Active Directory-Replikationskonzepte
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Machen Sie sich vor dem Entwerfen der Standorttopologie mit einigen Active Directory-Replikationskonzepten vertraut.
Verbindungsobjekt
Ein Verbindungsobjekt ist ein Active Directory-Objekt, das eine Replikationsverbindung zwischen einem Quell- und Zieldomänencontroller darstellt. Ein Domänencontroller ist Mitglied eines einzelnen Standorts und wird im Standort durch ein Serverobjekt in Active Directory Domain Services (AD DS) dargestellt. Jedes Serverobjekt verfügt über ein untergeordnetes Objekt „NTDS-Einstellungen“, das den replizierenden Domänencontroller am Standort darstellt.
Das Verbindungsobjekt ist ein untergeordnetes Element des Objekts „NTDS-Einstellungen“ auf dem Zielserver. Damit eine Replikation zwischen zwei Domänencontrollern möglich ist, muss das Serverobjekt des einen ein Verbindungsobjekt aufweisen, das eine eingehende Replikation vom anderen darstellt. Alle Replikationsverbindungen für einen Domänencontroller werden als Verbindungsobjekte unter dem Objekt „NTDS-Einstellungen“ gespeichert. Das Verbindungsobjekt bestimmt den Replikationsquellserver, enthält einen Replikationszeitplan und gibt einen Replikationstransport an.
Die Konsistenzprüfung (Knowledge Consistency Checker, KCC) erstellt automatisch Verbindungsobjekte, die aber auch manuell erstellt werden können. Von der Konsistenzprüfung erstellte Verbindungsobjekte werden im Snap-In „Active Directory-Standorte und -Dienste“ als <automatisch generiert> angezeigt und unter normalen Betriebsbedingungen als geeignet betrachtet. Von einem Administrator erstellte Verbindungsobjekte sind manuell erstellte Verbindungsobjekte. Ein manuell erstelltes Verbindungsobjekt wird anhand des Namens bestimmt, der vom Administrator bei der Erstellung zugewiesen wurde. Wenn Sie ein <automatisch generiertes Verbindungsobjekt> ändern, konvertieren Sie es in ein administrativ geändertes Verbindungsobjekt, woraufhin das Objekt in Form einer GUID angezeigt wird. Die Konsistenzprüfung nimmt keine Änderungen an manuellen oder geänderten Verbindungsobjekten vor.
Konsistenzprüfung (Knowledge Consistency Checker, KCC)
Die Konsistenzprüfung ist ein integrierter Prozess, der auf allen Domänencontrollern erfolgt und eine Replikationstopologie für die Active Directory-Gesamtstruktur generiert. Die Konsistenzprüfung erstellt separate Replikationstopologien, je nachdem, ob die Replikation innerhalb eines Standorts (standortintern) oder zwischen Standorten (standortübergreifend) erfolgt. Die Konsistenzprüfung passt die Topologie auch dynamisch an, um das Hinzufügen neuer Domänencontroller, das Entfernen vorhandener Domänencontroller, die Verlagerung von Domänencontrollern zu und von Standorten, sich ändernde Kosten und Zeitpläne sowie Domänencontroller, die vorübergehend nicht verfügbar sind oder sich in einem fehlerhaften Zustand befinden, zu berücksichtigen.
Innerhalb eines Standorts sind die Verbindungen zwischen beschreibbaren Domänencontrollern stets in einem bidirektionalen Ring angeordnet, mit zusätzlichen Abkürzungsverbindungen, um die Latenz bei großen Standorten zu verringern. Andererseits ist die standortübergreifende Topologie eine Anordnung übergreifender Strukturen, was bedeutet, dass für jede Verzeichnispartition zwischen zwei beliebigen Standorten eine standortübergreifende Verbindung vorhanden ist und im Allgemeinen keine Abkürzungsverbindungen vorhanden sind. Weitere Informationen zu übergreifenden Strukturen und zur Active Directory-Replikationstopologie finden Sie in der technischen Referenz zur Active Directory-Replikationstopologie (https://go.microsoft.com/fwlink/?LinkID=93578).
Auf jedem Domänencontroller erstellt die Konsistenzprüfung Replikationsrouten, indem unidirektionale eingehende Verbindungsobjekte erstellt werden, die Verbindungen von anderen Domänencontrollern bestimmen. Für Domänencontroller am selben Standort erstellt die Konsistenzprüfung automatisch Verbindungsobjekte ohne Administratoreingriff. Bei mehr als einem Standort konfigurieren Sie Standortverbindungen zwischen den Standorten. Anschließend erstellt eine einzelne Konsistenzprüfung an jedem Standort automatisch auch Verbindungen zwischen Standorten.
