Seit der Einführung von Active Directory im Rahmen von Windows 2000 Server spielt die Technologie im Arbeitsalltag von IT-Administratoren eine wichtige Rolle. Windows 2000 Server wurde am 17. Februar 2000 veröffentlicht, doch viele Administratoren begannen schon Ende 1999 mit der Nutzung von Active Directory, das am 15. Dezember 1999 als RTM-Version bereitgestellt wurde.
In diesem Teil unseres Tutorials geht es um die Active Directory-Replikation.
Replikation von Active Directory
Bei der Active Directory-Replikation werden Active Directory-Objekte von einem Domänencontroller auf einen anderen übertragen und aktualisiert.
Abhängig davon, wo sich Domänencontroller innerhalb einer Struktur und an einem Standort befinden, werden die Verbindungen zwischen den Domänencontrollern hergestellt. Jeder Standort in Active Directory enthält ein oder mehrere Subnetze, die den IP-Adressbereich des Standorts festlegen. Durch Zuordnung der IP-Adresse eines Domänencontrollers zu einem Subnetz weiß Active Directory, welche Domänencontroller sich an welchem Standort befinden. Es werden Verbindungen zwischen den einzelnen Standorten konfiguriert, damit Active Directory-Objekte zwischen den Standorten repliziert werden können.
Technologien
Für eine erfolgreiche Active Directory-Replikation werden die folgenden Technologien benötigt:
- DNS
- Remoteprozeduraufruf (RPC)
- SMTP (optional)
- Kerberos
- LDAP
Hauptkomponenten
Es gibt vier wesentliche Methoden für die Active Directory-Replikation:
- Multimaster-Replikation
Im Gegensatz zur Einzelmaster-Replikation in Windows NT 4.0 sorgt die Multimaster-Replikation dafür, dass jeder Domänencontroller Aktualisierungen für Objekte erhalten kann, die er autorisiert. Dies ermöglicht Fehlertoleranz in einer Active Directory-Umgebung.
- Pull-Replikation
Die Pull-Replikation sorgt dafür, dass Objektänderungen nicht automatisch (vor allem nicht unnötigerweise) bereitgestellt, sondern von Domänencontrollern angefordert werden. Bei der Pull-Replikation entsteht etwas weniger Datenverkehr zwischen den Domänencontrollern.
- Speichern-und-Weiterleiten-Replikation
Die Speichern-und-Weiterleiten-Replikation sorgt dafür, dass jeder Domänencontroller mit einer Untergruppe von Domänencontrollern kommuniziert, um die Objektänderungen zu übertragen. Bei der Speichern-und-Weiterleiten-Replikation kommunizieren alle Domänencontroller miteinander, was nicht sehr effizient ist. Die Speichern-und-Weiterleiten-Replikation verteilt die Replikationslast auf die verschiedenen Domänencontroller in einer Active Directory-Umgebung.
- Statusbasierte Replikation
Die statusbasierte Replikation sorgt dafür, dass jeder Domänencontroller den Status von Replikationsaktualisierungen überwacht. Dadurch lassen sich Konflikte und unnötige Replikationsvorgänge vermeiden.
Replikationsverwaltung
Replikationen werden von der Konsistenzprüfung (Knowledge Consistency Checker, KCC) verwaltet.
KCC verwaltet die Replikation zwischen Domänencontrollern an einem Standort mithilfe automatisch erstellter Verbindungen. Die Konsistenzprüfung liest Konfigurationsdaten aus und liest und schreibt die Verbindungsobjekte für die Domänencontroller. Sie kommuniziert ausschließlich per RPC mit dem Verzeichnisdienst.
Bei der standortübergreifenden Replikation werden Änderungen ohne Komprimierung umgehend an die Domänencontroller übermittelt. Hierfür sind benutzerdefinierte Verknüpfungen erforderlich, die zunächst erstellt werden müssen. KCC erstellt mithilfe dieser Verknüpfungen eine Topologie, sodass die Replikation für alle Verknüpfungen zwischen Standorten verwaltet werden kann.
Die Standortverbindungen können nach einem Zeitplan gesteuert werden und die Replikationsdaten werden komprimiert, um die Bandbreitenauslastung zu minimieren. Der standardmäßige Replikationszeitplan für Verbindungen zwischen Standorten beträgt 180 Minuten. Für die meisten Unternehmen ist dieser Zeitraum viel zu lang. Über die Benutzeroberfläche kann der Wert auf bis zu 15 Minuten verringert werden, durch Änderung der Registrierung sind sogar noch kürzere Zeitfenster möglich.
Die Paketgröße für eine Replikation richtet sich nach der Größe des Arbeitsspeichers des Domänencontrollers. Standardmäßig ist die Paketgröße auf ein Hundertstel der Arbeitsspeichergröße beschränkt. Die Mindestgröße beträgt 1 MB, die maximale Größe 10 MB. Die maximale Anzahl von Objekten in einem Paket beträgt ein Millionstel der Größe des Systemarbeitsspeichers (mindestens 100 und höchstens 1.000 Objekte). Bei modernen Servern mit über 1 GB Arbeitsspeicher beinhalten Replikationspakete daher bis zu 10 MB Daten oder bis zu 1.000 Objekte. Die maximale Paketgröße und die Höchstzahl von Objekten können durch Änderung des Eintrags „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters“ in der Registrierung konfiguriert werden.
Primäre Replikationskomponenten
Die folgenden Komponenten kommen als primäre Replikationskomponenten zum Einsatz:
- Konsistenzprüfung (Knowledge Consistency Checker, KCC)
Die Konsistenzprüfung ist ein Prozess, der auf jedem Domänencontroller ausgeführt wird und zum Lesen und Schreiben von Replikationsobjekten direkt mit Ntdsa.dll kommuniziert.
- Verzeichnissystem-Agent
Der Verzeichnissystem-Agent ist eine Verzeichnisdienstkomponente, die als Ntdsa.dll auf jedem Domänencontroller ausgeführt wird. Er stellt eine Schnittstelle bereit, über die Dienste und Prozesse die Verzeichnisdatenbank auslesen können.
- Extensible Storage Engine (ESE)
Die Extensible Storage Engine verwaltet die Datensätze in der Verzeichnisdatenbank, die eine oder mehrere Spalten enthalten können.
- Remoteprozeduraufruf (RPC)
Die Active Directory-Replikation wird mithilfe des RPC-Protokolls kommuniziert. RPC ist ein Kommunikationsprotokoll, das Entwicklern das Ausführen von Code auf einem lokalen System oder einem Remotesystem ermöglicht, ohne speziellen Code für die Remoteausführung entwickeln zu müssen. Die Konsistenzprüfung kommuniziert ebenfalls über das RPC mit Domänencontrollern, um Informationen für die Erstellung der Replikationstopologie anzufordern.
- Generator für standortübergreifende Topologie (Intersite Topology Generator, ISTG)
Der ISTG verwaltet die standortübergreifenden eingehenden Replikationsverbindungsobjekte für einen bestimmten Standort. An jedem Standort gibt es einen ISTG-Server. Der erste Domänencontroller an einem Standort ist standardmäßig der ISTG. Um den ISTG am Standort „HQ“ in einer Domäne namens tailspintoys.com zu ermitteln, können Sie den Windows PowerShell-Befehl „Get- ADObject -Identity “cn=NTDS Site Settings,cn=HQ,cn=sites,cn=configuration,dc=tailspintoys,dc=com” -Properties interSiteTopologyGenerator |Select interSiteTopologyGenerator“ ausführen.
Die folgenden Active Directory-Objekte werden von der Konsistenzprüfung und ihren Komponenten verwendet:
- Standorte
Standorte sind Active Directory-Objekte der Klasse „Standort“, die den Subnetzen am jeweiligen Standort entsprechen.
- Subnetze
Subnetzobjekte gehören der Klasse „Subnetz“ an und bestimmen das Netzwerk-IP-Subnetz für einen Standort.
- Server
Ein Serverobjekt gehört zur Klasse „Server“ und besteht aus Servercomputern (z. B. Domänencontrollern). Serverobjekte werden als Sicherheitsprinzipale behandelt, die in einer separaten Verzeichnispartition gespeichert werden und über separate global eindeutige IDs (GUIDs) verfügen.
- NTDS-Einstellungen
NTDS-Einstellungsobjekte gehören der Klasse „nTDSDSA“ an und sind Active Directory-Instanzen auf einem bestimmten Domänencontroller.
- Verbindungen
Verbindungsobjekte gehören der Klasse „nTDSConnection“ an und definieren einen unidirektionalen, eingehenden Pfad von einem Quell-Domänencontroller zum Domänencontroller, auf dem das Verbindungsobjekt gespeichert ist.
- Standortverknüpfungen
Standortverknüpfungsobjekte gehören zu Klasse „siteLink“ und identifizieren das Protokoll und den Zeitplan für die Replikation von Daten zwischen zwei oder mehr Standorten.
- NTDS-Standorteinstellungen
NTDS-Standorteinstellungsobjekte gehören der Klasse „nTDSSiteSettings“ an und identifizieren die standortweiten Einstellungen für Active Directory. Es gibt nur ein NTDS-Standorteinstellungsobjekt pro Standort im Standortcontainer.
- Querverweis
Querverweisobjekte gehören der Klasse „crossRef“ an und speichern den Pfad von Active Directory-Partitionen im Partitionencontainer.
Das Schaubild unten zeigt einen typische Active Directory-Umgebung mit zwei Standorten und verschiedenen Replikationskomponenten.
Replikationsbefehle und -Tools
Mit Windows PowerShell in Windows Server 2012 wurden 25 Cmdlets speziell für die Verwaltung der Active Directory-Replikation bereitgestellt. Diese Cmdlets bieten Funktionen beispielsweise für die Anzeige von Replikationsinformationen, die Konfiguration von Standorten, die Verwaltung von Standortverknüpfungen und die automatische Durchführung der Replikation.
Auch mit dem Befehlszeilen-Tool RepAdmin.exe können Informationen angezeigt und Active Directory-Replikationen konfiguriert werden.
Ein weiteres Replikations-Tool ist das Active Directory Replication Status Tool. Es steht unter http://www.microsoft.com/en-us/download/details.aspx?id=30005zur Verfügung. Sie können damit Fehler bei der Active Directory-Replikation analysieren und beheben.
Weitere Informationen zu Active Directory finden Sie auch in unserem Active Directory-Tutorial für Einsteiger.