Windows Server 2016-Active Directory複製概念(一)

標籤：Active Directory   AD複製   域控複製概念   域同步複製   Windows Server 2016   

停更十餘天后，從今天開始繼續為大家帶來Windows Server 2016 Active Directory系列更新，本章為大家介紹有關Active Directory複製相關概念內容，有關Active Directory概念性內容不管是老版本2000還是2016基礎概念還是一致的，本章概念介紹中以Windows 2000 Active Directory為例介紹，有關Windows 2016 Active Directory新增功能請參考(http://blog.51cto.com/wenzhongxiang/2071659), 希望可以幫到大家。

概念：

目錄服務是一種分散式資料庫，用於儲存與網路資源有關的資訊，以便於尋找和管理。Microsoft Active Directory 是用於 Windows 2000的最新目錄服務實現。涉及目錄服務的基本問題圍繞著可以將哪些資訊儲存在資料庫中，儲存的方式是什麼，如何查詢特定的資訊，以及如何對結果進行處理。Active Directory 包含目錄服務本身，以及允許訪問支援 X.500 命名規則的資料庫的從屬服務。

可以使用某個使用者名稱來查詢目錄，以擷取相關資訊，如使用者的電話號碼或者電子郵件地址。目錄服務也是非常靈活的，可以進行歸納查詢（"印表機在什麼位置？"或"伺服器的名稱是什嗎？"），以查看可用印表機或伺服器的歸納列表。

目錄服務還具有給使用者提供到整個商業網路的單個進入點的優點。使用者可以尋找和使用整個網路資源，而無需瞭解資源的確切名稱或位置。也可以使用統一的網路組織及其資源邏輯視圖來管理整個網路。

為確保設計出最有效、最可靠的 Active Directory，必須瞭解網路的邏輯結構和物理結構。研究和瞭解組織的業務結構和操作也是非常重要的。Active Directory 將域的邏輯結構從實際物理結構中獨立出來。

邏輯結構：

網路的邏輯結構是由無形的項目組成的，如對象、域、分類樹和目錄林。

Active Directory 的基本結構塊是對象，這是一個代表網路資源的已命名特定屬性集。對象屬性是目錄中對象的特徵。對象也可以按類進行分組，類是對象的邏輯分組。使用者、組和電腦是不同對象類的例子。

在最低一層，某些對象代表網路上的單個實體，如使用者或電腦。這些實體稱為葉對象，它們不能包含其它對象。但是，為了簡化目錄的管理和組織，可以將葉對象放在其它對象（稱為容器物件）內部。容器物件也可以採用嵌套（或層次）形式包含其它容器。

容器物件最常用的類型是組織單元 (OU)。可以使用 OU 將對象進行分類，並將域變成某種類型的邏輯管理分組。尤其要注意的是，域中 OU 的結構和層次與任何其它域的結構無關。

所有網路對象只能在一個域中存在（無論是葉對象還是容器物件）。為反映組織網路的特點，可以使用域將相關對象分成一組。每個建立的域僅儲存所包含對象的資訊，而不儲存其它對象的資訊。目前，在域中可維護的對象數量的上限為一百萬。

每個域表示一個安全邊界。對每個域中對象的訪問是由存取控制項目 (ACE) 控制的，後者包含在存取控制清單 (ACL) 中。這些安全設定並不跨越域邊界。在 Active Directory 中，域也可以稱為"分區"。因為域是 Active Directory 資料庫的物理分區，所以您既可以按照業務功能（人力資源、銷售或財務），也可以按照位置（地理或相對）建立其結構。

當將相關域分成一組以便共用全域資源時，您就建立了"分類樹"。儘管分類樹可以只包含一個域，但是您可以將階層中相同名稱空間的多個域合并在一起。可以使用基於 Kerberos 的安全功能，通過雙向信任關係將分類樹中的域透明地串連在一起。這些信任關係可以是永久性的（不能被刪除），也可以是暫時的。換句話說，如果域 A 信任域 B，而域 B 信任域 C，則域 A 信任域 C。

分類樹中的所有域共用所有物件類型的正式定義（稱為"架構"）。此外，任何給定分類樹中的所有域還共用全域編錄 (GC)。GC 是分類樹中對象的中央儲存庫。

每個分類樹也可以由鄰接的名稱空間表示。例如，如果公司的根域為"azureyun.com"，則可以給銷售和支援人員部門建立單獨的域，它們的網域名稱分別為"sales.azureyun.com"和"support.azureyun.com"。這些域稱為子域。與 Windows NT 4.0 不同，每個域自動產生信任關係。

在最高一級，可以將單獨的分類樹分成一組形成"目錄林"。可使用目錄林，將組織中的不同部門，甚至不同組織組合到一起。這些部門不必共用相同的命名架構並且獨立運作，但彼此之間可以進行通訊。目錄林中的所有分類樹共用相同的架構、全域編錄和配置容器。再者，基於 Kerberos 的安全功能在分類樹之間提供了信任關係。

Windows 2000 目錄服務的另一個優點是，無需重新安裝整個伺服器作業系統，即可卸載 Active Directory。要想使一個成員伺服器成為 DC，您只需運行 DCPROMO 工具來添加 Active Directory 伺服器即可。要想刪除 Active Directory 伺服器，您同樣只需運行 DCPROMO 工具即可。

物理結構：

網域控制站和網站是處理區域網路配置物理結構的兩個基本組件。

與 Windows NT 4.0 不同，僅由運行 Windows 2000 的電腦群組成的網路沒有主網域控制站 (PDC) 和備份網域控制站 (BDC)。在 Windows 2000環境中，將所有參與網路管理的伺服器均看作是網域控制站。網域控制站 (DC) 儲存目錄資料庫的複製副本，並且域中控制器之間的複製是自動完成的。

對於跨多個地理位置的商業網路，要瞭解目錄資料庫複製對網域控制站和網路效能的影響，瞭解廣域網路設計和結構的含義是非常重要的。

名稱空間：

名稱空間是有特定邊界的指定地區，可以在此處解析分配給電腦的邏輯名稱。名稱空間的主要用途是組織資源的說明，使使用者按其特性或屬性來尋找資源。可以使用給定名稱空間的目錄資料庫找到某個對象，而無需知道它的名稱。如果使用者知道某個資源的名稱，就可以查詢有關該對象的有用資訊。

尤其要注意的是，名稱空間的設計最終決定了：隨著目錄資料庫的增長，它對使用者到底有多大用處。排序和搜尋演算法不能解決邏輯目錄設計中的缺陷

在邏輯層次上，Windows 2000 Active Directory 只不過是另一個名稱空間。在 Active Directory 中，兩個主要資訊類型儲存：

• 對象的邏輯位置。
  

• 有關該對象的屬性列表。
  

可以給這些對象分配屬性(如電話號碼、房間位置等等)，並可用這些屬性尋找目錄資料庫中對象的位置。隨著 Active Directory 架構的擴大（修改），使用屬性進行搜尋就變得越來越重要了。當將對象、對象類和/或這些對象的屬性添加到目錄資料庫中時，對於目錄使用者而言，它們的結構決定了它們的用途。

分類樹中的每個容器和對象都有一個唯一的名稱。這些名稱空間是分類樹中所有容器和對象、或分支和葉對象的完全路徑。對象在分類樹中的位置決定了其可分辨的名稱。

對象的辨別名稱 (DN) 包含從特定名稱空間的頂層到整個分類樹階層的完整路徑。因為 DN 對於組織目錄資料庫非常有用，但對於記住該對象沒有協助，所以在 Active Directory 中也使用相對可分辨的名稱 (RDN)。RDN 是對象名的一部分，也是對象本身的一個屬性。

很多網路使用的名稱空間是基於當前 Internet 上使用的網域名稱系統 (DNS)。這種 DNS 關係有助於確定 Active Directory 分類樹的形狀以及對象彼此之間的關係。網域控制站項目是辨別名稱中列出的域，而一般名稱 (CN) 項目則是針對目錄中使用者物件的特定路徑。

全域編錄：

全域編錄包含目錄中每個 Windows 2000 域的部分複本，它是由 Active Directory 複製系統自動建立的。這樣，只要給出目標對象的一個或幾個屬性，使用者和應用程式就可以在 Active Directory 域分類樹中找到這些對象。全域編錄還包含目錄分割的架構和配置。這就是說，全域編錄儲存 Active Directory 中每個對象的副本，但只儲存它們的很少一部分屬性。全域編錄中的屬性是搜尋操作中那些最常使用的屬性（如使用者的名和姓、登入名稱等等），這些屬性是尋找對象完整副本位置所必需的。

使用這種公用資訊，使用者可以很快找到要找的對象，而無需知道這些對象在哪個域中，也不要求知道企業中相鄰的副檔名稱空間。如果在全域編錄中找不到該對象，則搜尋功能將查詢本地區分區以獲得資訊。

您可以使用架構管理器工具更改架構，並定義在全域編錄中儲存哪些屬性。由於對所有通用類別目錄伺服器進行的更改都要複製全域編錄，所以出於效能和維護的目的，最好限制本地分區中儲存的屬性數量。

DNS與AD的整合：

DNS 和 Active Directory 的整合是 Windows 2000 Server 的一個核心特徵。DNS 域和 Active Directory 域對不同的名稱空間使用完全相同的網域名稱。即使兩個名稱空間共用相同的域結構，它們也是不同的名稱空間，瞭解這一點是非常重要的。每個名稱空間儲存不同的資料並管理不同的對象。DNS 使用地區和資源記錄，而 Active Directory 使用域和域對象。

例如，如果對象的某個屬性是伺服器的完全合格網域名稱（如 SERVER1.SALES.AZUREYUN.COM)，Active Directory 就會向 DNS 查詢該伺服器的 TCP/IP 位址，Windows 2000 要求者隨後可以建立與該伺服器的 TCP/IP 會話。

Active Directory 與 DNS 的整合是這樣實現的：每個 Active Directory 伺服器將自己的地址發布在 DNS 主機上的服務資源記錄中。

全球唯一識別碼：

因為網路中的每個對象必須用唯一的屬性來標識，所以 Active Directory 通過將通用唯一識別碼 (GUID) 與每個對象關聯起來實現這一點。即使對象的邏輯名稱被更改，也應保證這個號碼是唯一的且永遠不會被目錄資料庫更改。當使用者或應用程式首次在目錄中建立可分辨的名稱 (DN) 時，就會產生 GUID。

複製：

雖然 Windows NT 4.0 中的網路結構基於 PDC 和 BDC 模型，但是 Windows 2000 網路上的所有伺服器均用作網域控制站 (DC)，並且彼此之間沒有主次之分。對於 Active Directory，所有 DC 在網站中自動複製，並支援多主機複製，以複製所有網域控制站的 Active Directory 資訊。由於引入了多主機複製，管理員可以更新網域中任何 Windows 2000 網域控制站上的 Active Directory。

多主機資料庫複寫還有助於控制何時將更改同步，哪些資訊是最新的，以及何時停止資料複製以避免重複和冗餘。為確定哪些資訊需要更新，Active Directory 使用 64 位元更新順序號 (USN)。這些號碼建立後與所有的屬性相關聯。每次更改一個對象之後，其 USN 都會遞增並與屬性一起儲存。

每個 Active Directory 伺服器都保留網站內所有複製夥伴的最新 USN 的表格。該表格包括每個屬性的最高 USN。 當達到複製時間間隔時，則每個伺服器只請求那些 USN 比列在自己表格中的 USN 大的更改。

有時，在複製所有的更改之前，可能在兩個不同的 Active Directory 伺服器上對同一屬性進行了更改。這就會導致複製衝突。必須將其中一個更改聲明為更準確的更改，並將此更改用作所有其他複製夥伴的複製源。為解決這種潛在的問題，Active Directory 使用了整個網站的屬性版本號碼 (PVN) 值。當發生起始寫入操作時，PVN 就會遞增。起始寫入操作就是直接在某個特定 Active Directory 伺服器上發生的寫入操作。

當在不同位置的具有相同的 PVN 的兩個或多個屬性值被更改時，接收更改的 Active Directory 伺服器就會對每個更改的時間戳記進行檢查，並使用最新的一個進行更新。此問題的最重要分枝是網路中心時鐘的安裝和維護。

另一個複製問題就是迴圈。Active Directory 可使管理員配置多個路徑以達到冗餘的目的。為了避免更改無止境地更新下去，Active Directory 在每個伺服器上建立 USN 對的列表。這些列表被稱為最新向量 (UDV)。它們儲存每個起始寫入操作的最高 USN。每個 UDV 均列出在其所在的網站中的所有其他伺服器。當發生複製時，請求伺服器就把自己的 UDV 發送到發送伺服器。每個起始寫入操作的最高 USN 都可用來確定是否仍需要複製更改。如果 USN 號碼相同或更高，則不需要變更，因為請求的伺服器已經被更新了。

組的更改：

Active Directory 的邏輯規划過程的另一個方面就是組的概念。在 Windows NT 4.0 中，管理員可以使用兩個基本的群組類型，即本地和全域。考慮到這種結構固有的限制，Windows 2000 為網路系統管理員提供了以下組，其功能更強大並且靈活性更高：

• 範圍為本地的組（也稱為"本機群組"）
  

• 範圍為域本地的組（也稱為"網域本機群組"）
  

• 範圍為全域的組（也稱為"全域群組"）
  

• 範圍為通用的組（也稱為"萬用群組"）
  

一個值得注意的重要修改是，全域群組現在可以包含其它的全域群組。雖然全域群組仍用於收集使用者，但是它能夠將一個組放在另一個組之內，從而使管理員可以將它們放在目錄林的任何地方，使得維護非常方便。但是，全域群組只能包括來自 Active Directory 目錄林中某個域的使用者和組。

因為很多網路混用 Windows 2000 和 Windows NT 4.0 伺服器，所以在建立組之前，必須確定網路上域的數量和類型以及哪些域是混合模式，哪些域是本地模式：

• 混合模式域。預設情況下，Windows 2000 作業系統以混合模式網路設定進行安裝。混合模式域是網路上的一組電腦，它們同時運行 Windows NT 4.0 和 Windows 2000 網域控制站。（混合模式域也可以只運行 Windows 2000 網域控制站。）
  

• 本地模式域。當域只包含 Windows 2000 Server 網域控制站時，可以將該域轉換成本地模式。
  

萬用群組（Windows 2000 的新增功能）可以包含目錄林中任何分類樹中的所有其它組和使用者，並且可以與目錄林中任何存取控制清單 (ACL) 一起使用。

可以組合使用全域群組、網域本機群組和萬用群組，以控制對網路資源的訪問。全域群組的基本用途是把使用者組織到代表其相應域的管理容器之中。萬用群組可以用於包括來自各種域的全域群組，進而在授予許可權時進一步管理域階層。可以全域群組添加到萬用群組中，然後給資源在物理上所在網域本機群組分配許可權。使用這些方法建立組，管理員就可以在每個域的全域群組中添加或刪除使用者，對整個企業資源的訪問進行控制，而無需在多個位置變更。

Windows Server 2016-Active Directory複製概念(一)