Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Než začnete navrhovat topologii lokality, seznamte se s některými koncepty replikace služby Active Directory.
Objekt připojení
Objekt připojení je objekt služby Active Directory, který představuje připojení replikace ze zdrojového řadiče domény do cílového řadiče domény. Řadič domény je členem jedné lokality a je v lokalitě reprezentován objektem serveru ve službě Active Directory Domain Services (AD DS). Každý objekt serveru má podřízený objekt nastavení NTDS, který představuje replikující řadič domény v lokalitě.
Objekt připojení je na cílovém serveru podřízený objektu nastavení NTDS. Aby replikace probíhala mezi dvěma řadiči domény, musí mít objekt serveru jednoho objekt připojení, který představuje příchozí replikaci z druhé. Všechna připojení replikace pro řadič domény se ukládají jako objekty připojení v rámci objektu nastavení NTDS. Objekt připojení identifikuje zdrojový server replikace, obsahuje plán replikace a určuje přenos replikace.
Nástroj pro kontrolu konzistence znalostí (KCC) vytváří objekty připojení automaticky, ale dají se také vytvořit ručně. Objekty připojení vytvořené službou KCC se zobrazují v modulu snap-in Lokality a služby Active Directory jako <automaticky generované> a jsou považovány za přiměřené za normálních provozních podmínek. Objekty připojení vytvořené správcem jsou ručně vytvořené objekty připojení. Ručně vytvořený objekt připojení je identifikován názvem přiřazeným správcem při jeho vytvoření. Když upravíte <automaticky vygenerovaný> objekt připojení, převedete ho na objekt připojení s administrativní úpravou a objekt se zobrazí ve formě identifikátoru GUID. KCC neprovádí změny u ručně upravených objektů připojení.
KCC
KCC je integrovaný proces, který běží na všech řadičích domény a generuje topologii replikace pro doménovou strukturu služby Active Directory. KCC vytvoří samostatné topologie replikace v závislosti na tom, jestli se replikace vyskytuje v lokalitě (uvnitř lokality) nebo mezi lokalitami (mezi lokalitami). KCC také dynamicky upravuje topologii tak, aby vyhovovala přidání nových řadičů domény, odebrání existujících řadičů domény, přesun řadičů domény do a z lokalit, změna nákladů a plánů a řadičů domény, které jsou dočasně nedostupné nebo v chybovém stavu.
V rámci lokality jsou připojení mezi zapisovatelnými řadiči domény vždy uspořádána v obousměrném okruhu, s dalšími zkratkovými připojeními, aby se snížila latence ve velkých lokalitách. Na druhé straně je topologie mezi lokalitami vrstvením rozpínajících se stromů, což znamená, že mezi každými dvěma lokalitami pro každý oddíl adresáře existuje jedno propojení a obecně neobsahuje zkratkové spoje. Další informace o propojení stromů a topologie replikace služby Active Directory naleznete v tématu Technické informace o topologii replikace služby Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).
Na každém řadiči domény vytvoří KCC trasy replikace tím, že vytvoří jednosměrné příchozí objekty připojení, které definují připojení z jiných řadičů domény. U řadičů domény ve stejné lokalitě vytvoří KCC objekty připojení automaticky bez zásahu správce. Pokud máte více lokalit, nakonfigurujete propojení mezi lokalitami a jedinou KCC v každé lokalitě automaticky vytvoří propojení mezi lokalitami.
Vylepšení KCC pro RODC systému Windows Server 2008
Existuje řada vylepšení KCC pro nově dostupný řadič domény jen pro čtení (RODC) v systému Windows Server 2008. Typickým scénářem nasazení řadiče domény v režimu pouze pro čtení je pobočka. Topologie replikace služby Active Directory, která se v tomto scénáři nejčastěji nasazuje, je založená na návrhu hvězdicové topologie, kde se řadiče domén poboček na více lokalitách replikují s malým počtem přemosťovacích serverů v centrální lokalitě.
Jednou z výhod nasazení řadiče domény jen pro čtení v tomto scénáři je jednosměrná replikace. Servery před mostem se nevyžadují k replikaci z řadiče domény jen pro čtení, což snižuje využití správy a sítě.
Jednou z výzev správy, kterou zdůrazňuje topologie hubu a paprsku v dřívějších verzích operačního systému Windows Server, je, že po přidání nového centrálního řadiče domény v centru neexistuje žádný automatický mechanismus k redistribuci připojení replikace mezi řadiči domény větví a centrálními řadiči domény, aby se využila výhoda nového centrálního řadiče domény.
U řadičů jen pro čtení systému Windows Server 2008 poskytuje normální fungování služby KCC určitou rovnováhu. Nové funkce jsou ve výchozím nastavení povolené. Můžete ho zakázat přidáním následujícího klíče registru nastaveného na řadiči domény jen pro čtení:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Náhodné vyrovnávání zatížení BH Povoleno"1 = Povoleno (výchozí), 0 = Zakázáno
Další informace o tom, jak tato vylepšení KCC fungují, najdete v tématu Plánování a nasazení služby Active Directory Domain Services pro pobočky (https://go.microsoft.com/fwlink/?LinkId=107114).
