Windows活動目錄系列---AD網站(1)

標籤：ad

AD網站是什嗎？

大多數管理員對網站的認知是，網站就是一個物理位置，就像一個辦公室或者一個城市，它們通常以WAN網串連來隔離。這些網站通過網路鏈路進行物理上的串連，網路鏈路可以是基礎的撥號連線或者複雜的光纖鏈路，物理位置和鏈路結合在一起構成了物理網路的基礎架構。在物理網路架構中AD所代表的對象被稱為網站，AD網站對象儲存在配置分區(CN=Sites,CN=Configuration,DC=contoso,DC=com)並被用於實現兩種主要的服務管理工作：

1. 管理複製流量。在企業環境中一般有兩種網路連接類型，高速串連和低速串連。從理論上來說，處於高速網路的環境中，AD發生了變更後應該可以立即將變更的資訊複製到其他DC，但是由於你的網路可能很慢，或者價格昂貴，或者可靠性差等原因，你不想讓變更的資訊立即複製到其他網站，而是希望讓複製流量以低速串連傳遞到公司的各個分支，以達到最佳化網路，降低花費和管理頻寬使用的目的。AD網站代表了企業中的高速串連，當你定義了一個網站，網站內的DC立即會複製變更的資訊，但是你可以根據自己的需要調整網站之間的複製計劃。

2. 提供服務位置。AD網站可以協助你定位服務，它通過DC來提供這些功能。在你登入的時候，Windows用戶端會自動的尋找自身所在網站中的DC，如果自身網站中的DC是停用，那麼他們會去尋找最近網站中的DC，然後通過這台DC來進行驗證。

網站還可以用來作為GPO的連結位置，這種情況下，網站代表了GPO層次中的頂層，GPO的設定會首先被應用在網站上。

子網對象是什嗎？

子網對象是用於標識電腦映射到AD網站的網路地址，子網就是被指派了一組IP地址的TCP/IP網段，因為子網對象映射的是物理網路，所以網站也映射了物理網路。網站可以由一個或者多個子網組成，例如你的網路中有3個子網在紐約，2個子網在倫敦，你可以在紐約和倫敦各建一個網站，然後將每個地區擁有的子網加入到各自的網站中。

注意：在設計你的AD網站配置的時候，正確的將IP子網映射到網站是非常重要的，如果你底層的網路設定發生了變化，你必須確保這些變化在對應的IP子網到網站的映射中同步變更。DC會根據AD中的IP子網資訊將用戶端電腦和伺服器對應到正確的AD網站，如果映射出現誤差，AD的一些操作很可能會發生跨WAN網鏈路，甚至是操作被中斷的情況。

預設首網站

在安裝林的第一個DC的時候AD會自動建立一個預設網站，預設網站的名稱是Defaul-First-Site-Name,這個名稱是可以被修改的。如果你只有一個網站，就沒有必要去配置子網和額外的網站，因為所有的機器都會被預設網站所覆蓋，但是如果使用多網站就必須配置各自的子網。

部署多網站的4個理由：

1. 網路之間通過慢速連結進行通訊。根據之前提到的，本地站台連結具有快速，可靠，低花費的特性，如果兩個地區之間通過慢速網路連接，你應該在每個地區配置一個單獨的AD網站，通常慢速連結是低於512KB/S的串連速率。
   

2. 在某個網路中使用者數較多，需要部署DC或其他服務在這個地區。串連的使用者數也會影響到你的網站設計，如果一個網路位置中有足夠的使用者數，無法正常的通過驗證會是一個很頭疼的問題，如果我們在這個位置部署一台DC用於支援使用者的驗證，使用者的驗證問題就可以在部署完DC或者其他分布式服務之後被解決，你可能還想管理AD複製到什麼位置或者讓某些服務本地化，那麼可以配置一個AD網站來代表這個位置。

3. 需要將服務本地化。通過建立AD網站，你可以確保用戶端使用離他最近的DC進行驗證，從而減少了驗證的延時，降低了WAN網串連的流量。在大多數情況下，每個網站都會串連到一台DC，但是你配置網站可能只是用於服務本地化，而不需要用來做驗證，比如DFS,BranchCache,Exchange服務，這些特殊情況下，網站裡面是不需要安裝DC的。

4. 需要控制DC之間的複製。可能某些時候兩台網路連接良好的DC只允許在特定的時間進行通訊，建立網站可以控制DC之間如何進行複製，何時進行複製。

網站之間是如何進行複製的？

網站內複製的主要特點是：

1. 網站內的網路連接可靠，並且有足夠的可用頻寬。

2. 網站內的複製流量是未壓縮的，因為網站是一種高速，可靠的網路連接，不壓縮複製流量可以減少DC的負載，但是會增加頻寬的消耗。

3. 通過變更通知發起站內的複製。

網站之間複製的主要特點：

1. 網站之間的網路鏈路的可用頻寬有限，可能花費較高，或者可靠性較差。
   

2. 網站之間的複製流量可以通過壓縮的方式來最佳化頻寬的利用率。複製流量在傳送前可以壓縮到原來的10%-15%，雖然壓縮可以最佳化網路的頻寬，但是在壓縮和解壓的時候會給DC帶來額外的處理器負載。

3. 當你定義好了一些可配置的值後(如複製計劃或複製間隔)，網站之間會自動開始複製。你可以將複製計劃定在非工作時間，變更資料在網站之間的複製預設是根據你定義的複製計劃來執行的，而不是根據資料變更的時間來進行複製。複製計劃決定複製何時被執行，複製計劃的間隔是指在複製執行期間，DC檢查資料變更的頻率。

AD網站之間的變更通知的傳遞方式

AD的變更資料在不同網站的DC之間複製，它們是根據定義好的複製計劃來執行的，而不是像網站內複製一樣只要變更發生就會執行複製動作。因為這個原因，林中的複製延時就等於是任意目錄分割按照最長的複製路徑經曆最大的複製延時的總和，在某些情境中，這種機制是非常低效的。

為了避免複製的延時，我們可以通過在網站之間的連結配置變更通知，開啟網站鏈路對象，將所有的站台連結啟用網站之間的變更通知，由於複製夥伴之間是跨網站的接收變更通知，所以網站之間的複製間隔實際上是被忽略的，然後變更的起始DC通知其他網站的DC有資料變更，就像在網站內部通知DC資料變更一樣。

對於帳號鎖定或其他類似的安全性有關的變更，對複製的即時性要求較高，所以在這種情況下，我們需要使用緊急複製，緊急複製繞過了通知延時，直接發送變更通知。但是如果你沒有在網站之間啟用變更通知，網站的複製始終還是會根據站台連結的複製間隔執行複製。

注意：當使用者密碼變更之後，PDC操作主機會發起即時複製，這個與緊急複製是不同的，因為即時複製是馬上就執行的，不需要理會網站的複製間隔。

本文出自 “乾涸的海綿” 部落格，請務必保留此出處http://thefallenheaven.blog.51cto.com/450907/1586681

Windows活動目錄系列---AD網站(1)