Änderungen auf verschiedenen Servern

Die Replikationssituationen

Wesentlich interessanter aus Sicht von Administratoren als das eigentliche Replikationskonzept ist aber, wie oft eine Replikation erfolgt und wie sie gesteuert werden kann. Hier muss grundsätzlich zwischen der Replikation von Domänen-Controllern innerhalb eines Standorts und über die Standortgrenzen hinweg unterschieden werden. Die Standorte werden im Active Directory konfiguriert.

Im LAN erfolgt die Replikation standardmäßig in einem Intervall von minimal fünf Minuten, falls es Änderungen gibt. In diesem Fall sendet ein Domänen-Controller an diejenigen, mit denen er kommuniziert, Änderungsbenachrichtigungen. Diese wiederum werden standardmäßig fünf Minuten nach einer Änderung gesendet. Die anderen Domänen-Controller fordern dann die geänderten Daten von ihm an.

Davon gibt es aber auch Ausnahmen. Diese sind zum einen die dringende Replikation und zum anderen die Kennwortänderungen. Erstere erfolgt beispielsweise, wenn ein Konto nach dem Überschreiten der zulässigen Zahl von fehlerhaften Anmeldungen gesperrt wird, wenn sich der RID-Master ändert oder wenn interne Kennwörter geändert werden. Hier wird nicht mit der normalen Zeitverzögerung gearbeitet, nach der Änderungsbenachrichtigungen gesendet werden. Statt dessen werden die Replikationspartner sofort informiert. Bei Kennwortänderungen erfolgt dagegen eine unmittelbare Replikation zum PDC-Betriebsmaster, der den primären Domänen-Controller von Windows NT emuliert. Wenn dann eine Anmeldung erfolgt und das Kennwort nicht korrekt ist, leitet dieser die Anmeldung zur Verarbeitung an den PDC-Betriebsmaster weiter. Dieser hat in jedem Fall das aktuelle Kennwort.

Eine solche Weiterleitung kann im WAN über den Parameter AvoidPdcOnWan unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters gesteuert werden. Steht dieser auf 1, leiten Domänen-Controller Anmeldungen mit falschem Kennwort nicht weiter. Im WAN wird auch nicht mit Änderungsbenachrichtigungen, sondern mit einem festen Intervall gearbeitet. Dieses ist standardmäßig auf drei Stunden gesetzt und kann flexibel angepasst werden, wie weiter unten noch ausgeführt wird. Änderungsbenachrichtigungen über Standortgrenzen hinweg können aber durch Anpassung eines Konfigurationsparameters im Active Directory aktiviert werden. In diesem Fall werden dann auch dringende Änderungen sofort repliziert. Das führt dann aber in der Regel zu einer deutlich höheren Last, da die Zurückhaltungsdauer für Änderungen - als Zurückhaltungszeitgeber bezeichnet - nicht getrennt für eine WAN- und LAN-Kommunikation konfiguriert werden kann. Diese wird über den Wert Replicator notify pause after modify (secs) konfiguriert. Der Parameter findet sich in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters, hat den Datentyp REG_DWORD und den Standardwert 300 (Sekunden). Der Wert kann in der Regel unverändert bleiben. Falls mit Änderungsbenachrichtigungen im WAN gearbeitet werden soll, muss dies mit einem fest vorgegebenen Bridgehead-Server erfolgen, auf dem dieser Wert dann erhöht wird, um die Replikationslast zu verringern.