何爲AD複製
AD複製是域控制器之間複製AD DS數據以確保各域控制器具有相同信息的過程,複製的內容是AD DS數據。
在Windows Server 2008中常見覆制方式是主多機複製,也就是允許任何域控制器(RODC除外)修改ADDS。具有AD DS數據可寫副本的所有域控制器定期將修改複製到所有其它域控制器中。那麼如何保證在任何一臺DC上進行修改,但卻可以保證所有DC中的AD數據庫完整且一致? Microsoft給出的解決方案是針對不同的情況,採用不同的複製規則。具體來講就分爲以下兩種:站點內複製和站點間複製。
複製的類型:
1、站點內複製:同一站點內的DC之間的複製稱爲站點內複製
2、站點間複製:不同站點間的DC之間的複製稱爲站點間複製
站點內複製:
站點內DC採用的是更改通知的複製方式,基本步驟如下:
1、DC1某條數據變動後,DC1會在15秒後,向他的直接複製夥伴發出數據變更的通知。
2、DC1的直接複製夥伴收到DC1的數據變更通知後,如果此時需要這條數據,就會向DC發出更新數據請求
3、DC1收到複製夥伴的更新數據請求後,開始相應數據的複製
在站點內,DC複製需要注意如下幾點:
1、每臺DC內都有KCC程序,KCC會自動創建整個站點內DC之間的複製拓撲結構
2、結點內的複製拓撲結構形成後,每兩臺DC之間可能會形成直接複製鏈路,此時這兩臺DC就是直接複製夥伴。也可能不會形成直接複製鏈路,此時這兩臺DC就稱爲間接複製夥伴
3、爲保證發生數據變更的DC在複製過程中負載過重,DC1並不是同時向所有的直接複製夥伴發送更改通知信息,而是每間隔3秒分別向不同的直接複製夥伴發生。
4、爲保證AD內某條數據變動後,可以快速高效更新給站點內所有DC,站點內任何兩臺DC之間的DC數量不能超過3臺。在一個擁有多臺DC的站點內新添一臺DC,很容易導致整個站點的複製拓撲發生變動。
5、數據變更後,默認是等待15秒後再發生更改通知,但也存在立即複製的特殊情況。涉及到安全相關的信息改動,如帳戶鎖定策略變動、域密碼策略變動,用戶帳戶鎖定等情況。此時DC並不等待15秒,而且立即向其它DC發出數據變更通知。
站點間複製:
與站點內DC複製基本上不需要人爲干涉不同,站點間AD複製需要根據實際情況自行配置,纔可能讓整個AD域處於健康穩定狀況,否則可能會在Windows日誌中產生非常多有關複製有關的警告和錯誤信息。站點間複製的特徵:
1、如上所述,站點內複製主要是通過通知更新的方式進行,站點間AD複製採用的方式是日程計劃方式,可以在AD站點和服務管理中心,根據實際配置最適合的複製計劃、複製開銷、複製頻率等相關信息。如下圖:
2、站點內的複製拓撲是由KCC自動生成,而在站點間,每個站點都存在一臺稱之爲站點間拓撲生成器的域控制器。站點間拓撲生成器負責在站點內選取一臺DC做爲橋頭服務器。站點與站點之間的複製實際上就是各自站點的橋頭服務器之間進行復制,橋頭服務器之間複製完成後,再由橋頭服務器將AD更新給站點內所有其它DC。此時的複製屬於站點內複製,具體細則參見上述站點內複製。
3、站點內AD複製不進行數據壓縮,而在站點間,爲保證節約帶寬資源,默認情況下要複製的數據複製之間進行壓縮。但如果帶寬足夠,也可以通過ADSIEDIT工具配置站點間複製不進行數據壓縮。