Понятия репликации Active Directory

Прежде чем разрабатывать топологию сайта, ознакомьтесь с некоторыми понятиями репликации Active Directory.

• Объект Connection

• KCC

• Функции отработки отказа

• Подсеть

• Сайт

• Ссылка на сайт

• Мост связи сайта

• Транзитивность канала сайта

• Глобальный сервер каталога

• Кэширование членства в универсальных группах

Объект Connection

Объект подключения — это объект Active Directory, представляющий подключение репликации от исходного контроллера домена к целевому контроллеру домена. Контроллер домена является членом одного сайта и представлен на сайте объектом сервера в службах домен Active Directory (AD DS). Каждый серверный объект имеет дочерний объект NTDS Settings, представляющий реплицируемый контроллер домена на сайте.

Объект подключения является дочерним объектом NTDS Settings на целевом сервере. Для репликации между двумя контроллерами домена объект сервера одного из них должен иметь объект подключения, представляющий входящий репликацию из другого. Все подключения репликации для контроллера домена хранятся в виде объектов подключения в объекте NTDS Settings. Объект подключения определяет исходный сервер репликации, содержит расписание репликации и указывает транспорт репликации.

Средство проверки согласованности знаний (KCC) автоматически создает объекты подключения, но их также можно создавать вручную. Объекты подключения, созданные KCC, отображаются в оснастке <"Сайты и службы Active Directory" как автоматически созданные> и считаются достаточными в обычных условиях работы. Объекты подключения, созданные администратором, создаются вручную. Созданный вручную объект подключения определяется именем, назначенным администратором при его создании. При изменении объекта подключения, созданного <автоматически> , он преобразуется в объект подключения с административным изменением, а объект отображается в виде GUID. KCC не вносит изменения в объекты ручного или измененного подключения.

KCC

KCC — это встроенный процесс, который выполняется на всех контроллерах домена и создает топологию репликации для леса Active Directory. KCC создает отдельные топологии репликации в зависимости от того, происходит ли репликация на сайте (внутри сайта) или между сайтами (интерсайтами). KCC также динамически настраивает топологию для размещения добавления новых контроллеров домена, удаления существующих контроллеров домена, перемещения контроллеров домена на сайты и с сайтов, изменения затрат и расписаний, а также контроллеров домена, которые временно недоступны или находятся в состоянии ошибки.

На сайте подключения между контроллерами домена, доступными для записи, всегда располагаются в двунаправленном кольце с дополнительными сочетаниями клавиш для уменьшения задержки на больших сайтах. С другой стороны, межсайтовая топология — это слой чередующихся деревьев, что означает, что между любыми двумя сайтами для каждой секции каталога существует одно межсайтовое соединение и обычно не содержит ярлыков подключений. Дополнительные сведения о области деревьев и топологии репликации Active Directory см. в техническом справочнике по топологии репликации Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).

На каждом контроллере домена KCC создает маршруты репликации, создавая одностороновые объекты подключения, определяющие подключения из других контроллеров домена. Для контроллеров домена на том же сайте KCC автоматически создает объекты подключения без вмешательства администратора. При наличии нескольких сайтов вы настраиваете связи между сайтами, а один KCC на каждом сайте автоматически создает подключения между сайтами.

Улучшения KCC для контроллеров домена Windows Server 2008

В Windows Server 2008 в Windows Server 2008 есть ряд улучшений KCC. Типичным сценарием развертывания для RODC является филиал. Топология репликации Active Directory, наиболее распространенная в этом сценарии, основана на макете концентратора и периферийных узлов, где контроллеры домена ветви на нескольких сайтах реплицируются с небольшим количеством серверов плацдарма на главном сайте.

Одним из преимуществ развертывания RODC в этом сценарии является однонаправленная репликация. Серверы плацдарма не требуются для репликации из RODC, что снижает администрирование и использование сети.

Однако одна административная проблема, выделенная топологией концентратора в предыдущих версиях операционной системы Windows Server, заключается в том, что после добавления нового контроллера домена плацдарма в концентраторе нет автоматического механизма для распространения подключений репликации между контроллерами домена ветви и контроллерами домена концентратора, чтобы воспользоваться новым контроллером домена концентратора.

