第十二次課配置AD站點(diǎn)復(fù)制

,微軟系統(tǒng)工程師、微軟企業(yè)架構(gòu)專(zhuān)家課程（13期）,第十二次課程,管理ActiveDirectory復(fù)制,概述,ActiveDirectory復(fù)制介紹復(fù)制組件和過(guò)程復(fù)制拓?fù)涫褂谜军c(diǎn)優(yōu)化ActiveDirectory復(fù)制使用站點(diǎn)管理ActiveDirectory復(fù)制監(jiān)視復(fù)制流量調(diào)節(jié)ActiveDirectory復(fù)制,ActiveDirectory復(fù)制介紹,復(fù)制是在AD中從一個(gè)域控制器到網(wǎng)絡(luò)上其他域控制器的信息更新的過(guò)程。復(fù)制同步每個(gè)域控制器上的數(shù)據(jù)副本，以確保AD中的所有信息對(duì)于整個(gè)網(wǎng)絡(luò)上的所有域控制器和客戶(hù)端計(jì)算機(jī)都是有效的。當(dāng)用戶(hù)或管理人員執(zhí)行某個(gè)操作時(shí)將會(huì)引起AD的更新。系統(tǒng)會(huì)自動(dòng)選擇一個(gè)合適的域控制器來(lái)完成相應(yīng)的更新，更改的結(jié)果也會(huì)清楚地在域控制器上生效。AD提供松散收斂的多主機(jī)復(fù)制。在AD中采用多主機(jī)自制，具有兩個(gè)優(yōu)勢(shì)：,域控制器A,域控制器C,復(fù)制,松散收斂的多個(gè)主機(jī)復(fù)制,如果某一個(gè)域控制器不可用，為了能夠恢復(fù)AD必須在更新之前替換該域控制器域控制器可以分布于整個(gè)網(wǎng)絡(luò)，它放置在多個(gè)物理站點(diǎn)上，將域控制器放置在多個(gè)物理站點(diǎn)上可以提供容錯(cuò)能力,復(fù)制組件和過(guò)程,復(fù)制的工作方式復(fù)制延遲解決復(fù)制沖突優(yōu)化復(fù)制,復(fù)制的工作方式,所有域控制器發(fā)生的復(fù)制都是由于A數(shù)據(jù)的更改導(dǎo)致的。以下操作可能觸發(fā)AD的更新：添加對(duì)象到ADC，例如創(chuàng)建新用戶(hù)賬戶(hù)修改對(duì)象屬性值，修改對(duì)象的名稱(chēng)或?qū)ο笏诘母赣颍绻斜匾?，可以把?duì)象移到新父域中。例如把對(duì)象從銷(xiāo)售域移到服務(wù)域從目錄中刪除對(duì)象。,復(fù)制延遲,復(fù)制延遲時(shí)間是指一個(gè)域控制器上的更改被另一個(gè)域控制器接受所需要的時(shí)間。對(duì)指定的副本應(yīng)用更新時(shí)，將觸發(fā)復(fù)制引擎。更改通知站點(diǎn)內(nèi)的復(fù)制由更改通知進(jìn)程發(fā)起。當(dāng)域控制器上發(fā)生更改的時(shí)候，復(fù)制引擎等待一個(gè)可配置的時(shí)間間隔，然后把通知信息發(fā)送給第一個(gè)復(fù)制伙伴，通知它已經(jīng)有更改發(fā)生。經(jīng)過(guò)一個(gè)配置的延遲之后，其他的直接伙伴都會(huì)收到通知。如果在一個(gè)配置周期內(nèi)，沒(méi)有更改發(fā)生域控制器將與其復(fù)制伙伴啟動(dòng)復(fù)制，以確保沒(méi)有錯(cuò)過(guò)來(lái)自原始更新控制器上的更改緊急復(fù)制在AD中，涉及安全問(wèn)題的屬性發(fā)生更改會(huì)立即通知其復(fù)制伙伴并完成復(fù)制更新。這種立即通知就稱(chēng)為緊急復(fù)制。例如：當(dāng)管理員指派賬戶(hù)鎖定的時(shí)候，將提示使用域控制器之間的緊急復(fù)制。賬戶(hù)鎖定是一個(gè)安全特性。,復(fù)制延遲,默認(rèn)的復(fù)制延遲（更改通知）5分鐘不更改時(shí)，預(yù)定復(fù)制1小時(shí)緊急復(fù)制立即更改通知,更改通知,更改通知,解決復(fù)制沖突,由于AD中的復(fù)制是基于多主機(jī)模型的,提供多主機(jī)更新的所有計(jì)算機(jī)必須能處理潛在的沖突,即當(dāng)在兩個(gè)獨(dú)立的主機(jī)副本不一致的時(shí)候,并發(fā)更新發(fā)起方,就會(huì)引發(fā)復(fù)制沖突。