レプリケーション遅延によるActive Directoryのルックアップの失敗

Question

私たちは、ADオブジェクト（ユーザーおよびグループ）の作成に使用するサードパーティのツールを使用しています。このツールはADSIを使用してオブジェクトを作成しますが、書き込みを行うDCは指定しません。したがって、今日のDC1と明日のDC2に書き込むかもしれません。しかし、すべてが複製されるので、心配はありません。

私たちが持っている問題は、グループを作成するための私たちのプロセスは次のようになります：

1. 発行グループのサードパーティのツールを作成します。
2. 成功した場合は、SIDを取得するためにLDAP呼び出し（これはJavaアプリケーション）を介してAD内のグループオブジェクトを検索します。 （サードパーティのツールはこれを返しません）

問題は、Java LDAP呼び出しが検索を実行するときにDCを指定することです。 JavaがDC1から読み込むように設定されているとしましょう。サードパーティツールがDC2に書き込むと、DC1へのJavaルックアップはグループを見つけることができません。

ADレプリケーションの遅延が小さいので、作成と参照の間に15秒の遅延を追加すると動作しますが、少し醜いです。

また、私はすべてのDCをJavaから照会しようとしました。これは上の例でも機能しますが、ユーザーやグループの属性を更新して直ちにそれを読み取ろうとすると、基本的な問題は同じです。遅れは唯一の作業アプローチだと思われますが、これ以上のアプローチが必要なようです。

Answer 1

ディレクトリを更新するために、このような方法で3Dパーティーツールを使用しないでください。最終的な一貫性モデルは、結果を意味のある方法で予測できないようにします。正しい手順は、post-read request controlが付加されたADD、MODIFY、DELETE、またはMODIFY要求を使用してアプリケーションコード内で更新（追加/修正/削除）を実行することです。この方法は標準プロセスによって定義されており、更新が機能するかどうかは予測可能であることが保証されています。 「LDAP: Programming Practices」とそれに付随するarticleの情報を慎重に検討してください。