Konsep Replikasi Direktori Aktif
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Sebelum merancang topologi situs, kenali beberapa konsep replikasi Direktori Aktif.
objek Koneksi ion
Objek koneksi adalah objek Direktori Aktif yang mewakili koneksi replikasi dari pengontrol domain sumber ke pengontrol domain tujuan. Pengendali domain adalah anggota dari satu situs dan diwakili di situs oleh objek server di Active Directory Domain Services (AD DS). Setiap objek server memiliki objek Pengaturan NTDS anak yang mewakili pengontrol domain replikasi di situs.
Objek koneksi adalah anak dari objek Pengaturan NTDS di server tujuan. Agar replikasi terjadi di antara dua pengendali domain, objek server dari satu harus memiliki objek koneksi yang mewakili replikasi masuk dari yang lain. Semua koneksi replikasi untuk pengendali domain disimpan sebagai objek koneksi di bawah objek Pengaturan NTDS. Objek koneksi mengidentifikasi server sumber replikasi, berisi jadwal replikasi, dan menentukan transportasi replikasi.
Pemeriksa Konsistensi Pengetahuan (KCC) membuat objek koneksi secara otomatis, tetapi juga dapat dibuat secara manual. objek Koneksi ion yang dibuat oleh KCC muncul di snap-in Situs dan Layanan Direktori Aktif sebagai <dibuat> secara otomatis dan dianggap memadai dalam kondisi operasi normal. objek Koneksi ion yang dibuat oleh administrator adalah objek koneksi yang dibuat secara manual. Objek koneksi yang dibuat secara manual diidentifikasi dengan nama yang ditetapkan oleh administrator saat dibuat. Saat Anda memodifikasi objek koneksi yang <dihasilkan secara otomatis, Anda mengonversinya menjadi objek koneksi yang dimodifikasi> secara administratif dan objek muncul dalam bentuk GUID. KCC tidak membuat perubahan pada objek koneksi manual atau diubah.
KCC
KCC adalah proses bawaan yang berjalan pada semua pengontrol domain dan menghasilkan topologi replikasi untuk forest Direktori Aktif. KCC membuat topologi replikasi terpisah tergantung pada apakah replikasi terjadi dalam situs (intrasite) atau antar situs (antarsitus). KCC juga secara dinamis menyesuaikan topologi untuk mengakomodasi penambahan pengendali domain baru, penghapusan pengendali domain yang ada, pergerakan pengendali domain ke dan dari situs, mengubah biaya dan jadwal, dan pengendali domain yang sementara tidak tersedia atau dalam keadaan kesalahan.
Dalam situs, koneksi antara pengontrol domain bisa-tulis selalu diatur dalam cincin dua arah, dengan koneksi pintasan tambahan untuk mengurangi latensi di situs besar. Di sisi lain, topologi antarsitus adalah lapisan pohon rentang, yang berarti satu koneksi antarsitus ada di antara dua situs untuk setiap partisi direktori dan umumnya tidak berisi koneksi pintasan. Untuk informasi selengkapnya tentang mencakup pohon dan topologi replikasi Direktori Aktif, lihat Referensi Teknis Topologi Replikasi Direktori Aktif (https://go.microsoft.com/fwlink/?LinkID=93578).
Pada setiap pengontrol domain, KCC membuat rute replikasi dengan membuat objek koneksi masuk satu arah yang menentukan koneksi dari pengendali domain lain. Untuk pengendali domain di situs yang sama, KCC membuat objek koneksi secara otomatis tanpa intervensi administratif. Ketika Anda memiliki lebih dari satu situs, Anda mengonfigurasi tautan situs antara situs, dan satu KCC di setiap situs secara otomatis membuat koneksi antar situs juga.
Peningkatan KCC untuk WINDOWS Server 2008 RODC
Ada sejumlah peningkatan KCC untuk mengakomodasi pengontrol domain baca-saja (RODC) yang baru tersedia di Windows Server 2008. Skenario penyebaran umum untuk RODC adalah kantor cabang. Topologi replikasi Direktori Aktif yang paling umum disebarkan dalam skenario ini didasarkan pada desain hub-and-spoke, di mana pengendali domain cabang di beberapa situs mereplikasi dengan sejumlah kecil server bridgehead di situs hub.
Salah satu manfaat menyebarkan RODC dalam skenario ini adalah replikasi searah. Server Bridgehead tidak diperlukan untuk mereplikasi dari RODC, yang mengurangi administrasi dan penggunaan jaringan.
Namun, satu tantangan administratif yang disorot oleh topologi hub-spoke pada versi sistem operasi Windows Server sebelumnya adalah bahwa setelah menambahkan pengontrol domain bridgehead baru di hub, tidak ada mekanisme otomatis untuk mendistribusikan kembali koneksi replikasi antara pengontrol domain cabang dan pengontrol domain hub untuk memanfaatkan pengendali domain hub baru.
Untuk WINDOWS Server 2008 RODC, fungsi normal KCC menyediakan beberapa penyeimbangan ulang. Fungsionalitas baru diaktifkan secara default. Anda dapat menonaktifkannya dengan menambahkan kunci registri berikut yang diatur pada RODC:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Loadbalancing BH Acak Diizinkan"1 = Diaktifkan (default), 0 = Dinonaktifkan
Untuk informasi selengkapnya tentang cara kerja peningkatan KCC ini, lihat Merencanakan dan Menyebarkan Layanan Domain Direktori Aktif untuk Kantor Cabang (https://go.microsoft.com/fwlink/?LinkId=107114).
Fungsionalitas failover
Situs memastikan bahwa replikasi dirutekan di sekitar kegagalan jaringan dan pengontrol domain offline. KCC berjalan pada interval yang ditentukan untuk menyesuaikan topologi replikasi untuk perubahan yang terjadi di AD DS, seperti ketika pengontrol domain baru ditambahkan dan situs baru dibuat. KCC meninjau status replikasi koneksi yang ada untuk menentukan apakah ada koneksi yang tidak berfungsi. Jika koneksi tidak berfungsi karena pengontrol domain yang gagal, KCC secara otomatis membangun koneksi sementara ke mitra replikasi lain (jika tersedia) untuk memastikan bahwa replikasi terjadi. Jika semua pengontrol domain di situs tidak tersedia, KCC secara otomatis membuat koneksi replikasi antara pengendali domain dari situs lain.
Subnet
Subnet adalah segmen jaringan TCP/IP tempat sekumpulan alamat IP logis ditetapkan. Subnet mengelompokkan komputer dengan cara yang mengidentifikasi kedekatan fisik mereka di jaringan. Objek subnet di AD DS mengidentifikasi alamat jaringan yang digunakan untuk memetakan komputer ke situs.
Situs
Situs adalah objek Direktori Aktif yang mewakili satu atau beberapa subnet TCP/IP dengan koneksi jaringan yang sangat andal dan cepat. Informasi situs memungkinkan administrator mengonfigurasi akses dan replikasi Direktori Aktif untuk mengoptimalkan penggunaan jaringan fisik. Objek situs dikaitkan dengan sekumpulan subnet, dan setiap pengendali domain di forest dikaitkan dengan situs Direktori Aktif sesuai dengan alamat IP-nya. Situs dapat menghosting pengendali domain dari lebih dari satu domain, dan domain dapat diwakili di lebih dari satu situs.
Tautan situs
Tautan situs adalah objek Direktori Aktif yang mewakili jalur logis yang digunakan KCC untuk membuat koneksi untuk replikasi Direktori Aktif. Objek tautan situs mewakili sekumpulan situs yang dapat berkomunikasi dengan biaya seragam melalui transportasi antarsitus tertentu.
Semua situs yang terkandung dalam tautan situs dianggap tersambung dengan jenis jaringan yang sama. Situs harus ditautkan secara manual ke situs lain dengan menggunakan tautan situs sehingga pengendali domain dalam satu situs dapat mereplikasi perubahan direktori dari pengendali domain di situs lain. Karena tautan situs tidak sesuai dengan jalur aktual yang diambil oleh paket jaringan pada jaringan fisik selama replikasi, Anda tidak perlu membuat tautan situs redundan untuk meningkatkan efisiensi replikasi Direktori Aktif.
Ketika dua situs tersambung oleh tautan situs, sistem replikasi secara otomatis membuat koneksi antara pengendali domain tertentu di setiap situs yang disebut server bridgehead. Di Windows Server 2008, semua pengontrol domain di situs yang menghosting partisi direktori yang sama adalah kandidat untuk dipilih sebagai server bridgehead. Koneksi replikasi yang dibuat oleh KCC didistribusikan secara acak di antara semua server bridgehead kandidat di situs untuk berbagi beban kerja replikasi. Secara default, proses pemilihan acak hanya terjadi sekali, ketika objek koneksi pertama kali ditambahkan ke situs.
Penghubung tautan situs
Jembatan tautan situs adalah objek Direktori Aktif yang mewakili sekumpulan tautan situs, yang semua situsnya dapat berkomunikasi dengan menggunakan transportasi umum. Jembatan tautan situs memungkinkan pengontrol domain yang tidak terhubung langsung dengan tautan komunikasi untuk direplikasi satu sama lain. Biasanya, jembatan tautan situs sesuai dengan router (atau sekumpulan router) pada jaringan IP.
Secara default, KCC dapat membentuk rute transitif melalui setiap dan semua tautan situs yang memiliki beberapa situs yang sama. Jika perilaku ini dinonaktifkan, setiap tautan situs mewakili jaringannya sendiri yang berbeda dan terisolasi. Kumpulan tautan situs yang dapat diperlakukan sebagai satu rute diekspresikan melalui jembatan tautan situs. Setiap jembatan mewakili lingkungan komunikasi terisolasi untuk lalu lintas jaringan.
Jembatan tautan situs adalah mekanisme untuk secara logis mewakili konektivitas fisik transitif antar situs. Jembatan tautan situs memungkinkan KCC menggunakan kombinasi tautan situs yang disertakan untuk menentukan rute paling murah ke partisi direktori interkoneksi yang disimpan di situs tersebut. Jembatan tautan situs tidak menyediakan konektivitas aktual ke pengendali domain. Jika jembatan tautan situs dihapus, replikasi atas tautan situs gabungan akan berlanjut hingga KCC menghapus tautan.
Jembatan tautan situs hanya diperlukan jika situs berisi pengendali domain yang menghosting partisi direktori yang tidak juga dihosting pada pengontrol domain di situs yang berdekatan, tetapi pengontrol domain yang menghosting partisi direktori tersebut terletak di satu atau beberapa situs lain di forest. Situs yang berdekatan didefinisikan sebagai dua situs atau lebih yang disertakan dalam satu tautan situs.
Jembatan tautan situs membuat koneksi logis antara dua tautan situs, menyediakan jalur transitif antara dua situs yang terputus dengan menggunakan situs sementara. Untuk keperluan generator topologi antar situs (ISTG), jembatan menyiratkan konektivitas fisik dengan menggunakan situs sementara. Jembatan tidak menyiratkan bahwa pengendali domain di situs sementara akan menyediakan jalur replikasi. Namun, ini akan terjadi jika situs sementara berisi pengendali domain yang menghosting partisi direktori yang akan direplikasi, dalam hal ini jembatan tautan situs tidak diperlukan.
Biaya setiap tautan situs ditambahkan, membuat biaya yang dijumlahkan untuk jalur yang dihasilkan. Jembatan tautan situs akan digunakan jika situs sementara tidak berisi pengendali domain yang menghosting partisi direktori dan tautan biaya yang lebih rendah tidak ada. Jika situs sementara berisi pengendali domain yang menghosting partisi direktori, dua situs yang terputus akan menyiapkan koneksi replikasi ke pengontrol domain sementara dan tidak menggunakan jembatan.
Transitivitas tautan situs
Secara default, semua tautan situs transitif, atau "dihubungi." Ketika tautan situs dijemput dan jadwal tumpang tindih, KCC membuat koneksi replikasi yang menentukan mitra replikasi pengendali domain antara situs, di mana situs tidak terhubung langsung oleh tautan situs tetapi terhubung secara transitif melalui sekumpulan situs umum. Ini berarti Anda dapat menyambungkan situs apa pun ke situs lain melalui kombinasi tautan situs.
Secara umum, untuk jaringan yang sepenuhnya dirutekan, Anda tidak perlu membuat jembatan tautan situs apa pun kecuali Anda ingin mengontrol alur perubahan replikasi. Jika jaringan Anda tidak sepenuhnya dirutekan, jembatan tautan situs harus dibuat untuk menghindari upaya replikasi yang tidak mungkin. Semua tautan situs untuk transportasi tertentu secara implisit milik satu jembatan tautan situs untuk transportasi tersebut. Bridging default untuk tautan situs terjadi secara otomatis, dan tidak ada objek Direktori Aktif yang mewakili jembatan tersebut. Pengaturan Penghubung semua tautan situs, yang ditemukan di properti kontainer transportasi antar situs IP dan Simple Mail Transfer Protocol (SMTP), menerapkan bridging tautan situs otomatis.
Catatan
Replikasi SMTP tidak akan didukung dalam versi AD DS yang akan datang; oleh karena itu, membuat objek tautan situs dalam kontainer SMTP tidak disarankan.
Server katalog global
Server katalog global adalah pengendali domain yang menyimpan informasi tentang semua objek di forest, sehingga aplikasi dapat mencari AD DS tanpa mengacu pada pengendali domain tertentu yang menyimpan data yang diminta. Seperti semua pengendali domain, server katalog global menyimpan replika penuh dan dapat ditulis dari skema dan partisi direktori konfigurasi dan replika penuh yang dapat ditulis dari partisi direktori domain untuk domain yang dihostingnya. Selain itu, server katalog global menyimpan replika baca-saja parsial dari setiap domain lain di forest. Replika domain parsial baca-saja berisi setiap objek di domain tetapi hanya subset atribut (atribut yang paling umum digunakan untuk mencari objek).
Penembolokan keanggotaan grup universal
Penembolokan keanggotaan grup universal memungkinkan pengendali domain untuk menyimpan informasi keanggotaan grup universal untuk pengguna. Anda dapat mengaktifkan pengendali domain yang menjalankan Windows Server 2008 untuk menyimpan keanggotaan grup universal dengan menggunakan snap-in Situs dan Layanan Direktori Aktif.
Mengaktifkan penembolokan keanggotaan grup universal menghilangkan kebutuhan akan server katalog global di setiap situs di domain, yang meminimalkan penggunaan bandwidth jaringan karena pengendali domain tidak perlu mereplikasi semua objek yang terletak di forest. Ini juga mengurangi waktu masuk karena pengontrol domain autentikasi tidak selalu perlu mengakses katalog global untuk mendapatkan informasi keanggotaan grup universal. Untuk informasi selengkapnya tentang kapan menggunakan penembolokan keanggotaan grup universal, lihat Merencanakan Penempatan Server Katalog Global.