Windows Server 2016-管理站點復制(二)
本章中復制指的是活動目錄數據庫復制,同一個站點內和不同站點之間域控制器之間的數據庫復制。同一個站點,域控制器處於一個告訴網絡環境中,復制效率較高。當域控制器處於不同的站點之間,由於網絡速度限制,復制效率、時間需要域管理員仔細規劃才能達到最佳效果。
一、復制概述:
復制僅發生在多域控制器環境中,如果域中只有一臺域控制器,將不會產生復制。復制分為站點內復制和站點間復制。站點內復制通過KCC(Knowledge Consistency Checker)自動創建最佳的復制拓撲,站點間通過ISTG(站點間拓撲發生器)創建站點間的復制鏈接。
1.1.復制方式:
a.單主復制:
Windows NT環境中域控制器被分為兩類:PDC和BDC。PDC指的是主域控制器,BDC指的是備份域控制器。每個域中只能有一個PDC,BDC可以有多個,BDC中的活動目錄數據庫從PDC復制,只有PDC才可以創建、修改、刪除域中的用戶帳號、計算機帳號、打印機等對象數據,BDC活動目錄數據庫是只讀數據庫。這種復制模型稱之為單主復制。
b.多主復制:
從Windows Server 2000開始,活動目錄使用多主復制架構,即每個域控制器都可以自住地修改域對象,域中不再有主域控制器和備份域控制器的區別(實質上還是有區別),任何一個域控制器都可以修改Active Directory的內容。為了維護活動目錄的權威性,所有域控制器上的活動目錄數據庫內容應該都相同。
AD DS域服務采用多主機復制方式,多主機復制在對等域控制器之間復制活動目錄數據庫,每個域控制對活動目錄數據庫具備完全控制的權限。采用多主復制的域控制器使用KCC自動創建域控制器之間的復制鏈接(最大約點數不超過3臺域控制器),每個域控制器會根據站點的帶寬,自動地計算出最佳復制拓撲。管理員也可以特定用戶環境以手動方式配置復制拓撲。
多主復制架構模式下,林內任何域控制器都可處理和更新復制,所以只要一臺或多臺服務器仍維持運作,管理員和應用程序便可以更新數據並如往常一樣持續工作,但是要註意FSMO角色的位置。
域控制器采用多主復制優點是高效,缺點是產生大量的網絡流量。AD DS域服務自動創建復制拓撲,當任何域控制器信息變更時,會通過域控制器的復制夥伴,然後復制夥伴初始化。初始化成功後,數據庫之間開始復制,知道所有的域控制器同步。
在Active Directory數據庫中,少部分數據采用單主復制方式完成復制。當刪除對象時,首先由一臺域控制器(包含FSMO角色)負責接收和處理請求,處理完成後將數據同步到其他域控制器。
1.2.復制協議:
域控制器之間復制數據時,將采用以下協議。
IP協議——站點內或者站點間都可以使用該協議復制數據,數據復制時將使用加密和身份驗證機制。
SMTP協議——該協議只能在站點間使用。
1.3.復制夥伴:
復制夥伴分為直接復制夥伴和間接復制夥伴。
a.直接復制夥伴
源域控制器(發生數據更新的域控制器)不會將更新數據復制給同一個站點內的所有域控制器,而是復制給該域控制器的直接復制夥伴。直接復制夥伴由KCC自動創建,源域控制器和直接復制夥伴之間的復制效率最高,同時決定哪一臺域控制器是該域控制器的直接復制夥伴。復制時,首先復制給直接復制夥伴,再由直接復制夥伴把更新復制到其他域控制器。
b.間接復制夥伴
間接復制夥伴,通過域控制器轉發而更新數據的域控制器,不是從源域控制器直接復制數據。
1.4.目錄分區同步:
域控制器中劃分為多個不同的分區,每個分區完成不同的功能。
架構目錄分區:架構目錄分區存儲所有對象和屬性的定義,以及建立和控制的規則。整個林內所有域共享一份相同的架構目錄分區,該分區會被復制到林中所有域內的所有域控制器。
配置目錄分區:配置目錄分區存儲整個活動目錄結構的信息。包括域、站點、域控制器。整個林內所有域共享一份相同的配置分區,該分區會被復制到林中所有域內的所有域控制器。
域目錄分區:每一個域各有一個域目錄分區,存儲在該域有關的對象,例如用戶、組、計算機、組織單位等。每個域各自擁有一份域目錄分區,值能被復制到該域內的所有域控制器,並不會被復制到其他域的域控制器。
應用程序目錄分區:一般來說,應用程序目錄分區由應用程序創建,其內存儲著與該應用程序有關的數據。應用程序目錄分區會被復制到林中的特定域控制器,而不是所有的域控制器。
1.5.復制機制:
站點復制采用如下機制完成復制的更新。
通知更新復制
緊急復制
定時檢查復制
a.通知更新復制
域控制器A建立一個用戶帳號,新建帳號屬於初始更新。在更新完成以後,域控制器A服務器在15秒之後發出更新通知。此更新通知並非同時通知所有域內的域控制器,通過復制拓撲通知第一個域控制器B,域控制器B接受到復制信息後,將新的帳號復制到域控制器B數據庫中,僅復制發生改變的數據,屬於增量更新,此復制過程屬於"拉"復制。3秒鐘後,再通知域控制器C。以此類推,將更新的數據復制到其他域控制器。
b.緊急復制
緊急復制以一種"推"的機制強制立即更新域控制器上的Active Directory數據,緊急復制運作模式會立刻傳遞變更通知給所有的復制夥伴,而不會等到暫停時間結束。緊急復制應用於以下場合:停用賬戶、RID序列號變更、域控制器機器賬戶變更等。域策略支持緊急復制模式,例如在域級別指定了一個賬戶鎖定策略,或者指定了一個密碼策略,立即連接並發布復制到所有域控制器。此復制過程屬於"推"復制,目標域控制器接受Active Directory數據變更和新的策略。
c.定時檢查復制
定時檢查復制,以計劃方式在指定時間執行復制。默認(站點內每個小時、站點間每3個小時)每個小時檢查1次復制狀態,包括更新通知復制和緊急復制,檢測通知更新和緊急復制後的數據是否同步、丟失數據或者復制沒有完成等狀態,如果出現上述狀況,將通知初始域控制器,以"拉"方式復制沒有更新的數據,復制將立即執行。。
1.6.復制拓撲:
活動目錄復制拓撲為環形,通過KCC自動創建拓撲。KCC進程在每個域控制器上運行,幫助域控制器建立到其他域控制器的復制鏈接對象。如果域控制器和域控制器之間沒有創建鏈接對象,域控制器之間將不能復制。鏈接對象創建成功後,在復制夥伴前面有一個標識為"<自動生成>"。
a.自動拓撲:
域控制器之間的拓撲結構建議有KCC自動完成。
b.父子域復制拓撲
如果是父子域的復制拓撲,復制可以正常運行,僅是復制的數據不同,從父域接受架構分區和配置分區的數據,子域內接受子域域分區的數據,父域內的域控制器接受父域內的域控制器的數據。
c.GC復制拓撲
1.7.站點內復制
同一個站點內的域控制器一般都是通過高速網絡連接在一起,復制時不以壓縮方式傳輸數據。
a.復制鏈接
站點內復制指的是同一個站點中的域控制器。當域中的域控制器數量發生變化,例如增加或減少域控制器,每臺域控制器上的KCC進程就會重新計算復制拓撲。KCC能夠自動計算出域控制器進行復制時所使用的復制鏈接,當域控制器數量較少時,KCC傾向於在域中使用環形拓撲進行數據庫復制。當域控制器的活動目錄數據庫內容發生變化時,這個更改不會自動生成的拓撲是雙環拓撲,每個域控制器都有兩個復制夥伴,Active Directory的復制沿著順時針和逆時針兩個方向同時進行。
b.復制方式
域控制器復制數據庫時,一般會使用"帶通知的拉復制"實現復制。
當在某個域控制器上執行數據更新後,站內復制在15秒後自動開始,然後將更新通知發送給最近的復制夥伴。如果源域控制器有多個復制夥伴,在默認情況下將以3秒為間隔向每個夥伴相繼發出通知。當接收到更新通知後,夥伴域控制器將向源域控制器發送目錄更新情況。源域控制器以復制操作響應該請求。3秒鐘的通知間隔可避免來自復制夥伴的更新請求同時達到而使源域控制器應接不暇。
對於站點內的某些目錄更新,並不使用15秒鐘的等待時間,復制會立即產生。這種立即復制稱為緊急復制,應用於重要的目錄更新,包括賬戶鎖定的指派以及賬戶鎖定策略、域密碼策略或域控制賬戶上密碼的更改。
c.復制限制
在域控制器較多的環境下,標準的環形拓撲不太適合。域控制器有個嚴格的限制,從源域控制器到目標域控制器之間的間隔不能超過三個域控制器。例如,如果DC1活動目錄數據庫發生了變化,那麽DC1可以復制給DC2,DC2可以接著復制給DC3,但DC3就不能再復制給DC4!因為從DC1可以復制給DC2,DC2可以接著復制給DC3,但是DC3就不能再復制給DC4!因為從DC1到DC4中間間隔的域控制器已經超過了2個。這種限制,是為了避免在大型網絡中進行復制時環形拓撲導致的延遲問題。例如,如果大型網絡中有100臺域控制器,域控制器復制的平均間隔為5分鐘,那麽從第一個域控制器復制到最後一個域控制器可能需要大約500分鐘!這種延遲不能被接受。因此在大型網絡中KCC會使用網狀拓撲,網狀拓撲不像環形拓撲那樣有規律,每個域控制器可能會有多個復制夥伴。因此,域控制器的復制拓撲最後由KCC來規劃,當然也可以自己指定域控制器的復制夥伴。
1.8.不同站點間復制
不同站點之間的復制鏈接,和站點內的復制鏈接不同。每個站點內有一臺被稱之為"站點間拓撲生成器"的域控制器,負責創建站點之間的復制拓撲,並從站點內的域控制器選擇一臺域控制器作為復制(源/目標)域控制器,也稱為橋頭堡服務器.站點數據復制時,由站點內的橋頭堡服務器負責將更新數據復制到目標站點內的橋頭堡服務器,站點內的橋頭堡服務器接受到更新數據後,再使用站點內數據復制方式將數據復制到站點內的域控制器。
Windows Server 2016-管理站點復制(二)