Windows Server 2016-管理網站複製(二)

標籤：域控網站複製   域控網站間複製   域控網站內複製   管理域控網站複製   Active Directory複製   

為了保持所有網域控制站上的目錄資料一致和最新，Active Directory 會定期複製目錄更改。複製根據標準網路通訊協定進行，並使用變更追蹤資訊防止發生不必要的複製，以及使用連結值複製以提高效率。

本章中複製指的是活動目錄資料庫複製，同一個網站內和不同網站之間網域控制站之間的資料庫複寫。同一個網站，網域控制站處於一個告訴網路環境中，複製效率較高。當網域控制站處於不同的網站之間，由於網路速度限制，複製效率、時間需要網域系統管理員仔細規劃才能達到最佳效果。

一、複製概述：

複製僅發生在多網域控制站環境中，如果域中只有一台網域控制站，將不會產生複製。複製分為網站內複製和網站間複製。網站內複製通過KCC（Knowledge Consistency Checker）自動建立最佳的複寫拓撲，網站間通過ISTG（網站間拓撲發生器）建立網站間的複製連結。

1.1.複製方式：

a.單主複製:

Windows NT環境中網域控制站被分為兩類：PDC和BDC。PDC指的是主網域控制站，BDC指的是備份網域控制站。每個域中只能有一個PDC，BDC可以有多個，BDC中的活動目錄資料庫從PDC複製，只有PDC才可以建立、修改、刪除域中的使用者帳號、電腦帳號、印表機等對象資料，BDC活動目錄資料庫是唯讀資料庫。這種複製模型稱之為單主複製。

b.多主複製:

從Windows Server 2000開始，活動目錄使用多主複製架構，即每個網域控制站都可以自住地修改域對象，域中不再有主網域控制站和備份網域控制站的區別（實質上還是有區別），任何一個網域控制站都可以修改Active Directory的內容。為了維護活動目錄的權威性，所有網域控制站上的活動目錄資料庫內容應該都相同。

AD DS網域服務採用多主機複製方式，多主機複製在對等網域控制站之間複製活動目錄資料庫，每個域控制對活動目錄資料庫具備完全控制的許可權。採用多主複製的網域控制站使用KCC自動建立網域控制站之間的複製連結（最大約點數不超過3台網域控制站），每個網域控制站會根據網站的頻寬，自動地計算出最佳複寫拓撲。管理員也可以特定使用者環境以手動方式配置複寫拓撲。

多主複製架構模式下，林內任何網域控制站都可處理和更新複製，所以只要一台或多台伺服器仍維持運作，管理員和應用程式便可以更新資料並如往常一樣持續工作，但是要注意FSMO角色的位置。

網域控制站採用多主複製優點是高效，缺點是產生大量的網路流量。AD DS網域服務自動建立複寫拓撲，當任何網域控制站資訊變更時，會通過網域控制站的複製夥伴，然後複製夥伴初始化。初始化成功後，資料庫之間開始複製，知道所有的網域控制站同步。

在Active Directory資料庫中，少部分資料採用單主複製方式完成複製。當刪除對象時，首先由一台網域控制站（包含FSMO角色）負責接收和處理請求，處理完成後將資料同步到其他網域控制站。

1.2.複製協議：

網域控制站之間複製資料時，將採用以下協議。

• IP協議——網站內或者網站間都可以使用該協議複製資料，資料複製時將使用加密和身分識別驗證機制。
  

• SMTP協議——該協議只能在網站間使用。
  

1.3.複製夥伴：

複製夥伴分為直接複製夥伴和間接複製夥伴。

a.直接複製夥伴

源網域控制站（發生資料更新的網域控制站）不會將更新資料複製給同一個網站內的所有網域控制站，而是複製給該網域控制站的直接複製夥伴。直接複製夥伴由KCC自動建立，源網域控制站和直接複製夥伴之間的複製效率最高，同時決定哪一台網域控制站是該網域控制站的直接複製夥伴。複製時，首先複製給直接複製夥伴，再由直接複製夥伴把更新複製到其他網域控制站。

b.間接複製夥伴

間接複製夥伴，通過網域控制站轉寄而更新資料的網域控制站，不是從源網域控制站直接複製資料。

1.4.目錄分割同步:

網域控制站中劃分為多個不同的分區，每個分區完成不同的功能。

• 架構目錄分割：架構目錄分割儲存所有對象和屬性的定義，以及建立和控制的規則。整個林內所有域共用一份相同的架構目錄分割，該分區會被複製到林中所有域內的所有網域控制站。
  

• 配置目錄分割：配置目錄分割儲存整個活動目錄結構的資訊。包括域、網站、網域控制站。整個林內所有域共用一份相同的配置分區，該分區會被複製到林中所有域內的所有網域控制站。
  

• 域目錄分割：每一個域各有一個域目錄分割，儲存在該域有關的對象，例如使用者、組、電腦、組織單位等。每個域各自擁有一份域目錄分割，值能被複製到該域內的所有網域控制站，並不會被複製到其他域的網域控制站。
  

• 應用程式目錄分區：一般來說，應用程式目錄分區由應用程式建立，其記憶體儲著與該應用程式有關的資料。應用程式目錄分區會被複製到林中的特定網域控制站，而不是所有的網域控制站。
  

1.5.複製機制：

網站複製採用如下機制完成複製的更新。

• 通知更新複製
  

• 緊急複製
  

• 定時檢查複製
  

a.通知更新複製

網域控制站A建立一個使用者帳號，建立帳號屬於初始更新。在更新完成以後，網域控制站A伺服器在15秒之後發出更新通知。此更新通知並非同時通知所有域內的網域控制站，通過複寫拓撲通知第一個網域控制站B，網域控制站B接受到複製資訊後，將新的帳號複製到網域控制站B資料庫中，僅複製發生改變的資料，屬於累加式更新，此複製過程屬於"拉"複製。3秒鐘後，再通知網域控制站C。以此類推，將更新的資料複製到其他網域控制站。

b.緊急複製

緊急複製以一種"推"的機制強制立即更新網域控制器上的Active Directory資料，緊急複製運作模式會立刻傳遞變更通知給所有的複製夥伴，而不會等到暫停時間結束。緊急複製應用於以下場合：停用賬戶、RID序號變更、網域控制站機器賬戶變更等。域策略支援緊急複製模式，例如在域層級指定了一個賬戶鎖定策略，或者指定了一個密碼原則，立即串連並發布複製到所有網域控制站。此複製過程屬於"推"複製，目標網域控制站接受Active Directory資料變更和新的策略。

c.定時檢查複製

定時檢查複製，以計劃方式在指定時間執行複製。預設（網站內每個小時、網站間每3個小時）每個小時檢查1次複製狀態，包括更新通知複製和緊急複製，檢測通知更新和緊急複製後的資料是否同步、遺失資料或者複製沒有完成等狀態，如果出現上述狀況，將通知初始網域控制站，以"拉"方式複製沒有更新的資料，複製將立即執行。。

1.6.複寫拓撲:

活動目錄複寫拓撲為環形，通過KCC自動建立拓撲。KCC進程在每個網域控制站上運行，協助網域控制站建立到其他網域控制站的複製連結化物件。如果網域控制站和網域控制站之間沒有建立連結化物件，網域控制站之間將不能複製。連結化物件建立成功後，在複製夥伴前面有一個標識為"<自動產生>"。

a.自動拓撲:

網域控制站之間的拓撲結構建議有KCC自動完成。

b.父子域複寫拓撲

如果是父子域的複寫拓撲，複製可以正常運行，僅是複製的資料不同，從父域接受架構分區和配置分區的資料，子域內接受子域域分區的資料，父域內的網域控制站接受父域內的網域控制站的資料。

c.GC複寫拓撲

1.7.網站內複製

同一個網站內的網域控制站一般都是通過高速網路連接在一起，複製時不以壓縮方式傳輸資料。

a.複製連結

網站內複製指的是同一個網站中的網域控制站。當域中的網域控制站數量發生變化，例如增加或減少網域控制站，每台網域控制站上的KCC進程就會重新計算複寫拓撲。KCC能夠自動計算出網域控制站進行複製時所使用的複製連結，當網域控制站數量較少時，KCC傾向於在域中使用環形拓撲進行資料庫複寫。當網域控制站的活動目錄資料庫內容發生變化時，這個更改不會自動產生的拓撲是雙環拓撲，每個網域控制站都有兩個複製夥伴，Active Directory的複製沿著順時針和逆時針兩個方向同時進行。

b.複製方式

網域控制站複製資料庫時，一般會使用"帶通知的拉複製"實現複製。

當在某個網域控制站上執行資料更新後，站內複製在15秒後自動開始，然後將更新通知發送給最近的複製夥伴。如果源網域控制站有多個複製夥伴，在預設情況下將以3秒為間隔向每個夥伴相繼發出通知。當接收到更新通知後，夥伴網域控制站將向源網域控制站發送目錄更新情況。源網域控制站以複製操作響應該請求。3秒鐘的通知間隔可避免來自複製夥伴的更新要求同時達到而使源網域控制站應接不暇。

對於網站內的某些目錄更新，並不使用15秒鐘的等待時間，複製會立即產生。這種立即複製稱為緊急複製，應用於重要的目錄更新，包括賬戶鎖定的指派以及賬戶鎖定策略、域密碼原則或域控制賬戶上密碼的更改。

c.複製限制

在網域控制站較多的環境下，標準的環形拓撲不太適合。網域控制站有個嚴格的限制，從源網域控制站到目標網域控制站之間的間隔不能超過三個網域控制站。例如，如果DC1活動目錄資料庫發生了變化，那麼DC1可以複製給DC2，DC2可以接著複製給DC3，但DC3就不能再複製給DC4！因為從DC1可以複製給DC2，DC2可以接著複製給DC3，但是DC3就不能再複製給DC4！因為從DC1到DC4中間間隔的網域控制站已經超過了2個。這種限制，是為了避免在大型網路中進行複製時環形拓撲導致的延遲問題。例如，如果大型網路中有100台網域控制站，網域控制站複製的平均間隔為5分鐘，那麼從第一個網域控制站複製到最後一個網域控制站可能需要大約500分鐘！這種延遲不能被接受。因此在大型網路中KCC會使用網狀拓撲，網狀拓撲不像環形拓撲那樣有規律，每個網域控制站可能會有多個複製夥伴。因此，網域控制站的複寫拓撲最後由KCC來規劃，當然也可以自己指定網域控制站的複製夥伴。

1.8.不同網站間複製

不同網站之間的複製連結，和網站內的複製連結不同。每個網站內有一台被稱之為"站台間拓撲產生器"的網域控制站，負責建立網站之間的複寫拓撲，並從網站內的網域控制站選擇一台網域控制站作為複製（源/目標）網域控制站，也稱為橋頭堡伺服器.網站資料複製時，由網站內的橋頭堡伺服器負責將更新資料複製到目標網站內的橋頭堡伺服器，網站內的橋頭堡伺服器接受到更新資料後，再使用網站內資料複製方式將資料複製到網站內的網域控制站。

Windows Server 2016-管理網站複製(二)