Windows Server 2016-Active Directory復制概念(二)
連接對象:
連接對象是一個Active Directory對象,表示從源域控制器到目標域控制器的復制連接。域控制器是單個站點的成員,並由站點中的Active Directory域服務(AD DS)中的服務器對象表示。每個服務器對象都有一個代表站點中復制域控制器的子NTDS設置對象。
連接對象是目標服務器上NTDS設置對象的子項。要在兩個域控制器之間進行復制,其中一個服務器對象必須具有一個連接對象,該連接對象表示來自另一個的入站復制。域控制器的所有復制連接都作為連接對象存儲在NTDS設置對象下。連接對象標識復制源服務器,包含復制計劃並指定復制傳輸。
知識一致性檢查器(KCC)自動創建連接對象,但它們也可以手動創建。由KCC創建的連接對象作為<自動生成>出現在Active Directory站點和服務管理單元中,並且在正常操作條件下被認為是足夠的。由管理員創建的連接對象是手動創建的連接對象。手動創建的連接對象由管理員在創建時指定的名稱標識。修改<自動生成的>連接對象時,將其轉換為管理性修改的連接對象,並且該對象以GUID的形式出現。KCC不會更改手動或修改的連接對象。
KCC:
KCC是一個內置進程,可在所有域控制器上運行並為Active Directory林生成復制拓撲。KCC根據復制是發生在站點內(站點內)還是站點之間(站點間)而創建單獨的復制拓撲。KCC還動態調整拓撲以適應新增域控制器的增加,現有域控制器的移除,域控制器移入站點的移動,改變成本和時間表以及臨時不可用或處於錯誤狀態的域控制器。
在一個站點內,可寫域控制器之間的連接總是安排在一個雙向環中,通過額外的快捷連接來減少大型站點的延遲。另一方面,站點間拓撲是生成樹的分層,這意味著每個目錄分區的任何兩個站點之間存在一個站點間連接,並且通常不包含快捷連接。
在每個域控制器上,KCC通過創建定義來自其他域控制器的連接的單向入站連接對象來創建復制路由。對於同一站點中的域控制器,KCC自動創建連接對象,無需管理幹預。如果您有多個站點,則可以配置站點之間的站點鏈接,並且每個站點中的單個KCC也會自動在站點之間創建連接。
Windows Server 2008 RODC KCC改進:
有許多KCC改進可以適應Windows Server 2008中新近提供的只讀域控制器(RODC)。RODC的典型部署方案是分支機構。在這種情況下最常部署的Active Directory復制拓撲基於中心輻條設計,其中多個站點中的分支域控制器使用中心站點中的少量橋頭服務器進行復制。
在這種情況下部署RODC的好處之一是單向復制。橋頭服務器不需要從RODC復制,這減少了管理和網絡使用。
但是,在以前版本的Windows Server操作系統上,hub-spoke拓撲強調的一個管理挑戰是,在集線器中添加新的橋頭域控制器後,沒有自動機制來重新分發分支域控制器與分支域控制器之間的復制連接集線器域控制器可以利用新的集線器域控制器。
對於Windows Server 2008 RODC,KCC的正常功能提供了一些重新平衡,從而消除了使用其他工具(如Adlb.exe)的需要。新功能默認啟用。您可以通過在RODC上添加以下註冊表項來禁用它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"
1 = Enabled(default), 0 = Disabled
故障轉移功能:
站點確保復制是圍繞網絡故障和脫機域控制器進行路由。KCC以指定的時間間隔運行,以調整AD DS中發生的更改的復制拓撲,例如添加新域控制器並創建新站點時。KCC檢查現有連接的復制狀態以確定是否有任何連接無法正常工作。如果由於域控制器失敗而導致連接無法工作,KCC會自動建立到其他復制夥伴的臨時連接(如果可用)以確保復制發生。如果站點中的所有域控制器均不可用,則KCC會自動在另一個站點的域控制器之間創建復制連接。
子網:
子網是指向一組邏輯IP地址的TCP / IP網絡的一部分。子網以識別網絡物理接近度的方式對計算機進行分組。AD DS中的子網對象標識用於將計算機映射到站點的網絡地址。
站點:
站點是Active Directory對象,它表示具有高度可靠和快速網絡連接的一個或多個TCP / IP子網。站點信息允許管理員配置Active Directory訪問和復制,以優化物理網絡的使用。站點對象與一組子網關聯,並且根據其IP地址,林中的每個域控制器都與一個Active Directory站點關聯。網站可以承載來自多個域的域控制器,並且域可以在多個網站中代表。
站點鏈接:
站點鏈接是Active Directory對象,表示KCC用於為Active Directory復制建立連接的邏輯路徑。站點鏈接對象表示一組站點,可通過指定的站點間傳輸以統一成本進行通信。
站點鏈接中包含的所有站點都被認為是通過相同的網絡類型連接的。站點必須使用站點鏈接手動鏈接到其他站點,以便一個站點中的域控制器可以從另一個站點中的域控制器復制目錄更改。由於站點鏈接與復制期間物理網絡上的網絡數據包所采用的實際路徑不對應,因此您無需創建冗余站點鏈接即可提高Active Directory復制效率。
當兩個站點通過站點鏈接連接時,復制系統會自動在每個站點中稱為橋頭服務器的特定域控制器之間創建連接。在Windows Server 2008中,承載相同目錄分區的站點中的所有域控制器都被選為橋頭服務器。由KCC創建的復制連接隨機分布在站點中的所有候選橋頭服務器之間以共享復制工作負載。默認情況下,當連接對象首次添加到站點時,隨機選擇過程只發生一次。
站點鏈接橋:
站點鏈接橋是一個Active Directory對象,代表一組站點鏈接,其所有站點都可以使用公共傳輸進行通信。站點鏈接橋允許不通過通信鏈接直接連接的域控制器相互復制。通常,站點鏈接橋對應於IP網絡上的路由器(或一組路由器)。
默認情況下,KCC可以通過任何和所有具有一些共同站點的站點鏈接形成傳遞路由。如果禁用了此行為,則每個站點鏈接都代表它自己獨特和孤立的網絡。可通過站點鏈接橋來表達可被視為單個路由的站點鏈接集。每個橋代表一個網絡流量的孤立通信環境。
站點鏈接橋是邏輯地表示站點之間的傳遞物理連接的機制。站點鏈接橋允許KCC使用包含的站點鏈接的任意組合來確定互連在這些站點中的目錄分區的最便宜的路線。站點鏈接橋不提供與域控制器的實際連接。如果站點鏈接橋被移除,則通過組合站點鏈接的復制將繼續,直到KCC移除鏈接。
站點鏈接橋只有在站點包含托管目錄分區的域控制器時才需要,該目錄分區並非同時托管在相鄰站點中的域控制器上,但托管該目錄分區的域控制器位於林中的一個或多個其他站點中。相鄰網站被定義為包含在單個網站鏈接中的任意兩個或更多網站。
站點鏈接橋在兩個站點鏈接之間創建邏輯連接,通過使用臨時站點提供兩個斷開連接的站點之間的傳遞路徑。對於站點間拓撲生成器(ISTG)而言,橋接意味著通過使用臨時站點的物理連接。橋並不意味著臨時站點中的域控制器將提供復制路徑。但是,如果臨時站點包含托管要復制的目錄分區的域控制器,則會出現這種情況,在這種情況下,不需要站點鏈接橋。
每個站點鏈接的成本都會增加,從而為所得到的路徑創建總計成本。如果臨時站點不包含托管目錄分區的域控制器並且不存在成本較低的鏈接,則將使用站點鏈接橋。如果臨時站點包含承載目錄分區的域控制器,則兩個斷開連接的站點將設置到臨時域控制器的復制連接,而不使用網橋。
站點鏈接傳遞性:
默認情況下,所有網站鏈接都是傳遞或"橋接"。當站點鏈接橋接並且時間表重疊時,KCC將創建復制連接,以確定站點之間的域控制器復制夥伴,其中站點不是通過站點鏈接直接連接,而是通過一組公共站點直接連接。這意味著您可以通過站點鏈接的組合將任何站點連接到任何其他站點。
通常,對於完全路由的網絡,除非要控制復制更改的流程,否則不需要創建任何站點鏈接橋接。如果您的網絡未完全路由,則應創建站點鏈接橋以避免不可能的復制嘗試。特定傳輸的所有站點鏈接都隱含屬於該傳輸的單個站點鏈接橋。站點鏈接的默認橋接自動發生,並且沒有Active Directory對象表示該橋。在IP和簡單郵件傳輸協議(SMTP)站點間傳輸容器的屬性中找到的網橋全部站點鏈接設置實現了自動站點鏈接橋接。
註意:未來版本的AD DS不支持SMTP復制; 因此,不建議在SMTP容器中創建站點鏈接對象。
全局編錄服務器:
全局編錄服務器是一個域控制器,用於存儲有關林中所有對象的信息,以便應用程序可以搜索AD DS而無需參考存儲所請求數據的特定域控制器。與所有域控制器一樣,全局編錄服務器存儲架構和配置目錄分區的完整可寫副本,以及它所托管域的域目錄分區的完整可寫副本。另外,全局編錄服務器存儲林中每個其他域的部分只讀副本。部分只讀域副本包含域中的每個對象,但僅包含屬性的一個子集(那些最常用於搜索對象的屬性)。
通用組成員緩存:
通用組成員資格緩存允許域控制器緩存用戶的通用組成員信息。您可以使用Active Directory站點和服務管理單元啟用運行Windows Server 2008的域控制器來緩存通用組成員資格。
啟用通用組成員身份緩存可以消除域中每個站點上的全局編錄服務器的需要,從而最大限度地減少網絡帶寬使用,因為域控制器不需要復制位於林中的所有對象。它還減少了登錄時間,因為身份驗證域控制器並不總是需要訪問全局編錄以獲取通用組成員信息。
Windows Server 2016-Active Directory復制概念(二)