Technik News - ITwelzel.biz
Technik News - ITwelzel.biz
Technik News - ITwelzel.biz
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
DDie Directory-Database ist Bestandteil der Registry. Unter<br />
HKEY_LOCAL_MACHINE (HKLM) finden Sie einen<br />
Eintrag, der SAM bzw. SECURITY lautet. Diese sind<br />
zunächst auch für den Administrator nicht zugänglich.<br />
Unter dem Menü Security des Registryeditors lassen<br />
sich die notwendigen Rechte für den Administrator in<br />
gewohnter Explorerweise zuweisen. In diesem Subkey<br />
dürfen auf keinen Fall Änderungen vorgenommen werden.<br />
Hier sind nicht nur die Keys der User und Gruppen, der<br />
Verbindungen untereinander, der Paßwörter, Trusts und<br />
Computeraccounts abgelegt, sondern auch die notwendigen<br />
System-Accounts und deren Berechtigungen. Eine<br />
wahllose Veränderung der Schlüssel und Werte hätte<br />
katastrophale Folgen für das Betriebssystem. Diese<br />
Informationen werden zunächst auf dem Primären Domain<br />
Controller (PDC) als Master-Database aktuell gehalten.<br />
Die Veränderungen, die der Administrator beispielsweise<br />
im User- oder Servermanager speichert, werden hier sofort<br />
eingetragen.<br />
P R A X I S pP R A X I S<br />
WORKSHOP TEIL VII<br />
NT4.0 Registry entschlüsselt<br />
Netzwerkeinstellungen optimieren<br />
Von Olivier Plein<br />
Die Registry beinhaltet eine Vielfalt von Einstellungsmöglichkeiten. Abgesehen von den einzelnen Protokollen und<br />
den Session-Parametern, lassen sich aber auch Werte verändern, die der Kommunikation der Domain-Controller<br />
untereinander dienen. Im letzten Beitrag unseres Workshops wollen wir uns den Abgleich der Directory-Database,<br />
also der Userdatenbank, einmal genauer anschauen.<br />
Backup-Domain-Controller<br />
Zur Entlastung der Logon-Anfragen der Clients könnten<br />
Sie einen oder mehrere Backup-Domain-Controller (BDC)<br />
in Ihr System integrieren. Diese halten eine Kopie der<br />
Directory-Database vor und können bei Ausfall des PDC<br />
- nach manuellem Wechsel - dessen Rolle übernehmen.<br />
Diese Replica-Database auf dem BDC muß natürlich eine<br />
identische Kopie der Datenbank des PDC sein. Unter dem<br />
Subkey HKLM\System\CurrentControlSet\Ser<br />
vices\Netlogon\Parameters finden Sie die Werte,<br />
die für die Aktualisierung dieser Replica zuständig sind.<br />
Es wird dabei zwischen einer Gesamt-aktualisierung (Full)<br />
und einer Teilaktualisierung (Partiell) unterschieden. Eine<br />
Übertragung der gesamten Daten ist normalerweise nur<br />
bei der Erstinstallation des BDC notwendig, kann aber<br />
auch unter dem Key Update mit dem Wert Yes (Default:<br />
NO) als Standardabgleich eingetragen werden. Dies ist aber<br />
nur selten erforderlich.<br />
42<br />
42<br />
12<br />
Änderungen synchronisieren<br />
Nach Veränderungen der Directory-Database, z.B. durch<br />
Ändern eines Paßwortes, benachrichtigt der PDC mit<br />
Ablauf der unter dem Key Pulse eingetragenen<br />
Sekunden (Default: 300), seine untergeordneten Helfer.<br />
Natürlich werden nur die BDC informiert, die diese<br />
Änderung noch nicht abgeholt haben. Dazu führt der PDC<br />
eine interne Liste und informiert immer nur eine unter<br />
dem Key PulseConcurrency (Default: 20) definierte<br />
maximale Anzahl von BDC gleichzeitig. Dadurch wird<br />
ein Engpaß beim Abholen der Daten vermieden.<br />
Unterstützt wird dies durch eine unter Randomize<br />
definierte Zeitspanne, mit der sich der BDC dann<br />
zufallsgesteuert beim PDC meldet. Sollte dies erst nach<br />
einer vorgegebenen Zeit (PulseTime Out1) geschehen,<br />
wird dieser BDC als „nonresponsive“ gekennzeichnet und<br />
ein anderer noch nicht abgeglichener BDC über die<br />
abzuholende Änderung informiert.<br />
Dabei hat jeder BDC maximal eine unter Pul<br />
seTimeOut2 vorgegebene Zeit für die Vervollständigung<br />
seiner partiellen Synchronisation einzuhalten. Braucht er<br />
länger, wird er vorläufig ebenfalls als „nonre-sponsive“<br />
markiert, kann sich aber erneut verbinden und nochmals<br />
die entsprechende Zeitspanne nutzen. Dadurch wird<br />
gewährleistet, daß bei einer großen Anzahl von BDC die<br />
Verbindungskanäle (RPC) auch für andere Rechner wieder<br />
frei werden.<br />
WAN-Links<br />
Kritisch könnte diese integrierte Funktion bei Verwendung<br />
eines WAN-Links werden. Steht auf dieser Verbindung<br />
nicht die nötige Band-breite zur Verfügung, hat der BDC<br />
nicht die Möglichkeit, seine Datenbank vollständig zu<br />
aktualisieren. Sollten die notwendigen Änderungen<br />
gänzlich mit dem PDC differieren, wird sowieso ein voller<br />
Abgleich notwendig, für den aber dann beispielsweise in<br />
den Nachtstunden Bandbreite geschaffen werden kann.<br />
Der Wert ReplicationGovernor gibt den anteiligen<br />
Ausgabe 12/97