Active Directory.pdf - Gattner

102 Kapitel 4: Active Directory-Domänendienstreplikation
Beim Entstehen von Konflikten wird die Entscheidung über die endgültige Änderung in der folgenden
Reihenfolge getroffen:
1. Versionsnummer Die Änderung mit der höchsten Versionsnummer wird immer übernommen.
Daher wird, für den Fall, dass die Änderung auf dem einen Domänencontroller die Versionsnummer
3 und auf dem anderen Domänencontroller die Versionsnummer 4 aufweist, die Änderung mit
der Versionsnummer 4 übernommen wird.
2. Letzter Schreibzugriff Beim nächsten für die Ermittlung der anzuwendenden Änderung verwendeten
Wert handelt es sich um den letzten Schreibzugriff. Bei identischen Versionsnummern wird die
Änderung mit dem aktuellen Zeitstempel angewendet.
3. Server-GUID Bei identischen Versionsnummern und Zeitstempeln wird die GUID der Serverdatenbank
für die Ermittlung der anzuwendenden Änderung verwendet. Es wird die Änderung angewendet,
die von dem Server mit der höheren GUID stammt. Diese GUIDs werden beim Hinzufügen eines
Domänencontrollers zur Domäne zugewiesen, wobei die Zuweisung einer GUID willkürlich vorgenommen
wird.
Bei der AD DS-Replikation können Konflikte gelöst werden, die bei der gleichzeitigen Bearbeitung
des gleichen Objektattributs auf zwei Domänencontrollern entstehen. Es gibt jedoch mindestens zwei
weitere Konflikte, die entstehen können:
• Ein Objekt wird auf einem Domänencontroller hinzugefügt oder bearbeitet, während zur gleichen
Zeit das Containerobjekt des Objekts auf einem anderen Domänencontroller gelöscht wird: Auf
einem Domänencontroller wird beispielsweise ein neuer Benutzer zur OU (Organizational Unit,
Organisationseinheit) Buchhaltung hinzugefügt. Zur gleichen Zeit löscht ein anderer Administrator
auf einem anderen Domänencontroller die OU Buchhaltung. In diesem Fall wird der Container
über die Replikation auf allen Domänencontrollern gelöscht, und das dem gelöschten
Container hinzugefügte Objekt wird in den AD DS in den Container LostAndFound verschoben.
• Objekte werden mit dem gleichen relativ definierten Namen (Relative Distinguished Name, RDN)
im gleichen Container hinzugefügt: Ein Administrator eines Domänencontrollers erstellt beispielsweise
ein Benutzerobjekt mit dem relativen definierten Namen Bill in der OU Buchhaltung, während
zur gleichen Zeit auf einem anderen Domänencontroller ein Benutzer mit dem gleichen
relativen definierten Namen in die gleiche OU verschoben bzw. darin erstellt wird. In diesem
Fall wird für die Konfliktlösung die der Verzeichnisaktualisierung zugewiesene GUID verwendet,
um zu ermitteln, welches Objekt beibehalten und welches Objekt umbenannt wird. Das Objekt
mit der höheren GUID wird beibehalten, und das Objekt mit der niedrigeren GUID wird in
Bill*CNF:userGUID umbenannt, wobei es sich bei dem Nummernzeichen (*) um ein reserviertes
Zeichen handelt. Wenn das zweite Benutzerobjekt benötigt wird, kann es umbenannt werden.
Replizieren von Objektlöschungen
Die Replikation von Objektlöschungen wird in den AD DS abweichend zu anderen Verzeichnisaktualisierungen
gehandhabt. Wird ein Objekt wie beispielsweise ein Benutzerkonto gelöscht, so wird das
Objekt nicht unmittelbar gelöscht. Es wird vielmehr ein Tombstone-Objekt erstellt. Bei dem Tombstone-
Objekt handelt es sich um das ursprüngliche Objekt, für dessen Attribut isDeleted der Wert true festgelegt
wurde, und bei dem ein Großteil der verbleibenden Objektattribute gelöscht wurde. Es werden nur
wenige Attribute beibehalten, die für die Kennzeichnung des Objekts erforderlich sind, wie beispielsweise
die GUID, die SID, SIDHistory und der definierte Name. Gelöschte Objekte werden im ausgeblendeten
Container Gelöschte Objekte gespeichert. Jede Verzeichnispartition verfügt über den Container
Gelöschte Objekte.