Понятия репликации Active Directory
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Прежде чем разрабатывать топологию сайта, ознакомитесь с некоторыми понятиями реплика tion Active Directory.
Объект Connection
Объект подключения — это объект Active Directory, представляющий подключение реплика от исходного контроллера домена к целевому контроллеру домена. Контроллер домена является членом одного сайта и представлен на сайте объектом сервера в службах домен Active Directory (AD DS). Каждый серверный объект имеет дочерний объект NTDS Параметры, представляющий реплика контроллер домена на сайте.
Объект подключения является дочерним объектом NTDS Параметры на целевом сервере. Чтобы реплика между двумя контроллерами домена, объект сервера одного из них должен иметь объект подключения, представляющий входящие реплика от другого. Все подключения реплика для контроллера домена хранятся в виде объектов подключения в объекте NTDS Параметры. Объект подключения определяет исходный сервер реплика tion, содержит расписание реплика и задает транспорт реплика.
Средство проверки согласованности знаний (KCC) автоматически создает объекты подключения, но их также можно создавать вручную. объекты Подключение ion, созданные KCC, отображаются в оснастке < "Сайты и службы Active Directory" какавтоматически сформированы> и считаются достаточными в обычных условиях эксплуатации. объекты Подключение ion, созданные администратором, создаются вручную. Созданный вручную объект подключения определяется именем, назначенным администратором при его создании. При изменении объекта подключения, созданного <автоматически> , он преобразуется в объект подключения с административным изменением, а объект отображается в виде GUID. KCC не вносит изменения в объекты ручного или измененного подключения.
KCC
KCC — это встроенный процесс, который выполняется на всех контроллерах домена и создает топологию реплика tion для леса Active Directory. KCC создает отдельные топологии реплика tion в зависимости от того, происходит ли реплика tion внутри сайта (внутри сайта) или между сайтами (интерсайтами). KCC также динамически настраивает топологию для размещения добавления новых контроллеров домена, удаления существующих контроллеров домена, перемещения контроллеров домена на сайты и с сайтов, изменения затрат и расписаний, а также контроллеров домена, которые временно недоступны или находятся в состоянии ошибки.
На сайте подключения между контроллерами домена, доступными для записи, всегда располагаются в двунаправленном кольце с дополнительными сочетаниями клавиш для уменьшения задержки на больших сайтах. С другой стороны, межсайтовая топология — это слой чередующихся деревьев, что означает, что между любыми двумя сайтами для каждой секции каталога существует одно межсайтовое соединение и обычно не содержит ярлыков подключений. Дополнительные сведения о области деревьев и топологии реплика tion Active Directory см. в техническом справочнике по топологии репликации Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).
На каждом контроллере домена KCC создает маршруты реплика tion, создавая односторонние объекты подключения, определяющие подключения из других контроллеров домена. Для контроллеров домена на том же сайте KCC автоматически создает объекты подключения без вмешательства администратора. При наличии нескольких сайтов вы настраиваете связи между сайтами, а один KCC на каждом сайте автоматически создает подключения между сайтами.
Улучшения KCC для контроллеров домена Windows Server 2008
В Windows Server 2008 в Windows Server 2008 есть ряд улучшений KCC. Типичным сценарием развертывания для RODC является филиал. Топология реплика tion Active Directory, наиболее часто развернутая в этом сценарии, основана на макете концентратора и периферийных узлов, где контроллеры домена ветви на нескольких сайтах реплика te с небольшим количеством серверов плацдарма на главном сайте.
Одним из преимуществ развертывания RODC в этом сценарии является однонаправленное реплика tion. Серверы плацдарма не требуются для реплика te из RODC, что снижает администрирование и использование сети.
Однако одной из административных проблем, выделенных топологией концентратора в предыдущих версиях операционной системы Windows Server, является то, что после добавления нового контроллера домена плацдарма в концентраторе нет автоматического механизма для распространения подключений реплика tion между контроллерами домена ветви и контроллерами домена концентратора, чтобы воспользоваться новым контроллером домена концентратора.
Для контроллеров домена Windows Server 2008 нормальное функционирование KCC обеспечивает некоторую перебалансирование. Новая функция включена по умолчанию. Его можно отключить, добавив следующий раздел реестра в RODC:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"1 = Enabled (default), 0 = Disabled
Дополнительные сведения о том, как работают эти улучшения KCC, см. в разделе "Планирование и развертывание служб домен Active Directory для филиалов( (https://go.microsoft.com/fwlink/?LinkId=107114).
Функции отработки отказа
Сайты обеспечивают маршрутизацию реплика по сбоям сети и автономным контроллерам домена. KCC выполняется через указанные интервалы, чтобы настроить топологию реплика tion для изменений, происходящих в AD DS, например при добавлении новых контроллеров домена и создании новых сайтов. KCC проверяет состояние реплика связи существующих подключений, чтобы определить, не работают ли какие-либо подключения. Если подключение не работает из-за сбоя контроллера домена, KCC автоматически создает временные подключения к другим партнерам по реплика (при наличии), чтобы убедиться, что происходит реплика. Если все контроллеры домена на сайте недоступны, KCC автоматически создает реплика подключения между контроллерами домена с другого сайта.
Подсеть
Подсеть — это сегмент сети TCP/IP, к которой назначается набор логических IP-адресов. Подсети группируют компьютеры таким образом, чтобы идентифицировать их физическое расположение в сети. Объекты подсети в AD DS определяют сетевые адреса, используемые для сопоставления компьютеров с сайтами.
Site
Сайты — это объекты Active Directory, представляющие одну или несколько подсетей TCP/IP с высоконадежными и быстрыми сетевыми подключениями. Сведения о сайте позволяют администраторам настраивать доступ Active Directory и реплика tion для оптимизации использования физической сети. Объекты сайта связаны с набором подсетей, и каждый контроллер домена в лесу связан с сайтом Active Directory в соответствии с ЕГО IP-адресом. Сайты могут размещать контроллеры домена из нескольких доменов, а домен может быть представлен на нескольких сайтах.
Ссылка на сайт
Ссылки на сайт — это объекты Active Directory, представляющие логические пути, которые KCC использует для установления соединения для реплика active Directory. Объект ссылки сайта представляет набор сайтов, которые могут обмениваться данными по единой стоимости через указанный межсайтовой транспорт.
Все сайты, содержащиеся по ссылке сайта, считаются подключенными с помощью одного типа сети. Сайты должны быть вручную связаны с другими сайтами с помощью ссылок сайта, чтобы контроллеры домена на одном сайте могли реплика изменения каталога с контроллеров домена на другом сайте. Так как ссылки сайта не соответствуют фактическому пути, принятому сетевыми пакетами в физической сети во время реплика tion, вам не нужно создавать избыточные ссылки сайта для повышения эффективности реплика tion Active Directory.
При подключении двух сайтов по ссылке сайта система реплика tion автоматически создает подключения между определенными контроллерами домена на каждом сайте, который называется плацдармами. В Windows Server 2008 все контроллеры домена на сайте, на котором размещен тот же раздел каталога, являются кандидатами на выбор в качестве серверов плацдарма. Подключения реплика, созданные KCC, распределяются случайным образом между всеми серверами-кандидатами на сайте для совместного использования рабочей нагрузки реплика tion. По умолчанию случайный процесс выбора происходит только один раз, когда объекты подключения сначала добавляются на сайт.
Мост связи сайта
Мост связи сайта — это объект Active Directory, представляющий набор ссылок сайта, все сайты которых могут взаимодействовать с помощью общего транспорта. Мосты связи сайта позволяют контроллерам домена, которые не подключены напрямую с помощью связи, чтобы реплика te друг с другом. Как правило, мост связи сайта соответствует маршрутизатору (или набору маршрутизаторов) в IP-сети.
По умолчанию KCC может формировать транзитивный маршрут через все ссылки сайта, имеющие некоторые сайты. Если это поведение отключено, каждая ссылка сайта представляет собственную отдельную и изолированную сеть. Наборы ссылок сайта, которые можно рассматривать как единый маршрут, выражаются через мост связи сайта. Каждый мост представляет изолированную среду обмена данными для сетевого трафика.
Мосты связи сайта — это механизм логического представления транзитивного физического подключения между сайтами. Мост связи сайта позволяет KCC использовать любое сочетание включенных ссылок сайта, чтобы определить наименее дорогой маршрут для объединения секций каталогов, удерживаемых на этих сайтах. Мост связи сайта не обеспечивает фактическое подключение к контроллерам домена. Если мост связи сайта удален, реплика tion по объединенным ссылкам сайта продолжится до тех пор, пока KCC не удалит ссылки.
Мосты связи сайта необходимы только в том случае, если сайт содержит контроллер домена, на котором размещен раздел каталога, который также не размещается на контроллере домена на соседнем сайте, но контроллер домена, на котором размещается раздел каталога, находится в одном или нескольких других сайтах в лесу. Смежные сайты определяются как любые два или более сайтов, включенных в одну ссылку сайта.
Мост связи сайта создает логическое соединение между двумя ссылками сайта, предоставляя транзитивный путь между двумя отключенными сайтами с помощью промежуточного сайта. В целях генератора межсайтовых топологий (ISTG) мост подразумевает физическое подключение с помощью промежуточного сайта. Мост не означает, что контроллер домена на промежуточном сайте предоставит путь реплика. Однако это может быть так, если промежуточный сайт содержал контроллер домена, на котором размещен раздел каталога, реплика, в этом случае мост связи сайта не требуется.
Добавляется стоимость каждой ссылки сайта, создавая суммированные затраты на результирующий путь. Мост связи сайта будет использоваться, если промежуточный сайт не содержит контроллер домена, в котором размещен раздел каталога, и ссылка на более низкую стоимость не существует. Если промежуточный сайт содержал контроллер домена, на котором размещен раздел каталога, два отключенных сайта настроили реплика подключения к промежуточному контроллеру домена, а не используйте мост.
Транзитивность канала сайта
По умолчанию все ссылки сайта являются транзитивными или "мостами". При перекрестинии связей сайтов и перекрытии расписаний KCC создает подключения реплика tion, определяющие партнеров контроллера домена реплика связи между сайтами, где сайты не подключены напрямую по ссылкам сайта, но подключаются транзитивно через набор общих сайтов. Это означает, что вы можете подключить любой сайт к любому другому сайту с помощью сочетания ссылок сайта.
Как правило, для полностью перенаправленной сети не требуется создавать мосты связи сайта, если вы не хотите управлять потоком изменений реплика tion. Если сеть не полностью перенаправлена, необходимо создать мосты связи сайта, чтобы избежать невозможных попыток реплика. Все ссылки сайта для конкретного транспорта неявно принадлежат одному мосту связи сайта для этого транспорта. Переход по умолчанию для ссылок сайта происходит автоматически, и объект Active Directory не представляет этот мост. Параметр "Мост всех ссылок сайта", найденный в свойствах межсайтовых контейнеров транспорта IP-адресов и протокола SMTP, реализует автоматическую привязку канала сайта.
Примечание.
Smtp реплика tion не будет поддерживаться в будущих версиях AD DS. Поэтому не рекомендуется создавать объекты ссылок сайта в контейнере SMTP.
Сервер глобального каталога
Глобальный сервер каталога — это контроллер домена, который хранит сведения обо всех объектах в лесу, чтобы приложения могли выполнять поиск AD DS без ссылки на определенные контроллеры домена, которые хранят запрошенные данные. Как и все контроллеры домена, глобальный сервер каталога хранит полные, записываемые реплика секций каталога схемы и конфигурации и полный, доступный для записи реплика секции каталога домена для домена, на котором он размещен. Кроме того, сервер глобального каталога хранит частичное реплика только для чтения каждого другого домена в лесу. Частичные реплика домена только для чтения содержат каждый объект в домене, но только подмножество атрибутов (те атрибуты, которые чаще всего используются для поиска объекта).
Кэширование членства в универсальных группах
Кэширование членства в универсальных группах позволяет контроллеру домена кэшировать сведения о членстве в универсальных группах для пользователей. Вы можете включить контроллеры домена под управлением Windows Server 2008 для кэширования членства в универсальных группах с помощью оснастки "Сайты и службы Active Directory".
Включение кэширования членства в универсальных группах устраняет необходимость для глобального сервера каталога на каждом сайте в домене, что сводит к минимуму использование пропускной способности сети, так как контроллер домена не должен реплика te все объекты, расположенные в лесу. Это также сокращает время входа, так как проверка подлинности контроллеров домена не всегда требуется для доступа к глобальному каталогу для получения сведений о членстве в универсальных группах. Дополнительные сведения об использовании кэширования членства в универсальных группах см. в разделе "Планирование размещения сервера глобального каталога".