微软系统工程师、微软企业架构专家课程管理Active Directory复制.ppt

《微软系统工程师、微软企业架构专家课程管理Active Directory复制.ppt》由会员分享，可在线阅读，更多相关《微软系统工程师、微软企业架构专家课程管理Active Directory复制.ppt（37页珍藏版）》请在三一办公上搜索。

1、,微软系统工程师、微软企业架构专家课程（13期）,第十二次课程,管理Active Directory复制,概述,Active Directory复制介绍复制组件和过程复制拓扑使用站点优化Active Directory复制使用站点管理Active Directory复制监视复制流量调节Active Directory复制,Active Directory复制介绍,复制是在AD中从一个域控制器到网络上其他域控制器的信息更新的过程。复制同步每个域控制器上的数据副本，以确保AD中的所有信息对于整个网络上的所有域控制器和客户端计算机都是有效的。当用户或管理人员执行某个操作时将会引起AD的更新。系统会自

2、动选择一个合适的域控制器来完成相应的更新，更改的结果也会清楚地在域控制器上生效。AD提供松散收敛的多主机复制。在AD中采用多主机自制，具有两个优势：,域控制器A,域控制器C,复制,松散收敛的多个主机复制,如果某一个域控制器不可用，为了能够恢复AD必须在更新之前替换该域控制器域控制器可以分布于整个网络，它放置在多个物理站点上，将域控制器放置在多个物理站点上可以提供容错能力,复制组件和过程,复制的工作方式复制延迟解决复制冲突优化复制,复制的工作方式,所有域控制器发生的复制都是由于A数据的更改导致的。以下操作可能触发AD的更新：添加对象到ADC，例如创建新用户账户修改对象属性值，修改对象的名称或对象

3、所在的父域，如果有必要，可以把对象移到新父域中。例如把对象从销售域移到服务域从目录中删除对象。,复制延迟,复制延迟时间是指一个域控制器上的更改被另一个域控制器接受所需要的时间。对指定的副本应用更新时，将触发复制引擎。更改通知站点内的复制由更改通知进程发起。当域控制器上发生更改的时候，复制引擎等待一个可配置的时间间隔，然后把通知信息发送给第一个复制伙伴，通知它已经有更改发生。经过一个配置的延迟之后，其他的直接伙伴都会收到通知。如果在一个配置周期内，没有更改发生域控制器将与其复制伙伴启动复制，以确保没有错过来自原始更新控制器上的更改紧急复制在AD中，涉及安全问题的属性发生更改会立即通知其复制伙伴并

4、完成复制更新。这种立即通知就称为紧急复制。例如：当管理员指派账户锁定的时候，将提示使用域控制器之间的紧急复制。账户锁定是一个安全特性。,复制延迟,默认的复制延迟（更改通知）5分钟不更改时，预定复制1小时紧急复制立即更改通知,更改通知,更改通知,解决复制冲突,由于AD中的复制是基于多主机模型的,提供多主机更新的所有计算机必须能处理潜在的冲突,即当在两个独立的主机副本不一致的时候,并发更新发起方,就会引发复制冲突。当这些更新被复制的时候，并发更新就会引发突然。AD能同时减少并解决这些冲突。域控器通过比较在复制期间接收到的更改中给定的属性的版本号与本地存储的属性的版本号来检测冲突。属性版本号不同于每

5、个域控制器所特有的更新序列号（USN）。因为它们是给定对象的属性所特有的并且是在属性创建时初始化。只有当属性更改后（而不是当属性通过正常的复制更新时）属性版本号才增大。这些更改被称为发起方写入，有别于通过复制进程将它们与应用到给定属性的更改。,解决复制冲突,冲突类型有三种类型的冲突：属性值。对象的属性同时在两个副本上设置两个不同的值时，就会引发这种冲突。在已删除的容器对象上添加/移动或删除容器对象。当一个副本记录着一个容器对象的删除，而另一个备份记录着从属于删除容器对象的对象位置时，就会引发冲突。同属名称。当一个副本试图把一个对象移动到一个容器中，而同时另一个副本正好移动另一个具有同样的相对辨

6、别名的对象的时候，就会引发冲突。,解决复制冲突,减少冲突为了减少冲突，域控制器需要记录并复制对象在属性级别需不是在对象级别的更改。因此，对同一个对象的两种不同属性的更改，例如用户密码和邮政编码，即使同时发生更改，也不会引起冲突。,解决复制冲突,全局惟一戳为了利于冲突的解决，AD维护了一个戳，在戳中包含原始更新期间创建的版本号、时间戳和服务全局惟一标识符（GUID）。在复制的时候戳将跟踪更新。版本号。该版本号从1开始，以后每原始更新一次就增加1。在执行原始更新的时候，属性更新过的版本号将比正在被更新的版本号大1。时间戳。时间戳是更新的发起时间和日期，这些时间和日期将以执行原始更新的域控制器的系统

7、时钟为标准。服务器GUID。服务器GUID是原始目录系统代理（DSA），用来确定正在,解决冲突,把全局惟一戳分配给所有原始更新操作,例如添加、修改、移动或删除，可以解决冲突。如果存在冲突，那么戳的顺序会按下列方式解决冲突：属性值。有较高戳值的更新操作将取代较低戳值更新操作的属性值。在删除的容器对象上添加/移动或删除容器对象。在解决所有的副本冲突后，容器对象将被删除，叶对象将成为文件夹中LostAndFound容器的子对象。在解决过程中并没有涉及戳。同属名称。具有较大戳的对象保持相对辨别名。同属对象由域控制器分配给惟一的相对辨别名。分配的名字=相对辨别名+保留符号（*）+对象的GUID。分配的名

8、称可以确保产生的名称不会与任何其他对象的名称发生冲突,优化复制,在复制期间，域 控制器使用多个路径发送和接收更新。虽然使用多个路径可以提供容错能力并改善性能，但它仍然会导致更新沿不同的复制路径多次复制到相同的域控制器上。为防止这些重复复制，AD复制使用了传播抑制，传播抑制可以减少一个域控制器到另一个域控制器不必要的数据传输量。,优化复制,更新序列编号每个域控制器都留有一个向量组，使复制效率更高。向量由一对包含GUID的数据组成，这种数据就称为调用ID和相应的64位的USN。64位的USN用来标识AD服务存储的更改。当AD中任何对象更改的时候，域控制器将提升USN并用更改的对象（或属性）存储它。

9、在每个属性和每个对象上都有一个USN。USN用来决定在副本中哪些内容需要更新。每个域控制器都维护了一个与它有关联的复制伙伴的USN表。此表中存放着可以被每个复制伙伴接收的最高级别的USN。当域控制器上的一个复制伙伴启动复制进程时，域控制器将为复制伙伴参考它的USN表，并且仅为复制伙伴请求与比表中存储值大的USN相关的更改。此模式限制了复制伙伴之间传输的数据量，有效地限制了从上次成功复制更新后更改的数据的传输。注意给定的复制伙伴存储在域控制器表中的USN将不会改变，直到与最近复制交换相关的更改成功完成。使用USN也可以很容易地使给定的域控制器从失效中恢复。域控制器可以在任意给定的时间长度内失效，

10、一旦它恢复在线，将参考它的复制伙伴的USN更表，并请求在给定的控制器上的USN表中USN号码的所有更改的更新。,优化复制,更新向量由AD复制所使用的一个向量称为最新向量。最新向量由每个域控制器拥有的数据库USN对组成，表现为被接收的来自各个域控制器的最高级别的原始更新。,复制拓扑,目录分区复制拓扑全局编录和复制分区复制拓扑的自动生成使用连接对象,目录分区,AD数据库按逻辑划分成目录分区，即架构分区、配置分区和域分区。架构分区和配置分区存储在树林的所有域控制器上。域分区存储在给定域的所有域控制器上。由于每个分区都是一个复制单位，所以每个分区都有各自的复制拓扑。复制将在目录分区副本之间执行。同一树

11、林的两个域控制器通常有几个公共的目录分区。一般至少有两个公共的目录分区，即架构分区和配置分区,什么是复制拓扑结构?,复制拓扑是复制在整个网络上传播的路径。单个域控制器对不同分区将有不同的复制伙伴。复制拓扑建立在存储在AD中的信息的基础上，可以根据架构、配置或复制而不同。连接复制伙伴的链接称为连接对象。连接对象代表两个服务器对象和复制源点之间的单向复制路径,全局编录Global Catalog 和分区的复制,全局编录服务器是存储可更新的目录分区和部分目录分区的副本，部分目录分区副本中包含存储在该分区上部分信息的只读复制。全局编录服务器为树林中所有其他的域分区维护部分的信息。一个完整的目录分区副本

12、包含一个存储在中所有住处的可更新复制.在树林中添加新域的时候,关于新域的信息存储在配置目录分区中,它通过在整个树林范围内信息的复制到达全局编录服务器和所有域控制器。然后每个全局编录服务器成为新域的部分副本。当指定新全局编录服务器以后，这些信息仍然将存储在配置目录分区中，并被复制到树林的所有域控制器上，使所有域控制器都知道树林中的怕有全局编录服务器。,全局编录Global Catalog 和分区的复制,域 A 拓扑域 B 拓扑架构/配置拓扑,复制拓扑的自动生成,当把域控制器添加到站点上时,必然有一种在域控制器之间建立复制路径的方法.AD使用复制组件和称为知识一致性检验器(KCC)的程序完成此过程

13、。KCC是一个内置的进程，它运行在每个域控制器上并为树林生成复制拓扑。KCC按特定的间隔时间运行，根据可以利用最有利的连接，指定控制器之间的复制路由。,复制拓扑结构的自动生成,A-B的连接对象,在DC B的NTDS Setting中B-A的连接对象,在DC A的NTDS Setting中,使用站点优化Active Directory复制,站点站点内复制站点间复制复制协议,什么是站点和子网对象?,站点有助于定义网络的物理结构。站点由一套传输控制协议/Internet协议（TCP/IP）子网地址来定义。在树林的第一个域控制器上安装Windows 2003Advanced Server的时候，将自动

14、建立第一个站点。第一个站点称为Default-First-Site-Name,该站点可以重命名。站点可以没有子网，也可以由一个或多个子网组成。站点可以包含树林中任何域 的域控制器。站点服务器对象组成。计算机升级到域控制器的时候，将为计算机创建服务器对象，并包含启动复制的连接对象。,什么是站点和子网对象?,什么是站点链接?,Site,IP Subnet,IP Subnet,A1,A2,RPC or SMTP,Site Link,IP Subnet,IP Subnet,Site,B3,B1,B2,Cost,一个站点连接:,启用站间的复制通讯展现站点间的物理连接,站内复制 vs.站间复制,使用站点管

15、理Active Directory,创建站点和子网创建和配置站点间链接创建站点间链接桥,如何创建和配置站点和子网,Your instructor will demonstrate how to:,创建一个站点创建一个子网对象关联站点到一个子网对象移动域控制器到另一个站点委派站点的控制,如何创建和配置站点链接,Your instructor will demonstrate how to:,创建网站的链接配置站点链接属性,什么是桥头堡服务器Bridgehead Server?,A bridgehead server:,发送和接收复制的数据为站点中每个分区指定,什么是站内拓扑生成器Intersite Topology Generator?,为什么禁用默认的所有站点链接的桥接?,如何创建一个站点链接桥,您的教师将演示如何：,所有站点链接的禁用默认桥接创建新站点链接桥,如何刷新复制拓扑结构,Your instructor will demonstrate how to:,确定哪个域控制器持有站间拓扑生成器的角色强制运行 KCC,如何在一个连接上强制复制,您的教师会演示如何通过连接强制进行复制,