Como otimizar a replicação do Active Directory em uma rede grande

Este artigo descreve como otimizar a replicação do Active Directory em configurações de rede grande.

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de que você siga estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento: O Knowledge Consistency Checker (KCC) ajusta dinamicamente a topologia de replicação de dados de sua rede quando controladores de domínio são adicionados ou removidos da rede, quando um controlador de domínio não está disponível ou quando as agendas de replicação de dados são alteradas.

As tarefas o KCC são:

• Com base na topologia da rede descrita por objetos do Active Directory, o KCC cria objetos de conexão que são usados para definir a replicação de entrada e saída para controladores de domínio:
  
  
  • Para fontes dentro do mesmo site, de entrada para o controlador de domínio no qual o KCC está sendo executado.
  • Para fontes em sites diferentes, entrada para o site no qual o KCC está sendo executado se o controlador de domínio no qual o KCC está sendo executado é interSiteTopologyGenerator escolhido para seu site.
• Converta objetos de conexão de serviço de diretório do Microsoft Windows NT (ntdsConnection) definidas pelo KCC e definidas pelo administrador em uma configuração compreendida pelo mecanismo de replicação do serviço de diretório (DS).

Por padrão, cada uma dessas tarefas é executada a cada 15 minutos. Para obter mais informações sobre o KCC, consulte o capítulo Active Directory Replication no Windows 2000 Resource Kit.

Exemplo

Em algumas configurações de site grande que contém muitos sites, domínios muitos ou muitos sites de betweens rotas, o KCC entre sites executa lentamente, consumindo recursos de tempo e memória muito unidade de processamento central (CPU).

Se o número de domínios na sua rede D, S é o número de sites em sua rede, e em seguida, você pode ignorar com segurança o restante deste artigo.

A tabela a seguir lista os tempos de execução e ilustrações de consumo de memória para um entre sites KCC executando em uma variedade de configurações de hub e spoke com nenhum ajuste de desempenho aplicada. Cada site contém um controlador de domínio para um único domínio e um catálogo global. Domínios são distribuídos igualmente entre os sites. Ponte de link de site automática está habilitada. Medições foram feitas em um Intel Pentium III Xeon 500 MHz com 1 gigabyte (GB) de RAM (Random Access Memory). Uso de memória inclui cache do banco de dados. Consumo de memória será menor em computadores com memória física menos.

A fórmula para o tempo de execução é: Você pode determinar quanto tempo o KCC executa em sua configuração existente usando o snap-in Serviços e sites do Active Directory:

1. Determine qual controlador de domínio no site é o gerador de topologia entre sites atual exibindo as propriedades do objeto de configurações de site NTDS.
2. Tempo de execução do KCC no controlador de domínio:
   
   
   1. Clique com o botão direito do mouse em NTDS Settings.
   2. Clique em Verificar topologia de replicação.

Além disso, você pode monitorar o tempo de execução do KCC em uma base contínua usando o Editor para exibir a seguinte chave do Registro: Altere o valor "1 KCC" para um valor de 3 ou superior.

Com esse valor definido para 3 ou superior, o KCC registrará eventos 1009 e 1013 para indicar o início e término da verificação.

Recomendações

Se sua configuração não satisfaz os critérios acima, use o método apropriado:

Reduzir o uso de pontes de link de site na sua configuração de site

Esta opção funciona bem em típico hub e spoke configurações reduzindo o número de rotas possíveis entre sites.

Ponte de link de site automática indica que toda a rede é totalmente IP (Internet Protocol) roteadas. Nessa situação, qualquer computador em um determinado site pode comunicar sobre IP com qualquer computador em qualquer site. Ponte de link de site automático está habilitado para IP e SMTP (Simple Mail Transport Protocol) transportes entre sites por padrão. Desativar esse recurso requer que você adicione ponte de link de site explícita de objetos onde necessário. Pontes de link de site são necessários somente se um determinado site contiver um controlador de domínio de um domínio que não está presente em qualquer site adjacente, mas outro controlador de domínio desse domínio ocorrer em outros sites na floresta. Um site adjacente é definido para ser qualquer site incluído em qualquer link de site que contém o site em questão. Maioria das configurações não exigem o uso de pontes de link de site, porque quase sempre é qualquer site mantendo um controlador de domínio de um determinado domínio ocorre em mais de um site adjacente pelo menos um outro site que contém um controlador de domínio do mesmo domínio.

Se o KCC não puder diretamente ou transitivamente conectar todos os sites que contém controladores de domínio de um determinado domínio após desabilitar a ponte de link de site automática, o KCC registrará evento 1311.

Exemplo

O verificador de consistência do serviço diretório determinou que tanto:

1. Não é suficiente conectividade física publicada usando o Gerenciador de serviços e sites do Active Directory para criar uma estrutura estendida conectando todos os sites na floresta.
2. Replicação não pode ser executada com um ou mais servidores críticos para alterações propagar em todos os sites. Isso é freqüentemente devido a servidores sendo inacessível.

Para resolver um problema, use o Gerenciador de serviços e sites do Active Directory para fazer o seguinte:

• Publica informações suficientes de conectividade de site que o computador pode inferir um roteamento pelo qual esta partição pode acessar este site. Esta opção é preferida.
• Adicionar um objeto ntdsConnection para um controlador de domínio que contém o controlador de domínio partição = europe, controlador de domínio = mycorp, controlador de domínio = com neste site de um controlador de domínio que contém a mesma partição em outro site.

Para resolver o problema B, examine o log de eventos atual para determinar qual servidor ou servidores não podem ser contatados pelo KCC.

Para desabilitar pontes de link de site automática:

1. Clique duas vezes no snap-in Serviços e sites do Active Directory.
2. Clique com o botão direito do mouse no objeto de transporte IP e clique em Propriedades.
3. No recipiente Transportes entre sites, clique na caixa de seleção apropriada para desmarcá-la e clique em OK.

Ainda há limites para as configurações para o qual o KCC pode calcular automaticamente uma topologia entre sites, mesmo quando nenhum pontes de link de site está sendo usado. A tabela a seguir lista os tempos de execução e ilustrações de consumo de memória para o KCC entre sites em execução em uma variedade de configurações de hub e spoke. Cada site contém um controlador de domínio de um único domínio e um catálogo global (GC). Domínios são distribuídos igualmente entre os sites. Ponte de link de site automática é desabilitada e pontes de link de site foram definidos. Medições foram feitas em um Intel Pentium III Xeon 500 MHz com 1 GB de RAM; tempos de execução em processadores Intel Pentium II 200 MHz são sobre dupla aqueles listados. Uso de memória inclui cache do banco de dados. Consumo de memória será menor em computadores com memória física menos.

A fórmula para o tempo de execução para sites satélite é onde o number of domains é o número de domínios e number of sites é o número de sites.

A fórmula para sites de hub é:

Execute o KCC Inter-site somente durante fora do horário de pico

Esta opção funciona bem quando o computador tem um slot de hora quando pouco trabalho está sendo feito e um KCC entre sites executar caiba no slot de hora. Essa técnica normalmente seria usada somente se o uso de ponte de link de site já foi reduzido e o tempo de execução ou o uso de memória do KCC permanece um problema durante o horário comercial crítico.

KCCs em um determinado site podem ser configurados para desabilitar apenas o cálculo de topologia entre sites, mantendo sua capacidade para responder a alterar requisitos de duplicação dentro do site. O cálculo de topologia entre sites pode então ser reabilitado em uma hora específica do dia longo o suficiente para um KCC no site executar a verificação entre sites e, em seguida, pode ser desabilitado novamente.

Quando a verificação de topologia entre sites é desabilitada para um site específico, esse site não responderá a alterações na topologia entre sites. Se um ou ambos os parceiros de replicação para todas as conexões entre sites replicam um determinado domínio não estiverem disponíveis, não será feita nenhuma adaptação automática KCC para uma nova origem ou destino até que os controladores de domínio vêm online ou parte do KCC entre sites é executado novamente.

Observação: O administrador pode adicionar manualmente conexões enquanto o KCC está desativado entre sites.

Para avaliar se esta opção é realista em sua configuração, determine o KCC quanto tempo leva para executar no seu ambiente. Determine se há um bloco de tempo em um controlador de domínio em cada site para acomodar os requisitos de tempo e memória. Não é necessário para a parte entre sites do KCC para ser executado em todos os sites ao mesmo tempo.

Para agendar o KCC entre sites, use o componente Agendador para agendar execuções de "wscript /b runkcc.vbs" (o script no formulário de texto incluído neste artigo). Para obter mais informações sobre o Agendador de tarefas, consulte o tópico Agendador na Ajuda do Windows 2000. Runkcc.vbs requer as ferramentas de suporte na pasta Support\Tools no CD-ROM do Windows 2000 para ser instalado no computador no qual é executado.

Desativar totalmente o KCC entre sites, configurar conexões manualmente

Esta opção funciona bem em configurações típica hub-spoke. Ele normalmente é usado somente quando os dois métodos anteriores não são opções viáveis, especialmente em configurações com milhares de sites.

Quando automática de topologia entre sites é desabilitada inteiramente, torna a responsabilidade do administrador para criar objetos de conexão para garantir que dados de replicação continua fluam através da floresta a duplicação entre sites necessária. Normalmente, os clientes com suficiente sites superar os limites do KCC empregam topologias de rede de hub e spoke para conectar uma sede corporativa com um grande número de sites de escritório filial homogêneo. Este simetria simplifica bastante o processo.

Antes de criar seus próprios objetos de conexão sem a Ajuda do KCC, há vários pontos a considerar:

• Falhas de servidor. Considere o caso onde o controlador de domínio BR1 em um site de filial é conectado ao controlador de domínio HQ1 no site do hub corporativo e HQ1 é submetido a um erro de hardware, falha de energia ou algum outro evento catastrófico. Quando automática de topologia entre sites está habilitada, o KCC cuida de adicionar uma conexão adicional para replicar temporariamente de outro controlador de domínio no site do hub corporativo até HQ1 retorna online. Sem geração automática de topologia entre sites, para garantir que a replicação continua ocorrer em casos de falhas de servidor, conexões redundantes devem ser definidos. Definir duas conexões de entrada para BR1 de HQ1 e uma de HQ2. Se houver dois controladores de domínio da filial BR1 e BR2, a segunda conexão deve ser de HQ2 para BR2. Isso permite que as atualizações sejam replicados do site do hub corporativo que um dos controladores de domínio de dois filiais falhar.
  
  Conexões redundantes definidas dessa maneira podem forçar as mesmas atualizações do Active Directory para ser replicado mais do que uma vez a menos que o transporte IP está sendo usado e todas as conexões de entrada para o site tem o mesmo controlador de domínio de destino dentro do site. Ao usar transporte SMTP ou vários controladores de domínio de destino, a agenda de replicação deve ser intercalada tal que atualizações de uma fonte são recebidas, aplicadas e replicadas dentro do site de destino antes de feita a solicitação para a segunda fonte. Estendendo o exemplo acima, a primeira conexão pode replicar em horas ímpares e a segunda conexão replicar em até mesmo horas.
• Posicionamento de catálogo global. Se um site contiver GCs, um ou mais os GCs devem ser usado para replicação para e partir do site. Se não for feito, GCs não permanecerão sincronizados.
• Posicionamento do domínio. Se os controladores de domínio de um domínio específico são espalhadas por vários sites, um ou mais controladores de domínio desse domínio devem ser usados para duplicação com outros controladores de domínio desse mesmo domínio. Isso garante que dados de domínio são replicados em todos controladores de domínio desse domínio. Não é suficiente para um domínio de um controlador de domínio no site 1 para duplicar somente com um domínio GC B no site 2 se o site 2 contém um controlador de domínio para o domínio a. Porque o domínio B GC tem apenas um subconjunto dos atributos de objetos no domínio A, não pode atuar como conduit para replicar atributos este conjunto de entre controladores de domínio A domínio.
• Balanceamento de carga. Distribua a carga de duplicação de entrada e saída. Por exemplo, se você tiver 100 controladores de domínio em seu site do hub corporativo e 1000 filiais com 1 controlador de domínio cada, você não deseja configurar todos os 1000 controladores de domínio das filiais para replicar do mesmo controlador de domínio no seu site de hub. Em vez disso, carregar saldo que cada controlador de domínio no hub corporativo se comunica com 10 sites de escritório filial. Como apenas uma duplicação de entrada pode ocorrer em uma hora e a comunicação com sites de escritório filial freqüentemente é através de vínculos do lentos de wide area network (WAN), Falha ao carregar saldo irá não apenas aumentar a carga de CPU e memória no controlador de domínio do site de hub, mas isso também pode resultar em backlogs muito grandes de dados para replicar.

Uma única execução do KCC também pode ser usada para criar conexões que podem ser adaptados por um administrador inicialmente. Se o KCC entre sites é executado periodicamente daí em diante, o administrador deve definir conexões de duplicação adicionais para que a replicação continua a funcionar no caso de falha do controlador de domínio de origem identificado pela primeira conexão. Se todas as conexões existentes falharem e o KCC entre sites não execute novamente, o administrador deve se conectar diretamente ao controlador de domínio de destino e criar uma conexão para um controlador de domínio que está acessível. Em configurações com alta volatilidade (quando os controladores de domínio de origem ideal estão ocasionalmente indisponíveis por longos períodos de tempo devido a falhas de rede) é aconselhável ter mais de uma conexão extra.

