Az Active Directory támogatja a többközpontú (multimaster) replikációt, mely során az összes tartományvezérlő képes adatokat küldeni a címtárba és fogadni onnan. A címtári adatbázis egyszerre van jelen több gépen. Mivel ugyanarról az adatbázisról van szó és bármelyik tartományvezérlő jogosult módosítani a tartalmát, komoly ellenőrzésekre és algoritmusokra van szükség az ütközések elkerülése érdekében. Cikksorozatunk előző részében írtuk, hogy kétféle zónaátvitel létezik. Egyik, amikor egy újonnan telepített kiszolgálóra a teljes zónaadatbázist át kell vinni. Másik, amikor csak a korábbi állapothoz viszonyított különbséget, tehát a módosításokat juttatja el egyik szerverről a másikra a szolgáltatás.
A replikáció nem keverendő össze a zónaátvitellel, bár magában foglalhatja mindkét módszert. Azért nem ugyanarról a dologról van szó, mert Active Directory nélkül is megtörténik az átvitel az elsődleges DNS szerverről a másodlagosra. Amikor viszont létrehozunk egy Active Directory-ba integrált zónát, bekerül a címtári adatbázisba és a tartományvezérlő replikáció útján továbbítja az adatokat a többi tartományvezérlőnek ugyanúgy, mint például egy új felhasználói fiókot. Ebből származik egy előny, méghozzá az, hogy a DNS adatokhoz nincs szükség külön hitelesítési eljárásra - ami lenne Active Directory nélkül - mert a tartományvezérlők eleve bizalmi kapcsolatban vannak egymással.
Replikációs konfliktusok
A többközpontúságnak köszönhetően előfordulhat, hogy az egyik tartományvezérlőn módosul egy DNS bejegyzés (pl. megváltozik egy IP cím) és ezzel egy időben (vagy közel egy időben - ugyanazon replikációs cikluson belül) egy másik tartományvezérlőn is módosul ugyanaz a bejegyzés (pl. egy másik IP címet kap ugyanaz a gép). Ez inkonzisztencia kialakulásához vezet, nem lesz logikailag következetes az adatbázis. Ebben az esetben az egyiket törölni kell. Minden attribútumnak van egy verziószáma. Mindig az alacsonyabb verziószámú került törlésre. Ha ez megegyezik, akkor a változtatáshoz rendelt időbélyeg (timestamp) dönt. Ha ez is megegyezik, akkor a magasabb GUID (Globally Unique Identifier, 128 bites szám) számú objektumon végzett változtatás marad érvényben.
Az is előfordulhat, hogy ugyanazon gépnévvel létrejön egy bejegyzés a DNS-ben az egyik tartományvezérlőn és szintén ugyanazon a néven egy másik tartományvezérlőn. Elindul a replikáció, az Active Directory érzékeli, hogy két külön dnsNode objektumnak ugyanaz a neve. Hogy megoldja a problémát az időben előbb keletkezett objektumot átnevezi. A névegyezőség csak a szolgáltatás működése szempontjából okoz problémát, maga a címtárrendszer nem nevek alapján "látja" az objektumokat, hanem a GUID számuk alapján, melynek létrehozó algoritmusa garantálja, hogy nincs két azonos számú objektum a világon. A replikációt követően a DNS szerver érzékeli a GUID szám segítségével az átnevezést és törli az elsőként létrehozott objektumot. Amennyiben tökéletesen egyforma időben történt a két objektum létrehozása - aminek szinte nulla az esélye, de elviekben számolnunk kell vele - a magasabb GUID számú marad érvényben (a GUID semmiféleképpen nem lehet azonos).
Azonnali replikáció kérése
Főleg hibakeresések alkalmával lassítja le a rendszergazda dolgát a replikációs ciklusokra való várakozás. Még a jobbik eset, ha egyetlen ciklussal eljut minden adat az összes tartományvezérlőre. Tegyük fel, hogy létrehozunk egy új DNS bejegyzést és szeretnénk, ha a hozzá tartozó tagkiszolgáló rögtön elérhető lenne a teljes hálózaton és nem csak a replikációs ciklus végén. Ilyen esetekre érdemes kérni azonnali replikációt:
Nyissuk meg a Felügyeleti eszközök > Active Directory - helyek és szolgáltatások (Administrative Tools > Active Directory Sites and Services) konzolt. A faszerkezet kibontásával tallózzunk el a következő helyre: Sites > Alapertelmezett-elso-hely-neve > Servers > (kiszolgálónév) > NTDS Settings (Sites > Default-First-Site-Name > Servers > (kiszolgálónév) > NTDS Settings). Az "NTDS Settings" tárolóra kattintás után az ablak jobb oldalán látszanak a replikációs kapcsolat objektumok. Kattintsunk az egyik gép nevére a jobboldali egérgombbal és lépjünk a "Replikáció most" ("Replicate Now") menüre.
Összefoglalva
Fentiek alapján látható, hogy érdemes Active Directory-ba integrált DNS zónákat használni, mert minden tartományvezérlőre automatikusan készül egy biztonsági másolat a zónák tartalmáról. Ezenkívül az esetleges konfliktusokat a rendszer szintén automatikusan megoldja. Teszi mindezt a tartományvezérlők hitelesítési eljárásait és kommunikációs biztonságát használva. Bármelyik tartományvezérlő kiesése esetén a többiek átveszik a szerepét.
Hátrányként megemlíthető, hogy szükség van az Active Directory-ra. Kifejezetten névfeloldásra szánt szervereknél, ahol más ok miatt nincs szükség címtárra, célszerűbb hagyományos zónatípusokat használni.