Как сравнить Active Directory на 2 Контроллерах домена
* Do I need to check for the source address of the IP ranges listed above in the bulleted list?Да, Вы не хотите свой сервер, пытающийся ответить/отправить на пакеты на перечисленные адреса даже при том, что Ваш isp/nsp должен отбросить их.
* Do I need to check for the destination address of the IP ranges listed above in the bulleted list?Да, входящие пакеты не передать до операционной системы, но Вы хотите заблокировать попытки как близко к краю Вас система/сеть.
* Is is important to create rules for the IP ranges listed above that would include both the INPUT and OUTPUT chains?Да, Вы не хотите отправлять пакеты в перечисленные адреса.
* Are there any IP ranges that I have forgotten to check from that are missing from the bulleted list above?Да, Ваш IP-адрес должен быть отклонен, поступив Вам. Можно стать более агрессивными при помощи (http://www.team-cymru.org/Services/Bogons/), но Вы могли блокировать законные источники, поскольку остающийся адрес ipv4 выделяется.
Количество хита iptables поможет Вам определить, какие правила работают и регистрируются, поможет с идентификацией соединений или отклоненный или принятый.
Похоже, ваш план состоит в том, чтобы определить, на каком DC есть последние изменения, а затем внести их на другом DC?
Нет-нет-нет-нет.
Это приведет к обратным результатам. AD не копирует, какие изменения согласуются друг с другом, а реплицирует по последнему серийному номеру. Что вам нужно сделать, так это исправить репликацию. В зависимости от вашей версии Windows (вы не сказали нам; это было бы полезно), вы можете использовать REPLMON или REPADMIN, чтобы определить, что не работает и, возможно, почему. Edit- cheekaleak правильный: DCDIAG также полезен для поиска репликации и других ошибок в ваших контроллерах домена.
Запустите dcdiag на сервере, который не реплицирует сделанные на нем изменения, и проверьте его журнал служб репликации файлов на наличие ошибок. Это должно помочь указать вам, как исправить репликацию.
Симптом является классическим индикатором устаревших объектов. Если на контроллере домена включена строгая репликация, и он обнаруживает устаревший объект от соседа по репликации, он блокирует входящие изменения от этого соседа до тех пор, пока нарушающий объект не будет удален.
Строгая репликация установлена по умолчанию в новых доменах Windows Server 2003 SP1 и более поздних версий.
Когда обнаруживается устаревший объект, в журнал событий службы каталогов записывается идентификатор события 1988 или 1388. Если домен / лес небольшой (максимум несколько контроллеров домена и менее 50 000 объектов), вы можете использовать repadmin для удаления устаревших объектов. Использование repadmin для этой цели невозможно в больших реализациях AD.
Следующая команда сравнивает указанный раздел на всех контроллерах домена, когда * заменяется на ServerName, и занести в журнал любые устаревшие объекты, вызывающие нарушение, для удаления:
repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
Если вас устраивает отчет, запустите команду без переключателя advice_mode, чтобы выполнить действие.
Устранение неполадок репликации Active Directory
http://technet.microsoft.com/en-us/library/cc738415%28v=ws.10%29.aspx
Код события 1388 или 1988: устаревший объект обнаружен
http://technet.microsoft.com/en-us/library/cc949134%28v=ws.10%29.aspx
Используйте Repadmin для удаления устаревших объектов
http: // technet. microsoft.com/en-us/library/cc949134%28v=ws.10%29.aspx#BKMK_RemoveLingeringObjects
Аналогичным инструментом является GCChk от JoeWare, хотя я его не использовал:
http: // www .joeware.net / freetools / tools / gcchk / index.htm