agendar o KCC inter-local, utilize o componente do Programador de tarefas para agendar execuções de "wscript /b runkcc.vbs" (o script no formulário de texto está incluído neste artigo). Para mais informações sobre o Programador de tarefas, consulte o tópico do Programador de tarefas na ajuda do Windows 2000. Runkcc.vbs requer as ferramentas de suporte na pasta Support\Tools no CD-ROM do Windows 2000 para ser instalado no computador no qual é executado.

Desactivar totalmente o KCC Inter-Site, configurar manualmente ligações

Esta opção funciona bem no configurações típicas hub-spoke. É normalmente utilizado apenas quando os dois métodos anteriores não são opções viável, especialmente nas configurações com milhares de sites.

Quando topologia inter-local automática está desactivada totalmente, torna-se da responsabilidade do administrador para criar a replicação inter-local necessária objectos de ligação para garantir que os dados de replicação continua a fluxo em toda a floresta. Normalmente, os clientes com suficiente sites a ultrapassar os limites KCC empregam topologias de rede com concentrador ' hub-and-spoke ' para ligar uma sede com um grande número de sites do ramo homogénea office. Este simetria bastante simplifica o processo.

Antes de criar os seus próprios objectos de ligação sem a ajuda do KCC, existem vários pontos a considerar:

• Falhas de servidor. Considere o caso onde o controlador de domínio BR1 num site do office ramo está ligado ao controlador de domínio HQ1 no local concentrador da empresa e HQ1 undergoes um erro de hardware, falha de energia ou outro evento catastrófico. Quando a topologia inter-local automática está activada, o KCC encarrega-se de adicionar uma ligação adicional para replicar temporariamente a partir de outro controlador de domínio local concentrador da empresa até HQ1 devolve online. Sem geração automática de topologia inter-local, para garantir que a replicação continua a ocorrer em casos de falhas de servidor, ligações redundantes tem de ser definidas. Definir duas ligações de entrada para BR1, um de HQ1 e um de HQ2. Se existirem dois controladores de domínio na sucursal, BR1 e BR2, a segunda ligação deverá ser de HQ2 para BR2. Isto permite que as actualizações para ser replicada do site do concentrador da empresa no caso de um dos controladores de domínio do office dois ramo falhar.
  
  Ligações redundantes definido desta forma poderão forçar as mesmas actualizações do Active Directory sejam replicados mais do assim, a menos que o transporte IP está a ser utilizado e todas as ligações de entrada para o site tiver o mesmo controlador de domínio de destino dentro do site. Quando utilizar o transporte de SMTP ou vários controladores de domínio de destino, a agenda de replicação deve ser intercalada tal que as actualizações de uma origem são recebidas, aplicadas e replicadas dentro do local de destino antes de é efectuado o pedido à origem de segundo. Expandir o exemplo acima, a primeira ligação poderá replicar nas horas ímpares e a segunda ligação replicar no mesmo horas.
• Posicionamento de catálogo global. Se um site contém GC, um ou mais o GC devem ser utilizado para replicação de e para o site. Se não for efectuada, em seguida, GC não irão permanecer sincronizadas.
• Posicionamento de domínio. Se os controladores de domínio de um determinado domínio são repartidos através de vários sites, um ou mais controladores de domínio desse domínio terá de ser utilizadas para replicação com outros controladores de domínio do mesmo domínio. Isto assegura que os dados de domínio são replicados em todos os controladores de domínio desse domínio. Não é suficiente para um domínio um controlador de domínio no site 1 para replicar apenas com um domínio GC B no site 2 se site 2 contém um controlador de domínio para o domínio a. Uma vez que o domínio B GC tem apenas um subconjunto de atributos para objectos no domínio, não pode actuar como uma conduta para replicar os atributos não neste conjunto entre os controladores de domínio de um domínio.
• Balanceamento de carga. Distribua a carga de replicação de entrada e saída. Por exemplo, se tiver 100 controladores de domínio no site concentrador da empresa e 1000 filiais com 1 controlador de domínio cada, não pretender configurar todas as 1000 ramo office controladores de domínio para replicar a partir do mesmo controlador de domínio no site do concentrador. Em vez disso, carregar saldo que cada controlador de domínio no concentrador da empresa comunica com 10 ramo office locais. Uma vez que apenas uma replicação de entrada pode ocorrer a uma hora e a comunicação com ramo office sites é muitas vezes através de ligações de rede ALARGADA de alargada lenta, irá falhar para efectuar o balanceamento de carga não só a aumentar a carga da CPU e da memória no controlador de domínio local concentrador, mas isto também pode resultar em backlogs muito grandes de dados a replicar.

Uma única execução do KCC também pode ser utilizada para criar ligações, em seguida, podem ser adaptadas por um administrador inicialmente. Se for o KCC inter-local não devem ser executados periodicamente posteriormente, em seguida, o administrador tem de definir ligações de replicação adicionais para que a replicação continua a funcionar no caso de falha do controlador de domínio de origem identificado pela primeira ligação. Se falharem todas as ligações existentes e o KCC inter-local não volte a executar, o administrador tem de ligar directamente o controlador de domínio de destino e criar uma ligação a um controlador de domínio que está acessível. Nas configurações com alta volatility (quando os controladores de domínio de origem ideal estão ocasionalmente indisponíveis durante longos períodos de tempo devido a falhas de rede) é aconselhável ter mais do que uma ligação adicional.