Verbesserungen an der Konsistenzprüfung für schreibgeschützte Windows Server 2008-Domänencontroller
Es gibt eine Reihe von Verbesserungen an der Konsistenzprüfung, um den neu verfügbaren schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC) in Windows Server 2008 zu berücksichtigen. Ein typisches Bereitstellungsszenario für einen RODC ist die Filiale. Die in diesem Szenario am häufigsten bereitgestellte Active Directory-Replikationstopologie basiert auf einem Hub-and-Spoke-Entwurf, bei dem Filialdomänencontroller an mehreren Standorten mit einer kleinen Anzahl von Bridgeheadservern an einem Hubstandort repliziert werden.
Einer der Vorteile der Bereitstellung eines RODC in diesem Szenario ist die unidirektionale Replikation. Bridgeheadserver müssen nicht vom RODC repliziert werden, was Verwaltungsaufwand und Netzwerknutzung reduziert.
Eine administrative Herausforderung, die die Hub-Spoke-Topologie früherer Versionen des Windows Server-Betriebssystems mit sich bringt, besteht jedoch darin, dass es nach Hinzufügen eines neuen Bridgehead-Domänencontrollers im Hub keinen automatischen Mechanismus zur Neuverteilung der Replikationsverbindungen zwischen Filial- und Hubdomänencontrollern gibt, um die Vorteile des neuen Hubdomänencontrollers zu nutzen.
Bei RODCs unter Windows Server 2008 sorgt die normale Funktionsweise der Konsistenzprüfung für einen gewissen Ausgleich. Diese Funktionalität ist standardmäßig aktiviert. Sie können sie deaktivieren, indem Sie auf dem RODC den folgenden Registrierungsschlüssel hinzufügen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"1 = Enabled (default), 0 = Disabled
Weitere Informationen zur Funktionsweise dieser Verbesserungen der Konsistenzprüfung finden Sie unter „Planen und Bereitstellen von Active Directory Domain Services für Filialen (https://go.microsoft.com/fwlink/?LinkId=107114)“.
Failoverfunktionalität
Standorte stellen sicher, dass die Replikation um Netzwerkausfälle und offline geschaltete Domänencontroller herum verläuft. Die Konsistenzprüfung erfolgt in festgelegten Intervallen, um die Replikationstopologie an Änderungen in AD DS anzupassen, z. B. wenn neue Domänencontroller hinzugefügt und neue Standorte erstellt werden. Die Konsistenzprüfung überprüft den Replikationsstatus vorhandener Verbindungen, um festzustellen, ob es nicht funktionierende Verbindungen gibt. Wenn eine Verbindung aufgrund eines ausgefallenen Domänencontrollers nicht funktioniert, baut die Konsistenzprüfung automatisch temporäre Verbindungen zu anderen Replikationspartnern auf (sofern verfügbar), um sicherzustellen, dass die Replikation erfolgt. Wenn alle Domänencontroller an einem Standort nicht verfügbar sind, erstellt die Konsistenzprüfung automatisch Replikationsverbindungen zwischen Domänencontrollern an einem anderen Standort.
Subnet
Ein Subnetz ist ein Segment eines TCP/IP-Netzwerks, dem ein Satz logischer IP-Adressen zugewiesen ist. Subnetze gruppieren Computer entsprechend ihre physischen Nähe im Netzwerk. Subnetzobjekte in AD DS bestimmen die Netzwerkadressen zum Zuordnen von Computern zu Standorten.
Website
Standorte sind Active Directory-Objekte, die ein oder mehrere TCP/IP-Subnetze mit äußerst zuverlässigen und schnellen Netzwerkverbindungen darstellen. Mithilfe von Standortinformationen können Administratoren Active Directory-Zugriff und -Replikation konfigurieren, um die Nutzung des physischen Netzwerks zu optimieren. Standortobjekte sind einer Gruppe von Subnetzen zugeordnet, und jeder Domänencontroller in einer Gesamtstruktur wird gemäß seiner IP-Adresse einem Active Directory-Standort zugeordnet. Standorte können Domänencontroller aus mehreren Domänen hosten, und eine Domäne kann an mehreren Standorten dargestellt werden.
Standortverknüpfung
Standortverknüpfungen sind logische Pfade darstellende Active Directory-Objekte, die von der Konsistenzprüfung zum Herstellen einer Verbindung für die Active Directory-Replikation verwendet werden. Ein Standortverknüpfungsobjekt stellt eine Reihe von Standorten dar, die zu einheitlichen Kosten über einen festgelegten standortübergreifenden Transport kommunizieren können.