當(dāng)這些更新被復(fù)制的時(shí)候，并發(fā)更新就會(huì)引發(fā)突然。AD能同時(shí)減少并解決這些沖突。域控器通過(guò)比較在復(fù)制期間接收到的更改中給定的屬性的版本號(hào)與本地存儲(chǔ)的屬性的版本號(hào)來(lái)檢測(cè)沖突。屬性版本號(hào)不同于每個(gè)域控制器所特有的更新序列號(hào)（USN）。因?yàn)樗鼈兪墙o定對(duì)象的屬性所特有的并且是在屬性創(chuàng)建時(shí)初始化。只有當(dāng)屬性更改后（而不是當(dāng)屬性通過(guò)正常的復(fù)制更新時(shí)）屬性版本號(hào)才增大。這些更改被稱(chēng)為發(fā)起方寫(xiě)入，有別于通過(guò)復(fù)制進(jìn)程將它們與應(yīng)用到給定屬性的更改。,解決復(fù)制沖突,沖突類(lèi)型有三種類(lèi)型的沖突：屬性值。對(duì)象的屬性同時(shí)在兩個(gè)副本上設(shè)置兩個(gè)不同的值時(shí)，就會(huì)引發(fā)這種沖突。在已刪除的容器對(duì)象上添加/移動(dòng)或刪除容器對(duì)象。當(dāng)一個(gè)副本記錄著一個(gè)容器對(duì)象的刪除，而另一個(gè)備份記錄著從屬于刪除容器對(duì)象的對(duì)象位置時(shí)，就會(huì)引發(fā)沖突。同屬名稱(chēng)。當(dāng)一個(gè)副本試圖把一個(gè)對(duì)象移動(dòng)到一個(gè)容器中，而同時(shí)另一個(gè)副本正好移動(dòng)另一個(gè)具有同樣的相對(duì)辨別名的對(duì)象的時(shí)候，就會(huì)引發(fā)沖突。,解決復(fù)制沖突,減少?zèng)_突為了減少?zèng)_突，域控制器需要記錄并復(fù)制對(duì)象在屬性級(jí)別需不是在對(duì)象級(jí)別的更改。因此，對(duì)同一個(gè)對(duì)象的兩種不同屬性的更改，例如用戶(hù)密碼和郵政編碼，即使同時(shí)發(fā)生更改，也不會(huì)引起沖突。,解決復(fù)制沖突,全局惟一戳為了利于沖突的解決，AD維護(hù)了一個(gè)戳，在戳中包含原始更新期間創(chuàng)建的版本號(hào)、時(shí)間戳和服務(wù)全局惟一標(biāo)識(shí)符（GUID）。在復(fù)制的時(shí)候戳將跟蹤更新。版本號(hào)。該版本號(hào)從1開(kāi)始，以后每原始更新一次就增加1。在執(zhí)行原始更新的時(shí)候，屬性更新過(guò)的版本號(hào)將比正在被更新的版本號(hào)大1。時(shí)間戳。時(shí)間戳是更新的發(fā)起時(shí)間和日期，這些時(shí)間和日期將以執(zhí)行原始更新的域控制器的系統(tǒng)時(shí)鐘為標(biāo)準(zhǔn)。服務(wù)器GUID。服務(wù)器GUID是原始目錄系統(tǒng)代理（DSA），用來(lái)確定正在,解決沖突,把全局惟一戳分配給所有原始更新操作,例如添加、修改、移動(dòng)或刪除，可以解決沖突。如果存在沖突，那么戳的順序會(huì)按下列方式解決沖突：屬性值。有較高戳值的更新操作將取代較低戳值更新操作的屬性值。在刪除的容器對(duì)象上添加/移動(dòng)或刪除容器對(duì)象。在解決所有的副本沖突后，容器對(duì)象將被刪除，葉對(duì)象將成為文件夾中LostAndFound容器的子對(duì)象。在解決過(guò)程中并沒(méi)有涉及戳。同屬名稱(chēng)。具有較大戳的對(duì)象保持相對(duì)辨別名。同屬對(duì)象由域控制器分配給惟一的相對(duì)辨別名。分配的名字=相對(duì)辨別名+保留符號(hào)（*）+對(duì)象的GUID。分配的名稱(chēng)可以確保產(chǎn)生的名稱(chēng)不會(huì)與任何其他對(duì)象的名稱(chēng)發(fā)生沖突,優(yōu)化復(fù)制,在復(fù)制期間，域控制器使用多個(gè)路徑發(fā)送和接收更新。雖然使用多個(gè)路徑可以提供容錯(cuò)能力并改善性能，但它仍然會(huì)導(dǎo)致更新沿不同的復(fù)制路徑多次復(fù)制到相同的域控制器上。