Čvc 18 2025

Konzistence AD forestu

  • 18. 7. 2025

V Active Directory (AD) jsou určité datové struktury / databázové rejstříky, které jsou zásadní pro konzistenci celého AD forestu. Pokud se poškodí nebo dostanou do nekonzistence (např. mezi různými domain controllery – DC), může to způsobit fakt velký průšvih.

Níže jsou ty hlavní rejstříky, které se tím myslí:

🔧 1. NTDS.DIT

  • To je hlavní databázový soubor Active Directory.

  • Obsahuje uživatele, skupiny, hesla, strukturu OU, replikace, GPO odkazy, počítače atd.

  • Fyzicky leží obvykle v:C:\Windows\NTDS\ntds.dit

  • Když se tahle databáze poškodí (např. disky, snapshot fail, replikace), může dojít ke ztrátě konzistence.

📡 2. SYSVOL

  • Sdílená složka používaná pro replikaci GPO (Group Policy Objects) a skriptů pro přihlášení.

  • Pokud se neshoduje mezi DC (např. kvůli špatné replikaci DFSR nebo FRS), může se „posrat“ aplikace politik a skriptů.

  • Cesta:C:\Windows\SYSVOL

🗃️ 3. RID Master (Relative ID)

  • Jeden z FSMO (Flexible Single Master Operations) rolí.

  • Když se jeho konzistence naruší nebo je nedostupný, nové objekty (uživatelé, počítače) nemají co dostat za SID → nejde přidávat účty.

🧠 4. Replikační metadata a USN (Update Sequence Numbers)

  • Každý změněný objekt má přiřazené USN číslo.

  • Pokud dojde k replikaci se špatnými USN, může dojít k replikačnímu konfliktu nebo zacyklení.

  • Tohle je často důvod, proč se říká, že „rejstříky nejsou konzistentní“.

🧨 5. FSMO Role Ownership

  • FSMO role (Schema Master, Domain Naming Master, PDC Emulator, RID Master, Infrastructure Master) jsou unikátní a mají být přítomné jen jednou v AD forestu/domainu.

  • Pokud se DC, které je drží, „ztratí“ (např. crash a není odebráno správně), může dojít ke kolizi, dvě DC si myslí, že drží tutéž roli.

🔥 6. DNS replikační zóny v AD-integrated DNS

  • Pokud je DNS integrovaný do AD (což většinou je), tak i DNS záznamy se replikují pomocí AD replikace.

  • Pokud se to rozbije, některé DC nebo stanice nemají správné DNS informace a připojování do domény kolabuje.

🛠️ Kdy se to „rozbije“?

Nejčastější důvody:

  • snapshoty VM s AD → obnova do minulosti (USN rollback) (můj případ díky kterému vznikl tento článek) 🙂

  • špatná konfigurace replikace (site links, latency)

  • selhání disku s ntds.dit

  • nekorektní ruční zásahy do SYSVOL nebo registrů

  • FSMO role nejsou správně přeneseny při odstraňování DC

  • viry/ransomware (ano, i to se stává)

Pro ověření zdraví lze použít přikazy:

dcdiag /v
repadmin /replsummary
repadmin /showrepl

Nakonec jsem to dal dokupy, ale chvíli mi zabralo si uvědomit, že to kleklo kvůli výletu do minulosti 🙂

Tak snad to někomu pomůže. 🙂 – – –  admin@sympatika.cz

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/18/konzistence-ad-forestu/