AD 實戰之八：複寫拓撲

本文出自 “嶽雷的微軟網路課堂” 部落格，請務必保留此出處http://yuelei.blog.51cto.com/202879/126641

 

在前面的博文中我們在域中部署了額外網域控制站，而且我們已經知道每個網域控制站都有一個內容相同的Active Directory資料庫，今天我們要討論一下額外網域控制站在進行Active Directory複製時所使用複寫拓撲。

在NT4的時代，網域控制站被分為兩類，PDC和BDC。PDC是主網域控制站的縮寫，BDC是備份網域控制站的縮寫。每個域中只能有一個PDC，BDC可以有多個，BDC的目錄資料是從PDC複製而來。只有PDC才可以更改域中的使用者帳號，電腦帳號等目錄資料，BDC的內容是唯讀！這種複製模型我們稱為單主複製，這種模型我們並不陌生，類似於DNS伺服器的次要伺服器和主伺服器的關係。單主複製模型比較簡單，管理難度不大，但較容易構成單點故障。

從Win2000開始，Active Directory開始使用多主複製的模型，也就是說每個網域控制站都可以自主地修改Active Directory的內容，域中不再有PDC和BDC的區別了。Win2003使用了和Win2000同樣的多主複製模型，而Win2008則在多主複製的基礎上又增加了一個RODC，也就是唯讀網域控制站，可以看出Win2008試圖在多主複製模型中增加一些單主複製的元素，因為RODC的設計理念顯然和BDC是有些關聯的。

現在我們知道了Win2003的Active Directory中使用了多主複製的模型，也就是任何一個網域控制站都可以修改Active Directory。為了維護Active Directory的權威性，顯然所有網域控制站上的Active Directory內容應該都相同。那麼，如果一個網域控制站修改了自己的Active Directory，修改的的內容是如何複製到其他網域控制站上的呢？這就是我們今天要討論的內容，Active Directory的複寫拓撲！

Active Directory的複寫拓撲是一個比較複雜的問題，今天我們只討論在同一域中網域控制站之間的複寫拓撲。當域中的網域控制站數量發生變化，例如增加或減少了網域控制站，網域控制站上的進程KCC就會進行Active Directory複寫拓撲的計算。KCC被翻譯為知識一致性驗證器，我們在工作管理員的進程列表中看不到KCC，因為它屬於LSACC進程的一部分。KCC可以自動計算出網域控制站進行複製時所使用的拓撲，當網域控制站數量較少時，KCC傾向於在域中使用環形拓撲進行Active Directory複製，也就是說當一個網域控制站的Active Directory內容發生變化時，這個更改不會同時傳遞給其他所有的網域控制站，而是要沿著KCC設計的環形拓撲一一傳遞下去。而且為了實現冗餘以及提高效率，KCC設計的拓撲還是雙環拓撲，就是一個網域控制站的複寫拓撲，可以看到，每個網域控制站都有兩個複製夥伴，Active Directory的複製沿著順時針和逆時針兩個方向進行。

網域控制站複製Active Directory時，一般會使用“帶通知的拉複製”，也就是說，當DC1修改了Active Directory後，DC1會在5分鐘內通知自己的複製夥伴DC2，“快來，我的AD中有些新內容”。DC2收到通知後，會啟動一個Active Directory的複製請求，以差異複寫的方式從DC1把Active Directory複製到DC2。如果Active Directory中發生了一些緊急事件，例如使用者口令被修改，那麼此時網域控制站將不受5分鐘的時間限制，而是在最短時間內把Active Directory複製給PDC操作主機。如果一個網域控制站在一個小時之內都沒有收到複製夥伴發來的通知，它就會向複製夥伴發出一個查詢，詢問複製夥伴是否線上。

我們通過一個執行個體來觀察一下網域控制站的複寫拓撲，Adtest.com域中有Florence，Firenze和Berlin三個額外網域控制站，我們在Florence開啟Active Directory網站和服務，可以看到每個網域控制站的複製夥伴。如所示，Florence的複製夥伴是Berlin和Firenze。

而Firenze的複製夥伴是Florence和Berlin。

Berlin的複製夥伴是Florence和Firenze。

看完三個網域控制站的複製夥伴，我們很容易勾勒出Active Directory的複寫拓撲，這是一個標準的雙環拓撲，拓撲如所示。

雙環拓撲非常優美，但並非適合所有場合！在網域控制站較多的網路中，標準的環形拓撲就不太合適，因為網域控制站複製Active Directory時有個嚴格的限制，那就是從源網域控制站到目標網域控制站不能超過三個網域控制站的間隔。具體來說就是如果DC1的Active Directory發生了變化，那麼DC1可以複製給DC2，DC2可以接著複製給DC3，DC3還可以複製給DC4，但DC4就不能再複製給DC5了！因為這時從DC1到DC5中間間隔的網域控制站已經超過了三個。微軟進行這個限制，估計是為了避免在大型網路中進行Active Directory複製時環形拓撲導致的延遲問題，試想一下，如果一個大型網路中有100個網域控制站，網域控制站複製的平均間隔為5分鐘，那麼從第一個網域控制站複製到最後一個網域控制站可能需要大約500分鐘！這種延遲是不可接受的，因此在大型網路中KCC會使用網狀拓撲，網狀拓撲就不像環形拓撲那樣有規律了，每個網域控制站可能會有多個複製夥伴，看起來並不像環形拓撲那樣有規律。網域控制站的複寫拓撲最好由KCC來規劃，當然，也可以自己指定網域控制站的複製夥伴，例如我們想指定Florence的複製夥伴，我們可以如所示，在Florence上選擇“建立Active Directory串連”。

如所示，Florence可以從網域控制站列表中選擇自己的複製夥伴。這樣一來，我們就完成了對Florence複製夥伴的手工指定。

網域控制站的複寫拓撲最好由KCC來自動計算，網域控制站一旦複寫拓撲出現問題，處理時需要相當的耐心，而且要結合DNS的SRV記錄來進行排錯，可能還需要對Active Directory資料進行手工處理。以後有機會我們會介紹一些Active Directory排錯的進階工具以及實際案例供大家參考，希望大家都能夠處理好這個問題。

本文出自 “嶽雷的微軟網路課堂” 部落格，請務必保留此出處http://yuelei.blog.51cto.com/202879/126641