Dice la teoría que hay dos modos de replicación “Loose Consistency Replication” y “Strict Consistency Replication”, estos controlan el comportamiento de los controladores al recibir de otro una actualización a un objeto que no existe un su base local. En el caso de SCR se ubicara en cuarentena la partición que contenga dicho tipo de objeto, deshabilitando así la replicación con ese compañero hasta que este objeto en cuestión sea removido.
Recordemos que un “lingering object” puede aparecer al no removerse un tombstone por el garbage collector o bien al poner en línea un DC que ha estado fuera de línea por más tiempo que el TSL.
Ahora bien cosas que hay que tomar en cuenta sobre la activación del SCR, lo primordial, si tu ambiente no está limpio pues tú mismo vas a crearte una serie de problemas.
Al detectarse “lingering objects” se registra un evento 1988, estos los podríamos monitorear con genial EventQuery http://technet.microsoft.com/en-us/library/bb490900.aspx
Otra opción es utilizar el GCcheck para buscar estos y eliminarlos apropiadamente con repadmin /removelingeringobjects.
Y cuál es la configuración actual de mis controladores? Pues podemos obtener esto con un par de consultas, la primera es únicamente para obtener la lista de los controladores de mi dominio, luego utilizando esta lista voy a revisar el registro para saber si está o no activado el SCR.
dsquery server -forest -o rdn >>dclist.txt
for /f %a in (dclist.txt) do echo %a >>srcCheck.log && reg query \\%a\HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters | findstr /I "Consistency" >>srcCheck.log
Veamos un ejemplo del output, los comments en /negrita/.
DAEMON-WRDC01
Strict Replication Consistency REG_DWORD 0x1
DAEMON-WRDC02 /Valor 1 = SRC/ Strict Replication Consistency REG_DWORD 0x0
DAEMON-WRDC03 /Valor 0 = LRC/ Strict Replication Consistency REG_DWORD 0x1
DAEMON-WRDC04 /Valor no encontrado = 0/DAEMON-WRDC05
Strict Replication Consistency REG_DWORD 0x1
Podríamos cambiar la configuración al agregar la llave de registro anterior (HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency) o bien con repadmin /regkey serverFQDN +strict o repadmin /regkey * +strict para activarlo a todos los controladores del bosque.
Otra opción es crear un archivo LDF que me creara un importe un “Operational GUID” en la partición de configuración para que los nuevos controladores tengan por defecto el SRC habilitado.
dn: CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=sysadmin-cr,DC=com
changetype: add
objectClass: container
showInAdvancedViewOnly: TRUE
name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=sysadmin-cr,DC=com
Una vez que tengas el archivo la forma de importarlo es “ldifde.exe -i -f nombreArchivo.ldf”.
Nótese que crear este objeto no modifica la configuración de los controladores ya existentes, tampoco lo hace el hecho de elevar el modo funcional del dominio/bosque.
También es importante recalcar lo siguiente:
SCR está habilitado por defecto en ambientes donde el PDC del forest root domain fue actualizado a Windows Server 2003 utilizando winnt32.exe o bien el forest root domain fue creado al instalar un servidor Windows Server 2003 o superior.
SCR esta deshabilitado al hacer actualizaciones de servidores Windows 2000 a Windows 2003 o bien al promover un Windows 2000 en un bosque de Windows 2003.
Otros puntos a recalcar son:
*El “Garbage Collector” corre por defecto cada 12 horas en cada DC. El criterio que utiliza para la eliminación de objetos es la propiedad llamada “whenDeleted”.
*Para registrar los eventos referentes al “Garbage Collector” debe darle un valor de 1 a la llave “HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\6 Garbage Collector” (Esto creara eventos con las siguientes características: Event Type: Information / Event Source: NTDS Database / Event Category: Garbage Collection /Event ID: 1646)
*El valor por defecto del TSL es de 60 o 180 días (esto según la versión del OS) pero puede variarse al modificar el “tombstoneLifetime” en “CN=Directory Service,CN=Windows NT,CN=Configuration,DC=sysadmin-cr,DC=com”. .
Hasta la próxima!
No comments:
Post a Comment