Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przed projektowaniem topologii lokacji zapoznaj się z niektórymi pojęciami dotyczącymi replikacji usługi Active Directory.
Obiekt połączenia
Obiekt połączenia to obiekt usługi Active Directory, który reprezentuje połączenie replikacji od źródłowego kontrolera domeny do docelowego kontrolera domeny. Kontroler domeny jest członkiem jednej witryny i jest reprezentowany w witrynie przez obiekt serwera w usługach Active Directory Domain Services (AD DS). Każdy obiekt serwera ma podrzędny obiekt ustawień NTDS, który reprezentuje replikowany kontroler domeny w lokalizacji.
Obiekt połączenia jest elementem podrzędnym obiektu NTDS Settings na serwerze docelowym. Aby replikacja miała miejsce między dwoma kontrolerami domeny, obiekt serwera jednego musi mieć obiekt połączenia reprezentujący replikację przychodzącą z drugiej. Wszystkie połączenia replikacji kontrolera domeny są przechowywane jako obiekty połączenia w obiekcie Ustawień NTDS. Obiekt połączenia identyfikuje serwer źródłowy replikacji, zawiera harmonogram replikacji i określa transport replikacji.
Narzędzie sprawdzania spójności wiedzy (KCC) automatycznie tworzy obiekty połączenia, ale można je również utworzyć ręcznie. Obiekty połączeń utworzone przez KCC są wyświetlane w przystawce Lokacje i usługi Active Directory jako <generowane> automatycznie i są uznawane za odpowiednie w normalnych warunkach operacyjnych. Obiekty połączeń utworzone przez administratora są tworzone ręcznie. Obiekt połączenia utworzony ręcznie jest identyfikowany przez nazwę przypisaną przez administratora podczas jego tworzenia. Podczas modyfikowania automatycznie wygenerowanego<> obiektu połączenia należy przekonwertować go na obiekt połączenia zmodyfikowanego administracyjnie, a obiekt pojawia się w postaci identyfikatora GUID. KCC nie wprowadza zmian w obiektach połączeń ręcznych ani zmodyfikowanych.
KCC
KCC to wbudowany proces, który działa na wszystkich kontrolerach domeny i generuje topologię replikacji dla lasu Active Directory. KCC tworzy oddzielne topologie replikacji w zależności od tego, czy replikacja występuje w lokacji (wewnątrzlokacyjnej) czy między lokacjami. KCC dynamicznie dostosowuje topologię, aby uwzględnić dodanie nowych kontrolerów domeny, usunięcie istniejących kontrolerów domeny, przenoszenie kontrolerów domeny do i z lokacji, zmienianie kosztów i harmonogramów oraz kontrolerów domeny, które są tymczasowo niedostępne lub w stanie błędu.
W obrębie witryny połączenia między zapisywalnymi kontrolerami domeny są zawsze rozmieszczone w pierścieniu dwukierunkowym z dodatkowymi połączeniami skrótowymi w celu zmniejszenia opóźnień w dużych witrynach. Z drugiej strony topologia między witrynami jest warstwowaniem drzew spinających, co oznacza, że istnieje jedno połączenie między witrynami między każdymi dwiema lokacjami dla każdej partycji katalogu i zazwyczaj nie zawiera łączeń skrótowych. Aby uzyskać więcej informacji na temat tworzenia drzew i topologii replikacji usługi Active Directory, zobacz Dokumentacja techniczna topologii replikacji usługi Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).
Na każdym kontrolerze domeny KCC tworzy trasy replikacji przez utworzenie jednokierunkowych obiektów połączeń przychodzących, które definiują połączenia z innych kontrolerów domeny. W przypadku kontrolerów domeny w tej samej lokacji KCC automatycznie tworzy obiekty połączenia bez interwencji administracyjnej. Jeśli masz więcej niż jedną witrynę, należy skonfigurować łącza między witrynami, a pojedynczy KCC w każdej witrynie automatycznie tworzy połączenia między witrynami.
Ulepszenia KCC dla kontrolerów RODC systemu Windows Server 2008
W systemie Windows Server 2008 wprowadzono szereg ulepszeń KCC, które umożliwiają obsługę nowo dostępnego kontrolera domeny tylko do odczytu (RODC). Typowym scenariuszem wdrażania kontrolera RODC jest oddział biurowy. Topologia replikacji usługi Active Directory najczęściej wdrażana w tym scenariuszu opiera się na projekcie gwiazdy, w którym kontrolery domen w oddziałach w różnych lokalizacjach są replikowane z niewielką liczbą serwerów mostkowych w lokalizacji centralnej.
Jedną z zalet wdrażania kontrolera RODC w tym scenariuszu jest replikacja jednokierunkowa. Serwery bridgehead nie są wymagane do replikacji z RODC, co zmniejsza nakłady administracyjne i zużycie sieci.
Jednak jednym z wyzwań administracyjnych, które podkreśla topologia typu „hub-spoke” w poprzednich wersjach systemu operacyjnego Windows Server, jest fakt, że po dodaniu nowego kontrolera domeny w centrum, nie ma automatycznego mechanizmu redystrybucji połączeń replikacji między kontrolerami domeny gałęzi a kontrolerami domeny w centrum, aby wykorzystać nowy kontroler domeny w centrum.
W przypadku kontrolerów RODC systemu Windows Server 2008 normalne działanie KCC zapewnia pewne ponowne równoważenie. Nowa funkcja jest domyślnie włączona. Można go wyłączyć, dodając następujący klucz rejestru ustawiony na kontrolerze RODC:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Losowe równoważenie obciążenia BH Dozwolone"1 = Włączone (ustawienie domyślne), 0 = Wyłączone
Aby uzyskać więcej informacji na temat sposobu działania tych ulepszeń KCC, zobacz Planowanie i wdrażanie usług Active Directory Domain Services dla oddziałów (https://go.microsoft.com/fwlink/?LinkId=107114).
Funkcje trybu failover
Witryny gwarantują, że replikacja omija awarie sieci i kontrolery domeny w trybie offline. KCC działa w określonych interwałach, aby dostosować topologię replikacji do zmian zachodzących w usłudze Active Directory Domain Services (AD DS), takich jak dodanie nowych kontrolerów domeny i utworzenie nowych lokacji. KCC sprawdza stan replikacji istniejących połączeń, aby określić, czy jakiekolwiek połączenia nie działają. Jeśli połączenie nie działa z powodu nieudanego kontrolera domeny, KCC automatycznie kompiluje tymczasowe połączenia z innymi partnerami replikacji (jeśli są dostępne), aby upewnić się, że nastąpi replikacja. Jeśli wszystkie kontrolery domeny w lokacji są niedostępne, KCC automatycznie tworzy połączenia replikacji między kontrolerami domeny z innej lokacji.
Subnet
Podsieć to segment sieci TCP/IP, do której przypisano zestaw logicznych adresów IP. Podsieci grupują komputery w sposób identyfikujący ich fizyczną bliskość w sieci. Obiekty podsieci w usługach AD DS identyfikują adresy sieciowe używane do mapowania komputerów na lokacje.
Site
Witryny to obiekty usługi Active Directory reprezentujące jedną lub więcej podsieci TCP/IP z wysoce niezawodnymi i szybkimi połączeniami sieciowymi. Informacje o lokacji umożliwiają administratorom skonfigurowanie dostępu do usługi Active Directory i replikacji w celu zoptymalizowania użycia sieci fizycznej. Obiekty witryny są skojarzone z zestawem podsieci, a każdy kontroler domeny w lesie jest skojarzony z witryną Active Directory zgodnie z jego adresem IP. Witryny mogą hostować kontrolery domen z więcej niż jednej domeny, a domena może być reprezentowana w więcej niż jednej witrynie.
Link do witryny
Łącza witryn to obiekty Active Directory, które reprezentują ścieżki logiczne używane przez KCC do tworzenia połączenia na potrzeby replikacji Active Directory. Obiekt łącza lokalizacji reprezentuje zestaw lokalizacji, które mogą komunikować się po jednolitych kosztach za pośrednictwem określonego transportu międzylokacyjnego.
Wszystkie witryny zawarte w linku witryn są uważane za połączone za pomocą tego samego typu sieci. Witryny muszą być ręcznie połączone z innymi witrynami przy użyciu łączy witryn, aby kontrolery domeny w jednej witrynie mogły replikować zmiany katalogu z kontrolerów domeny w innej witrynie. Ponieważ łącza lokacji nie odpowiadają rzeczywistej ścieżce pobieranej przez pakiety sieciowe w sieci fizycznej podczas replikacji, nie trzeba tworzyć nadmiarowych łączy lokacji w celu zwiększenia wydajności replikacji usługi Active Directory.
Gdy dwa lokacje są połączone za pomocą łącza lokacji, system replikacji automatycznie tworzy połączenia między określonymi kontrolerami domeny w każdej lokacji, które są nazywane serwerami mostka. W systemie Windows Server 2008 wszystkie kontrolery domeny w lokacji, które hostują tę samą partycję katalogu, są kandydatami do bycia wybranymi jako serwery mostkowe. Połączenia replikacji utworzone przez KCC są losowo dystrybuowane między wszystkie serwery mostkowe kandydatów w witrynie, aby rozłożyć obciążenie replikacji. Domyślnie losowy proces wyboru odbywa się tylko raz, gdy obiekty połączenia są dodawane po raz pierwszy do strony.
Mostek łącza lokacji
Mostek łącza lokacji to obiekt usługi Active Directory reprezentujący zestaw łączy lokacji, gdzie wszystkie lokacje mogą komunikować się przy użyciu wspólnego transportu. Mostki łączy lokacji umożliwiają kontrolerom domen, które nie są bezpośrednio połączone, replikację danych między sobą. Zazwyczaj mostek łącza witryny odpowiada routerowi (lub zestawowi routerów) w sieci IP.
Domyślnie KCC może utworzyć trasę przechodnią przez dowolne łącza witryn, które współdzielą pewne wspólne witryny. Jeśli to zachowanie jest wyłączone, każde łącze do strony reprezentuje własną, odrębną i odizolowaną sieć. Zestawy łączy lokacji, które mogą być traktowane jako pojedyncza trasa, są wyrażane za pośrednictwem mostka łącza lokacji. Każdy most reprezentuje izolowane środowisko komunikacyjne dla ruchu sieciowego.
Mostki łączy witryn to mechanizm logiczny reprezentujący przechodnią fizyczną łączność między witrynami. Mostek linków witryny umożliwia KCC używanie dowolnej kombinacji załączonych linków witryny w celu określenia najtańszej trasy do połączenia partycji katalogu przechowywanych w tych lokalizacjach. Mostek łącza lokacji nie zapewnia rzeczywistej łączności z kontrolerami domeny. Jeśli mostek łącza sajtowego zostanie usunięty, replikacja po łączach sajtowych będzie kontynuowana, dopóki KCC nie usunie łączy.
Mostki połączeń międzylokacyjnych są niezbędne tylko wtedy, gdy witryna zawiera kontroler domeny hostujący partycję katalogu, która nie jest również hostowana na kontrolerze domeny w sąsiadującej witrynie, ale kontroler domeny hostujący tę partycję katalogu znajduje się w co najmniej jednej innej witrynie w lesie. Sąsiadujące miejsca są definiowane jako dowolne dwa lub więcej miejsc zawartych w jednym linku witryny.
Mostek łącza witryn tworzy połączenie logiczne między dwoma łączami witryn, zapewniając przechodnią ścieżkę między dwoma odłączonymi witrynami przy użyciu witryny pośredniczącej. Na potrzeby generatora topologii międzylokacyjnej (ISTG) most sugeruje łączność fizyczną przy użyciu lokacji tymczasowej. Most nie oznacza, że kontroler domeny w lokacji tymczasowej zapewni ścieżkę replikacji. Jednak byłoby tak, gdyby lokalizacja tymczasowa zawierała kontroler domeny, który hostował partycję katalogu do replikacji, w takim przypadku mostek łącza lokacji nie jest wymagany.
Koszt każdego linku strony jest dodawany, tworząc łączny koszt dla wynikowej ścieżki. Mostek linków lokacji będzie używany, jeśli lokacja tymczasowa nie zawiera kontrolera domeny zawierającego partycję katalogu, a link o niższym koszcie nie istnieje. Jeśli lokacja tymczasowa zawiera kontroler domeny hostujący partycję katalogu, dwie odłączone lokacje będą konfigurować połączenia replikacji z tymczasowym kontrolerem domeny i nie używać mostka.
Transytywność łącza witryny
Domyślnie wszystkie linki witryny są przechodnie lub "mostowane". Gdy linki witryny są mostowane, a harmonogramy się nakładają, KCC tworzy połączenia replikacji, które określają partnerów replikacji kontrolerów domeny między witrynami, gdzie witryny nie są bezpośrednio połączone za pomocą linków witryny, ale są połączone przechodnio przez zestaw wspólnych witryn. Oznacza to, że można połączyć dowolną witrynę z dowolną inną witryną za pomocą kombinacji odnośników witryny.
Ogólnie rzecz biorąc, w przypadku sieci z pełnym trasowaniem nie trzeba tworzyć mostów łączy lokacji, chyba że chcesz kontrolować przepływ zmian replikacji. Jeśli sieć komputerowa nie jest w pełni routingowana, należy utworzyć mosty połączeń lokalizacji, aby uniknąć nieudanych prób replikacji. Wszystkie łącza lokacji dla określonego transportu niejawnie należą do jednego mostka łącza lokacji dla tego transportu. Domyślne łączenie łączy lokacji odbywa się automatycznie i żaden obiekt usługi Active Directory nie reprezentuje tego połączenia. Ustawienie Łączenie wszystkich łączy lokacji, które znajduje się we właściwościach kontenerów transportu międzylokacyjnego dla protokołu IP i Protokół Prostego Przesyłania Pocztowego (SMTP), implementuje automatyczne mostkowanie łączy lokacji.
Note
Replikacja SMTP nie będzie obsługiwana w przyszłych wersjach usług AD DS; dlatego tworzenie obiektów połączeń w kontenerze SMTP nie jest zalecane.
Serwer wykazu globalnego
Serwer wykazu globalnego jest kontrolerem domeny, który przechowuje informacje o wszystkich obiektach w lesie, dzięki czemu aplikacje mogą przeszukiwać usługi AD DS bez odwoływania się do określonych kontrolerów domeny, które przechowują żądane dane. Podobnie jak wszystkie kontrolery domeny, serwer wykazu globalnego przechowuje pełne, zapisywalne repliki partycji schematu i katalogu konfiguracji oraz pełną, zapisywalną replikę partycji katalogu domeny dla domeny, która jest hostowana. Ponadto serwer wykazu globalnego przechowuje częściową replikę tylko do odczytu każdej innej domeny w lesie. Częściowe repliki domeny tylko do odczytu zawierają każdy obiekt w domenie, ale tylko podzbiór atrybutów (te atrybuty, które są najczęściej używane do wyszukiwania obiektu).
Buforowanie członkostwa uniwersalnych grup
Buforowanie członkostwa w grupach uniwersalnych umożliwia kontrolerowi domeny buforowanie informacji o członkostwie w grupach uniwersalnych dla użytkowników. Możesz włączyć kontrolery domeny działające na Windows Server 2008 do buforowania członkostwa w grupach uniwersalnych, korzystając z narzędzia Lokacje i Usługi Active Directory.
Włączenie buforowania członkostwa w grupach uniwersalnych eliminuje potrzebę serwera wykazu globalnego w każdej lokacji w domenie, co minimalizuje użycie przepustowości sieci, ponieważ kontroler domeny nie musi replikować wszystkich obiektów znajdujących się w lesie. Skraca również czas logowania, ponieważ kontrolery domeny uwierzytelniającej nie zawsze muszą uzyskiwać dostęp do wykazu globalnego, aby uzyskać informacje o członkostwie w grupach uniwersalnych. Aby uzyskać więcej informacji o tym, kiedy używać buforowania członkostwa w grupach uniwersalnych, zobacz Planowanie umieszczania serwera wykazu globalnego.