Funkce převzetí služeb při selhání
Lokality zajišťují směrování replikace za účelem obcházení selhání sítě a neaktivní řadiče domény. KCC se spouští v zadaných intervalech, aby se upravila topologie replikace pro změny, ke kterým dochází ve službě AD DS, například při přidání nových řadičů domény a vytvoření nových lokalit. KCC zkontroluje stav replikace existujících připojení a určí, jestli některá připojení nefungují. Pokud připojení nefunguje kvůli selhávajícímu řadiči domény, služba KCC automaticky vytvoří dočasná připojení k dalším partnerům replikace (pokud je k dispozici), aby se zajistila replikace. Pokud jsou všechny řadiče domény v lokalitě nedostupné, služba KCC automaticky vytvoří připojení replikace mezi řadiči domény z jiné lokality.
Podsíť
Podsíť je segment sítě TCP/IP, ke které je přiřazena sada logických IP adres. Podsítě seskupují počítače způsobem, který identifikuje jejich fyzickou blízkost v síti. Objekty podsítě ve službě AD DS identifikují síťové adresy, které se používají k mapování počítačů na lokality.
Místo
Lokality jsou objekty služby Active Directory, které představují jednu nebo více podsítí TCP/IP s vysoce spolehlivými a rychlými síťovými připojeními. Informace o lokalitě umožňují správcům nakonfigurovat přístup a replikaci služby Active Directory pro optimalizaci využití fyzické sítě. Objekty lokality jsou přiřazené k sadě podsítí a každý řadič domény v doménové struktuře je přiřazený k lokalitě Active Directory podle své IP adresy. Weby mohou hostovat řadiče domény z více než jedné domény a doménu lze reprezentovat ve více než jedné lokalitě.
Odkaz na web
Propojení lokalit jsou objekty služby Active Directory, které představují logické cesty, které KCC používá k navázání připojení pro replikaci služby Active Directory. Objekt propojení mezi lokalitami představuje sadu lokalit, které mohou komunikovat za stejných nákladů prostřednictvím určeného mezilokálního přenosu.
Všechny lokality obsažené v propojení lokality se považují za připojené pomocí stejného typu sítě. Lokality musí být ručně propojeny s jinými lokalitami pomocí odkazů lokalit, aby řadiče domény v jedné lokalitě mohly replikovat změny adresáře z řadičů domény v jiné lokalitě. Vzhledem k tomu, že propojení lokalit neodpovídají skutečné cestě, kterou síťové pakety ve fyzické síti během replikace přijímají, není nutné vytvářet redundantní propojení lokalit, aby se zlepšila efektivita replikace služby Active Directory.
Když jsou dvě lokality propojeny propojením webu, systém replikace automaticky vytvoří připojení mezi konkrétními řadiči domény v každé lokalitě, které se nazývají mezilehlé servery. V systému Windows Server 2008 jsou všechny řadiče domény v lokalitě, které hostují stejný oddíl adresářové služby, kandidáty na výběr jako servery hlavního uzlu. Připojení replikace vytvořená službou KCC se náhodně distribuují mezi všechny kandidátské servery mostu v lokalitě, aby bylo možné sdílet úlohu replikace. Ve výchozím nastavení se proces náhodného výběru provádí pouze jednou, když se do lokality poprvé přidají objekty připojení.
Most propojení lokalit
Most propojení lokality je objekt služby Active Directory, který představuje sadu propojení lokalit, z kterých všechny lokality mohou komunikovat pomocí společného přenosu. Mosty propojení sítí umožňují řadičům domény, které nejsou přímo propojené prostřednictvím komunikačního spojení, aby se vzájemně replikovaly. Most propojení lokality obvykle odpovídá směrovači (nebo skupině směrovačů) v síti IP.
Ve výchozím nastavení může KCC vytvořit tranzitivní trasu přes jakékoli a všechny odkazy na weby, které mají některé weby společné. Pokud je toto chování zakázané, každý odkaz lokality představuje svou vlastní odlišnou a izolovanou síť. Sady propojení stránek, které lze považovat za jedinou trasu, jsou vyjádřeny prostřednictvím mostu odkazů na stránky. Každý most představuje izolované komunikační prostředí pro síťový provoz.
Mosty propojení lokalit představují mechanismus, který logicky představuje tranzitivní fyzické propojení mezi lokalitami. Most propojení lokalit umožňuje službě KCC použít libovolnou kombinaci zahrnutých propojení lokalit k určení nejméně nákladné trasy pro propojení oddílů adresářů uložených v těchto lokalitách. Propojovací most lokality neposkytuje skutečné připojení k řadičům domény. Pokud se most propojující lokality odebere, replikace přes kombinované odkazy lokality bude pokračovat, dokud KCC odkazy neodebere.
