第十二次課配置AD站點復(fù)制

,微軟系統(tǒng)工程師、微軟企業(yè)架構(gòu)專家課程（13期）,第十二次課程,管理ActiveDirectory復(fù)制,概述,ActiveDirectory復(fù)制介紹復(fù)制組件和過程復(fù)制拓撲使用站點優(yōu)化ActiveDirectory復(fù)制使用站點管理ActiveDirectory復(fù)制監(jiān)視復(fù)制流量調(diào)節(jié)ActiveDirectory復(fù)制,ActiveDirectory復(fù)制介紹,復(fù)制是在AD中從一個域控制器到網(wǎng)絡(luò)上其他域控制器的信息更新的過程。復(fù)制同步每個域控制器上的數(shù)據(jù)副本，以確保AD中的所有信息對于整個網(wǎng)絡(luò)上的所有域控制器和客戶端計算機都是有效的。當用戶或管理人員執(zhí)行某個操作時將會引起AD的更新。系統(tǒng)會自動選擇一個合適的域控制器來完成相應(yīng)的更新，更改的結(jié)果也會清楚地在域控制器上生效。AD提供松散收斂的多主機復(fù)制。在AD中采用多主機自制，具有兩個優(yōu)勢：,域控制器A,域控制器C,復(fù)制,松散收斂的多個主機復(fù)制,如果某一個域控制器不可用，為了能夠恢復(fù)AD必須在更新之前替換該域控制器域控制器可以分布于整個網(wǎng)絡(luò)，它放置在多個物理站點上，將域控制器放置在多個物理站點上可以提供容錯能力,復(fù)制組件和過程,復(fù)制的工作方式復(fù)制延遲解決復(fù)制沖突優(yōu)化復(fù)制,復(fù)制的工作方式,所有域控制器發(fā)生的復(fù)制都是由于A數(shù)據(jù)的更改導(dǎo)致的。以下操作可能觸發(fā)AD的更新：添加對象到ADC，例如創(chuàng)建新用戶賬戶修改對象屬性值，修改對象的名稱或?qū)ο笏诘母赣?，如果有必要，可以把對象移到新父域中。例如把對象從銷售域移到服務(wù)域從目錄中刪除對象。,復(fù)制延遲,復(fù)制延遲時間是指一個域控制器上的更改被另一個域控制器接受所需要的時間。對指定的副本應(yīng)用更新時，將觸發(fā)復(fù)制引擎。更改通知站點內(nèi)的復(fù)制由更改通知進程發(fā)起。當域控制器上發(fā)生更改的時候，復(fù)制引擎等待一個可配置的時間間隔，然后把通知信息發(fā)送給第一個復(fù)制伙伴，通知它已經(jīng)有更改發(fā)生。經(jīng)過一個配置的延遲之后，其他的直接伙伴都會收到通知。如果在一個配置周期內(nèi)，沒有更改發(fā)生域控制器將與其復(fù)制伙伴啟動復(fù)制，以確保沒有錯過來自原始更新控制器上的更改緊急復(fù)制在AD中，涉及安全問題的屬性發(fā)生更改會立即通知其復(fù)制伙伴并完成復(fù)制更新。這種立即通知就稱為緊急復(fù)制。例如：當管理員指派賬戶鎖定的時候，將提示使用域控制器之間的緊急復(fù)制。賬戶鎖定是一個安全特性。,復(fù)制延遲,默認的復(fù)制延遲（更改通知）5分鐘不更改時，預(yù)定復(fù)制1小時緊急復(fù)制立即更改通知,更改通知,更改通知,解決復(fù)制沖突,由于AD中的復(fù)制是基于多主機模型的,提供多主機更新的所有計算機必須能處理潛在的沖突,即當在兩個獨立的主機副本不一致的時候,并發(fā)更新發(fā)起方,就會引發(fā)復(fù)制沖突。當這些更新被復(fù)制的時候，并發(fā)更新就會引發(fā)突然。AD能同時減少并解決這些沖突。域控器通過比較在復(fù)制期間接收到的更改中給定的屬性的版本號與本地存儲的屬性的版本號來檢測沖突。屬性版本號不同于每個域控制器所特有的更新序列號（USN）。因為它們是給定對象的屬性所特有的并且是在屬性創(chuàng)建時初始化。只有當屬性更改后（而不是當屬性通過正常的復(fù)制更新時）屬性版本號才增大。這些更改被稱為發(fā)起方寫入，有別于通過復(fù)制進程將它們與應(yīng)用到給定屬性的更改。,解決復(fù)制沖突,沖突類型有三種類型的沖突：屬性值。對象的屬性同時在兩個副本上設(shè)置兩個不同的值時，就會引發(fā)這種沖突。在已刪除的容器對象上添加/移動或刪除容器對象。當一個副本記錄著一個容器對象的刪除，而另一個備份記錄著從屬于刪除容器對象的對象位置時，就會引發(fā)沖突。同屬名稱。當一個副本試圖把一個對象移動到一個容器中，而同時另一個副本正好移動另一個具有同樣的相對辨別名的對象的時候，就會引發(fā)沖突。,解決復(fù)制沖突,減少沖突為了減少沖突，域控制器需要記錄并復(fù)制對象在屬性級別需不是在對象級別的更改。因此，對同一個對象的兩種不同屬性的更改，例如用戶密碼和郵政編碼，即使同時發(fā)生更改，也不會引起沖突。,解決復(fù)制沖突,全局惟一戳為了利于沖突的解決，AD維護了一個戳，在戳中包含原始更新期間創(chuàng)建的版本號、時間戳和服務(wù)全局惟一標識符（GUID）。在復(fù)制的時候戳將跟蹤更新。版本號。該版本號從1開始，以后每原始更新一次就增加1。在執(zhí)行原始更新的時候，屬性更新過的版本號將比正在被更新的版本號大1。時間戳。時間戳是更新的發(fā)起時間和日期，這些時間和日期將以執(zhí)行原始更新的域控制器的系統(tǒng)時鐘為標準。服務(wù)器GUID。服務(wù)器GUID是原始目錄系統(tǒng)代理（DSA），用來確定正在,解決沖突,把全局惟一戳分配給所有原始更新操作,例如添加、修改、移動或刪除，可以解決沖突。如果存在沖突，那么戳的順序會按下列方式解決沖突：屬性值。有較高戳值的更新操作將取代較低戳值更新操作的屬性值。在刪除的容器對象上添加/移動或刪除容器對象。在解決所有的副本沖突后，容器對象將被刪除，葉對象將成為文件夾中LostAndFound容器的子對象。在解決過程中并沒有涉及戳。同屬名稱。具有較大戳的對象保持相對辨別名。同屬對象由域控制器分配給惟一的相對辨別名。分配的名字=相對辨別名+保留符號（*）+對象的GUID。分配的名稱可以確保產(chǎn)生的名稱不會與任何其他對象的名稱發(fā)生沖突,優(yōu)化復(fù)制,在復(fù)制期間，域控制器使用多個路徑發(fā)送和接收更新。雖然使用多個路徑可以提供容錯能力并改善性能，但它仍然會導(dǎo)致更新沿不同的復(fù)制路徑多次復(fù)制到相同的域控制器上。為防止這些重復(fù)復(fù)制，AD復(fù)制使用了傳播抑制，傳播抑制可以減少一個域控制器到另一個域控制器不必要的數(shù)據(jù)傳輸量。,優(yōu)化復(fù)制,更新序列編號每個域控制器都留有一個向量組，使復(fù)制效率更高。向量由一對包含GUID的數(shù)據(jù)組成，這種數(shù)據(jù)就稱為調(diào)用ID和相應(yīng)的64位的USN。64位的USN用來標識AD服務(wù)存儲的更改。當AD中任何對象更改的時候，域控制器將提升USN并用更改的對象（或?qū)傩裕┐鎯λ?。在每個屬性和每個對象上都有一個USN。USN用來決定在副本中哪些內(nèi)容需要更新。每個域控制器都維護了一個與它有關(guān)聯(lián)的復(fù)制伙伴的USN表。此表中存放著可以被每個復(fù)制伙伴接收的最高級別的USN。當域控制器上的一個復(fù)制伙伴啟動復(fù)制進程時，域控制器將為復(fù)制伙伴參考它的USN表，并且僅為復(fù)制伙伴請求與比表中存儲值大的USN相關(guān)的更改。此模式限制了復(fù)制伙伴之間傳輸?shù)臄?shù)據(jù)量，有效地限制了從上次成功復(fù)制更新后更改的數(shù)據(jù)的傳輸。注意給定的復(fù)制伙伴存儲在域控制器表中的USN將不會改變，直到與最近復(fù)制交換相關(guān)的更改成功完成。使用USN也可以很容易地使給定的域控制器從失效中恢復(fù)。域控制器可以在任意給定的時間長度內(nèi)失效，一旦它恢復(fù)在線，將參考它的復(fù)制伙伴的USN更表，并請求在給定的控制器上的USN表中USN號碼的所有更改的更新。,優(yōu)化復(fù)制,更新向量由AD復(fù)制所使用的一個向量稱為最新向量。最新向量由每個域控制器擁有的數(shù)據(jù)庫USN對組成，表現(xiàn)為被接收的來自各個域控制器的最高級別的原始更新。,復(fù)制拓撲,目錄分區(qū)復(fù)制拓撲全局編錄和復(fù)制分區(qū)復(fù)制拓撲的自動生成使用連接對象,目錄分區(qū),AD數(shù)據(jù)庫按邏輯劃分成目錄分區(qū)，即架構(gòu)分區(qū)、配置分區(qū)和域分區(qū)。架構(gòu)分區(qū)和配置分區(qū)存儲在樹林的所有域控制器上。域分區(qū)存儲在給定域的所有域控制器上。由于每個分區(qū)都是一個復(fù)制單位，所以每個分區(qū)都有各自的復(fù)制拓撲。復(fù)制將在目錄分區(qū)副本之間執(zhí)行。同一樹林的兩個域控制器通常有幾個公共的目錄分區(qū)。一般至少有兩個公共的目錄分區(qū)，即架構(gòu)分區(qū)和配置分區(qū),什么是復(fù)制拓撲結(jié)構(gòu)?,復(fù)制拓撲是復(fù)制在整個網(wǎng)絡(luò)上傳播的路徑。單個域控制器對不同分區(qū)將有不同的復(fù)制伙伴。復(fù)制拓撲建立在存儲在AD中的信息的基礎(chǔ)上，可以根據(jù)架構(gòu)、配置或復(fù)制而不同。連接復(fù)制伙伴的鏈接稱為連接對象。連接對象代表兩個服務(wù)器對象和復(fù)制源點之間的單向復(fù)制路徑,全局編錄GlobalCatalog和分區(qū)的復(fù)制,全局編錄服務(wù)器是存儲可更新的目錄分區(qū)和部分目錄分區(qū)的副本，部分目錄分區(qū)副本中包含存儲在該分區(qū)上部分信息的只讀復(fù)制。全局編錄服務(wù)器為樹林中所有其他的域分區(qū)維護部分的信息。一個完整的目錄分區(qū)副本包含一個存儲在中所有住處的可更新復(fù)制.在樹林中添加新域的時候,關(guān)于新域的信息存儲在配置目錄分區(qū)中,它通過在整個樹林范圍內(nèi)信息的復(fù)制到達全局編錄服務(wù)器和所有域控制器。然后每個全局編錄服務(wù)器成為新域的部分副本。當指定新全局編錄服務(wù)器以后，這些信息仍然將存儲在配置目錄分區(qū)中，并被復(fù)制到樹林的所有域控制器上，使所有域控制器都知道樹林中的怕有全局編錄服務(wù)器。,全局編錄GlobalCatalog和分區(qū)的復(fù)制,域A拓撲域B拓撲架構(gòu)/配置拓撲,復(fù)制拓撲的自動生成,當把域控制器添加到站點上時,必然有一種在域控制器之間建立復(fù)制路徑的方法.AD使用復(fù)制組件和稱為知識一致性檢驗器(KCC)的程序完成此過程。KCC是一個內(nèi)置的進程，它運行在每個域控制器上并為樹林生成復(fù)制拓撲。KCC按特定的間隔時間運行，根據(jù)可以利用最有利的連接，指定控制器之間的復(fù)制路由。,復(fù)制拓撲結(jié)構(gòu)的自動生成,A-B的連接對象,在DCB的NTDSSetting中B-A的連接對象,在DCA的NTDSSetting中,使用站點優(yōu)化ActiveDirectory復(fù)制,站點站點內(nèi)復(fù)制站點間復(fù)制復(fù)制協(xié)議,什么是站點和子網(wǎng)對象?,站點有助于定義網(wǎng)絡(luò)的物理結(jié)構(gòu)。站點由一套傳輸控制協(xié)議/Internet協(xié)議（TCP/IP）子網(wǎng)地址來定義。在樹林的第一個域控制器上安裝Windows2003AdvancedServer的時候，將自動建立第一個站點。第一個站點稱為Default-First-Site-Name,該站點可以重命名。站點可以沒有子網(wǎng)，也可以由一個或多個子網(wǎng)組成。站點可以包含樹林中任何域的域控制器。站點服務(wù)器對象組成。計算機升級到域控制器的時候，將為計算機創(chuàng)建服務(wù)器對象，并包含啟動復(fù)制的連接對象。,什么是站點和子網(wǎng)對象?,什么是站點鏈接?,Site,IPSubnet,IPSubnet,A1,A2,RPCorSMTP,SiteLink,IPSubnet,IPSubnet,Site,B3,B1,B2,Cost,一個站點連接:,啟用站間的復(fù)制通訊展現(xiàn)站點間的物理連接,站內(nèi)復(fù)制vs.站間復(fù)制,使用站點管理ActiveDirectory,創(chuàng)建站點和子網(wǎng)創(chuàng)建和配置站點間鏈接創(chuàng)建站點間鏈接橋,如何創(chuàng)建和配置站點和子網(wǎng),Yourinstructorwilldemonstratehowto:,創(chuàng)建一個站點創(chuàng)建一個子網(wǎng)對象關(guān)聯(lián)站點到一個子網(wǎng)對象移動域控制器到另一個站點委派站點的控制,如何創(chuàng)建和配置站點鏈接,Yourinstructorwilldemonstratehowto:,創(chuàng)建網(wǎng)站的鏈接配置站點鏈接屬性,什么是橋頭堡服務(wù)器BridgeheadServer?,Abridgeheadserver: