Windows Server 2016-Active Directory複製概念(二)

標籤：Active Directory   AD複製   域控複製概念   域同步複製   Windows Server 2016   

本章繼續補充有關Active Directory複製概念，具體內容如下：

連線物件：

連線物件是一個Active Directory對象，表示從源網域控制站到目標網域控制站的複製串連。網域控制站是單個網站的成員，並由網站中的Active Directory網域服務（AD DS）中的伺服器對象表示。每個伺服器對象都有一個代表網站中複製網域控制站的子NTDS設定對象。

連線物件是目標伺服器上NTDS設定對象的子項。要在兩個網域控制站之間進行複製，其中一個伺服器對象必須具有一個連線物件，該連線物件表示來自另一個的入站複製。網域控制站的所有複製串連都作為連線物件儲存在NTDS設定對象下。連線物件標識複製原始伺服器，包含複製計劃並指定複製傳輸。

認知一致性檢查程式器（KCC）自動建立連線物件，但它們也可以手動建立。由KCC建立的連線物件作為<自動產生>出現在Active Directory網站和服務嵌入式管理單元中，並且在正常操作條件下被認為是足夠的。由管理員建立的連線物件是手動建立的連線物件。手動建立的連線物件由管理員在建立時指定的名稱標識。修改<自動產生的>連線物件時，將其轉換為管理性修改的連線物件，並且該對象以GUID的形式出現。KCC不會更改手動或修改的連線物件。

KCC：

KCC是一個內建進程，可在所有網域控制站上運行並為Active Directory林產生複寫拓撲。KCC根據複製是發生在網站內（網站內）還是網站之間（網站間）而建立單獨的複寫拓撲。KCC還動態調整拓撲以適應新增網域控制站的增加，現有網域控制站的移除，網域控制站移入網站的移動，改變成本和時間表以及臨時不可用或處於錯誤狀態的網域控制站。

在一個網站內，可寫網域控制站之間的串連總是安排在一個雙向環中，通過額外的快捷串連來減少大型網站的延遲。另一方面，網站間拓撲是產生樹的分層，這意味著每個目錄分割的任何兩個網站之間存在一個網站間串連，並且通常不包含快捷串連。

在每個網域控制站上，KCC通過建立定義來自其他網域控制站的串連的單向入站連線物件來建立複製路由。對於同一網站中的網域控制站，KCC自動建立連線物件，無需管理幹預。如果您有多個網站，則可以配置網站之間的站台連結，並且每個網站中的單個KCC也會自動在網站之間建立串連。

Windows Server 2008 RODC KCC改進：

有許多KCC改進可以適應Windows Server 2008中新近提供的唯讀網域控制站（RODC）。RODC的典型部署方案是分公司。在這種情況下最常部署的Active Directory複寫拓撲基於中心輻條設計，其中多個網站中的分支網域控制站使用中心網站中的少量Bridgehead 伺服器進行複製。

在這種情況下部署RODC的好處之一是單向複製。Bridgehead 伺服器不需要從RODC複製，這減少了管理和網路使用。

但是，在以前版本的Windows Server作業系統上，hub-spoke拓撲強調的一個管理挑戰是，在集線器中添加新的橋頭網域控制站後，沒有自動機制來重新分發分支網域控制站與分支網域控制站之間的複製串連集線器網域控制站可以利用新的集線器網域控制站。

對於Windows Server 2008 RODC，KCC的正常功能提供了一些重新平衡，從而消除了使用其他工具（如Adlb.exe）的需要。新功能預設啟用。您可以通過在RODC上添加以下登錄機碼來禁用它：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Random BH Loadbalancing Allowed"

1 = Enabled(default), 0 = Disabled

容錯移轉功能：

網站確保複製是圍繞網路故障和離線網域控制站進行路由。KCC以指定的時間間隔運行，以調整AD DS中發生的更改的複寫拓撲，例如添加新網域控制站並建立新網站時。KCC檢查現有串連的複製狀態以確定是否有任何串連無法正常工作。如果由於網域控制站失敗而導致串連無法工作，KCC會自動建立到其他複製夥伴的臨時串連（如果可用）以確保複製發生。如果網站中的所有網域控制站均不可用，則KCC會自動在另一個網站的網域控制站之間建立複製串連。

子網：

子網是指向一組邏輯IP地址的TCP / IP網路的一部分。子網以識別網路物理接近度的方式對電腦進行分組。AD DS中的子網對象標識用於將電腦映射到網站的網路地址。

網站：

網站是Active Directory對象，它表示具有高度可靠和快速網路連接的一個或多個TCP / IP子網。網站資訊允許管理員配置Active Directory訪問和複製，以最佳化物理網路的使用。網站對象與一組子網關聯，並且根據其IP地址，林中的每個網域控制站都與一個Active Directory網站關聯。網站可以承載來自多個域的網域控制站，並且域可以在多個網站中代表。

站台連結：

站台連結是Active Directory對象，表示KCC用於為Active Directory複製建立串連的邏輯路徑。站台連結對象表示一組網站，可通過指定的網站間傳輸以統一成本進行通訊。

站台連結中包含的所有網站都被認為是通過相同的網路類型串連的。網站必須使用站台連結手動連結到其他網站，以便一個網站中的網域控制站可以從另一個網站中的網域控制站複製目錄更改。由於站台連結與複製期間物理網路上的網路資料包所採用的實際路徑不對應，因此您無需建立冗餘站台連結即可提高Active Directory複製效率。

當兩個網站通過站台連結串連時，複製系統會自動在每個網站中稱為Bridgehead 伺服器的特定網域控制站之間建立串連。在Windows Server 2008中，承載相同目錄分割的網站中的所有網域控制站都被選為Bridgehead 伺服器。由KCC建立的複製串連隨機分布在網站中的所有候選Bridgehead 伺服器之間以共用複製工作負載。預設情況下，當連線物件首次添加到網站時，隨機播放過程只發生一次。

站台連結橋接器：

站台連結橋接器是一個Active Directory對象，代表一組站台連結，其所有網站都可以使用公用傳輸進行通訊。站台連結橋接器允許不通過通訊連結直接連接的網域控制站相互複製。通常，站台連結橋接器對應於IP網路上的路由器（或一組路由器）。

預設情況下，KCC可以通過任何和所有具有一些共同網站的站台連結形成傳遞路由。如果禁用了此行為，則每個站台連結都代表它自己獨特和孤立的網路。可通過站台連結橋接器來表達可被視為單個路由的站台連結集。每個橋代表一個網路流量的孤立通訊環境。

站台連結橋接器是邏輯地表示網站之間的傳遞物理串連的機制。站台連結橋接器允許KCC使用包含的站台連結的任意組合來確定互連在這些網站中的目錄分割的最便宜的路線。站台連結橋接器不提供與網域控制站的實際串連。如果站台連結橋接器被移除，則通過組合站台連結的複製將繼續，直到KCC移除連結。

站台連結橋接器只有在網站包含託管目錄分割的網域控制站時才需要，該目錄分割並非同時託管在相鄰網站中的網域控制站上，但託管該目錄分割的網域控制站位於林中的一個或多個其他網站中。相鄰網站被定義為包含在單個網站連結中的任意兩個或更多網站。

站台連結橋接器在兩個站台連結之間建立邏輯串連，通過使用臨時網站提供兩個中斷連線的網站之間的傳遞路徑。對於站台間拓撲產生器（ISTG）而言，橋接意味著通過使用臨時網站的物理串連。橋並不意味著臨時網站中的網域控制站將提供複製路徑。但是，如果臨時網站包含託管要複製的目錄分割的網域控制站，則會出現這種情況，在這種情況下，不需要站台連結橋接器。

每個站台連結的成本都會增加，從而為所得到的路徑建立總計成本。如果臨時網站不包含託管目錄分割的網域控制站並且不存在成本較低的連結，則將使用站台連結橋接器。如果臨時網站包含承載目錄分割的網域控制站，則兩個中斷連線的網站將設定到臨時網域控制站的複製串連，而不使用橋接器。

站台連結傳遞性：

預設情況下，所有網站連結都是傳遞或"橋接"。當站台連結橋接器接並且時間表重疊時，KCC將建立複製串連，以確定網站之間的網域控制站複製夥伴，其中網站不是通過站台連結直接連接，而是通過一組公用網站直接連接。這意味著您可以通過站台連結的組合將任何網站串連到任何其他網站。

通常，對於完全路由的網路，除非要控制複製更改的流程，否則不需要建立任何站台連結橋接器接。如果您的網路未完全路由，則應建立站台連結橋接器以避免不可能的複製嘗試。特定傳輸的所有站台連結都隱含屬於該傳輸的單個站台連結橋接器。站台連結的預設橋接自動發生，並且沒有Active Directory對象表示該橋。在IP和簡易郵件傳輸通訊協定（SMTP）網站間傳輸容器的屬性中找到的橋接器全部站台連結設定實現了自動站台連結橋接器接。

注意：未來版本的AD DS不支援SMTP複製; 因此，不建議在SMTP容器中建立站台連結對象。

通用類別目錄伺服器：

通用類別目錄伺服器是一個網域控制站，用於儲存有關林中所有對象的資訊，以便應用程式可以搜尋AD DS而無需參考儲存所請求資料的特定網域控制站。與所有網域控制站一樣，通用類別目錄伺服器儲存架構和配置目錄分割的完整可寫副本，以及它所託管域的域目錄分割的完整可寫副本。另外，通用類別目錄伺服器儲存林中每個其他域的部分唯讀副本。部分唯讀域副本包含域中的每個對象，但僅包含屬性的一個子集（那些最常用於搜尋對象的屬性）。

萬用群組成員緩衝：

萬用群組成員資格緩衝允許網域控制站緩衝使用者的萬用群組成員資訊。您可以使用Active Directory網站和服務嵌入式管理單元啟用運行Windows Server 2008的網域控制站來緩衝萬用群組成員資格。

啟用萬用群組成員資格緩衝可以消除域中每個網站上的通用類別目錄伺服器的需要，從而最大限度地減少網路頻寬使用，因為網域控制站不需要複製位於林中的所有對象。它還減少了登入時間，因為身分識別驗證網域控制站並不總是需要訪問全域編錄以擷取萬用群組成員資訊。

Windows Server 2016-Active Directory複製概念(二)