收藏
下载资源

项目8配置ADDS站点和复制

上传人:壹****1 文档编号:569519682 上传时间:2024-07-30 格式:PPT 页数:34 大小:1.14MB
返回 下载 相关 举报
项目8配置ADDS站点和复制_第1页
第1页 / 共34页
项目8配置ADDS站点和复制_第2页
第2页 / 共34页
项目8配置ADDS站点和复制_第3页
第3页 / 共34页
项目8配置ADDS站点和复制_第4页
第4页 / 共34页
项目8配置ADDS站点和复制_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《项目8配置ADDS站点和复制》由会员分享,可在线阅读,更多相关《项目8配置ADDS站点和复制(34页珍藏版)》请在金锄头文库上搜索。

1、 Windows Server 2012Windows Server 2012项目项目99配置配置ActiveDirectoryActiveDirectory域服务站点和复制域服务站点和复制杨云杨云编著编著活动目录项目教程活动目录项目教程Windows Server Windows Server 活动目录企业应用(微课版)活动目录企业应用(微课版)项目项目8 8 配置配置AD DSAD DS站点站点和复制和复制杨云杨云主编主编项目背景项目背景Active Directory域服务相关知识域服务相关知识 在Windows Server 2012 Active Directory域服务(AD DS

2、)环境中,可以在同一个域或同一个林的其他域中部署多个域控制器。AD DS信息自动在所有域控制器之间进行复制。 对拥有多台域控制器的AD DS域来说,如何更高效地复制AD DS数据库,如何提高AD DS的可用性以及如何让用户能够快速地登录,是系统管理员必须了解的重要课题。项目拓扑图项目拓扑图Active Directory域服务相关知识域服务相关知识项目目标项目目标站点与AD DS数据库的复制知识Active Directory域服务相关知识域服务相关知识配置AD DS站点与子网配置AD DS复制监视AD DS复制Active Directory域服务相关知识域服务相关知识l 第 1 节:Act

3、ive Directory 域服务复制概述l 第 2 节:AD DS 站点和复制概述 l 第 3 节:配置和监视 AD DS 复制l 实验:配置 Active Directory 域服务站点和 复制l 习题 Active Directory域服务相关知识域服务相关知识8.1 8.1 站点与站点与AD DSAD DS数据库的复制数据库的复制 站点(site)由一个或多个IP子网(subnet)所组成,这些子网之间通过高速且可靠的连接互联在一起,也就是这些子网之间的连接速度要够快且稳定,符合您的需要,否则就应该将它们分别规划为不同的站点。 一般来说,一个LAN(局域网)内各个子网之间的连接都符合速

4、度快且高可靠的要求,因此可以将一个LAN规划为一个站点;而WAN(广域网)内各个LAN之间的连接速度一般都不快,因此WAN中的各个LAN应分别规划为不同的站点,如图8-1所示。Active Directory域服务相关知识域服务相关知识图8-1站点规划示意图Active Directory域服务相关知识域服务相关知识 AD DS内大部分数据是利用多主机复制模式(multi-master replication model)来实现数据复制的。在这种模式中,您可以直接更新任何一台域控制器内的AD DS对象,之后这个更新对象会被自动复制到其他域控制器例如当您在任何一台域控制器的AD DS数据库内新建

5、一个用户账户后,这个账户会自动被复制到域内的其他域控制器。 站点与AD DS数据库的复制之间有着重要的关系,因为这些域控制器是否在同一个站点,会影响到域控制器之间AD DS数据库的复制行为。Active Directory域服务相关知识域服务相关知识 8.1.1 同一个站点之间的复制同一个站点之间的复制 同一个站点内的域控制器之间是通过快速的网络连接互联在一起的,因此在复制AD DS数据库时,可以有效、快速地复制,而且不会压缩所传输的数据。 同一个站点内的域控制器之间的AD DS复制采用更改通知(change notification)的方式,也就是当某台域控制器(下面将其称为源域控制器)的A

6、D DS数据库内有一条数据变动时,默认它会等15秒后,就通知位于同一个站点内的其他域控制器。收到通知的域控制器如果需要这条数据,就会发出更新数据的请求给源域控制器,这台源域控制器收到请求后,便会开始复制的程序。Active Directory域服务相关知识域服务相关知识1复制伙伴复制伙伴 源域控制器并不直接将变动数据复制给同一个站点内的所有域控制器而是只复制给它的直接复制伙伴(direct replication partner),而哪些域控制器是其直接复制伙伴呢?每一台域控制器内都有一个被称为Knowledge Consistency Checker (KCC)的程序,它会自动建立最有效率的

7、复制拓扑( replication topology),也就是决定哪些域控制器是它的直接复制伙伴,而哪一些域控制器是它的转移复制伙伴(transitive replication partner),换句话说,复制拓扑是复制AD DS数据库的逻辑连接路径,如图8-2所示。Active Directory域服务相关知识域服务相关知识图8-2 复制拓扑Active Directory域服务相关知识域服务相关知识 以图中的域控制器DC1来说,域控制器DC2是它的直接复制伙伴,因此DC1会将变动数据直接复制给DC2,而DC2收到数据后,会再将它复制给DC2的直接复制伙伴DC3,以此类推。 对域控制器DC

8、I来说,除了DC2与DC7是它的直接复制伙伴外,其他的域控制器(DC3、DC4、DC5、DC6)都是转移复制伙伴,它们间接获得由DC1复制来的数据。Active Directory域服务相关知识域服务相关知识2如何减少复制延迟时间如何减少复制延迟时间 为了减少复制延迟的时间( replication latency),也就是从源域控制器内的AD DS数据有变动开始,到这些数据被复制到所有其他域控制器之间的间隔时间不要太久,因此KCC在建立复制拓扑时,会让数据从源域控制器传送到目的域控制器时,其所跳跃的域控制器数量(hop count)不超过3台,以图8-2来说,从DC1到DC4跳跃了3台域控制

9、器(DC2、DC3、DC4),而从DC1到DC5也只跳跃了3台域控制器(DC7、DC6、DC5)。换句话说,KCC会让源域控制器与目的域控制器之间的域控制器数量不超过两台。Active Directory域服务相关知识域服务相关知识 当有新域控制器加入时,KCC会重新建立复制拓扑,而且仍然会遵照跳跃的域控制器数量不超过3台的原则,例如当图8-2中新增了一台域控制器DC8后,其复制拓扑就会发生变化,图8-3为可能的复制拓扑之一,图中KCC将域控制器DC8与DC4设置为直接复制伙伴,否则DC8与DC4之间,无论是通过【DC8DC1DC2DC3DC4】或【DC8DC7DC6DC5DC4】的途径,都会

10、违反跳跃的域控制器数量不超过3台的原则。Active Directory域服务相关知识域服务相关知识图8-3 复制拓扑之一Active Directory域服务相关知识域服务相关知识3紧急复制 对某些重要的数据更新来说,系统并不会等15秒钟才通知其直接复制伙伴,而是立刻通知,这个动作被称为紧急复制。这些重要的数据更新包含用户账户被锁定、账户锁定策略变更、域的密码策略变更等。Active Directory域服务相关知识域服务相关知识 由于不同站点之间的连接速度不够快,因此为了降低对连接带宽的影响,故站点之间的AD DS数据在复制时会被压缩,而且数据的复制是采用日程安排(schedule)的方式

11、,也就是在安排的时间内才会进行复制工作原则上应该尽量安排在站点之间连接的非高峰时期才执行复制工作,同时复制频率也不要太高,以避免复制时占用两个站点之间的连接带宽,影响两个站点之间其他数据的传输效率。Active Directory域服务相关知识域服务相关知识 不同站点的域控制器之间的复制拓扑,与同一个站点的域控制器之间的复制拓扑是不相同的。每一个站点内都各有一台被称为站点间拓扑生成器的域控制器,它负责建立站点之间的复制拓扑,并从其站点内挑选一台域控制器来扮演bridgehead服务器(桥头服务器)的角色,例如图8-4中SiteA的DC1与SiteB的DC4,两个站点之间在复制AD DS数据时,

12、由这两台bridgehead服务器负责将该站点内的AD DS变动数据复制给对方,这两台bridgehead服务器得到对方的数据后,会再将它们复制给同一个站点内的其他域控制器。Active Directory域服务相关知识域服务相关知识图8-4 桥头服务器Active Directory域服务相关知识域服务相关知识8.1.3 目录分区与复制拓扑目录分区与复制拓扑 AD DS数据库被逻辑地分为下面几个目录分区(详见项目2):架构目录分区、配置目录分区、域目录分区和应用程序目录分区。 KCC在建立复制拓扑时,并不是整个AD DS数捃库只采用单一复制拓扑,而是不同的目录分区各有其不同的复制拓扑,例如D

13、CI在复制域目录分区时,可能DC2是它的直接复制伙伴,但是在复制配置目录分区时,DC3才是它的直接复制伙伴。Active Directory域服务相关知识域服务相关知识8.1.4 复制协议复制协议域控制器之间在复制AD DS数据时,其所使用的复制协议分为下面两种。 1. RPC over IP ( Remote Procedure Call over Internet Protocol ) 无论是同一个站点之间或不同站点之间,都可以利用RPC over口来执行AD DS数据库的复制操作。为了确保数据在传榆时的安全性,RPC overIP会执行身份验证与数据加密的工作。Active Direct

14、ory域服务相关知识域服务相关知识2. SMTP(Simple Mail Transfer Protocol) SMTP只能用来执行不同站点之间的复制。若不同站点的域控制器之间无法直接通信,或之间的连接质量不稳定时,就可以通过SMTP来传输。不过这种方式有些限制,例如:l 只能够复制架构目录分区、配置目录分区与应用程序目录分区,不能够复制域目录分区。l需向企业CA(Enterprise CA)申请证书,因为在复制过程中,需要利用证书来进行身份验证。Active Directory域服务相关知识域服务相关知识8.1.5 站点链接桥接站点链接桥接 默认情况下,所有AD DS站点链接都是传递式的,或

15、者说是桥接的。这意味着,如果站点A与站点B之间有公共站点链接,站点B又与站点C之间有公共站点链接,那么这两个站点链接是桥接的。此时,站点A的域控制器与站点C的域控制器之间就可以直接进行复制,即使站点A和C之间没有站点链接(如图8-5所示)。 用户可以修改默认的站点链接桥接配置,修改方式是先禁用站点链接桥接,然后只为那些应该有传递式关系的站点链接配置站点链接桥接。Active Directory域服务相关知识域服务相关知识图8-5 站点链接桥接Active Directory域服务相关知识域服务相关知识1更改站点链接桥接配置的原因 当没有完全路由的网络时,也就是说,并非网络的所有网段都始终可用时

16、(例如,有一个网络位置的连接是拨号连接或者预定需求量拨号连接),关闭站点链接的传递性质可能很有用。如果公司有多个连接到快速主干的站点,同时有多个小站点使用慢速网络连接连接到每一个更大的中心,那么在这样的情况下,可以使用站点链接桥来配置复制,它能更有效地管理复制流量流。Active Directory域服务相关知识域服务相关知识2配置站点链接桥接 用户可以在“Active Directory站点和服务”管理工具中禁用站点链接桥接。当禁用此功能时,整个纽织中的所有站点链接都将成为非传递。 在禁用站点链接桥接后,可以创建新的站点链接桥。创建新对象后,必须定义哪些站点链接作为桥的一部分。添加到站点链接

17、桥中的任何站点链接都视为相互传递式衔接,但是未包含在站点链接桥中的站点链接不是传递式的。此时可以创建多个站点链接桥将不同的站点链接组桥接起来。Active Directory域服务相关知识域服务相关知识8.2 项目设计及准备项目设计及准备8.2.1 项目设计 未名公司在全国有多家办事处。为了优化客户端登录流量并管理AD DS复制,企业管理员为配置AD DS站点以及配置站点间复制创建了新的设计。你需要根据企业管理员的设计创建AD DS站点,并根据设计配置复制。 未名公司的当前站点设计尚未修改,仍然是默认状态。除了默认站点之外,没有配置任何AD DS站点或站点链接。如图8-6所示。Active D

18、irectory域服务相关知识域服务相关知识图8-6 创建站点拓扑图Active Directory域服务相关知识域服务相关知识本实训部署到域中,用到4个虚拟机。 DC1虚拟机(站点北京的桥头服务器) 角色:域控制器 & DNS服务器;主机名:;IP地址:192.168.10.1/24;默认网关:192.168.10.254/24;DNS:192.168.10.1。 DC2虚拟机(站点济南的桥头服务器) 角色:域控制器 & DNS服务器;主机名:;IP地址:192.168.20.1/24;默认网关:192.168.20.254/24;首选DNS:192.168.10.1,备用DNS:127.0

19、.0.1。Active Directory域服务相关知识域服务相关知识 DC3虚拟机(站点杭州的桥头服务器,RODC服务器) 角色:RODC域控制器 & DNS服务器;主机名:;IP地址:192.168.30.1/24;默认网关:192.168.30.254/24;首选DNS:192.168.10.1,备用DNS:127.0.0.1。 GateWay-Server(ms1)虚拟机(各站点间的网关服务器) 角色:网关服务器(软路由);主机名:;IP地址:192.168.10.254/24,192.168.20.254/24,192.168.30.254/24,首选DNS:192.168.10.1

20、。Active Directory域服务相关知识域服务相关知识8.2.2 项目准备项目准备企业管理员创建了以下站点设计: 北京到济南之间有每秒1.544兆字节(Mbps)的广域网(WAN)连接,可用带宽有50%。北京和青岛之间也是1.544 Mbps的WAN连接,可用带宽也是50%。这三个位置中任何位置的任何AD DS更改应在一小时内复制到其他两个位置。 杭州通过每秒256 KB (Kbps)的WAN连接连接到北京,在正常工作时间内,其可用带宽不到20%。公司中任何站点的AD DS更改不应在正常工作时间内复制到杭州。Active Directory域服务相关知识域服务相关知识 杭州域控制器应该

21、只接收来自北京域控制器的更新。北京、青岛和济南的域控制器可以从这三个站点的任一个站点中的任何域控制器接收更新。 你应该将每个公司位置配置为单独的站点,站点名称为CityName-Site。 应该使用下面的格式命名站点链接:CityName-CityName-Site-Link。 每个公司位置的网络地址配置如下:l北京192.168.10.0/24l济南192.168.20.0/24l杭州192.168.30.0/24l青岛192.168.40.0/24 下面的实验需要4个虚拟机同时运行。建议读者每台计算机配置1 GB的RAM(总共4 GB),以提高本实训中的虚拟机性能。 GATEWAY-SERVER虚拟机担当3个站点的路由器功能。Active Directory域服务相关知识域服务相关知识8.3 8.3 项目实施项目实施8.4 8.4 习题习题

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号