Es wird angenommen, dass alle Standorte innerhalb der Standortverknüpfung über denselben Netzwerktyp verbunden sind. Standorte müssen manuell über Standortverknüpfungen mit anderen Standorten verbunden werden, damit Domänencontroller an einem Standort Verzeichnisänderungen von Domänencontrollern an einem anderen Standort replizieren können. Da Standortverknüpfungen nicht dem tatsächlichen Pfad entsprechen, den die Netzwerkpakete während der Replikation im physischen Netzwerk nehmen, müssen Sie keine redundanten Standortverknüpfungen erstellen, um die Effizienz der Active Directory-Replikation zu verbessern.
Wenn zwei Standorte durch eine Standortverknüpfung verbunden sind, erstellt das Replikationssystem automatisch Verbindungen zwischen bestimmten Domänencontrollern an jedem Standort, die als Bridgeheadserver bezeichnet werden. Unter Windows Server 2008 kommen alle Domänencontroller an einem Standort, die dieselbe Verzeichnispartition hosten, für die Auswahl als Bridgeheadserver in Frage. Die von der Konsistenzprüfung erstellten Verbindungen werden nach dem Zufallsprinzip auf alle in Frage kommenden Bridgeheadserver an einem Standort verteilt, um die Workload zu verteilen. Standardmäßig findet der Prozess der Zufallsauswahl nur einmal statt, wenn dem Standort zum ersten Mal Verbindungsobjekte hinzugefügt werden.
Standortverknüpfungsbrücke
Eine Standortverknüpfungsbrücke ist ein Active Directory-Objekt, das eine Reihe von Standortverknüpfungen darstellt, deren Standorte alle über einen gemeinsamen Transport kommunizieren können. Standortverknüpfungsbrücken ermöglichen Domänencontrollern, die nicht direkt über eine Kommunikationsverbindung verbunden sind, eine gegenseitige Replikation. In der Regel entspricht eine Standortverbindungsbrücke einem Router (oder einer Reihe von Routern) in einem IP-Netzwerk.
Standardmäßig kann die Konsistenzprüfung eine transitive Route durch alle Standortverknüpfungen bilden, die einige Standorte gemeinsam haben. Wenn dieses Verhalten deaktiviert ist, stellt jede Standortverbindung ein eigenes und isoliertes Netzwerk dar. Gruppen von Standortverknüpfungen, die als einzelne Route behandelt werden können, werden durch eine Standortverknüpfungsbrücke ausgedrückt. Jede Brücke stellt eine isolierte Kommunikationsumgebung für Netzwerkdatenverkehr dar.
Standortverknüpfungsbrücken sind ein Mechanismus zur logischen Darstellung transitiver physischer Konnektivität zwischen Standorten. Eine Standortverknüpfungsbrücke ermöglicht der Konsistenzprüfung, eine beliebige Kombination der enthaltenen Standortverknüpfungen zu verwenden, um die kostengünstigste Route zur Verbindung von Verzeichnispartitionen zu ermitteln, die sich an diesen Standorten befinden. Die Standortverknüpfungsbrücke bietet keine tatsächliche Konnektivität mit den Domänencontrollern. Beim Entfernen der Standortverknüpfungsbrücke wird die Replikation über die kombinierten Standortverknüpfungen fortgesetzt, bis die Konsistenzprüfung die Verknüpfungen entfernt.
Standortverknüpfungsbrücken sind nur dann erforderlich, wenn ein Standort einen Domänencontroller enthält, der eine Verzeichnispartition hostet, die nicht auch auf einem Domänencontroller in einer benachbarten Gesamtstruktur gehostet wird, sondern ein Domänencontroller, der diese Verzeichnispartition hostet, sich in einer oder mehreren anderen Standorten in der Gesamtstruktur befindet. Benachbarte Standorte sind definiert als zwei oder mehr Standorte, die in einer einzigen Standortverknüpfung enthalten sind.
Eine Standortverknüpfungsbrücke erstellt eine logische Verbindung zwischen zwei Standortverknüpfungen und bietet einen transitiven Pfad zwischen zwei getrennten Standorten unter Verwendung eines Zwischenstandorts. Für die Zwecke des standortübergreifenden Topologie-Generators (ISTG) impliziert die Brücke physische Konnektivität unter Verwendung des Zwischenstandorts. Die Brücke impliziert nicht, dass ein Domänencontroller am Zwischenstandort den Replikationspfad bereitstellt. Dies wäre jedoch der Fall, wenn der Zwischenstandort einen Domänencontroller enthält, der die zu replizierende Verzeichnispartition hostet. In diesem Fall ist keine Standortverknüpfungsbrücke erforderlich.
Die Kosten der einzelnen Standortverknüpfungen werden addiert, wobei eine Summe der Kosten für den resultierenden Pfad erstellt wird. Die Standortverknüpfungsbrücke kommt zum Einsatz, wenn der Zwischenstandort keinen Domänencontroller enthält, der die Verzeichnispartition hostet, und eine kostengünstigere Verknüpfung nicht vorhanden ist. Wenn der Zwischenstandort einen Domänencontroller enthält, der die Verzeichnispartition hostet, richten zwei getrennte Standorte Replikationsverbindungen mit dem Zwischendomänencontroller ein und verwenden nicht die Brücke.
Transitivität von Standortverknüpfungen
Standardmäßig sind alle Standortverknüpfungen transitiv, also „überbrückt“. Wenn Standortverknüpfungen überbrückt sind und sich die Zeitpläne überschneiden, erstellt die Konsistenzprüfung Verbindungen, die die Domänencontroller-Replikationspartner zwischen den Standorten festlegen, wobei die Standorte nicht direkt durch Standortverknüpfungen, sondern transitiv über eine Reihe gemeinsamer Standorte verbunden sind. Das bedeutet, dass Sie jeden Standort mit jedem anderen Standort durch eine Kombination von Standortverknüpfungen verbinden können.
Im Allgemeinen müssen Sie bei einem vollständig gerouteten Netzwerk keine Standortverknüpfungen erstellen, es sei denn, Sie möchten den Ablauf von Replikationsänderungen steuern. Wenn Ihr Netzwerk nicht vollständig geroutet ist, sollten Standortverknüpfungen erstellt werden, um unmögliche Replikationsversuche zu vermeiden. Alle Standortverknüpfungen für einen bestimmten Transport gehören implizit zu einer einzigen Standortverknüpfungsbrücke für diesen Transport. Die Standardüberbrückung für Standortverknüpfungen erfolgt automatisch, und kein Active Directory-Objekt stellt diese Brücke dar. Die Einstellung Brücke zwischen allen Standortverknüpfungen herstellen, die sich in den Eigenschaften der standortübergreifenden Transportcontainer „IP“ und „SMTP (Simple Mail Transfer Protocol)“ befindet, implementiert die automatische Überbrückung von Standortverknüpfungen.
Hinweis
Die SMTP-Replikation wird in künftigen Versionen von AD DS nicht unterstützt. Daher wird das Erstellen von Standortverknüpfungsobjekten im Container „SMTP“ nicht empfohlen.
Globaler Katalogserver
Ein globaler Katalogserver ist ein Domänencontroller, der Informationen zu allen Objekten in der Gesamtstruktur speichert, sodass Anwendungen AD DS durchsuchen können, ohne auf bestimmte Domänencontroller zu verweisen, die die angeforderten Daten speichern. Wie alle Domänencontroller speichert auch ein globaler Katalogserver vollständige, beschreibbare Replikate der Schema- und Konfigurationsverzeichnispartitionen sowie ein vollständiges, beschreibbares Replikat der Domänenverzeichnispartition für die Domäne, die er hostet. Darüber hinaus speichert ein globaler Katalogserver ein schreibgeschütztes Teilreplikat jeder anderen Domäne in der Gesamtstruktur. Schreibgeschützte Domänenteilreplikate enthalten jedes Objekt in der Domäne, aber nur eine Teilmenge der Attribute (und zwar die, die am häufigsten für die Suche nach dem Objekt verwendet werden).
Zwischenspeichern der universellen Gruppenmitgliedschaft
Die Zwischenspeicherung universeller Gruppenmitgliedschaften ermöglicht dem Domänencontroller die Zwischenspeicherung von Informationen zur Mitgliedschaft in universellen Gruppen für Benutzer. Sie können Domänencontroller mit Windows Server 2008 in die Lage versetzen, universelle Gruppenmitgliedschaften zwischenzuspeichern, indem Sie das Snap-In „Active Directory-Standorte und -Dienste“ verwenden.
Durch die Zwischenspeicherung universeller Gruppenmitgliedschaften entfällt die Notwendigkeit eines globalen Katalogservers an jedem Standort in einer Domäne. Dadurch wird die Nutzung der Netzwerkbandbreite minimiert, da ein Domänencontroller nicht alle Objekte in der Gesamtstruktur replizieren muss. Außerdem werden Anmeldezeiten verkürzt, da die authentifizierenden Domänencontroller nicht stets auf einen globalen Katalog zugreifen müssen, um Informationen zu universellen Gruppenmitgliedschaften abzurufen. Weitere Informationen dazu, wann Sie die Zwischenspeicherung universeller Gruppenmitgliedschaften verwenden sollten, finden Sie unter Planen der Platzierung globaler Katalogserver.