AD 复制使更新的AD信息在所有 DC 中可用,从最简单的意义上讲,复制是在一个 DC 上修改 AD 对象的概念,然后将其复制并在 AD 林的所有其他 DC 上可见。
AD 环境有许多实时发生的不断变化,这些更改必须在 AD 数据库中更新,以供将来使用和管理。 此类更改的示例包括:
- 在 AD 中添加新用户或计算机。
- 对存储的 AD 属性的更改,例如重命名 AD 对象。
- AD 对象在 OU 或 AD 组之间的移动。
- 删除 AD 对象。
为了确保保持任何AD环境的动态特性并有效利用其优势,AD中的复制是构成AD服务骨干的关键必要条件。
了解 AD 复制所需的核心 AD 概念
拥有 AD 控制环境的主要目标是集中控制并有效地管理所有用户和计算机。AD 逻辑拓扑的设计模仿了业务组织的结构,它旨在考虑设置 AD 的物理 TCP/IP 网络。
在活动 AD 环境中:
- AD DS 的安装涉及使用一个或多个身份验证和授权服务器(称为域控制器 (DC),为 AD 域中的各种客户端提供服务。
- 每个 DC 都可以由 AD 中的服务器对象以及关联的 Windows NT 目录服务(NTDS)子对象标识。这些 NTDS 对象反过来存储子连接,并确保对任何单个 DC 上的 AD 对象(用户、计算机、组或 OU)所做的更改按照计划复制到所有其他接收 DC。
- AD 站点包括涵盖组织使用的 IP 地址范围的子网。在这些定义的站点中操作的一个或多个 DC 将对这些单个站点中存在的 AD 对象具有权限,正确配置这些 AD 站点在确保在建立有效的复制拓扑时没有错误方面发挥着重要作用。
- Active Directory 站点和服务是可从服务器管理器访问的管理工具,它使管理员能够配置适当的站点和子网,并建立用于复制的站点链接。
AD 复制的工作原理是什么
| 过程 | 解释 |
|---|---|
| 复制始终发生在两个或多个 DC 之间 | 所有 DC 都有一个称为知识一致性检查器 (KCC) 的内置后台程序,该程序会自动在站点之间创建连接、建立关联的站点链接并选择桥头服务器,我们很快就会更详细地讨论这些程序。 |
| AD 中的复制发生在属性级别 | 每个安全主体(如 AD 用户或组)都由安全 ID (SID) 和相对 ID (RID) 标识。AD 对象(如计算机或打印机)也被分配有全局唯一标识符 (GUID)。 只有经过修改的属性以及修改后的 AD 对象的 GUID 才会在 DC 或所选复制伙伴之间共享。 这样做是为了节省网络带宽,并确保最佳网络流量和及时完成复制过程。GUID/SID 上的版本号会针对发生的每次修改以增量方式更新。 |
| 由于站点链接,复制成为可能 | 站点链接以表示组织的物理网络的方式在 AD 站点之间建立连接。 AD 中站点链接对象的无故障配置有助于确定复制间隔、所述时间间隔内的复制频率以及所需 AD 站点之间的首选复制路径。 站点链接的时间表和成本涉及以数值形式分配优先级。这最终决定了 DC 之间要采用的最佳复制路径。管理员通常在站点链接配置和 KCC 配置设置过程中做出此决定。 |
AD 复制中的任何错误通常是由于 AD 站点和子网配置不正确,或者 KCC 无法正常工作,或者由于 AD-DNS 相关集成中的任何错误而发生的。
AD 复制的类型
AD 复制有两种类型:站点内复制和站点间复制。
站点内复制
- AD 站点内的 DC 以环形拓扑排列,即默认情况下,每个 DC 都连接到另外两个 DC,无需任何手动干预即可创建这些站点链接。
- KCC 负责配置这些站点链接并通过拓扑生成算法创建复制拓扑,它调用远程过程调用(即 RPC over IP)来与 AD 数据库进行通信,从而启用复制过程,该协议通过KCC与DC上AD数据库的目录系统代理的交互,可以将所需的更改高速通信到站点内的所有其他DC。
- 当在特定 DC 上授权更改时,将向此站点中的其他 DC 发送更改通知,这些其他 DC 是响应此通知或更改更新的复制伙伴。它们向源 DC 发送更改请求。现在,源 DC 会选择第一个直接复制伙伴,并发送所需的更改或复制数据。
- 每管理员将 DC 配置为在将更改更新和后续复制数据发送到每个直接复制伙伴之前等待一小段时间,以确保网络流量得到控制并避免复制冲突或错误。
- 在这种连接良好且网络速度较高的站点中,站点内所有 DC 的复制通常在源 DC 启动第一个更改通知后的一分钟内完成。源 DC 及时将复制数据发送给所有其他复制伙伴,每个 DC 之间的默认时间滞后为 3 秒。
- 当站点中有更多的 DC 时,KCC 会自动配置更多的站点链接,以确保复制在站点内仍然有效完成。
站点间复制
- 站点之间的复制是通过识别和参与指定的桥头服务器来实现的,这些服务器可以由 KCC 自动选择,也可以由管理员手动配置,它们表示所选的服务器,以启用站点之间的 AD 数据通道。
- 站点间复制也主要通过 RPC over IP 进行,但是当 RPC over IP 通信遇到问题时,也可以使用 SMTP。SMTP 站点传输通常不太可靠,对于处理 AD 中的所有复制要求没有用处。仅当必须复制架构或配置 AD 数据时,SMTP 才能在域间复制中使用。使用 SMTP 时,AD 数据的复制通过电子邮件进行。
- 站点之间的复制设置为以 180 分钟的标准时间间隔进行,这个时间滞后可以手动配置为不同的时间间隔。在此默认值下设置它是为了考虑可能影响两个 AD 站点之间的网络流量的较低网络速度。
- 桥头服务器收到复制的数据后,更改通知和后续复制信息将传达给每个相关站点内的所有其他 DC 并在其上完成。
ADManager Plus AD域(活动目录)管理工具,简化IT管理员和技术员的工作,轻松管理AD对象并通过图形化报表分析数据,简化身份管理,确保安全性,并提高 AD、Microsoft 365 和 Google Workspace 环境中的合规性。
