我有一个 Windows 2003 Active Directory 基础结构,并且有时(例如在解雇员工时)我希望在我的两个 AD 服务器之间进行即时传播。目前,我在这两个地方都进行了更改,我怀疑这是不健康的,但这是我知道的唯一方法来确保该帐户对每台机器都禁用。
有没有更好的办法?我是否必须等待正常的传播时间才能收敛,还是有办法“强制”它?
AskOverflow.Dev
我有一个 Windows 2003 Active Directory 基础结构,并且有时(例如在解雇员工时)我希望在我的两个 AD 服务器之间进行即时传播。目前,我在这两个地方都进行了更改,我怀疑这是不健康的,但这是我知道的唯一方法来确保该帐户对每台机器都禁用。
有没有更好的办法?我是否必须等待正常的传播时间才能收敛,还是有办法“强制”它?
如果您进入 Active Directory 站点和服务,您可以强制复制。打开服务器对象并单击 NTDS 设置。这将为您提供 GC 数据以及常规 DC-DC 流量的复制合作伙伴列表。据我了解,您可以通过转到每个连接,右键单击它并选择“立即复制”来强制复制。 (来源:sysadmin1138.net)
还有一个更简单的改变。只需重置用户密码。这是 AD 执行的少数即时复制之一。无需运行站点复制
编辑:
小编辑。这不是完全即时的。所做的是转发带外更新中的更改。(它不等待正常的复制周期)
但是,它可能与 AD 几乎一样接近即时。
对一个域控制器进行更改。然后打开 AD 站点和服务。然后深入到每个站点、服务器、DC、NTDS 设置,然后右键单击每个连接并选择立即复制。
注意:每个连接都会告诉您复制的From Server和To Server。
注意:显然,从您进行更改的 DC 开始第一次复制。
如果您的域很小,那么这不应该是一项繁重的任务。如果您有更大的域(更多 DC),那么您可以编写脚本。
要编写脚本,您需要使用名为 REPADMIN 的 CMD 命令。有关命令类型REPADMIN /?的完整描述 . 简而言之,您将以类似于以下方式使用该命令:
要从命令行查找特定 DC 的复制伙伴关系,请键入以下内容:
一旦您找到了复制到所有 DC 的正确路径/顺序,您就可以将所有命令转储到一个批处理文件中,并在需要快速复制更改时执行它。
这是概述 AD 复制模型的 Technet 文章。查看紧急复制部分,讨论什么会立即复制并且不需要强制复制。主要是立即复制的关键用户安全事件(密码更改、帐户锁定)。为了使这种情况在站点间发生,需要考虑一些配置。
请记住,当您使用强制复制时,所有复制链接都是单向的,传入的。如果您想通过站点和服务控制台将更改从 DC 向外推送,您必须转到每个副本合作伙伴并从源 DC拉取。
有一种更简单的方法可以使用Windows 2003 SP1 支持工具包中的repadmin.exe工具强制“出站完全复制” :
这将通过所有复制链接从源 DC 向外推送更改,用于默认命名 contaxt(这是您的用户数据所在的位置)。
也可以使用带有 /sync 开关的repadmin.exe来实现这一点,或者您甚至可以使用IADsTools 中包含的ReplicaSync编写脚本。
您可能会看到这篇讨论可用选项的 kb 文章。