Active Directory 复制概念

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

在设计站点拓扑之前,请熟悉一些 Active Directory 复制概念。

连接对象

连接对象是一个 Active Directory 对象,表示从源域控制器到目标域控制器的复制连接。 域控制器是单个站点的成员,由 Active Directory 域 Services (AD DS) 中的服务器对象在站点中表示。 每个服务器对象都有一个子 NTDS 设置对象,该对象表示站点中的复制域控制器。

连接对象是目标服务器上 NTDS 设置对象的子级。 若要在两个域控制器之间进行复制,其中一个域控制器的服务器对象必须具有表示另一个域控制器的入站复制的连接对象。 域控制器的所有复制连接都作为连接对象存储在 NTDS 设置对象下。 连接对象标识复制源服务器,包含复制计划,并指定复制传输。

知识一致性检查 (KCC) 自动创建连接对象,但也可以手动创建连接对象。 由 KCC 创建的连接对象在 Active Directory 站点>和服务管理单元中显示为自动生成的,在正常操作条件下被视为足够。 由管理员创建的连接对象是手动创建的连接对象。 手动创建的连接对象由管理员创建时分配的名称标识。 修改自动生成的连接对象时>,将其转换为管理修改的连接对象,该对象以 GUID 的形式显示。 KCC 不会更改手动或修改的连接对象。

KCC

KCC 是一个内置进程,它在所有域控制器上运行,并生成 Active Directory 林的复制拓扑。 KCC 将创建单独的复制拓扑,具体取决于复制是在站点内部 (站点内) 站点之间 (站点) 。 KCC 还会动态调整拓扑,以适应新域控制器的添加、现有域控制器的删除、域控制器与站点之间的移动、成本和计划的变化,以及暂时不可用或错误状态中的域控制器。

在站点中,可写域控制器之间的连接始终以双向环排列,并提供额外的快捷方式连接以减少大型站点中的延迟。 另一方面,站点间拓扑是跨树的分层,这意味着每个目录分区的任何两个站点之间存在一个站点间连接,通常不包含快捷方式连接。 有关跨树和 Active Directory 复制拓扑的信息,请参阅 Active Directory 复制拓扑技术参考 () https://go.microsoft.com/fwlink/?LinkID=93578

在每个域控制器上,KCC 通过创建定义来自其他域控制器的连接的单向入站连接对象来创建复制路由。 对于同一站点中的域控制器,KCC 会自动创建连接对象,而无需管理干预。 如果具有多个站点,则配置站点之间的站点链接,并且每个站点中的单个 KCC 也会自动在站点之间创建连接。

Windows Server 2008 RODC 的 KCC 改进

有许多 KCC 改进,以适应 Windows Server 2008 中新提供的只读域控制器 (RODC) 。 RODC 的典型部署方案是分支机构。 在此方案中最常部署的 Active Directory 复制拓扑基于中心分支设计,其中多个站点中的分支域控制器通过中心站点中的少量桥头服务器进行复制。

在此方案中部署 RODC 的好处之一是单向复制。 桥头服务器不需要从 RODC 复制,这减少了管理和网络使用情况。

但是,中心分支拓扑在以前版本的 Windows Server 操作系统上突出显示的一个管理难题是,在中心添加新的桥头域控制器后,没有自动机制来重新分发分支域控制器与中心域控制器之间的复制连接以利用新的中心域控制器。

对于 Windows Server 2008 RODC,KCC 的正常运行提供了一些重新平衡。 默认情况下启用新功能。 可以通过在 RODC 上添加以下注册表项来禁用它:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Random BH Loadbalancing Allowed"1 = Enabled (default) , 0 = Disabled

有关这些 KCC 改进工作方法详细信息,请参阅规划和部署 Active Directory 域 Services for Branch Offices () https://go.microsoft.com/fwlink/?LinkId=107114

故障转移功能

站点确保围绕网络故障和脱机域控制器路由复制。 KCC 按指定的时间间隔运行,以调整复制拓扑,AD DS(例如,添加新域控制器和创建新站点时)的更改。 KCC 会检查现有连接的复制状态,以确定任何连接是否未正常工作。 如果由于域控制器故障导致连接无法工作,KCC 会自动与其他复制伙伴建立临时连接 (如果可用) ,以确保复制发生。 如果站点中所有域控制器都不可用,KCC 会自动从另一个站点在域控制器之间创建复制连接。

子网

子网是一组逻辑 IP 地址分配到的 TCP/IP 网络的段。 子网以标识计算机在网络的物理邻近性的方式对计算机进行分组。 子网中的AD DS标识用于将计算机映射到站点的网络地址。

站点

站点是 Active Directory 对象,表示具有高度可靠且快速网络连接的一个或多个 TCP/IP 子网。 站点信息允许管理员配置 Active Directory 访问和复制,以优化物理网络的使用情况。 站点对象与一组子网相关联,林中的每个域控制器根据其 IP 地址与 Active Directory 站点相关联。 站点可以托管来自多个域的域控制器,域可以在多个站点中表示。

站点链接

站点链接是表示 KCC 用于建立 Active Directory 复制连接的逻辑路径的 Active Directory 对象。 站点链接对象表示一组站点,这些站点可以通过指定的站点间传输以统一成本进行通信。

站点链接中包含的所有站点都被视为通过相同网络类型进行连接。 必须使用站点链接将站点手动链接到其他站点,以便一个站点中的域控制器可以从另一个站点中的域控制器复制目录更改。 由于站点链接与复制期间物理网络上网络数据包采用的实际路径不对应,因此无需创建冗余站点链接来提高 Active Directory 复制效率。

当两个站点通过站点链接连接时,复制系统会自动在每个站点(称为桥头服务器)中的特定域控制器之间创建连接。 在 Windows Server 2008 中,托管同一目录分区的站点中所有域控制器都是选作桥头服务器的候选项。 KCC 创建的复制连接在站点的所有候选桥头服务器之间随机分布,以共享复制工作负荷。 默认情况下,当首次将连接对象添加到站点时,随机选择过程只发生一次。

站点链接桥

站点链接桥是一个 Active Directory 对象,表示一组站点链接,其所有站点都可以使用公共传输进行通信。 站点链接桥使未通过通信链接直接连接的域控制器能够相互复制。 通常,站点链接桥对应于 IP 网络上 (或一组) 路由器。

默认情况下,KCC 可以通过具有一些共同站点的任一站点链接和所有站点链接形成可传递路由。 如果禁用此行为,则每个站点链接都表示其自己的非重复隔离网络。 可视为单个路由的站点链接集通过站点链接桥表示。 每个桥都表示网络流量的隔离通信环境。

站点链接桥是一种在逻辑上表示站点之间的可传递物理连接的机制。 站点链接桥允许 KCC 使用包含的站点链接的任意组合来确定连接到这些站点中所持有互连目录分区的开销最低路由。 站点链接桥不提供与域控制器的实际连接。 如果删除站点链接桥,则通过组合站点链接进行复制将继续,直到 KCC 删除链接。

只有当站点包含托管目录分区的域控制器(该目录分区也不托管在相邻站点中的域控制器上)时,才需要站点链接桥,但托管该目录分区的域控制器位于林中的一个或多个其他站点中。 相邻站点定义为单个站点链接中包含的任意两个或多个站点。

站点链接桥在两个站点链接之间创建逻辑连接,通过使用临时站点在两个断开连接的站点之间提供可传递的路径。 对于 ISTG (站点间拓扑生成器) ,网桥表示使用临时站点进行物理连接。 网桥并不意味着临时站点中的域控制器将提供复制路径。 但是,如果临时站点包含托管要复制的目录分区的域控制器(在这种情况下,不需要站点链接桥,则就是这种情况)。

添加每个站点链接的成本,为生成的路径创建总成本。 如果临时站点不包含托管目录分区的域控制器,并且不存在成本较低的链接,则使用站点链接桥。 如果临时站点包含托管目录分区的域控制器,则两个断开连接的站点将设置到临时域控制器的复制连接,并且不使用网桥。

站点链接可传递性

默认情况下,所有站点链接都是可传递的或"桥接的"。当站点链接桥接且计划重叠时,KCC 将创建复制连接,以确定站点之间的域控制器复制伙伴,站点不直接通过站点链接连接,而是通过一组公用站点进行可传递连接。 这意味着可以通过站点链接的组合将任何站点连接到任何其他站点。

一般情况下,对于完全路由的网络,无需创建任何站点链接桥,除非要控制复制更改的流。 如果网络未完全路由,应创建站点链接桥以避免不可能的复制尝试。 特定传输的所有站点链接隐式属于该传输的单个站点链接桥。 站点链接的默认桥接会自动发生,并且没有 Active Directory 对象表示该桥。 在 IP 和 简单邮件传输协议属性(SMTP (SMTP) )的属性中,Bridge all 站点链接设置实现了自动站点链接桥接。

注意

将来的版本不支持 SMTP 复制AD DS;因此,不建议在 SMTP 容器中创建站点链接对象。

全局编录服务器

全局目录服务器是一种域控制器,用于存储林中所有对象的信息,以便应用程序可以搜索 AD DS而不引用存储所请求数据的特定域控制器。 与所有域控制器一样,全局目录服务器存储架构和配置目录分区的完整可写副本,以及托管域的域目录分区的完整可写副本。 此外,全局目录服务器在林中存储所有其他域的部分只读副本。 部分只读域副本包含域中每个对象,但只有一部分属性 (这些属性最常用于搜索对象) 。

通用组成员身份缓存

通用组成员身份缓存允许域控制器缓存用户的通用组成员身份信息。 可以使用 Active Directory 站点和服务管理单元Windows Server 2008 上运行的域控制器来缓存通用组成员身份。

启用通用组成员身份缓存无需在域中每个站点使用全局编录服务器,这样可以减少网络带宽使用量,因为域控制器不需要复制位于林中的所有对象。 它还减少了登录时间,因为身份验证域控制器并不总是需要访问全局目录来获取通用组成员身份信息。 有关何时使用通用组成员身份缓存的详细信息,请参阅 规划全局编录服务器放置