Runkcc.vbs (VBScript disparador execução ocasional do KCC)

A Microsoft fornece exemplos de programação apenas para ilustração, sem garantia expressa ou implícita. Isso inclui, mas não está limitado a, garantias implícitas de comercialização ou adequação para uma finalidade específica. Este artigo presume que você esteja familiarizado com a linguagem de programação que está sendo demonstrada e com as ferramentas usadas para criar e depurar procedimentos. Engenheiros de suporte podem ajudar a explicar a funcionalidade de um determinado procedimento, mas eles não modificarão esses exemplos para fornecer funcionalidades adicionais ou construir procedimentos para atender a necessidades específicas. ' * / runkcc.vbs
'*/
<none>' * / Parâmetros: <nenhum>
' * / Finalidade: quando executado em um controlador de domínio, esse script faz o controlador de domínio local entre sites
' * / Gerador de topologia para seu site, permite geração da topologia inter-Site temporariamente se ele está desativado
' * / executa o processo de geração de topologia do KCC e desativa a geração da topologia entre sites se ele foi
' * / configurado assim, para começar com.
'*/
'*/

On Error Resume Next

Chamar ExecuteKCC()

() ReportError Sub público

' dizer ao usuário o erro
Wscript.Echo "Ocorreu O erro a seguir: (" + cstr(hex(err.number)) + ")" + cstr(err.description)

End Sub

(Pública) Sub ExecuteKCC

On Error Resume Next

Wscript.Echo "Carregando funções para uso por esse script..."
Definir dll=createobject("iadstools.DCFunctions")
Se err.number <>0 e ReportError:WScript.Quit
DLL.enabledebuglogging 1

' obter o nome de caixa local
Wscript.Echo "1 > conectando a máquina local..."
Definir localMachine=GetObject("LDAP://localhost/rootdse")
Se err.number <>0 e ReportError:Wscript.Quit
ServerName=localmachine.get("dnsHostName")
Se err.number <>0 e ReportError:WScript.Quit
Wscript.Echo "2 > máquina local encontrou" + ucase(ServerName)

' obter config NC
configNC=localMachine.get("configurationNamingContext")
Se err.number <>0 e ReportError:Wscript.Quit
Wscript.Echo "3 > é o contexto de nomenclatura de configuração:" + configNC

' obter o SiteName desta caixa
domaincontrollerSiteName=dll.dsgetsitename

Se err.number <>0 e ReportError:Wscript.Quit
Wscript.Echo "4 > é o site para este servidor:" + domaincontrollersitename

' obter o DN DSA para esta caixa
DSAObj = localMachine.get("dsServiceName")
Se err.number <>0 e ReportError:Wscript.Quit
Wscript.Echo "5 > O DN para DSA da máquina é:" + DSAObj

' vincular o objeto de configurações de site no diretório
SiteSettingsPath = "LDAP: / / localhost/CN = NTDS Site Settings, CN ="+ domaincontrollerSiteName +", CN = Sites," + configNC
Definir SiteSettings=GetObject(SiteSettingsPath)
Se err.number <>0 e ReportError:WScript.Quit

' Verifique a caixa atual o ISTG
Wscript.Echo "6 > fazendo" + ucase(ServerName) + "o gerador de topologia de site o para o" + ucase(domaincontrollerSiteName) + "site".
SiteSettings.Put "interSiteTopologyGenerator" DSAObj
SiteSettings.SetInfo
Se err.number <>0 e ReportError:Wscript.Quit

' obter as opções atuais
origOptions=SiteSettings.Get("options")
Se hex(err.number) = "8000500D", em seguida,
origOptions = 0
em seguida, err.number=0 ElseIf
' não fazer nada
Else
ReportError:Wscript.Quit
fim se
modOptions = origOptions
Wscript.Echo "7 > atualmente, as opções especificadas para operações de KCC para o ISTG este site é definido como:" + cstr(origOptions)

' Ativar o KCC se atualmente desativada, caso contrário, deixe-sozinho
Se modOPtions 16 E então
mod2Options = modOptions XOr 16
Wscript.Echo "8 > O KCC está atualmente desativado para geração da topologia entre sites. Reativá-lo temporariamente. Definindo opções: "+ cstr(mod2Options)
SiteSettings.Put "Opções" mod2Options
SiteSettings.SetInfo
Se err.number <>0 então
ReportError
Wscript.Echo "Ocorreu um erro durante o processo de modificar o atributo de opções. Verifique se ele tem o valor original correto. Este script está sendo encerrado."
Wscript.Quit
fim se
Else
Wscript.Echo "8 > O KCC está ativado no momento para manipular a geração da topologia entre sites. Nenhuma alteração é necessária antes de disparar o KCC."
fim se

' executar o KCC
Result=dll.TriggerKCC(CStr(ServerName))
Se err.number > 0 e ReportError
Se resultado = 0, em seguida,
Wscript.Echo "9 > O KCC foi acionado com êxito em" + ucase(ServerName)
Else
Wscript.Echo "9 > O erro a seguir ocorreu trigerring o KCC em" + ucase(ServerName) + ":" + dll.lasterrortext
fim se

' desabilitar o KCC
Wscript.Echo "10 > Re-writing opções originais (" + cstr(origOptions) + ") para o ISTG."
SiteSettings.Put "Opções" origOptions
SiteSettings.SetInfo
Se err.number <>0 e ReportError:WScript.Quit

End Sub

' end script

Para obter mais informações sobre o KCC de 2000 do Windows, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento: