我有一个 Windows 2003 Active Directory 基础架构,有时(例如解雇员工时)我希望在两个 AD 服务器上即时传播。目前,我在两个地方都进行了更改,我怀疑这样做不健康,但这是我知道的唯一确保帐户在每台机器上都被禁用的方法。
有没有更好的方法?我是否必须等待正常传播时间才能收敛,或者有没有办法“强制”收敛?
答案1
如果您进入 Active Directory 站点和服务,则可以强制复制。打开服务器对象并单击 NTDS 设置。这将为您提供 GC 数据以及常规 DC-DC 流量的复制伙伴列表。据我了解,您可以通过转到每个连接、右键单击它并选择“立即复制”来强制复制。
(来源:系统管理员1138.net)
答案2
还有更简单的更改。只需重置用户密码即可。这是 AD 执行的少数即时复制之一。无需运行站点复制
编辑:
小修改。它不是完全即时的。它所做的是在带外更新中转发更改。(它不会等待正常的复制周期)
但是,这可能与使用 AD 所能获得的即时效果最接近。
答案3
对一个域控制器进行更改。然后打开 AD 站点和服务。然后深入到每个站点、服务器、DC、NTDS 设置,然后右键单击每个连接并选择立即复制。
注意:每个连接都会告诉您从服务器和至服务器用于复制。
注意:显然,启动第一个复制从您进行更改的 DC。
如果您的域较小,那么这项任务应该不会太繁重。如果您的域较大(有更多 DC),那么您可以编写脚本。
要编写脚本,您需要使用名为 REPADMIN 的 CMD 命令。有关命令类型的完整描述REPADMIN /?简而言之,您可以按照类似以下方式使用该命令:
REPADMIN /replicate DC1.yourdomain.loc DC2.yourdomain.loc dc=yourdomain,dc=loc /u:yourdomain\your_domain_admin_account
要从命令行找出特定 DC 的复制合作关系,请输入以下命令:
REPADMIN /showrepl DC1.yourdomain.loc
一旦您找到了复制到所有 DC 的正确路径/顺序,您就可以将所有命令转储到批处理文件中,并在需要快速复制更改时执行它。
答案4
记住,当你使用强制复制时,所有复制链接都是单向,传入。 如果你想推通过站点和服务控制台从 DC 出站更改,您必须转到每个副本伙伴并拉来自源 DC。
有一种更简单的方法可以强制使用“出站完全复制”复制管理员程序工具来自Windows 2003 SP1 支持工具成套工具:
repadmin /syncall /P /e sourceDC1.domain.local
这会通过所有复制链接从源 DC 向外推送更改,以获得默认命名联系人(即您的用户数据所在的位置)。