Active Directory的復制拓撲

?

?? 在前面的博文中我們在域中部署了額外域控制器，而且我們已經知道每個域控制器都有一個內容相同的Active Directory數據庫，今天我們要討論一下額外域控制器在進行Active Directory復制時所使用復制拓撲。 在NT4的時代，域控制器被分為兩類，PDC和BDC。PDC是主域控制器的縮寫，BDC是備份域控制器的縮寫。每個域中只能有一個PDC，BDC可以有多個，BDC的目錄數據是從PDC復制而來。只有PDC才可以更改域中的用戶賬號，計算機賬號等目錄數據，BDC的內容是只讀的！這種復制模型我們稱為單主復制，這種模型我們并不陌生，類似于DNS服務器的輔助服務器和主服務器的關系。單主復制模型比較簡單，管理難度不大，但較容易構成單點故障。 從Win2000開始，Active Directory開始使用多主復制的模型，也就是說每個域控制器都可以自主地修改Active Directory的內容，域中不再有PDC和BDC的區(qū)別了。Win2003使用了和Win2000同樣的多主復制模型，而Win2008則在多主復制的基礎上又增加了一個RODC，也就是只讀域控制器，可以看出Win2008試圖在多主復制模型中增加一些單主復制的元素，因為RODC的設計理念顯然和BDC是有些關聯的。 現在我們知道了Win2003的Active Directory中使用了多主復制的模型，也就是任何一個域控制器都可以修改Active Directory。為了維護Active Directory的權威性，顯然所有域控制器上的Active Directory內容應該都相同。那么，如果一個域控制器修改了自己的Active Directory，修改的的內容是如何復制到其他域控制器上的呢？這就是我們今天要討論的內容，Active Directory的復制拓撲！ Active Directory的復制拓撲是一個比較復雜的問題，今天我們只討論在同一域中域控制器之間的復制拓撲。當域中的域控制器數量發(fā)生變化，例如增加或減少了域控制器，域控制器上的進程KCC就會進行Active Directory復制拓撲的計算。KCC被翻譯為知識一致性驗證器，我們在任務管理器的進程列表中看不到KCC，因為它屬于LSACC進程的一部分。KCC可以自動計算出域控制器進行復制時所使用的拓撲，當域控制器數量較少時，KCC傾向于在域中使用環(huán)形拓撲進行Active Directory復制，也就是說當一個域控制器的Active Directory內容發(fā)生變化時，這個更改不會同時傳遞給其他所有的域控制器，而是要沿著KCC設計的環(huán)形拓撲一一傳遞下去。而且為了實現冗余以及提高效率，KCC設計的拓撲還是雙環(huán)拓撲，下圖就是一個域控制器的復制拓撲示意圖，從圖中可以看到，每個域控制器都有兩個復制伙伴，Active Directory的復制沿著順時針和逆時針兩個方向進行。

?

域控制器復制Active Directory時，一般會使用“帶通知的拉復制”，也就是說，當DC1修改了Active Directory后，DC1會在5分鐘內通知自己的復制伙伴DC2，“快來，我的AD中有些新內容”。DC2收到通知后，會啟動一個Active Directory的復制請求，以增量復制的方式從DC1把Active Directory復制到DC2。如果Active Directory中發(fā)生了一些緊急事件，例如用戶口令被修改，那么此時域控制器將不受5分鐘的時間限制，而是在最短時間內把Active Directory復制給PDC操作主機。如果一個域控制器在一個小時之內都沒有收到復制伙伴發(fā)來的通知，它就會向復制伙伴發(fā)出一個查詢，詢問復制伙伴是否在線。 我們通過一個實例來觀察一下域控制器的復制拓撲，Adtest.com域中有Florence，Firenze和Berlin三個額外域控制器，我們在Florence打開Active Directory站點和服務，可以看到每個域控制器的復制伙伴。如下圖所示，Florence的復制伙伴是Berlin和Firenze。

?

而Firenze的復制伙伴是Florence和Berlin。

?

Berlin的復制伙伴是Florence和Firenze。

?

看完三個域控制器的復制伙伴，我們很容易勾勒出Active Directory的復制拓撲，這是一個標準的雙環(huán)拓撲，拓撲如下圖所示。

?

雙環(huán)拓撲非常優(yōu)美，但并非適合所有場合！在域控制器較多的網絡中，標準的環(huán)形拓撲就不太合適，因為域控制器復制Active Directory時有個嚴格的限制，那就是從源域控制器到目標域控制器不能超過三個域控制器的間隔。具體來說就是如果DC1的Active Directory發(fā)生了變化，那么DC1可以復制給DC2，DC2可以接著復制給DC3，DC3還可以復制給DC4，但DC4就不能再復制給DC5了！因為這時從DC1到DC5中間間隔的域控制器已經超過了三個。微軟進行這個限制，估計是為了避免在大型網絡中進行Active Directory復制時環(huán)形拓撲導致的延遲問題，試想一下，如果一個大型網絡中有100個域控制器，域控制器復制的平均間隔為5分鐘，那么從第一個域控制器復制到最后一個域控制器可能需要大約500分鐘！這種延遲是不可接受的，因此在大型網絡中KCC會使用網狀拓撲，網狀拓撲就不像環(huán)形拓撲那樣有規(guī)律了，每個域控制器可能會有多個復制伙伴，看起來并不像環(huán)形拓撲那樣有規(guī)律。域控制器的復制拓撲最好由KCC來規(guī)劃，當然，也可以自己指定域控制器的復制伙伴，例如我們想指定Florence的復制伙伴，我們可以如下圖所示，在Florence上選擇“新建Active Directory連接”。

?

如下圖所示，Florence可以從域控制器列表中選擇自己的復制伙伴。這樣一來，我們就完成了對Florence復制伙伴的手工指定。

?

???? 域控制器的復制拓撲最好由KCC來自動計算，域控制器一旦復制拓撲出現問題，處理時需要相當的耐心，而且要結合DNS的SRV記錄來進行排錯，可能還需要對Active Directory數據進行手工處理。以后有機會我們會介紹一些Active Directory排錯的高級工具以及實際案例供大家參考，希望大家都能夠處理好這個問題。

總結

以上是生活随笔為你收集整理的Active Directory的复制拓扑，Active Directory系列之八的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。