何为AD复制
AD复制是域控制器之间复制AD DS数据以确保各域控制器具有相同信息的过程,复制的内容是AD DS数据。
在Windows Server 2008中常见复制方式是主多机复制,也就是允许任何域控制器(RODC除外)修改ADDS。具有AD DS数据可写副本的所有域控制器定期将修改复制到所有其它域控制器中。那么如何保证在任何一台DC上进行修改,但却可以保证所有DC中的AD数据库完整且一致? Microsoft给出的解决方案是针对不同的情况,采用不同的复制规则。具体来讲就分为以下两种:站点内复制和站点间复制。
复制的类型:
1、站点内复制:同一站点内的DC之间的复制称为站点内复制
2、站点间复制:不同站点间的DC之间的复制称为站点间复制
站点内复制:
站点内DC采用的是更改通知的复制方式,基本步骤如下:
1、DC1某条数据变动后,DC1会在15秒后,向他的直接复制伙伴发出数据变更的通知。
2、DC1的直接复制伙伴收到DC1的数据变更通知后,如果此时需要这条数据,就会向DC发出更新数据请求
3、DC1收到复制伙伴的更新数据请求后,开始相应数据的复制
在站点内,DC复制需要注意如下几点:
1、每台DC内都有KCC程序,KCC会自动创建整个站点内DC之间的复制拓扑结构
2、结点内的复制拓扑结构形成后,每两台DC之间可能会形成直接复制链路,此时这两台DC就是直接复制伙伴。也可能不会形成直接复制链路,此时这两台DC就称为间接复制伙伴
3、为保证发生数据变更的DC在复制过程中负载过重,DC1并不是同时向所有的直接复制伙伴发送更改通知信息,而是每间隔3秒分别向不同的直接复制伙伴发生。
4、为保证AD内某条数据变动后,可以快速高效更新给站点内所有DC,站点内任何两台DC之间的DC数量不能超过3台。在一个拥有多台DC的站点内新添一台DC,很容易导致整个站点的复制拓扑发生变动。
5、数据变更后,默认是等待15秒后再发生更改通知,但也存在立即复制的特殊情况。涉及到安全相关的信息改动,如帐户锁定策略变动、域密码策略变动,用户帐户锁定等情况。此时DC并不等待15秒,而且立即向其它DC发出数据变更通知。
站点间复制:
与站点内DC复制基本上不需要人为干涉不同,站点间AD复制需要根据实际情况自行配置,才可能让整个AD域处于健康稳定状况,否则可能会在Windows日志中产生非常多有关复制有关的警告和错误信息。站点间复制的特征:
1、如上所述,站点内复制主要是通过通知更新的方式进行,站点间AD复制采用的方式是日程计划方式,可以在AD站点和服务管理中心,根据实际配置最适合的复制计划、复制开销、复制频率等相关信息。如下图:
2、站点内的复制拓扑是由KCC自动生成,而在站点间,每个站点都存在一台称之为站点间拓扑生成器的域控制器。站点间拓扑生成器负责在站点内选取一台DC做为桥头服务器。站点与站点之间的复制实际上就是各自站点的桥头服务器之间进行复制,桥头服务器之间复制完成后,再由桥头服务器将AD更新给站点内所有其它DC。此时的复制属于站点内复制,具体细则参见上述站点内复制。
3、站点内AD复制不进行数据压缩,而在站点间,为保证节约带宽资源,默认情况下要复制的数据复制之间进行压缩。但如果带宽足够,也可以通过ADSIEDIT工具配置站点间复制不进行数据压缩。