Speech title here

Replikacja czyli podr przez katalog tam i z powrotemTomasz OnyszkoSenior Consultant | MicrosoftO mnie ... przy klawiaturze od dobrych 18 lat, z tego ostatnie 9 zawodowo

grafomasko prowadz blog W2K.PL (jak i angielsk wersj na stronach DirTeam.Com)

udzielam si czasami na wss.pl (5.5k+ ) i grupach Usenet

w wolnych od powyszego chwilach pracuj w Microsoft Consulting Services jako Senior Consultant (Identity & Access Management)

Speakers: Please use this slide as a master slide.2AgendaAnatomia DCTopologia replikacjiMechanika raplikacjiLinked Value Replication (LVR)Urgent replicationReplikacja hase

Speakers: This slide is ONLY for agenda. Use next slide to all presentations slides.

3Anatomia DC

DC jaki jest kady widzi ... FQDN ... czyli po prostu nazwa DNS:MTSLHFDC01.W2K.PLDC GUID:objectGUID: 04b1beca-e875-4378-8fd2-59f7b98c13e8;Invocation ID:invocationId: 04b1beca-e875-4378-8fd2-59f7b98c13e8; Partycje katalogu:DN: DC=W2K, ......DN:DC=Configuration, ....5

Identyfikatory DCDC GUID:Warto atrybutu objectGUID instancji obiektu NTDSDSA kontroleraIdentyfikator rejestrowany w ramach _msdcsRekord wymagany do poprawnej replikacjiUywany w ramachTopologii replikacji generowanej przez KCCHigh-Watermark Vector (HVM)Niezmienny w okresie ycia DC

NTDS == Domain Information Tree (Table)6

Identyfikatory DCInvocation IDWarto atrybut invocationID instancji obiektu NTDSDSA kontroleraDomylnie taki sam jak DC GUIDZmieniany po:Odtworzeniu bazy danych DC (poprawnym !!!)Re-host partycji aplikacyjnej (+, -, +)Wymuszoniu przez wpis w rejestrzePoprzednie wartoci przechowywane s w retiredReplDSASignatures

NTDS == Domain Information Tree (Table)7

Naming Context (NC)Kontekst nazewniczy (NC)Partycja katalogu LDAPPartycje w ramach bazy danych DITDIT == Directory Information TreeWyznaczaj granice replikacji danychTypyDomenyKonfiguracjiSchematAplikacyjna NDNC == Non-Domain Naming ContextKontrolowany zakres replikacji

Pokaza na szybko w LDP.EXE gdzie to wszystko si znajduje8Topologia replikacjiMetoda replikacjiReplikacja katalogu (Intra-site) == Notify & pull Zmiany wprowadzone na DC1DC1 wysya powiadomienie do partnerw replikacji (DC2) (notify)W ramach lokacji:Windows 2000: 5 minut (+ 30 sek)Windows 2003 i pniejsze: 15 sekund (+ 5 sek)DC2 da zmian (pull)DC1 wysya zmiany do DC1

W przypadku replikacji Inter-site brak powiadmie (domylnie) == Store & ForwardReplikacja wg ustalonego harmonogramu

NTDS == Domain Information Tree (Table)10Topologia replikacjiTopologia replikacji generowana jest przez KCC \ ISTGKCC == Knowledge Consistancy CheckerISTG == Inter-Site Topology GeneratorRola przydzielana per-siteDomylnie pierwszy DC w lokacji, chyba e:Zostanie zmieniony przez administratora: nTDSSiteSettings -> interSiteTopologyGeneratorNastpi failover w wyniku braku oznak ycia obecnego ISTGTopologia replikacji generowana w oparciu o obiekty lokacji (site), czy (site links) i powizanych z nimi kosztem (cost)

NTDS == Domain Information Tree (Table)11Topologia intra-site

DC2DC1DC3DC4DC5

DC6Powyej 7 DC w ramach lokacji dodawane s dodatkowe obiekty pocze (losowo)Tworzona wedug kolejnoci GUID DC12Change notificationReplikacja inter-site domylnie podlega harmonogramowiMoliwe jest wczenie powiadomie o zmianach:Atrybut options:Obiektu cza (site link): 1 bit (0001)Obiektu poczenia (connection): 3 bit (0100)Wymaga wydajnego cza WANEfektywnie replikacja jak w ramach jednej lokacji

NTDS == Domain Information Tree (Table)13Mechanika replikacjiReplikacja katalogu ADMultimasterOparta na numerach sekwencyjnych USNDotyczyUtworzenia \ zmian obiektwPoza atrybutami non-replicatedUsunicie obiektuPoprzez obiekty tombstonePoza obietami tymczasowymiOriginating updateInformacja o DC, na ktrym dokonana zostaa zmianaReplicated updateWszystkie inne zmiany

NTDS == Domain Information Tree (Table)15USNUpdate Sequence Number64-bitowy numerUtrzymywany lokalnie dla kadego DC Przypisany do kadej wykonanej transakcjiNiezalene od czasu Do czasu USN przypisane do obiektuusnCreated, usnChangedUSN przypisane do atrybutuLokalny USN, originating USN

NTDS == Domain Information Tree (Table)16Jak to dziaa?usnCreated = 1000usnChanged = 1000AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski10001

1000SnKowalski10001

1000givenNameJan10001

1000samAccountNameJan.kowalski10001

1000Dodanie nowego uytkownika:DC: DC 1Lokalny USN: 1000

USN: 1000DB GUID == InvocationIDNTDS == Domain Information Tree (Table)17Jak to dziaa?usnCreated = 2500usnChanged = 2500AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski25001

1000SnKowalski25001

1000givenNameJan25001

1000samAccountNameJan.kowalski25001

1000Replikacja nowego uytkownikaDC: DC2Lokalny USN: 2500

USN: 2500

DB GUID == InvocationIDNTDS == Domain Information Tree (Table)18Jak to dziaa?usnCreated = 2500usnChanged = 2501AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski25001

1000SnKowalski25001

1000givenNameMarian25012

2501samAccountNameJan.kowalski25001

1000Zmiana atrybutu obiektu na DC2

givenName: JangivenName: MarianUSN: 2501DB GUID == InvocationIDNTDS == Domain Information Tree (Table)19Jak to dziaa?usnCreated = 1000usnChanged = 1701AtrybutWartoUSN# WersjiCzasOriginating DC GUIDOriginating USNNameJan Kowalski10001

1000SnKowalski10001

1000givenNameMarian17012

2501samAccountNameJan.kowalski10001

1000Replikacja zmiany z DC2 na DC1

givenName: JangivenName: Marian

givenName: MarianUSN: 1701DB GUID == InvocationIDNTDS == Domain Information Tree (Table)20High-Watermark vectorUtrzymywany per-DC, dla kadej z partycji kataloguZawiera informacj o najwyszych numerach USN zreplikowanych od partnera replikacjiPrzechowywany w atrybucie repsFrom obiektu partycji katalogu

DC1USN: 1500DC4USN: 2350DC2USN: 34565DC3USN: 15432DC InvocationIDHighest known USNDC2 GUID34565DC4 GUID2350repadmin /showrepl /verboseNTDS == Domain Information Tree (Table)21Up-to-dateness vectorUtrzymywany per-DC, dla kadej partycji kataloguZawiera informacj o najwyszych numerach originating USN dla wszystkich DC Przechowywany w atrybucie replUpToDateVector obiektu partycji katalogu

DC1USN: 1000DC4USN: 1111DC2USN: 2501DC3USN: 12456DC InvocationIDHighest originating USNTimestampDC2 GUID2501

DC4 GUID1111

DC3 GUID12456

repadmin /showutdvecNTDS == Domain Information Tree (Table)22Up-to-dateness vector

DC1USN: 1000DC4USN: 1111DC2USN: 2501DC3USN: 12456DC InvocationIDHighest originating USNDC2 GUID2501DC4 GUID1111DC InvocationIDHighest originating USNDC1 GUID1000DC3 GUID12456Up-to-date vector: DC1Up-to-date vector: DC4DC1USN: 1001DC InvocationIDHighest originating USNDC1 GUID1001DC2 GUID2501DC3 GUID12456NTDS == Domain Information Tree (Table)23Metadane replikacji w praktyceLVRReplikacja wielowartoci

JanBorysJanBorysTomek@ 2:14Czarek@2:13DC1DC2

Tomek

TomekReplikacja danych + rozwizanie konfliktuReplikacja wielowartoci (na przykadzie grup):Uytkownik dodany do grupy na DC2W tym samym czasie dodany zostaje inny uytkownik na DC1Wedug standardowych regu rozwizywania konfliktwZachowana zostaje ostatnia zmianaZmiany z DC2 zostaj utracone

NTDS == Domain Information Tree (Table)26Linked Value Replication

JanBorysJanBorysTomek@ 2:14Czarek@2:13DC1DC2

Tomek

CzarekReplikacja danychKada z wartoci to osobna zmianaReplikacja wielowartoci z uyciem LVR:Uytkownicy dodani na rnych DC w tym samym czasieKada z wartoci posiada wasne metadane replikacji-> BRAK KONFLIKTU DANYCHUsuwa ograniczenie do 5 tys czonkw w grupie

Czarek

Tomekrepadmin /showvalue NTDS == Domain Information Tree (Table)27Linked Value ReplicationUrgent replicationUrgent replicationPilna replikacja danychWywoywana przez SAM lub LSA, nigdy przez zmiany z uyciem LDAP

Wyzwalana w wypadku:Zmiany hasa LSAReplikacji informacji o zablokowaniu konta (lockout)Zresetowaniu hasa uytkownikaWymuszenie wyganicia hasa konta uytkownikaZmiana waciciela roli RID MasterZmiana wartoci atrybutu userAccountControl

Pilna oznacza:Wymuszenie natychmiastowe cykly replikacji w ramach lokacjiUstawienie flagi urgent dla powiadomienia o zmianach

NTDS == Domain Information Tree (Table)30Kolejki replikacjiReplikacja haseReplikacja hasaUytkownik zmienia hasoDomylnie haso jest przekazywane do PDC Emulator -> bezporednie wywoanie RPC -> best effort, czyli nie ma gwarancji dostarczenia hasa do PDCE

AvoidPDConWAN (rejestr)-> Standardowa replikacja danych

DC1PDCZmiana hasaBezporednie wywoanie RPCReplikacja danych kataloguNTDS == Domain Information Tree (Table)33PDC chainingAdministrator resetuje haso \ zmiana na innym DCUytkownik loguje si-> bd hasaDC przekazuje haso do PDC Emulator-> Poprawnie zweryfikowane hasoPDC Emulator inicjuj replikacj danych-> Replicate single object (repadmin.exe)Uytkownik moe si zalogowa

DC1PDC

Zmiana hasaLogowanieNTDS == Domain Information Tree (Table)34Podsumowanie

Oce moj sesjAnkieta dostpna na stronie www.mts2008.pl Dodatkowe komentarze mile widziane:E-mail: t.onyszko@w2k.plBlog: http://www.w2k.plSpeakers: Please do not remove nor edit this slide! This is information about evaluation form.

36 2008 Microsoft Corporation. Wszelkie prawa zastrzeone. Microsoft, Windows oraz inne nazwy produktw s lub mog by znakami towarowymi lub zastrzeonymi znakami towarowymi firmy Microsoft wStanach Zjednoczonych iinnych krajach. Zamieszczone informacje maj charakter wycznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ADNYCH GWARANCJI (WYRAONYCH WPROST LUB DOMYLNIE), WTYM TAKE USTAWOWEJ RKOJMI ZA WADY FIZYCZNE IPRAWNE, CO DO INFORMACJI ZAWARTYCH WTEJ PREZENTACJI.