活动目录复制_参考

活动目录复制
1．活动目录复制 (2)
1.1 活动目录复制 (2)
1.2 单主机复制与多主机复制 (2)
1.3 复制冲突问题及其解决 (2)
2．活动目录数据库分区 (3)
3．用站点来优化AD复制 (4)
3.1 什么是站点？ (4)
3.2 站点内部的复制 (4)
3.3 站点间的复制 (6)
3.3 站点链接与站点链接桥 (7)
3.4 管理站点拓扑 (7)
4．活动目录的监视 (8)
5. 站点的部署与管理 (9)
附录1 实训任务1配置参考 (20)
1．活动目录复制
1.1 活动目录复制
活动目录复制就是指用网络中一个域控制器上AD中的信息来更新其他域控制器上相应信息的过程。

复制使每个域控制器上的数据都能保持同步。

该同步操作确保了整个网络上的所有域控制器和客户端都可以使用AD中的所有信息。

1.2 单主机复制与多主机复制
（1）单主机复制：
指几个DC之间不是平等关系，有主次之分，域中只且只能有一台，其他的DC都为备份域控制器，信息的控制与修改只能在主域控制器上进行，数据的同步都是从主域控制器向其他备份域控制器上复制。

单主机复制的特点：由域控制器的复制只以一台DC为主，因此不会产生复制冲突；但当主域控制器不能工作时，必须由管理员手工将一台备份域控制器提升为主域控制器。

（2）多主机复制：
就是指域内的多个域控制器之间没有主次之分，任何一台都有权修改或控制同一信息，任何一台DC上的变化都会复制到其他的DC上。

多主复制的特点：避免了单主复制中主域控制器失效后的需要手工恢复的不便；但由于多台DC都是可读可写的，容易引发活动目录复制冲突。

在AD中涉及到操作主机的内容使用单主机复制，其余的都是采用多主机复制模式。

1.3 复制冲突问题及其解决
活动目录复制时，共有三种类型的冲突：属性冲突、删除的容器冲突和RDN冲突
属性冲突：是指同一个对象的相同属性在两台DC上改的不同。

删除的容器冲突：在某个容器内添加对象或将对象转移到此容器内，但这个容器已经在另一个DC上被删除了。

（在第一台DC上删除的容器还没有复制到这个DC
之前）：此时该对像会被移动一个叫lostandfound的夹中，这个夹你需要打开“高
级”来查看到，你可以再把这个对象移到其它容器。

兄弟名称冲突：是指你在两台DC上建两个同名用户。

此时时间上后建的那个用户名会被改名。

属性值冲突的解决办法：会以戳值最高为优先。

AD会根据对象的属性戳（stamp）来解决冲突的问题，它包括以下三个重要性依次降低的数据：
版本号码：初始为1，每更新一次增加1。

在更新时，由版本号大的覆盖版本号小的。

修改时间：执行更新的DC的系统时间和日期。

若版本号相同，此修改时间较后的优先。

DC的GUID：服务器的全局唯一标识符。

若修改时间相同，会比较GUID。

高的优先。

使用Repadmin /showmeta命令可以查看用户或OU的版本号
2．活动目录数据库分区
每一个DC，都有一个数据库文件，它就是AD数据库，AD数据库分四个目录分区，如下图所示：
其中：
架构分区和配置分区：
是在森林级别复制的分区，也即整个目录林中所有DC上的这二个分区的内容都是相同的。

域分区：
是在域级别复制的分区，同一个域中的DC的域分区的内容都是相同的，不同域的DC 上的域分区的内容并不相同。

应用程序分区
是一个可选复制，可以自己配置。

3．用站点来优化AD复制
3.1 什么是站点？
所谓Site , 是指在物理上有较好的线路连接的能实现较快通讯速率的计算机的集合，一般是指一个LAN。

而Site之间一般是通过慢速连接来实现信息通讯。

可见Site 是对网络上计算机的实际的物理分布的一种客观反映。

有了Site这个概念之后，我们就可以将一个域中的计算机根据地理位置的分布分装在几个Site之中。

在一个Site当中，Active Directory 利用复制组件和KCC形成一个DC之间复制同步的双向的环形，每个DC都有两个复制伙伴，它们之间形成完全的信息同步。

当一个DC中的目录数据库发生变化，它会等待一段时间间隔后向它的复制伙伴发送变更通知，复制伙伴接到变更通知后，会从发生变化的DC上拷贝目录数据的变化信息。

同样复制伙伴还会把变更信息发送给它的复制伙伴，从而实现整个Site内的DC 的同步。

由于Site内采用快速而可靠的网络连接，因此Site 内DC之间的复制数据是不压缩的，这虽然增加了复制信息的要求的带宽，但减少了DC的处理数据的负担。

一般情况下Site内DC的信息同步采用RPC协议，使数据复制快速、统一，使D 间保持了较高的数据一致性。

在Site之间一般是通过慢速连接，只有有限的可用带宽并且数据传输不可靠。

为了不影响慢速连接线路上的其它数据通讯，以及确保DC间目录复制的可靠性，Site间的DC的复制不采用Site内DC间复制的变更通知方式，而是采用复制调度的方式。

在Site之间可以设定一个时间表和时间间隔，时间表决定在哪些时间答应复制发生，时间间隔指定在答应复制的时间内DC多久检查一次数据变更。

这样我们就可以将Site间DC复制同步的时间表设定在网络流量较少的时候（比如午夜）。

这时网络不拥挤相对而言也较可靠。

而且在Site间DC的目录复制采用压缩的方法，复制信息可以被压缩至10%到15%，这样可以有效地优化网络带宽。

可见，我们通过合理地规划Active Directory上的Site，可以有效地控制Active Directory 中DC的同步，优化网络带宽，提高网络性能。

由于在Windows 2000的Active Directory 中，DC之间的同步不但涉及一个域内DC之间大量数据的同步，同时不同域的DC之间也有少量信息需要同步。

当我们用Site来实现Active Directory中DC之间的复制布局时可以借助于Site link 和Site link Bridge两种设置来帮助我们实现，从而形成一个更合理、更有效、更可靠的Active Directory中DC的复制布局，最大限度优化我们的网络系统。

3.2 站点内部的复制
如果单域环境，同时存在多台DC，此时每台DC都会同步森林及域级别的三个分区。

如果多域环境，同时存在多台DC，此时便会存在多路复制拓朴。

如下图所示：
上图有三种复制拓朴，第一路是森林级别的复制，在所有的DC之间复制;第二路是域A的域分区的复制拓朴，在所有域A的DC之间复制;第三路是域B的域分区的复制拓朴，在所有域B的DC之间复制。

如果在上图的DC之中还存在GC，则上面的复制拓朴还会改变，因为GC是一个特殊的角色，它将拥有所有域的域分区对象及对象属性的子集。

其实大家也都看到了，我们的复制拓朴是一个双向环（保证容错），而这个环是由每台
定义，各位可以参考下面第二个图可完成。

如下图所示：
如：通过KCC，在A1和A2之间创建一个连接对象，A2就叫做A1的直接复制伙伴。

如下图所示：
注意：这个连接对象是自己产生的。

若自定义，可以在此完成。

AD的复制有三种复制方式：
（1）更改通知的方式：如果A1上创建了一个帐号test，则它会15秒后通知A2，然后3秒后通知A3、再3秒后通知A4。

如果A2收到通知后就会从A1把数据要过来写到自己的数据库中。

这是拉复制。

（2）紧急复制：如密码修改、帐户锁定策略等。

修改后就马上联系复制伙伴。

没有时间延迟。

（3）每隔1小时复制：检查是否有数据复制遗漏。

其实在上述环中复制允许的路数不能超过3，即A1把数据复制给A2，A2再复制给A3，A3再复制给A4，就再不能间接复制给A5了，也就是说中间只能跳3跳。

这个目的其实是不让复制的时间过长。

大家可以仔细观察上面复制拓朴就满足这个条件。

3.3 站点间的复制
如果你的企业位于两地或多地，试想根据上面的复制情况，不言而喻，DC之间的复制流量很大，这个流量要跨越WAN，我们不希望这样。

怎么办呢，我们要控制复制。

因此我们只能建站点，当然建站点的好处我们也可以控制用户的登录流量。

这样我们便可以按计划进行AD的复制，同时这里复制还是压缩的，基本上是原来流量的15%左右吧。

下面我们来比较一下站点内和站点间复制的特点：
最后问一个问题：AD在复制的时候，究竟复制那些东西呢？
其实有两个：数据库本身的复制和SYSVOL之间的复制，而SYSVOL如果复制不成功，会造成组策略不生效。

AD的复制很重要，在企业里，如果控制不好，会造成域用户登录有问题或很慢。

3.3 站点链接与站点链接桥
（1）站点链接
站点内的复制可以由KCC自动进行，而如果要在不同站点间复制，默认情况下KCC 是不知道复制的路径的，这时就必须要在二个站点间创建一个站点链接。

KCC把这个站点链接作为站点间复制的逻辑路径。

站点链接包含以下几点要素：
开销：用于表示站点间网络连接的速度和可靠性，开销的范围是1-99999，默认为100。

成员站点：该站点链接所包括的站点
复制计划：定义复制发生的时间
复制频率：定义站点间复制的时间间隔
传输协议：站点间进行数据复制时使用的网络协议，RPC或SMTP。

（2）站点链接桥
站点链接桥由二个或多个站点链接组成，它可以将这些站点链接连接起来，启用站点链接的传递，并规范网络的路由选择。

3.4 管理站点拓扑
（1）桥头堡服务器
每个站点指定的一台与其他站点进行目录复制的服务器，称为此站点的桥头堡服务器。

默认情况下，KCC会自动在一个站点内指定桥头堡服务器，当该桥头堡服务器不能正常工作时，KCC会自动指定其他服务器作为桥头堡服务器。

桥头堡服务器也可以手工指定，在“AD站点和服务”控制台下指定。

（2）站点间拓扑结构产生器（ISTG）
站点间拓扑结构产生器的作用是负责建立和维护站点间的链接，每个站点都会自动指定一台DC作为ISTG，默认情况下在每个站点中的第一台DC充当ISTG的角色，不能手工指定ISTG角色。

4．活动目录的监视
活动目录的监视可以用活动目录复制监视器或repadmin工具。

（1）活动目录复制监视器
复制监视器是Windows Support Tools的一个组件，可从Windows Server 2003的安装光盘中找到\support\tools文件夹，双击suptools.msi文件进行安装。

利用活动目录复制监视器可以监视下面的内容：
查看哪些计算机正在直接复制信息或间接复制信息；
显示每个USN值、失败复制的次数、失败的原因和直接复制伙伴的标志；
按管理员设定的时间间隔查询服务器，获取当前的统计信息和复制状态，并保存日志文件记录；
显示那些没有被复制的对象；
在二个DC之间同步活动目录分区
利用KCC重新计算复制拓扑
（2）利用repadmin工具监视复制
1.检测域控制器的复制伙伴
repadmin /showrepl sz-domain dc=zjdomain,dc=com
说明:dc options:is_gc表示该服务器为GC
sz表示站点。

会看到复制成功的时间。

2。

检测域控制器的高水印标记值，并同时显示复制伙伴。

repadmin /showrepl sz-domain dc=zjdomain,dc=com /verbose
其中USNs：后面的就是高水印标记值，目前还不知道有什么用。

3。

强制BDC从主域进行复制
repadmin /replicate sz-domain2 sz-domain dc=zjdomain,dc=com
手动复制，需要时间，成功后会有提示
4。

使用知识一致性检查复制完整性
repadmin /kcc sz-domain
5.检测域控制器的已经建立的信任关系
repadmin /showtrust sz-domain
6。

显示域控制器之间复制数量和状态
repadmin /replsummary
该命令可以看出成功的次数、错误信息、系统运转了多长时间、目前系统检测的时间等7。

同步目标域控制器
repadmin /syncall sz-domain2
如果有错误，会提示。

这种同步不指定路径
5. 站点的部署与管理
拓扑如下图所所示，域中有四个域控制器，分别是Florence，Berlin，Firenze 和Perth。

其中Florence和Berlin在北京，隶属于192.168.11网段；Firenze和Perth在上海，隶属于192.168.12网段。

由于北京和上海之间使用了一条64K的DDN慢速链路，因此我们有必要使用站点对域内的计算机进行合理规划，以便能够让域内的计算机在现有的带宽条件下能以最有效率的方式通讯。

目前四台域控制器都在一个站点中，如下图所示，就是默认的Default-First-Site-Name。

根据我们本次实验的具体情况，我们需要把北京和上海的域控制器分为两个站点，为完成这个任务，我们需要进行下列操作：
一创建站点
二定义站点子网
三定位服务器
四配置站点链接器
一创建站点
默认情况下所有的域控制器都在一个站点内，但目前我们需要两个站点，一个用于管理北京的计算机，一个用于管理上海的计算机。

因此我们需要创建一个新站点，同时把原先的默认站点改名即可。

首先我们先把原来的默认站点Default-First-Site-Name改名为Beijing，我们在域控制器Florence上打开Active Directory站点和服务，，如下图所示，右键点击原来的默认站点，选择“重命名”。

重命名后的结果如下图所示，默认站点已经改名为Beijing。

接下来我们来创建一个新站点Shanghai，如下图所示，右键点击“Sites”，选择新站点。

如下图所示，新站点取名为Shanghai，我们为Shanghai站点选择了一个默认的站点链接器，关于这个站点链接器的作用我们将在后面的内容中予以介绍。

Shanghai站点创建完毕后，系统提示我们要进行如下图所示的后续操作，我们接下来将按照提示实现对站点的配置。

二定义站点子网
现在我们有了Beijing和Shanghai两个站点，接下来要考虑如何定义站点内的IP子网。

如果不同的站点管辖了不同的IP子网，那么对域内的计算机来说是非常有利的，域控制器只要根据自己的IP地址就可以判断出自己应该隶属于哪个站点，域内的客户机登录到域时也会根据自己的IP地址来查询同一站点内的域控制器进行登录。

创建站点所属的子网并不难，如下图所示，右键单击Subnets，选择“新建子网”。

如下图所示，我们创建了一个子网192.168.11，然后把这个子网分配给了Beijing站点。

如法炮制，我们为Shanghai 站点创建了192.168.12子网。

这样以后如果有新的域控制器加进来，域控制器根据IP地址就可以自动加入相应的站点。

三定位服务器
定义了站点子网后，我们接下来就要根据每个域控制器的IP地址来把它们加入不同的站点了。

我们准备把Florence和Berlin放在Beijing站点，Firenze和Perth放在Shanghai 站点。

如下图所示，右键单击Firenze，选择“移动”。

然后我们选择把Firenze移动到Shanghai站点。

用同样的方法我们把Perth也移动到Shanghai站点，移动后的域控制器分布如下图所示，Beijing和Shanghai站点各有两个。

四配置站点链接器
现在我们已经配置好了站点子网，然后把域控制器放到了相应的站点中，现在我们要考虑如何配置站点链接器了。

站点链接器是一个逻辑控制单元，它并不负责域控制器之间的物理连接，那应该是电信部门负责的事情，即使没有站点链接器，域内的这些处于不同城市的计算机也是可以在网络层实现联通的。

链接器的作用是对不同站点间的数据传递进行控制，以便最大限度地利用好站点间的窄带链路。

有了站点之后，显然域控制器之间的AD复制应该优先在本站点内进行，然后站点会选出一个“桥头服务器”代表所在的站点和其他站点的“桥头服务器”进行通讯，这样AD的更改就可以通过两个站点间的“桥头服务器”进行跨越站点的传递。

AD复制在站点内的域控制器进行时是不压缩的，而AD复制如果跨站点进行则需要压缩。

跨站点的AD复制拓扑也是由大家熟悉的KCC来设计的。

我们接下来看看如何利用站点链接器来控制站点间的数据传输，目前Beijing和Shanghai 两个站点间使用的是一个默认的站点间链接。

如下图所示，我们打开“Active Directory
站点和服务”，我们可以看到Inter-Site-Transports下面有IP和SMTP两个子项，这是告诉我们站点间数据复制可以使用IP协议或SMTP协议。

一般我们都选择使用IP，如果使用IP，站点间的数据传输将使用RPC协议，这种协议可以传输AD的全部内容而SMTP则只能传输AD的部分内容。

现在Beijing站点和Shanghai站点之间使用的就是基于IP的站点链接器。

我们打开默认的站点链接器，查看属性，如下图所示，我们在常规属性中可以看到这个站点链接器连接了Beijing和Shanghai两个站点。

然后我们可以看到站点链接器的开销是100，开销反映了站点间连接速度的快慢，开销值越小，速度越快。

站点间的开销是个相对值，并不具体对应实际的连接速度，因此目前两个站点间的开销值并没有太多的讨论价值，因为没法和其他站点的开销值进行比较。

如果有更多的站点，那站点开销的意义就凸显出来了。

例如我们现在有北京，上海和广州三个站点，其中北京和上海之间是用2M的专线连接，北京和广州之间是用64K的专线连接，上海和广州之间则用的是10M的专线。

那么北京的域控制器更改了AD，如何传递给广州站点内的域控制器呢？从拓扑看，显然从北京直接传到广州就不如先从北京传到上海，再经过上海传到广州合算。

我们怎么才能让KCC知道这个情况呢？通过站点开销就很容易做到，例如我们可以设置北京站点到广州站点的开销值是100，而北京到上海的开销值是20，上海到广州的开销值是10。

这样一来KCC在计算站点间链接时就可以通过开销值的量化指标判断出100>10+5，因此KCC在安排北京站点和广州站点间的AD复制时会优先让AD数据先从北京站点复制到上海站点，再从上海站点复制到广州站点。

值得注意的是，站点开销值是一个宏观上的相对值，并不具体对应传输速率。

站点间的默认复制频率是180分钟，也就是默认情况下三个小时才跨站点复制一次，这个频率比站点内的AD复制低了很多，显然是为了适应广域网上的低速链路。

点击站点常规属性中的“更改计划”，我们可以设置站点间数据传输的时间段，这个设置显然有利于避开窄带利用的高峰期，在适当的时机用适当的节奏进行站点间的数据传递。

站点配置完毕后，我们检查DNS服务器，发现DNS中已经有了相关的SRV记录。

如下图所示，我们发现Beijing和Shanghai两个站点的SRV记录已经出现在区域中了，这样的话有利于客户机通过查找DNS来定位出和自己所属站点内的域控制器。

我们举个例子来说明DNS中和站点有关的SRV记录的作用，有一台客户机Istanbul，IP地址是192.168.12.107。

如下图所示，我们准备把它加入域，看看Istanbul加入域的过程。

我们用抓包器追踪Istanbul加入域的过程，如下图所示，我们可以看到Istanbul向DNS 服务器发起查询，要求查询shanghai站点内的域控制器。

显然Istanbul已经知道了自己属于shanghai站点，优先联系shanghai站点内的域控制器，这样我们设置站点的目的也就达到了。

附录1 实训任务1配置参考
S 1
任务一 建立站点和子网
建立站点
1． 在域 的域控制器计算机上，打开“开始” “程序” “管理工具”
“Active Directory 站点和服务”
2. 右键单击“Sites”文件夹，然后单击“新站点”。

3. 在“名称”中键入新站点的名称。

并将此站点归属到适当的“站点链接”，由于目前
只由一个默认的“站点链接” ，我们暂时可将其归属到默认的站点链接。

然后单击“确定”按钮。

4.单击“确定”。

5.重复步骤2到步骤4来建立SiteB
建立子网
1.在AD站点和服务中，右键单击“Subnets”，然后单击“新建子网”。

2.在“地址”中，键入子网地址；在“掩码”中，键入子网掩码；在“为
此子网选择站点对象”下，单击将与该子网关联的站点，然后单击“确
定”。

3.重复以上步骤来建立子网192.168.20.0/2、
4.子网建好后，在控制台显示的内容。

任务二建立站点链接
1.在Active Directory 站点和服务的控制管理单元中，右键单击您希望站
点链接使用的站点间传输协议，例如：IP，然后单击“新站点链接”。

2.在“名称”中，键入将提供给链接的名称。

选择要连接的两个或多个站点，
然后单击“添加”。

3. 完成上述步骤后的画面。

任务四将域控制器转移到所属的站点
1. 打开“AD站点和服务”，展开Site Default-First-Site-Name ，右击画面右边要移动的服务器S1 ，单击“移动”。

2. 选择目的站点后单击“确定”按钮。

3. 重复步骤1与步骤2，将S2移到SiteA，将S3和S4 搬移到SiteB。

完成上述步骤后的画面。