為防止這些重復(fù)復(fù)制，AD復(fù)制使用了傳播抑制，傳播抑制可以減少一個(gè)域控制器到另一個(gè)域控制器不必要的數(shù)據(jù)傳輸量。,優(yōu)化復(fù)制,更新序列編號(hào)每個(gè)域控制器都留有一個(gè)向量組，使復(fù)制效率更高。向量由一對(duì)包含GUID的數(shù)據(jù)組成，這種數(shù)據(jù)就稱(chēng)為調(diào)用ID和相應(yīng)的64位的USN。64位的USN用來(lái)標(biāo)識(shí)AD服務(wù)存儲(chǔ)的更改。當(dāng)AD中任何對(duì)象更改的時(shí)候，域控制器將提升USN并用更改的對(duì)象（或?qū)傩裕┐鎯?chǔ)它。在每個(gè)屬性和每個(gè)對(duì)象上都有一個(gè)USN。USN用來(lái)決定在副本中哪些內(nèi)容需要更新。每個(gè)域控制器都維護(hù)了一個(gè)與它有關(guān)聯(lián)的復(fù)制伙伴的USN表。此表中存放著可以被每個(gè)復(fù)制伙伴接收的最高級(jí)別的USN。當(dāng)域控制器上的一個(gè)復(fù)制伙伴啟動(dòng)復(fù)制進(jìn)程時(shí)，域控制器將為復(fù)制伙伴參考它的USN表，并且僅為復(fù)制伙伴請(qǐng)求與比表中存儲(chǔ)值大的USN相關(guān)的更改。此模式限制了復(fù)制伙伴之間傳輸?shù)臄?shù)據(jù)量，有效地限制了從上次成功復(fù)制更新后更改的數(shù)據(jù)的傳輸。注意給定的復(fù)制伙伴存儲(chǔ)在域控制器表中的USN將不會(huì)改變，直到與最近復(fù)制交換相關(guān)的更改成功完成。使用USN也可以很容易地使給定的域控制器從失效中恢復(fù)。域控制器可以在任意給定的時(shí)間長(zhǎng)度內(nèi)失效，一旦它恢復(fù)在線(xiàn)，將參考它的復(fù)制伙伴的USN更表，并請(qǐng)求在給定的控制器上的USN表中USN號(hào)碼的所有更改的更新。,優(yōu)化復(fù)制,更新向量由AD復(fù)制所使用的一個(gè)向量稱(chēng)為最新向量。最新向量由每個(gè)域控制器擁有的數(shù)據(jù)庫(kù)USN對(duì)組成，表現(xiàn)為被接收的來(lái)自各個(gè)域控制器的最高級(jí)別的原始更新。,復(fù)制拓?fù)?目錄分區(qū)復(fù)制拓?fù)淙志庝浐蛷?fù)制分區(qū)復(fù)制拓?fù)涞淖詣?dòng)生成使用連接對(duì)象,目錄分區(qū),AD數(shù)據(jù)庫(kù)按邏輯劃分成目錄分區(qū)，即架構(gòu)分區(qū)、配置分區(qū)和域分區(qū)。架構(gòu)分區(qū)和配置分區(qū)存儲(chǔ)在樹(shù)林的所有域控制器上。域分區(qū)存儲(chǔ)在給定域的所有域控制器上。由于每個(gè)分區(qū)都是一個(gè)復(fù)制單位，所以每個(gè)分區(qū)都有各自的復(fù)制拓?fù)?。?fù)制將在目錄分區(qū)副本之間執(zhí)行。同一樹(shù)林的兩個(gè)域控制器通常有幾個(gè)公共的目錄分區(qū)。一般至少有兩個(gè)公共的目錄分區(qū)，即架構(gòu)分區(qū)和配置分區(qū),什么是復(fù)制拓?fù)浣Y(jié)構(gòu)?,復(fù)制拓?fù)涫菑?fù)制在整個(gè)網(wǎng)絡(luò)上傳播的路徑。單個(gè)域控制器對(duì)不同分區(qū)將有不同的復(fù)制伙伴。復(fù)制拓?fù)浣⒃诖鎯?chǔ)在AD中的信息的基礎(chǔ)上，可以根據(jù)架構(gòu)、配置或復(fù)制而不同。連接復(fù)制伙伴的鏈接稱(chēng)為連接對(duì)象。連接對(duì)象代表兩個(gè)服務(wù)器對(duì)象和復(fù)制源點(diǎn)之間的單向復(fù)制路徑,全局編錄GlobalCatalog和分區(qū)的復(fù)制,全局編錄服務(wù)器是存儲(chǔ)可更新的目錄分區(qū)和部分目錄分區(qū)的副本，部分目錄分區(qū)副本中包含存儲(chǔ)在該分區(qū)上部分信息的只讀復(fù)制。全局編錄服務(wù)器為樹(shù)林中所有其他的域分區(qū)維護(hù)部分的信息。一個(gè)完整的目錄分區(qū)副本包含一個(gè)存儲(chǔ)在中所有住處的可更新復(fù)制.在樹(shù)林中添加新域的時(shí)候,關(guān)于新域的信息存儲(chǔ)在配置目錄分區(qū)中,它通過(guò)在整個(gè)樹(shù)林范圍內(nèi)信息的復(fù)制到達(dá)全局編錄服務(wù)器和所有域控制器。然后每個(gè)全局編錄服務(wù)器成為新域的部分副本。當(dāng)指定新全局編錄服務(wù)器以后，這些信息仍然將存儲(chǔ)在配置目錄分區(qū)中，并被復(fù)制到樹(shù)林的所有域控制器上，使所有域控制器都知道樹(shù)林中的怕有全局編錄服務(wù)器。,全局編錄GlobalCatalog和分區(qū)的復(fù)制,域A拓?fù)溆駼拓?fù)浼軜?gòu)/配置拓?fù)?復(fù)制拓?fù)涞淖詣?dòng)生成,當(dāng)把域控制器添加到站點(diǎn)上時(shí),必然有一種在域控制器之間建立復(fù)制路徑的方法.AD使用復(fù)制組件和稱(chēng)為知識(shí)一致性檢驗(yàn)器(KCC)的程序完成此過(guò)程。KCC是一個(gè)內(nèi)置的進(jìn)程，它運(yùn)行在每個(gè)域控制器上并為樹(shù)林生成復(fù)制拓?fù)洹CC按特定的間隔時(shí)間運(yùn)行，根據(jù)可以利用最有利的連接，指定控制器之間的復(fù)制路由。,復(fù)制拓?fù)浣Y(jié)構(gòu)的自動(dòng)生成,A-B的連接對(duì)象,在DCB的NTDSSetting中B-A的連接對(duì)象,在DCA的NTDSSetting中,使用站點(diǎn)優(yōu)化ActiveDirectory復(fù)制,站點(diǎn)站點(diǎn)內(nèi)復(fù)制站點(diǎn)間復(fù)制復(fù)制協(xié)議,什么是站點(diǎn)和子網(wǎng)對(duì)象?,站點(diǎn)有助于定義網(wǎng)絡(luò)的物理結(jié)構(gòu)。站點(diǎn)由一套傳輸控制協(xié)議/Internet協(xié)議（TCP/IP）子網(wǎng)地址來(lái)定義。在樹(shù)林的第一個(gè)域控制器上安裝Windows2003AdvancedServer的時(shí)候，將自動(dòng)建立第一個(gè)站點(diǎn)。第一個(gè)站點(diǎn)稱(chēng)為Default-First-Site-Name,該站點(diǎn)可以重命名。站點(diǎn)可以沒(méi)有子網(wǎng)，也可以由一個(gè)或多個(gè)子網(wǎng)組成。站點(diǎn)可以包含樹(shù)林中任何域的域控制器。站點(diǎn)服務(wù)器對(duì)象組成。計(jì)算機(jī)升級(jí)到域控制器的時(shí)候，將為計(jì)算機(jī)創(chuàng)建服務(wù)器對(duì)象，并包含啟動(dòng)復(fù)制的連接對(duì)象。,什么是站點(diǎn)和子網(wǎng)對(duì)象?,什么是站點(diǎn)鏈接?,Site,IPSubnet,IPSubnet,A1,A2,RPCorSMTP,SiteLink,IPSubnet,IPSubnet,Site,B3,B1,B2,Cost,一個(gè)站點(diǎn)連接:,啟用站間的復(fù)制通訊展現(xiàn)站點(diǎn)間的物理連接,站內(nèi)復(fù)制vs.站間復(fù)制,使用站點(diǎn)管理ActiveDirectory,創(chuàng)建站點(diǎn)和子網(wǎng)創(chuàng)建和配置站點(diǎn)間鏈接創(chuàng)建站點(diǎn)間鏈接橋,如何創(chuàng)建和配置站點(diǎn)和子網(wǎng),Yourinstructorwilldemonstratehowto:,創(chuàng)建一個(gè)站點(diǎn)創(chuàng)建一個(gè)子網(wǎng)對(duì)象關(guān)聯(lián)站點(diǎn)到一個(gè)子網(wǎng)對(duì)象移動(dòng)域控制器到另一個(gè)站點(diǎn)委派站點(diǎn)的控制,如何創(chuàng)建和配置站點(diǎn)鏈接,Yourinstructorwilldemonstratehowto:,創(chuàng)建網(wǎng)站的鏈接配置站點(diǎn)鏈接屬性,什么是橋頭堡服務(wù)器BridgeheadServer?,Abridgeheadserver: