複寫

適用於: Operations Manager 2007

「複寫」是網域中的網域控制站交換對目錄所做的變更時使用的機制。此機制對於樹系中的 Active Directory 部署運作非常重要。複寫這個主題既廣且深,而 Active Directory Management Pack 所嘗試要監視的範圍並不是要全面檢視複寫的每一個層面。以這個管理組件來說,您應盡可能監視複寫的重要層面,讓 IT 管理人員能夠針對環境中的複寫作業進行整體評估。

複寫的下列四個特定層面會受到監視:

  • 複寫提供者 – 此層面使用 Windows Management Instrumentation (WMI) 來指出網域控制站與其複寫協力電腦之間的複寫連結狀況良好或不良。

  • 複寫協力電腦計數 – 此層面會驗證特定的網域控制站沒有太多或太少的複寫協力電腦。

  • 複寫延遲 – 此層面會驗證目錄的更新是否在合理的時間範圍內傳播到其他網域控制站。

  • 操作主機一致性檢查 – 此層面會驗證特定網域控制站所有複寫協力電腦的各種操作主機角色持有者是否一致。

系統會監視複寫的這四個層面,讓您全面檢視 Active  Directory 環境的複寫機制。在某些情況下,使用更專業的監視複寫工具是比較適當的作法。例如,如果複寫提供者驗證失敗,系統可能會指引您使用 Replprov 工具來收集更多關於失敗的詳細資訊。

複寫提供者

資料在網域控制站之間的複寫路徑是以複寫連結來表示。這些連結是邏輯實體 (實際上是以目錄中的物件來表示),當網域控制站需要複寫時,就會參考它們。複寫連結的健全狀況對於判斷複寫的健全狀況非常重要。Active Directory Management Pack 會使用 WMI 來判斷這些連結的健全狀況狀態。判斷複寫連結健全狀況的方式是檢查 WMI 中的 MSAD_ReplNeighbor 物件。您可以在這裡 (http://go.microsoft.com/fwlink/?LinkId=122796) 找到關於此物件的資訊。複寫提供者檢查會特別監視 MSAD_ReplNeighbor 物件的下列層面:

  • ModifiedNumConsecutiveSyncFailures 是否少於 2

  • TimeOfLastSyncSuccess 是否不到 14 天

複寫協力電腦計數

由於複寫是 Active Directory 環境的重要基石之一,因此樹系中的 DC 都必須能夠彼此進行複寫,而且網域控制站之間也不能建立過多的連線。過多的連線可能會拖慢樹系的效能,但缺乏連線又可能會產生複寫站台孤立區。當特定站台中的單一網域控制站或網域控制站群組未與其他站台的網域控制站建立任何連線時,就產生了複寫站台孤立區。複寫站台孤立區中的網域控制站無法將本身的變更傳播到網域和樹系中的其他網域控制站。

複寫協力電腦計數會特別驗證下列三種情況是否存在:

  • 網域控制站一定至少有一個輸出連線. 由於複寫連線一律視為輸入連線,因此不需要記錄輸出連線。這表示複寫協力電腦計數機制將會檢查網域中所有其他網域控制站,確認該網域控制站是否具有連線,以驗證最少數目的連線確實存在。附註: 包含單一網域控制站的網域被視為孤立網域控制站,因此會忽略複寫協力電腦計數檢查。

  • 網域控制站至少有一個連至其他站台的連線。 當站台建立時,它們必須有方法來將其他站台的變更複寫到網域控制站。根據預設,當站台在初始 Default-Site-First-Name 站台以外的範圍建立時,企業系統管理員就必須建立站台連結來連接這兩個站台。站台一定必須至少有一個連至其他站台的站台間連線。附註: 如果網域或樹系只包含單一站台,就會忽略複寫站台孤立區檢查。

  • 網域控制站沒有超過指定的連線數目。 當網域控制站有太多連線時,目錄的效能可能會下降。複寫協力電腦計數驗證機制會確認網域控制站沒有太多的連線。這個閾值是指令碼參數,因此可以針對特定環境覆寫和自訂。

複寫延遲

複寫延遲監視的目的是要確保能夠在整個樹系中適當複寫變更。Active Directory 部署是由網域控制站組成,所有網域控制站 (除了唯讀網域控制站) 都能夠修改集合目錄。當系統記錄到變更時,就會在指定的時間範圍內複寫到鄰近的網域控制站。

此管理組件監視複寫延遲的方式是將變更插入目錄中,然後判斷這項變更複寫到樹系內所有其他網域控制站需要多久。這個值可能會隨著不同的網域控制站而改變。將變更複寫到整個樹系所需的最大判定時間稱為聚合延遲。

延遲監視會根據每個命名內容來進行。在一般的網域控制站上,目錄中會有三個預先定義的命名內容:

  • 網域命名內容,這存在於每個網域

  • 設定命名內容,這存在於每個樹系

  • 架構命名內容,這存在於每個樹系

此外,在作為網域名稱系統 (DNS) 伺服器的網域控制站上,另外還有兩個磁碟分割:

  • 網域 DNS 區域命名內容

  • 樹系 DNS 區域命名內容

每個分割區會與其他分割區分開監視。這是因為有些客戶可能會設定某些分割區不進行複寫,而管理組件需要具備足夠的彈性來處理這種情況。您必須能夠確定每個分割區都正確進行複寫。

網域控制站之間進行複寫的方式和時機主要取決於網域控制站的站台位置。複寫可分為兩類:

  • 同一站台內的網域控制站之間進行的複寫 (稱為站台內複寫)

  • 不同站台的網域控制站之間進行的複寫 (稱為站台間複寫)

當網域控制站發生變更時,該網域控制站的複寫協力電腦需要收到這項變更的複本。由於屬於同一站台的網域控制站被視為彼此連線良好,因此一旦發生變更,同一站台的其他網域控制站幾乎會同時間主動提取變更。針對屬於不同站台的網域控制站,由於這些網域控制站會假設彼此沒有良好連線,因此您應該只根據排定的間隔要求變更。這樣一來,前 x 分鐘的變更將會拼湊在一起,然後同時間傳送。

由於站台間和站台內複寫的複寫間隔不同,管理組件需要分開監視每種複寫類型。因此,您會使用站台間複寫延遲閾值和站台內複寫延遲閾值。

容器建立

首次部署 Active Directory Management Pack 時,延遲物件容器尚不存在。在監視開始之前,必須先建立容器,方式有兩種:

  • 如果容器不存在,指令碼會嘗試建立容器。如果執行指令碼的動作帳戶沒有提供正確的認證,建立將會失敗並會記錄事件,讓系統管理員知道建立失敗。

  • 系統管理員可以執行支援工具,以手動建立延遲物件容器。

在系統管理員特別為延遲監視機制建立動作帳戶的情況下,所使用的帳戶通常不會提供認證來自動建立容器。因此,您應要求系統管理員手動建立容器。

延遲偵測

執行變更注入之後,系統會掃描容器中的現有物件。每個物件都代表參與複寫延遲監視的網域控制站。

此程序一開始會透過輕量型目錄存取通訊協定 (LDAP) 查詢本機網域控制站,取得位於延遲物件容器中所有物件的清單,其中查詢的容器會使用工作流程的命名內容監視參數來決定。此清單會反覆查詢,每次查看一個物件。

操作主機一致性檢查

雖然操作主機驗證是在其他地方進行的,但複寫監視會確認特定網域控制站的所有複寫協力電腦對於每個操作主機角色的擁有者是否達成共識。此檢查是複寫的重要部分,因為複寫協力電腦必須對每個操作主機角色的擁有權達成共識。

設定

若要變更複寫協力電腦的最大數目

  1. 開啟 Operations 主控台,然後按一下 [撰寫中]

  2. 展開 [管理組件物件],然後按一下 [監視]

  3. 在 [目標] 窗格中,展開 [Server 2000 Active Directory 網域控制站電腦角色]

  4. 展開 [實體健全狀況],然後展開 [設定] 彙總套件。

  5. 以滑鼠右鍵按一下 [AD 複寫協力電腦計數監視],按一下 [覆寫],然後按一下 [覆寫此監視],選取 [針對以下類型的所有物件: Server 2000 Active Directory 網域控制站電腦],然後按一下 [確定]

  6. 選取 [連線數警告閾值][連線數錯誤閾值] 的覆寫方塊,然後輸入新的值。按一下 [確定]

  7. 針對 [Server 2003 Active Directory 網域控制站電腦角色][Server 2008 Active Directory 網域控制站電腦角色].

社群新增項目

顯示: