本章继续补充有关Active Directory复制概念,具体内容如下:
连接对象:
连接对象是一个Active Directory对象,表示从源域控制器到目标域控制器的复制连接。域控制器是单个站点的成员,并由站点中的Active Directory域服务(AD DS)中的服务器对象表示。每个服务器对象都有一个代表站点中复制域控制器的子NTDS设置对象。
连接对象是目标服务器上NTDS设置对象的子项。要在两个域控制器之间进行复制,其中一个服务器对象必须具有一个连接对象,该连接对象表示来自另一个的入站复制。域控制器的所有复制连接都作为连接对象存储在NTDS设置对象下。连接对象标识复制源服务器,包含复制计划并指定复制传输。
知识一致性检查器(KCC)自动创建连接对象,但它们也可以手动创建。由KCC创建的连接对象作为<自动生成>出现在Active Directory站点和服务管理单元中,并且在正常操作条件下被认为是足够的。由管理员创建的连接对象是手动创建的连接对象。手动创建的连接对象由管理员在创建时指定的名称标识。修改<自动生成的>连接对象时,将其转换为管理性修改的连接对象,并且该对象以GUID的形式出现。KCC不会更改手动或修改的连接对象。
KCC:
KCC是一个内置进程,可在所有域控制器上运行并为Active Directory林生成复制拓扑。KCC根据复制是发生在站点内(站点内)还是站点之间(站点间)而创建单独的复制拓扑。KCC还动态调整拓扑以适应新增域控制器的增加,现有域控制器的移除,域控制器移入站点的移动,改变成本和时间表以及临时不可用或处于错误状态的域控制器。
在一个站点内,可写域控制器之间的连接总是安排在一个双向环中,通过额外的快捷连接来减少大型站点的延迟。另一方面,站点间拓扑是生成树的分层,这意味着每个目录分区的任何两个站点之间存在一个站点间连接,并且通常不包含快捷连接。
在每个域控制器上,KCC通过创建定义来自其他域控制器的连接的单向入站连接对象来创建复制路由。对于同一站点中的域控制器,KCC自动创建连接对象,无需管理干预。如果您有多个站点,则可以配置站点之间的站点链接,并且每个站点中的单个KCC也会自动在站点之间创建连接。
Windows Server 2008 RODC KCC改进:
有许多KCC改进可以适应Windows Server 2008中新近提供的只读域控制器(RODC)。RODC的典型部署方案是分支机构。在这种情况下最常部署的Active Directory复制拓扑基于中心辐条设计,其中多个站点中的分支域控制器使用中心站点中的少量桥头服务器进行复制。
在这种情况下部署RODC的好处之一是单向复制。桥头服务器不需要从RODC复制,这减少了管理和网络使用。
但是,在以前版本的Windows Server操作系统上,hub-spoke拓扑强调的一个管理挑战是,在集线器中添加新的桥头域控制器后,没有自动机制来重新分发分支域控制器与分支域控制器之间的复制连接集线器域控制器可以利用新的集线器域控制器。
对于Windows Server 2008 RODC,KCC的正常功能提供了一些重新平衡,从而消除了使用其他工具(如Adlb.exe)的需要。新功能默认启用。您可以通过在RODC上添加以下注册表项来禁用它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"
1 = Enabled(default), 0 = Disabled
故障转移功能:
站点确保复制是围绕网络故障和脱机域控制器进行路由。KCC以指定的时间间隔运行,以调整AD DS中发生的更改的复制拓扑,例如添加新域控制器并创建新站点时。KCC检查现有连接的复制状态以确定是否有任何连接无法正常工作。如果由于域控制器失败而导致连接无法工作,KCC会自动建立到其他复制伙伴的临时连接(如果可用)以确保复制发生。如果站点中的所有域控制器均不可用,则KCC会自动在另一个站点的域控制器之间创建复制连接。
子网:
子网是指向一组逻辑IP地址的TCP / IP网络的一部分。子网以识别网络物理接近度的方式对计算机进行分组。AD DS中的子网对象标识用于将计算机映射到站点的网络地址。
站点:
站点是Active Directory对象,它表示具有高度可靠和快速网络连接的一个或多个TCP / IP子网。站点信息允许管理员配置Active Directory访问和复制,以优化物理网络的使用。站点对象与一组子网关联,并且根据其IP地址,林中的每个域控制器都与一个Active Directory站点关联。网站可以承载来自多个域的域控制器,并且域可以在多个网站中代表。
站点链接:
站点链接是Active Directory对象,表示KCC用于为Active Directory复制建立连接的逻辑路径。站点链接对象表示一组站点,可通过指定的站点间传输以统一成本进行通信。
站点链接中包含的所有站点都被认为是通过相同的网络类型连接的。站点必须使用站点链接手动链接到其他站点,以便一个站点中的域控制器可以从另一个站点中的域控制器复制目录更改。由于站点链接与复制期间物理网络上的网络数据包所采用的实际路径不对应,因此您无需创建冗余站点链接即可提高Active Directory复制效率。
当两个站点通过站点链接连接时,复制系统会自动在每个站点中称为桥头服务器的特定域控制器之间创建连接。在Windows Server 2008中,承载相同目录分区的站点中的所有域控制器都被选为桥头服务器。由KCC创建的复制连接随机分布在站点中的所有候选桥头服务器之间以共享复制工作负载。默认情况下,当连接对象首次添加到站点时,随机选择过程只发生一次。
站点链接桥:
站点链接桥是一个Active Directory对象,代表一组站点链接,其所有站点都可以使用公共传输进行通信。站点链接桥允许不通过通信链接直接连接的域控制器相互复制。通常,站点链接桥对应于IP网络上的路由器(或一组路由器)。
默认情况下,KCC可以通过任何和所有具有一些共同站点的站点链接形成传递路由。如果禁用了此行为,则每个站点链接都代表它自己独特和孤立的网络。可通过站点链接桥来表达可被视为单个路由的站点链接集。每个桥代表一个网络流量的孤立通信环境。
站点链接桥是逻辑地表示站点之间的传递物理连接的机制。站点链接桥允许KCC使用包含的站点链接的任意组合来确定互连在这些站点中的目录分区的最便宜的路线。站点链接桥不提供与域控制器的实际连接。如果站点链接桥被移除,则通过组合站点链接的复制将继续,直到KCC移除链接。
站点链接桥只有在站点包含托管目录分区的域控制器时才需要,该目录分区并非同时托管在相邻站点中的域控制器上,但托管该目录分区的域控制器位于林中的一个或多个其他站点中。相邻网站被定义为包含在单个网站链接中的任意两个或更多网站。
站点链接桥在两个站点链接之间创建逻辑连接,通过使用临时站点提供两个断开连接的站点之间的传递路径。对于站点间拓扑生成器(ISTG)而言,桥接意味着通过使用临时站点的物理连接。桥并不意味着临时站点中的域控制器将提供复制路径。但是,如果临时站点包含托管要复制的目录分区的域控制器,则会出现这种情况,在这种情况下,不需要站点链接桥。
每个站点链接的成本都会增加,从而为所得到的路径创建总计成本。如果临时站点不包含托管目录分区的域控制器并且不存在成本较低的链接,则将使用站点链接桥。如果临时站点包含承载目录分区的域控制器,则两个断开连接的站点将设置到临时域控制器的复制连接,而不使用网桥。
站点链接传递性:
默认情况下,所有网站链接都是传递或"桥接"。当站点链接桥接并且时间表重叠时,KCC将创建复制连接,以确定站点之间的域控制器复制伙伴,其中站点不是通过站点链接直接连接,而是通过一组公共站点直接连接。这意味着您可以通过站点链接的组合将任何站点连接到任何其他站点。
通常,对于完全路由的网络,除非要控制复制更改的流程,否则不需要创建任何站点链接桥接。如果您的网络未完全路由,则应创建站点链接桥以避免不可能的复制尝试。特定传输的所有站点链接都隐含属于该传输的单个站点链接桥。站点链接的默认桥接自动发生,并且没有Active Directory对象表示该桥。在IP和简单邮件传输协议(SMTP)站点间传输容器的属性中找到的网桥全部站点链接设置实现了自动站点链接桥接。
注意:未来版本的AD DS不支持SMTP复制; 因此,不建议在SMTP容器中创建站点链接对象。
全局编录服务器:
全局编录服务器是一个域控制器,用于存储有关林中所有对象的信息,以便应用程序可以搜索AD DS而无需参考存储所请求数据的特定域控制器。与所有域控制器一样,全局编录服务器存储架构和配置目录分区的完整可写副本,以及它所托管域的域目录分区的完整可写副本。另外,全局编录服务器存储林中每个其他域的部分只读副本。部分只读域副本包含域中的每个对象,但仅包含属性的一个子集(那些最常用于搜索对象的属性)。
通用组成员缓存:
通用组成员资格缓存允许域控制器缓存用户的通用组成员信息。您可以使用Active Directory站点和服务管理单元启用运行Windows Server 2008的域控制器来缓存通用组成员资格。
启用通用组成员身份缓存可以消除域中每个站点上的全局编录服务器的需要,从而最大限度地减少网络带宽使用,因为域控制器不需要复制位于林中的所有对象。它还减少了登录时间,因为身份验证域控制器并不总是需要访问全局编录以获取通用组成员信息。