Runkcc.vbs (VBScript para accionar a executar ocasional do KCC)

Microsoft fornece exemplos de programação apenas a título informativo, sem garantia expressa ou implícita. Isto inclui, mas não está limitado a, as garantias implícitas de comercialização ou adequação a um fim específico. Este artigo pressupõe que está familiarizado com a linguagem de programação que está a ser demonstrada e com as ferramentas que são utilizadas para criar e depurar procedimentos. Os engenheiros de suporte da Microsoft podem ajudar a explicar a funcionalidade de um determinado procedimento, mas não modificarão estes exemplos para proporcionarem funcionalidades adicionais nem criarão procedimentos adaptados às necessidades específicas do utilizador. ' * / runkcc.vbs
'*/
<none>' * / Parâmetros: <nenhum>
' * / Objectivo: quando executado num controlador de domínio, este script torna o controlador de domínio local entre os locais
' * / Gerador de topologia para seu site, permite a geração de topologia inter-Site temporariamente se estiver desactivado,
' * / executa o processo de geração de topologia KCC e desactiva a geração de topologia inter-local se era
' * / configurado por isso, para começar com.
'*/
'*/

On Error continuar seguinte

Chamar ExecuteKCC()

Pública Sub ReportError)

' informar o utilizador o erro
WScript.Echo "Ocorreu O seguinte erro: (" + cstr(hex(err.number)) + ")" + cstr(err.description)

End Sub

Pública Sub ExecuteKCC)

On Error continuar seguinte

WScript.echo "Loading funções para utilização por este script..."
Definir dll=createobject("iadstools.DCFunctions")
Se err.number <>0, em seguida, ReportError:WScript.Quit
DLL.enabledebuglogging 1

' obter o nome de caixa local
WScript.echo "1 > ligar a máquina local..."
Definir localMachine=GetObject("LDAP://localhost/rootdse")
Se err.number <>0, em seguida, ReportError:Wscript.Quit
ServerName=localmachine.get("dnsHostName")
Se err.number <>0, em seguida, ReportError:WScript.Quit
WScript.echo "2 > máquina local Found" + ucase(ServerName)

' obter o config NC
configNC=localMachine.get("configurationNamingContext")
Se err.number <>0, em seguida, ReportError:Wscript.Quit
WScript.echo "3 > é o contexto de nomeação de configuração:" + configNC

' obter o SiteName desta caixa
domaincontrollerSiteName=dll.dsgetsitename

Se err.number <>0, em seguida, ReportError:Wscript.Quit
WScript.echo "4 > O site para este servidor é:" + domaincontrollersitename

' obter o DN DSA para esta caixa
DSAObj = localMachine.get("dsServiceName")
Se err.number <>0, em seguida, ReportError:Wscript.Quit
WScript.echo "5 > O DN para DSA esta máquina é:" + DSAObj

' ligar ao objecto de definições do site no Directory
SiteSettingsPath = "LDAP: / / localhost/CN = NTDS Settings de sites, CN ="+ domaincontrollerSiteName +", CN = locais," + configNC
Definir SiteSettings=GetObject(SiteSettingsPath)
Se err.number <>0, em seguida, ReportError:WScript.Quit

' tornar a caixa actual de ISTG
WScript.echo "6 > criar" + ucase(ServerName) + "o gerador de topologia inter site para o" + ucase(domaincontrollerSiteName) "site".
SiteSettings.Put "interSiteTopologyGenerator" DSAObj
SiteSettings.SetInfo
Se err.number <>0, em seguida, ReportError:Wscript.Quit

' obter as opções actuais
origOptions=SiteSettings.Get("options")
Se hex(err.number) = "8000500D", em seguida,
origOptions = 0
em seguida, o ElseIf err.number=0
' não fazer nada
Else
ReportError:Wscript.Quit
terminar se
modOptions = origOptions
WScript.echo "7 > actualmente, as opções especificadas para operações de KCC para ISTG neste site está definido para:" + cstr(origOptions)

' Activar o KCC se actualmente desactivada, caso contrário, deixe-sozinho
Se modOPtions 16 E, em seguida,
mod2Options = modOptions 16 XOr
WScript.echo "8 > O KCC está actualmente desactivado para geração de topologia entre locais. Temporariamente reactivar. Definir opções: "+ cstr(mod2Options)
SiteSettings.Put "opções", mod2Options
SiteSettings.SetInfo
Se, em seguida, err.number <>0
ReportError
WScript.echo "Ocorreu um erro durante o processo de modificar o atributo de opções. Verifique para se certificar de que tem o valor original correcto. Este script está a terminar."
Wscript.Quit
terminar se
Else
WScript.echo "8 > O KCC está actualmente activado para processar a geração de topologia entre locais. Nenhuma alteração é necessária antes de accionamento o KCC."
terminar se

' executar o KCC
Result=dll.TriggerKCC(CStr(ServerName))
Se err.number > 0, em seguida, ReportError
Se resultado = 0, em seguida,
WScript.echo "9 > O KCC foi accionado com êxito no" + ucase(ServerName)
Else
WScript.echo "9 > Ocorreu O seguinte erro trigerring o KCC no" + ucase(ServerName) + ":" + dll.lasterrortext
terminar se

' Desactivar o KCC
WScript.echo "10 > Re-writing opções originais (" + cstr(origOptions) + ") para o ISTG."
SiteSettings.Put "opções", origOptions
SiteSettings.SetInfo
Se err.number <>0, em seguida, ReportError:WScript.Quit

End Sub

' fim script

Para obter mais informações sobre o KCC de 2000 do Windows, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft: