《微软系统工程师、微软企业架构专家课程管理Active Directory复制》由会员分享,可在线阅读,更多相关《微软系统工程师、微软企业架构专家课程管理Active Directory复制(37页珍藏版)》请在金锄头文库上搜索。
1、微软系统工程师、微软企业架构专家课程(微软系统工程师、微软企业架构专家课程(13期)期)第十二次课程第十二次课程管理管理Active Directory复制复制概述概述Active Directory复制介绍复制介绍复制组件和过程复制组件和过程复制拓扑复制拓扑使用站点优化使用站点优化Active Directory复制复制使用站点管理使用站点管理Active Directory复制复制监视复制流量监视复制流量调节调节Active Directory复制复制Active Directory复制介绍复制介绍复制是在AD中从一个域控制器到网络上其他域控制器的信息更新的过程。复制同步每个域控制器上的数
2、据副本,以确保AD中的所有信息对于整个网络上的所有域控制器和客户端计算机都是有效的。当用户或管理人员执行某个操作时将会引起AD的更新。系统会自动选择一个合适的域控制器来完成相应的更新,更改的结果也会清楚地在域控制器上生效。AD提供松散收敛的多主机复制。在AD中采用多主机自制,具有两个优势:域控制器B域控制器A域控制器C复制松散收敛的多个主机复制如果某一个域控制器不可用,为了能够恢复AD必须在更新之前替换该域控制器域控制器可以分布于整个网络,它放置在多个物理站点上,将域控制器放置在多个物理站点上可以提供容错能力复制组件和过程复制组件和过程复制的工作方式复制的工作方式复制延迟复制延迟解决复制冲突解
3、决复制冲突优化复制优化复制复制的工作方式复制的工作方式所有域控制器发生的复制都是由于所有域控制器发生的复制都是由于A数据的更改导数据的更改导致的。以下操作可能触发致的。以下操作可能触发AD的更新:的更新:添加对象到ADC,例如创建新用户账户修改对象属性值,修改对象的名称或对象所在的父域,如果有必要,可以把对象移到新父域中。例如把对象从销售域移到服务域从目录中删除对象。域控制器B域控制器A域控制器C原始更新原始更新复制更新复制更新复制更新复制更新复制复制复制延迟复制延迟复制延迟时间是指一个域控制器上的更改被另一个域复制延迟时间是指一个域控制器上的更改被另一个域控制器接受所需要的时间。对指定的副本
4、应用更新时,控制器接受所需要的时间。对指定的副本应用更新时,将触发复制引擎。将触发复制引擎。更改通知站点内的复制由更改通知进程发起。当域控制器上发生更改的时候,复制引擎等待一个可配置的时间间隔,然后把通知信息发送给第一个复制伙伴,通知它已经有更改发生。经过一个配置的延迟之后,其他的直接伙伴都会收到通知。如果在一个配置周期内,没有更改发生域控制器将与其复制伙伴启动复制,以确保没有错过来自原始更新控制器上的更改紧急复制在AD中,涉及安全问题的属性发生更改会立即通知其复制伙伴并完成复制更新。这种立即通知就称为紧急复制。例如:当管理员指派账户锁定的时候,将提示使用域控制器之间的紧急复制。账户锁定是一个
5、安全特性。复制延迟复制延迟u默认的复制延迟(更改通知)默认的复制延迟(更改通知)5分钟分钟u不更改时,预定复制不更改时,预定复制1小时小时u紧急复制立即更改通知紧急复制立即更改通知域控制器B域控制器A域控制器C原始更新原始更新复制更新复制更新复制更新复制更新复制复制更改通知更改通知更改通知更改通知解决复制冲突解决复制冲突由于由于AD中的复制是基于多主机模型的中的复制是基于多主机模型的,提供多主机更新提供多主机更新的所有计算机必须能处理潜在的冲突的所有计算机必须能处理潜在的冲突,即当在两个独立即当在两个独立的主机副本不一致的时候的主机副本不一致的时候,并发更新发起方并发更新发起方,就会引发复就会
6、引发复制冲突。当这些更新被复制的时候,并发更新就会引制冲突。当这些更新被复制的时候,并发更新就会引发突然。发突然。AD能同时减少并解决这些冲突。能同时减少并解决这些冲突。域控器通过比较在复制期间接收到的更改中给定的属域控器通过比较在复制期间接收到的更改中给定的属性的版本号与本地存储的属性的版本号来检测冲突。性的版本号与本地存储的属性的版本号来检测冲突。属性版本号不同于每个域控制器所特有的更新序列号属性版本号不同于每个域控制器所特有的更新序列号(USN)。)。因为它们是给定对象的属性所特有的并且因为它们是给定对象的属性所特有的并且是在属性创建时初始化。只有当属性更改后(而不是是在属性创建时初始化
7、。只有当属性更改后(而不是当属性通过正常的复制更新时)属性版本号才增大。当属性通过正常的复制更新时)属性版本号才增大。这些更改被称为发起方写入,有别于通过复制进程将这些更改被称为发起方写入,有别于通过复制进程将它们与应用到给定属性的更改。它们与应用到给定属性的更改。解决复制冲突解决复制冲突冲突类型冲突类型有三种类型的冲突:属性值。对象的属性同时在两个副本上设置两个不同的值时,就会引发这种冲突。在已删除的容器对象上添加/移动或删除容器对象。当一个副本记录着一个容器对象的删除,而另一个备份记录着从属于删除容器对象的对象位置时,就会引发冲突。 同属名称。当一个副本试图把一个对象移动到一个容器中,而同
8、时另一个副本正好移动另一个具有同样的相对辨别名的对象的时候,就会引发冲突。解决复制冲突解决复制冲突减少冲突减少冲突为了减少冲突,域控制器需要记录并复制对象在属性级别需不是在对象级别的更改。因此,对同一个对象的两种不同属性的更改,例如用户密码和邮政编码,即使同时发生更改,也不会引起冲突。解决复制冲突解决复制冲突全局惟一戳全局惟一戳为了利于冲突的解决,AD维护了一个戳,在戳中包含原始更新期间创建的版本号、时间戳和服务全局惟一标识符(GUID)。在复制的时候戳将跟踪更新。 版本号。该版本号从1开始, 以后每原始更新一次就增加1。在执行原始更新的时候,属性更新过的版本号将比正在被更新的版本号大1。时间
9、戳。时间戳是更新的发起时间和日期,这些时间和日期将以执行原始更新的域控制器的系统时钟为标准。服务器GUID。服务器GUID是原始目录系统代理(DSA),用来确定正在解决冲突解决冲突把全局惟一戳分配给所有原始更新操作把全局惟一戳分配给所有原始更新操作,例如添加、修改、移例如添加、修改、移动或删除,可以解决冲突。如果存在冲突,那么戳的顺序会动或删除,可以解决冲突。如果存在冲突,那么戳的顺序会按下列方式解决冲突:按下列方式解决冲突:属性值。有较高戳值的更新操作将取代较低戳值更新操作的属性值。在删除的容器对象上添加/移动或删除容器对象。在解决所有的副本冲突后,容器对象将被删除,叶对象将成为文件夹中Lo
10、stAndFound容器的子对象。在解决过程中并没有涉及戳。同属名称。具有较大戳的对象保持相对辨别名。同属对象由域控制器分配给惟一的相对辨别名。分配的名字=相对辨别名+保留符号(*)+对象的GUID。分配的名称可以确保产生的名称不会与任何其他对象的名称发生冲突优化复制优化复制在复制期间,域在复制期间,域 控制器使用多个路径发控制器使用多个路径发送和接收更新。虽然使用多个路径可以送和接收更新。虽然使用多个路径可以提供容错能力并改善性能,但它仍然会提供容错能力并改善性能,但它仍然会导致更新沿不同的复制路径多次复制到导致更新沿不同的复制路径多次复制到相同的域控制器上。为防止这些重复复相同的域控制器上
11、。为防止这些重复复制,制,AD复制使用了传播抑制,传播抑制复制使用了传播抑制,传播抑制可以减少一个域控制器到另一个域控制可以减少一个域控制器到另一个域控制器不必要的数据传输量。器不必要的数据传输量。域控制器B域控制器A域控制器C原始更新原始更新复制更新复制更新复制更新复制更新更新更新更新更新GUIDUSNGUIDUSN优化复制优化复制更新序列编号更新序列编号每个域控制器都留有一个向量组,使复制效率更高。向量由一对包含GUID的数据组成,这种数据就称为调用ID和相应的64位的USN。64位的USN用来标识AD服务存储的更改。当AD中任何对象更改的时候,域控制器将提升USN并用更改的对象(或属性)
12、存储它。在每个属性和每个对象上都有一个USN。USN用来决定在副本中哪些内容需要更新。每个域控制器都维护了一个与它有关联的复制伙伴的USN表。此表中存放着可以被每个复制伙伴接收的最高级别的USN。当域控制器上的一个复制伙伴启动复制进程时,域控制器将为复制伙伴参考它的USN表,并且仅为复制伙伴请求与比表中存储值大的USN相关的更改。此模式限制了复制伙伴之间传输的数据量,有效地限制了从上次成功复制更新后更改的数据的传输。注意给定的复制伙伴存储在域控制器表中的USN将不会改变,直到与最近复制交换相关的更改成功完成。使用USN也可以很容易地使给定的域控制器从失效中恢复。域控制器可以在任意给定的时间长度
13、内失效,一旦它恢复在线,将参考它的复制伙伴的USN更表,并请求在给定的控制器上的USN表中USN号码的所有更改的更新。优化复制优化复制更新向量更新向量由AD复制所使用的一个向量称为最新向量。最新向量由每个域控制器拥有的数据库USN对组成,表现为被接收的来自各个域控制器的最高级别的原始更新。复制拓扑复制拓扑目录分区目录分区复制拓扑复制拓扑全局编录和复制分区全局编录和复制分区复制拓扑的自动生成复制拓扑的自动生成使用连接对象使用连接对象目录分区目录分区AD数据库按逻辑划分成目录分区,即架构分区、配置分区和域分区。数据库按逻辑划分成目录分区,即架构分区、配置分区和域分区。架构分区和配置分区存储在树林的
14、所有域控制器上。域分区存储在给架构分区和配置分区存储在树林的所有域控制器上。域分区存储在给定域的所有域控制器上。由于每个分区都是一个复制单位,所以每个定域的所有域控制器上。由于每个分区都是一个复制单位,所以每个分区都有各自的复制拓扑。复制将在目录分区副本之间执行。同一树分区都有各自的复制拓扑。复制将在目录分区副本之间执行。同一树林的两个域控制器通常有几个公共的目录分区。一般至少有两个公共林的两个域控制器通常有几个公共的目录分区。一般至少有两个公共的目录分区,即架构分区和配置分区的目录分区,即架构分区和配置分区架构存放所有在Active Directory中创建的域特定对象的信息包含创建和操作所
15、有对象及属性的定义和规则包含关于Active Directory结构的信息配置Contoso.msft树林树林域域什么是复制拓扑结构什么是复制拓扑结构?复制拓扑是复制在整个网络上传播的路径。单个域控制器对不同分区复制拓扑是复制在整个网络上传播的路径。单个域控制器对不同分区将有不同的复制伙伴。复制拓扑建立在存储在将有不同的复制伙伴。复制拓扑建立在存储在AD中的信息的基础上,中的信息的基础上,可以根据架构、配置或复制而不同。连接复制伙伴的链接称为连接对可以根据架构、配置或复制而不同。连接复制伙伴的链接称为连接对象。连接对象代表两个服务器对象和复制源点之间的单向复制路径象。连接对象代表两个服务器对象
16、和复制源点之间的单向复制路径Domain Controllers from the Same DomainA1A2A3A4Domain A TopologySchema and ConfigurationTopology域 A 拓扑域 B 拓扑架构/配置拓扑A1A2A3A4B1B2B3不同域的域控制器不同域的域控制器全局编录全局编录Global Catalog 和分区的复制和分区的复制全局编录服务器是存储可更新的目录分区和部分目录全局编录服务器是存储可更新的目录分区和部分目录分区的副本,部分目录分区副本中包含存储在该分区分区的副本,部分目录分区副本中包含存储在该分区上部分信息的只读复制。全局编
17、录服务器为树林中所上部分信息的只读复制。全局编录服务器为树林中所有其他的域分区维护部分的信息。一个完整的目录分有其他的域分区维护部分的信息。一个完整的目录分区副本包含一个存储在中所有住处的可更新复制区副本包含一个存储在中所有住处的可更新复制.在树林中添加新域的时候在树林中添加新域的时候,关于新域的信息存储在配置关于新域的信息存储在配置目录分区中目录分区中,它通过在整个树林范围内信息的复制到达它通过在整个树林范围内信息的复制到达全局编录服务器和所有域控制器。然后每个全局编录全局编录服务器和所有域控制器。然后每个全局编录服务器成为新域的部分副本。当指定新全局编录服务服务器成为新域的部分副本。当指定
18、新全局编录服务器以后,这些信息仍然将存储在配置目录分区中,并器以后,这些信息仍然将存储在配置目录分区中,并被复制到树林的所有域控制器上,使所有域控制器都被复制到树林的所有域控制器上,使所有域控制器都知道树林中的怕有全局编录服务器。知道树林中的怕有全局编录服务器。全局编录全局编录Global Catalog 和分区的复制和分区的复制Partial Directory Partition ReplicaSchemaConfigurationGlobal Catalog ServerHolds read only copy of all domain directory partitionscont
19、oso.msftnamerica.contoso.msftA1A2A3A4B1B2B3Domain A TopologySchema/Config Topology域 A 拓扑域 B 拓扑架构/配置拓扑复制拓扑的自动生成复制拓扑的自动生成当把域控制器添加到站点上时当把域控制器添加到站点上时,必然有一种在域控必然有一种在域控制器之间建立复制路径的方法制器之间建立复制路径的方法.AD使用复制组件和使用复制组件和称为知识一致性检验器称为知识一致性检验器(KCC)的程序完成此过程。的程序完成此过程。KCC是一个内置的进程,它运行在每个域控制器是一个内置的进程,它运行在每个域控制器上并为树林生成复制拓扑
20、。上并为树林生成复制拓扑。KCC按特定的间隔时按特定的间隔时间运行,根据可以利用最有利的连接,指定控制间运行,根据可以利用最有利的连接,指定控制器之间的复制路由。器之间的复制路由。复制拓扑结构的自动生成复制拓扑结构的自动生成A1A2A7A6A3A5A4KCCKCCKCCKCCKCCKCCKCCA8KCCAutomatic Generation of Replication TopologyA-B的连接对象的连接对象,在在DC B的的NTDS Setting中中B-A的连接对象的连接对象,在在DC A的的NTDS Setting中中使用站点优化使用站点优化Active Directory复制复制
21、站点站点站点内复制站点内复制站点间复制站点间复制复制协议复制协议什么是站点和子网对象什么是站点和子网对象?站点有助于定义网络的物理结构。站点由一套传站点有助于定义网络的物理结构。站点由一套传输控制协议输控制协议/Internet协议(协议(TCP/IP)子网地址来子网地址来定义。在树林的第一个域控制器上安装定义。在树林的第一个域控制器上安装Windows 2003Advanced Server的时候,将自动建立第一的时候,将自动建立第一个站点。第一个站点称为个站点。第一个站点称为Default-First-Site-Name,该站点可以重命名。该站点可以重命名。站点可以没有子网,也可以由一个或
22、多个子网组站点可以没有子网,也可以由一个或多个子网组成。成。站点可以包含树林中任何域站点可以包含树林中任何域 的域控制器。站点服的域控制器。站点服务器对象组成。计算机升级到域控制器的时候,务器对象组成。计算机升级到域控制器的时候,将为计算机创建服务器对象,并包含启动复制的将为计算机创建服务器对象,并包含启动复制的连接对象。连接对象。什么是站点和子网对象什么是站点和子网对象?Active Directory Sites and ServicesConsole Window HelpActive ViewTreeActive Directory Sites and ServicesSitesDef
23、ault-First-Site-NameServersInter-Site TransportsSubnetsSiteInter-Site Transport ContainerSiteSubnets ContainerNameTypeRedmond-SiteDefault-First-Site-NameInter-Site TransportsRedmond-SiteSubnetsDENVERNTDS SettingsDefault-First-Site-NameRedmond-SiteB1A1IP SubnetIP SubnetIP Subnet什么是站点链接什么是站点链接?SiteIP
24、SubnetIP SubnetA1A2RPC or SMTPSite LinkIP SubnetIP SubnetSiteB3B1B2Cost一个站点连接一个站点连接:启用站间的复制通讯启用站间的复制通讯展现站点间的物理连接展现站点间的物理连接站内复制站内复制 vs. 站间复制站间复制站内复制站内复制 :假定快速和可靠的网络连接不压缩复制通信使用更改通知机制站间复制站间复制:假定受限的可用带宽和不可靠的网络连接在站点间压缩所有的复制通信产生一个手工的时间安排scheduleIP SubnetA1A2IP SubnetReplicationIP SubnetA1A2IP SubnetReplic
25、ationIP SubnetB1B2IP SubnetReplicationReplication使用站点管理使用站点管理Active Directory创建站点和子网创建站点和子网创建和配置站点间链接创建和配置站点间链接创建站点间链接桥创建站点间链接桥如何创建和配置站点和子网如何创建和配置站点和子网Your instructor will demonstrate how to:创建一个站点创建一个站点创建一个子网对象创建一个子网对象关联站点到一个子网对象关联站点到一个子网对象移动域控制器到另一个站点移动域控制器到另一个站点委派站点的控制委派站点的控制如何创建和配置站点链接如何创建和配置站点链
26、接Your instructor will demonstrate how to:创建网站的链接创建网站的链接配置站点链接属性配置站点链接属性什么是桥头堡服务器什么是桥头堡服务器Bridgehead Server?A bridgehead server:发送和接收复制的数据发送和接收复制的数据为站点中每个分区指定为站点中每个分区指定IP SubnetIP SubnetA1Bridgehead ServerReplicationIP SubnetIP SubnetB1Bridgehead Server什么是站内拓扑生成器什么是站内拓扑生成器Intersite Topology Generator
27、?IP SubnetA1A2桥头服务桥头服务器器复制复制B2桥头服务器桥头服务器B1复制复制IP SubnetIP Subnet复制复制IP Subnet站点拓扑生成器站点拓扑生成器站点间拓扑生成器定义在网站点间拓扑生成器定义在网络上的站点之间复制络上的站点之间复制 为什么禁用默认的所有站点链接的桥接为什么禁用默认的所有站点链接的桥接?IP SubnetIP SubnetSite B IP SubnetIP SubnetSite AIP SubnetIP SubnetA1A2Site Link BridgeB2Site Link BCSite Link ABB1B3C2C1Site C如何创建一个站点链接桥如何创建一个站点链接桥您的教师将演示如何:您的教师将演示如何:所有站点链接的禁用默认桥接创建新站点链接桥所有站点链接的禁用默认桥接创建新站点链接桥如何刷新复制拓扑结构如何刷新复制拓扑结构Your instructor will demonstrate how to:确定哪个域控制器持有站间拓扑生成器的角色确定哪个域控制器持有站间拓扑生成器的角色强制运行强制运行 KCC 如何在一个连接上强制复制如何在一个连接上强制复制您的教师会演示如何通过连接强制进行复制您的教师会演示如何通过连接强制进行复制
