none
AD启用严格一致性检查,必需所有域控都开启吗? RRS feed

  • 问题

  • 1,如题,我这里有多个站点,多台域控,想开启域控上的一致性检查,但是如果一部分开启,另一部分不开启,同步AD信息时,会不会出错?

    2,如果我想开启所有域控的严格一致性检查,是不是可以用下面的命令?

    repadmin /regkey * +

    2017年4月19日 10:50

答案

  • 您好:

    我想我知道我们理解的分歧点在哪里了,您原帖中第一条中的一致性检查就是说的严格一致性检查对吧?那就和KCC没关系了。

    》》按此推理:在多台域控环境里,如果一部分开启,另一部分不开启,同步AD信息时只有延迟对象无法更新,其他更新是正常的?

    是的,不开严格一致性检查的DC会保留这些延迟对象,当这些过期数据重新被引入到林当中,就会造成一些问题,尤其是当这些对象是安全主体的时候,我相信你在你引用的那段英文资料的下一部分也应该列出了。



    Best Regards
    Cartman
    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Anson_Chen_ 2017年4月26日 10:52
    2017年4月26日 3:14
    版主

全部回复

  • 您好:

    1.据我说知,会。因为AD复制结构本来就是由KCC来生成的。

    请参考以下链接:

    AD DS: The KCC should be enabled in this site in this forest to generate an optimal replication topology

    https://technet.microsoft.com/en-us/library/dd723682(v=ws.10).aspx

    2.少了一个strict,应该是这样:

    repadmin /regkey * +strict



    Best Regards
    Cartman
    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2017年4月20日 6:51
    版主
  • 谢谢 Cartman的答复。

    你回复说,如果开启严格一致性检查的域控和不开启的域控同步,会出错,并参考KCC的链接,但是我在你的链接网页中,找不到严格一致性检查的字眼。

    在微软的介绍中有以下一段链接

    Problems occur when these lingering objects on the source domain controller are updated and these updates are sent by replication to the destination domain controllers. A destination domain controller can respond in one of two ways:
    If the destination domain controller has strict replication consistency enabled, it recognizes that it cannot update the object (because the object does not exist), and it locally halts inbound replication of the directory partition from that source domain controller.

    If the destination domain controller does not have strict replication consistency enabled, it requests the full replica of the updated object, which introduces a lingering object into the directory.

    以上英文,我的理解不太透彻,希望有高手来指正。

    1,延迟对象从不启用的传向启用的域控,这些延迟对象不会被复制,并且会停止从不启用的域控更新。(这句话不好理解,到底是完全不更新,还是除延迟对象外其他更新?)

    2,延迟对象从不启用的传向不启用的域控,会完成复制,导致延迟对象扩散。

    请帮忙解决原文中的第1个问题,谢谢。

     
    2017年4月21日 12:10
  • 您好:

    》》Problems occur when these lingering objects on the source domain controller are updated and these updates are sent by replication to the destination domain controllers. A destination domain controller can respond in one of two ways:

    If the destination domain controller has strict replication consistency enabled, it recognizes that it cannot update the object (because the object does not exist), and it locally halts inbound replication of the directory partition from that source domain controller.

    If the destination domain controller does not have strict replication consistency enabled, it requests the full replica of the updated object, which introduces a lingering object into the directory.

    1.如果目标DC开启了一致性检查,那么这个延迟对象不会被更新,因为其实这个对象是不存在的。

    2.如果目标DC没有开启一致性检查,那么这个延迟对象会被更新,并重新把这个对象带到AD中来。


    Best Regards
    Cartman
    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2017年4月25日 2:50
    版主
  • 谢谢Cartman Shen的回复。

    回到我原来的问题。既然这段英文说到:开启严格一致性检查的域控可以与不开启的同步,只是延迟对象不同步而已。

    按此推理:在多台域控环境里,如果一部分开启,另一部分不开启,同步AD信息时只有延迟对象无法更新,其他更新是正常的?

    微软上有没有一个明确的说明,能回复我提出的这个问题?


    • 已编辑 Anson_Chen_ 2017年4月26日 2:45 错别字
    2017年4月26日 2:44
  • 您好:

    我想我知道我们理解的分歧点在哪里了,您原帖中第一条中的一致性检查就是说的严格一致性检查对吧?那就和KCC没关系了。

    》》按此推理:在多台域控环境里,如果一部分开启,另一部分不开启,同步AD信息时只有延迟对象无法更新,其他更新是正常的?

    是的,不开严格一致性检查的DC会保留这些延迟对象,当这些过期数据重新被引入到林当中,就会造成一些问题,尤其是当这些对象是安全主体的时候,我相信你在你引用的那段英文资料的下一部分也应该列出了。



    Best Regards
    Cartman
    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Anson_Chen_ 2017年4月26日 10:52
    2017年4月26日 3:14
    版主