活動目錄系列之十三：AD的複製

通過前面十二次的講座，其實我們一直在探討活動目錄的邏輯結構較多，今天我們來談一談有關AD的複製問題。其實對於每一個DC，都會有一個數據庫文件，它就是AD數據庫，詳見活動目錄系列之一：基本概念

    AD數據庫分四個目錄分區，如下圖所示：

其中在森林級別複製的是前兩個分區，即架構分區和配置分區。而在域級別複製的是域分區。應用程序分區是一個可選複製，可以自己配置，在這裏不討論。

（一）站點內部的複製
       如果單域環境，同時存在多臺DC，此時每臺DC都會同步森林及域級別的三個分區。如果多域環境，同時存在多臺DC，此時便會存在多路複製拓樸。如下圖所示：


    上圖有三種複製拓樸，第一路是森林級別的複製，在所有的DC之間複製;第二路是域A的域分區的複製拓樸，在所有域A的DC之間複製;第三路是域B的域分區的複製拓樸，在所有域B的DC之間複製。如果在上圖的DC之中還存在GC，則上面的複製拓樸還會改變，因爲GC是一個特殊的角色，它將擁有所有域的域分區對象及對象屬性的子集。
    其實大家也都看到了，我們的複製拓樸是一個雙向環（保證容錯），而這個環是由每臺DC上的KCC進程自動生成的。

    附：KCC：是一個進程，或翻譯成“知識一致性校驗”，它用來檢查當前的AD環境，用於生成環形的複製拓樸。
    如果在上圖中再加入新的DC，KCC會再次計算，生成新的環。當然我們自己也可以自定義，各位可以參考下面第二個圖可完成。如下圖所示：

    如：通過KCC，在A1和A2之間創建一個連接對象，A2就叫做A1的直接複製夥伴。如下圖所示：
  

  注意：這個連接對象是自己產生的。若自定義，可以在此完成。

AD的複製有三種複製方式：
a.更改通知的方式：如果A1上創建了一個帳號test，則它會15秒後通知A2，然後3秒後通知A3、再3秒後通知A4。如果A2收到通知後就會從A1把數據要過來寫到自己的數據庫中。這是拉複製。
b.緊急複製：如密碼修改、帳戶鎖定策略等。修改後就馬上聯繫複製夥伴。沒有時間延遲。
c.每隔1小時複製：檢查是否有數據複製遺漏。  

      其實在上述環中複製允許的路數不能超過3，即A1把數據複製給A2，A2再複製給A3，A3再複製給A4，就再不能間接複製給A5了，也就是說中間只能跳3跳。這個目的其實是不讓複製的時間過長。大家可以仔細觀察上面複製拓樸就滿足這個條件。

（二）站點間的複製
    如果你的企業位於兩地或多地，試想根據上面的複製情況，不言而喻，DC之間的複製流量很大，這個流量要跨越WAN，我們不希望這樣。怎麼辦呢，我們要控制複製。因此我們只能建站點，當然建站點的好處我們也可以控制用戶的登錄流量。詳見<活動目錄系列之四：單域環境的實現（多站點）--基本配置>。這樣我們便可以按計劃進行AD的複製，同時這裏複製還是壓縮的，基本上是原來流量的15%左右吧。

    下面我們來比較一下站點內和站點間複製的特點：

 

（三）同域內複製衝突問題

有三種衝突：屬性衝突、刪除的容器衝突和RDN衝突
屬性衝突：是指同一個對象的相同屬性在兩臺DC上改的不同。

刪除的容器衝突：在某個容器內添加對象或將對象轉移到此容器內，但這個容器已經在另一個DC上被刪除了。（在第一臺DC上刪除的容器還沒有複製到這個DC之前）：此時該對像會被移動一個叫lostandfound的夾中，這個夾你需要打開“高級”來查看到，你可以再把這個對象移到其它容器。

RDN衝突：是指你在兩臺DC上建兩個同名用戶。此時時間上後建的那個用戶名會被改名。其實兩個都存在。

 

屬性值衝突的解決辦法：會以戳值最高爲優先。
AD會根據對象的屬性戳（stamp）來解決衝突的問題，它包括三個數據：
版本號碼：初始爲1，爲最先比較者。
修改時間：若版本號相同，此修改時間較後的優先。
DC的GUID：若上修改時間相同，會比較GUID。高的優先。
Repadmin  /showmeta  DN   可以查看用戶或OU的版本號

 

     最後問各位一個問題，AD在複製的時候，究竟複製那些東西呢？其實有兩個：數據庫本身的複製和SYSVOL之間的複製，而SYSVOL如果複製不成功，會造成組策略不生效。有關組策略問題，各位可以參考本站的《組策略系列》

    AD的複製是一個很重要的話題，在你的企業裏，如果控制不好，會造成域用戶登錄有問題或很慢。希望今天的內容能爲各位的企業環境的管理帶來一些幫助！ 

 

本文出自 “千山島主之微軟技術空間站” 博客，請務必保留此出處http://jary3000.blog.51cto.com/610705/126201

本文出自 51CTO.COM技術博客