Mosty propojení lokalit jsou nezbytné pouze v případě, že lokalita obsahuje řadič domény hostující oddíl adresáře, který není také hostovaný na řadiči domény v sousední lokalitě, ale řadič domény, který je hostitelem tohoto oddílu adresáře, je umístěn v jedné nebo více jiných lokalitách v doménové struktuře. Sousední weby jsou definovány jako všechny dva nebo více webů zahrnutých v jednom odkazu na web.
Most propojení míst vytvoří logické propojení mezi dvěma propojeními a poskytuje tranzitivní cestu mezi dvěma odpojenými lokalitami pomocí přechodné lokality. Pro účely generátoru topologie mezi lokalitami (ISTG) most označuje fyzickou konektivitu s využitím provizorní lokality. Most neznamená, že řadič domény v dočasné lokalitě poskytne cestu replikace. To by ale bylo v případě, že dočasná lokalita obsahovala řadič domény, který hostoval oddíl adresáře, který se má replikovat, v takovém případě se nevyžaduje most propojení lokality.
Přidají se náklady na každý odkaz na web a vytvoří se součet nákladů na výslednou cestu. Most propojení lokality by se použil v případě, že dočasná lokalita neobsahuje řadič domény, který je hostitelem oddílu adresáře, a neexistuje propojení s nižšími náklady. Pokud by dočasná lokalita obsahovala řadič domény, který hostuje oddíl adresáře, dvě odpojené lokality by nastavily připojení replikace k dočasnému řadiči domény a by nepoužily most.
Tranzitivita odkazů na webu
Ve výchozím nastavení jsou všechny odkazy na lokality tranzitivní nebo "překlenuté". Když jsou propojení lokalit překlenuta a plány se překrývají, služba KCC vytvoří replikační spojení, která určují partnery pro replikaci řadiče domény mezi lokalitami, kde nejsou lokality přímo propojeny propojeními lokalit, ale jsou nepřímo propojeny skrze sadu společných lokalit. To znamená, že prostřednictvím kombinace odkazů na web můžete připojit jakýkoli web k libovolnému jinému webu.
Obecně platí, že pro plně směrovanou síť nemusíte vytvářet žádné mosty propojení lokalit, pokud nechcete řídit tok změn replikace. Pokud vaše síť není plně směrovaná, měly by se vytvořit mosty propojení lokalit, aby se zabránilo nemožnému pokusu o replikaci. Všechna propojení lokalit pro konkrétní dopravu implicitně patří do jednoho mostu propojení lokality pro danou dopravu. Výchozí přemostění propojení lokalit probíhá automaticky a žádný objekt služby Active Directory tento most nepředstavuje. Nastavení přemostění všech propojení lokalit , které se nachází ve vlastnostech přenosových kontejnerů protokolu IP i SMTP (Simple Mail Transfer Protocol), implementuje automatické přemostění propojení lokality.
Poznámka:
Replikace SMTP nebude podporována v budoucích verzích služby AD DS; proto se nedoporučuje vytváření objektů propojení lokalit v kontejneru SMTP.
Server globálního katalogu
Server globálního katalogu je řadič domény, který ukládá informace o všech objektech v lesu, aby aplikace mohly prohledávat službu AD DS, aniž by se musely obracet na konkrétní řadiče domény uchovávající požadovaná data. Stejně jako všechny řadiče domény ukládá server globálního katalogu úplné repliky oddílů schématu a konfiguračního adresáře a úplnou zapisovatelnou repliku oddílu adresáře domény pro doménu, kterou hostuje. Globální katalogový server navíc uchovává částečnou, pouze pro čtení určenou repliku každé jiné domény v doménové struktuře. Částečné repliky domény jen pro čtení obsahují všechny objekty v doméně, ale pouze podmnožinu atributů (ty atributy, které se nejčastěji používají pro vyhledávání objektu).
Ukládání členství ve univerzální skupině do mezipaměti
Ukládání členství v univerzální skupině do mezipaměti umožňuje řadiči domény ukládat informace o členství ve univerzální skupině pro uživatele. Řadiče domény se systémem Windows Server 2008 můžete povolit, aby se členství ve univerzální skupině ukládaly do mezipaměti pomocí modulu snap-in Lokality a služby Active Directory.
Povolení ukládání členství ve univerzální skupině do mezipaměti eliminuje potřebu serveru globálního katalogu v každé lokalitě v doméně, což minimalizuje využití šířky pásma sítě, protože řadič domény nemusí replikovat všechny objekty umístěné v doménové struktuře. Zkracuje také časy přihlášení, protože ověřující řadiče domény nemusí vždy přistupovat ke globálnímu katalogu, aby získaly informace o členství v univerzální skupině. Další informace o tom, kdy použít ukládání členství v univerzální skupině do mezipaměti, naleznete v tématu Plánování umístění serveru globálního katalogu.