شبکه و سرویس های آن
مباحث شبکه , آموزش شبکه , شبکه , networkشبکه و سرویس های آن
مباحث شبکه , آموزش شبکه , شبکه , networkActive Directory Replication قسمت دوم
یکی از مطالبی که باید بدانیم یک رویداد Event است که باید بلافاصله بروی تمام دومین کنترولرها تکرار Replication شود و این همان Urgent Replication میباشد. در حقیقت در یک Replication نرمال تغییرات دومین کنترولر منبع Source اطلاع رسانی notification میشود و در صف اول Replication قرار میگیرند تا در زمان تنظیم شده ارسال گردند اما در Urgent Replication اینگونه نیست.
این کار دقیقا شبیه intra-site میباشد که بر پایه تکرار فوری بر اساس تغییر اطلاع رسانی میباشد، البته برای یک رویداد مهم که باید بلافاصله فرستاده شود ۱۵ ثانیه (در ویندوز ۲۰۰۰ زمان ۳۰۰ ثانیه) تاخیر برای آن استفاده نمیشود. این تغییر اطلاع رسانی change notification بلافاصله به تمام پارتنرهای Replication فرستاده میشود، قبل از آنکه عملیات نرمال Replication بخواهد صف تغییرات اطلاع رسانی را به پارتنرها ارسال کند. هر دومین کنترولری که این Urgent Replication را دریافت کند، بلافاصله آن را به پارتنر خود ارسال میکند. این عمل سبب میشود که تمام دومین کنترولرهایی که در یک Site اکتیو دایرکتوری هستند در ظرف چند ثانیه این تغییرات را انجام و به روز رسانی کنند.
حال چه تغییراتی سبب Urgent Replication میشود؟
زمانی Urgent Replication انجام میشود که یک اتفاق خاص داخل یک Site اکتیو دایرکتوری روی میدهد و از اینکه بروی چه دومین کنترولری با چه سیستم عاملی است نیز مستقل است. اگر لینک Replication بین Site ها فعال و اکتیو باشد، این تغییرات بدون هیچ تاخیری بین Site ها هم انجام میشود (در این مورد هم توضیح خواهیم داد).
تغییرات زیر بر روی دومین کنترولرهای درون یک Site سبب تکرار فوری Urgent Replication میشوند :
قفل شدن یا بسته شدن اکانت یوزر User account lockout (بعد از اینکه یوزر چندین بار پسورد خود را اشتباه وارد کرد)، غیر فعال کردن اکانت یوزر disabling User account ، سبب میشوند که در ابتدا و در درجه اول به دومین کنترولری که صاحب رول PDC-Emulator میباشد با Urgent Replication ارسال میشود (توجه کنید که باز کردن یا گشودن اکانت یوزر unlocking User account جزو نمیباشد).
تغییرات در پالسی قفل شدن یا بسته شدن اکانت Account Lockout Policy با Urgent Replication ارسال میشود (توجه کنید که در قابلیت مشابه Password Setting Object – PSO تغییرات این قابلیت مشابه جزو نمیباشند).
تغییرات در پالسی پسورد دومین Domain Password Policy با Urgent Replication ارسال میشود (توجه کنید که در قابلیت مشابه Password Setting Object– PSO تغییرات این قابلیت مشابه جزو نمیباشد).
تغییر در پسورد Password اکانت کامپیوتر Computer account یک دومین کنترولرDomain Controller با Urgent Replication ارسال میشود .
تغییر در کلید اعتبار امنیت محلی یا داخلی Local Security Authority - LSA مانند پسورد مربوط به یک Trust Relationship باUrgent Replication ارسال میگردد .
تغییر صاحب رول RID master با Urgent Replication ارسال میگردد .
حالا کمی بیشتر در مورد Urgent Replication برای قفل شدن یا بسته شدن اکانت یوزر و Replication برای تغییر پسورد توضیح میدهیم .
عملیات Urgent Replication برای قفل شدن یا بسته شدن اکانت
وقتی یک یوزر چندین بار پسورد خود را اشتباه وارد میکند (تعداد آن بستگی به تنظیم شما در Account Lockout Policy دارد)، اکانت آن قفل میشود. سپس قفل شدن این اکانت توسط Urgent Replication به سمت دومین کنترولری که صاحب رول PDC-Emulator میباشد ارسال میشود . توجه کنید که اصلا مهم نیست که این دومین کنترولر در کدام Site اکتیو دایرکتوری قرار دارد .
خوب در زیر توضیح میدهیم که چگونه توسط Urgent Replication به سایر دومین کنترولرها ارسال میگردد :
بر روی همه دومین کنترولرهایی که در یک دومین مشابه هستند و همچنین در یک Site مشابه که در آن نیز دومین کنترولر صاحب رول PDC-Emulator نیز است .
بر روی همه دومین کنترولرهایی که در یک دومین مشابه هستند و همچنین در یک Site مشابه که در آن نیز دومین کنترولری که آن اکانت را قفل کرده نیز است .
بر روی همه دومین کنترولرهایی که در یک دومین مشابه هستند و چندین Site وجود دارد که دومین کنترولری که آن اکانت را قفل کرده یا دومین کنترولر صاحب رول PDC-Emulator داخل یکی از آنها میباشد و شما تغییرات اطلاع رسانی change notification را برای لینک inter-site فعال کرده اید (در بالا یکبار اشاره کردیم که در مورد آن توضیح خواهیم داد).
وقتی احراز هویت یک یوزر بر روی یک دومین کنترولر که صاحب رول PDC-Emulator نمیباشد با شکست یا با ایراد مواجه شد، عملیات احراز هویت با دومین کنترولری که صاحب رول PDC-Emulator میباشد دوباره انجام میشود. به همین دلیل است که دومین کنترولر صاحب رول PDC-Emulator اول از همه اکانت را قفل میکند و نه دومین کنترولری که در ابتدا احراز هویت یوزر بر روی آن با شکست مواجه شده است .
عملیات Replication برای تغییر پسورد
اکثر افراد فکر میکنند که تغییر پسورد مربوط به یوزر نیز جزو Urgent Replication میباشد که به دومین کنترولرهای دیگر ارسال میگردد. در صورتی که تغییر پسورد متفاوت از عملیات نرمال Replication و عملیات Urgent Replication میباشد !!
زمانی که تغییر پسورد برای یک اکانت یوزر یا اکانت کامپیوتر فرا میرسد، دومین کنترولری که در حال انجام این کار است، بدون تاخیر پسورد را از طریق یک کانال امن Secure Channel به دومین کنترولر صاحب رول PDC-Emulator ارسال میکند. حتی اگر دومین کنترولر صاحب رول PDC-Emulator در یک Site دیگر باشد این عمل انجام میشود. برای این کار اگر ما بین Site ها سرور Bridgehead هم داشته باشیم، این دومین کنترولر از آن استفاده نمیکند، بلکه از RPC over IP استفاده کرده تا با دومین کنترولر صاحب رول PDC-Emulator ارتباط برقرار کند و پسورد را به روز رسانی کند .
وقتی این یوزر میخواهد احراز هویت با یک دومین کنترولر که در یک Site دیگر قرار دارد و هنوز پسورد جدید را نمیشناسد انجام دهد، این دومین کنترولر قبل از آنکه مانع لاگین و وارد شدن یوزر به دومین شود، از دومین کنترولر صاحب رول PDC-Emulator سوال میکند که آیا پسورد جدید برای این یوزر وجود دارد یا خیر. اگر که جواب خیر باشد، عملیات احراز هویت یوزر با شکست مواجه میشود. به خاطر بسپارید که صاحب رول PDC-Emulator حرف آخر را در مورد پسورد میزند و وقتی یک دومین کنترولر دیگر از آن سوال میکند، پسورد را برای آن دومین کنترولر ارسال میکند تا دوباره سوال نکند .
به روز رسانی یا آپدیت پسورد بلافاصله به دومین کنترولر صاحب رول PDC-Emulator ارسال میگردد، بدون آنکه تنظیم خاصی یا پیکربندی برنامه ای بر روی لینک Site انجام شود.
اگر مایل هستید که که تغییر پسورد بلافاصله به سمت دومین کنترولر صاحب رول PDC-Emulator که در یک Site دیگر قرار دارد فرستاده نشود، میتوانید پالسی Connect to PDC on logon failure را تغییر دهید .
و یا میتوانید رجیستری AvoidPdcOnWan را تغییر دهید، که البته باید بروی هر دومین کنترولری که نمیخواهید تغییر پسورد بلافاصله به سمت صاحب رول PDC-Emulator که در یک Site دیگر قرار دارد فرستاده شود، تنظیم شود .
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Registry value: AvoidPdcOnWan
Registry type: REG_DWORD
Registry value data: 0 (or value not present) or 1
0 or value not present = FALSE (to disable)
1 = TRUE (to enable)
Default: (value is not present)