Для контроллеров домена Windows Server 2008 нормальное функционирование KCC обеспечивает некоторую перебалансирование. Новая функция включена по умолчанию. Его можно отключить, добавив следующий раздел реестра в RODC:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Random BH Loadbalancing Allowed"1 = Enabled (default), 0 = Disabled

Дополнительные сведения о том, как работают эти улучшения KCC, см. в разделе "Планирование и развертывание служб домен Active Directory для филиалов( (https://go.microsoft.com/fwlink/?LinkId=107114).

Функции отработки отказа

Сайты обеспечивают маршрутизацию репликации вокруг сбоев сети и автономных контроллеров домена. KCC выполняется через указанные интервалы, чтобы настроить топологию репликации для изменений, происходящих в AD DS, таких как при добавлении новых контроллеров домена и создании новых сайтов. KCC проверяет состояние репликации существующих подключений, чтобы определить, не работают ли какие-либо подключения. Если подключение не работает из-за сбоя контроллера домена, KCC автоматически создает временные подключения к другим партнерам репликации (при наличии), чтобы обеспечить репликацию. Если все контроллеры домена на сайте недоступны, KCC автоматически создает подключения репликации между контроллерами домена из другого сайта.

Подсеть

Подсеть — это сегмент сети TCP/IP, к которой назначается набор логических IP-адресов. Подсети группируют компьютеры таким образом, чтобы идентифицировать их физическое расположение в сети. Объекты подсети в AD DS определяют сетевые адреса, используемые для сопоставления компьютеров с сайтами.

Сайт

Сайты — это объекты Active Directory, представляющие одну или несколько подсетей TCP/IP с высоконадежными и быстрыми сетевыми подключениями. Сведения о сайте позволяют администраторам настраивать доступ и репликацию Active Directory для оптимизации использования физической сети. Объекты сайта связаны с набором подсетей, и каждый контроллер домена в лесу связан с сайтом Active Directory в соответствии с ЕГО IP-адресом. Сайты могут размещать контроллеры домена из нескольких доменов, а домен может быть представлен на нескольких сайтах.

Ссылка на сайт

Ссылки сайта — это объекты Active Directory, представляющие логические пути, которые KCC использует для установления соединения для репликации Active Directory. Объект ссылки сайта представляет набор сайтов, которые могут обмениваться данными по единой стоимости через указанный межсайтовой транспорт.

Все сайты, содержащиеся по ссылке сайта, считаются подключенными с помощью одного типа сети. Сайты должны быть вручную связаны с другими сайтами с помощью ссылок сайта, чтобы контроллеры домена на одном сайте могли реплицировать изменения каталога с контроллеров домена на другом сайте. Так как ссылки сайта не соответствуют фактическому пути, принятому сетевыми пакетами в физической сети во время репликации, вам не нужно создавать избыточные ссылки сайта для повышения эффективности репликации Active Directory.

При подключении двух сайтов по ссылке сайта система репликации автоматически создает подключения между определенными контроллерами домена на каждом сайте, который называется серверами плацдарма. В Windows Server 2008 все контроллеры домена на сайте, на котором размещен тот же раздел каталога, являются кандидатами на выбор в качестве серверов плацдарма. Подключения репликации, созданные KCC, распределяются случайным образом между всеми серверами-кандидатами на сайте для совместного использования рабочей нагрузки репликации. По умолчанию случайный процесс выбора происходит только один раз, когда объекты подключения сначала добавляются на сайт.

Мост связи сайта

Мост связи сайта — это объект Active Directory, представляющий набор ссылок сайта, все сайты которых могут взаимодействовать с помощью общего транспорта. Мосты связи сайта позволяют контроллерам домена, которые не подключены напрямую с помощью канала связи для репликации друг с другом. Как правило, мост связи сайта соответствует маршрутизатору (или набору маршрутизаторов) в IP-сети.

По умолчанию KCC может формировать транзитивный маршрут через все ссылки сайта, имеющие некоторые сайты. Если это поведение отключено, каждая ссылка сайта представляет собственную отдельную и изолированную сеть. Наборы ссылок сайта, которые можно рассматривать как единый маршрут, выражаются через мост связи сайта. Каждый мост представляет изолированную среду обмена данными для сетевого трафика.

Мосты связи сайта — это механизм логического представления транзитивного физического подключения между сайтами. Мост связи сайта позволяет KCC использовать любое сочетание включенных ссылок сайта, чтобы определить наименее дорогой маршрут для объединения секций каталогов, удерживаемых на этих сайтах. Мост связи сайта не обеспечивает фактическое подключение к контроллерам домена. Если мост связи сайта удален, репликация по объединенным ссылкам сайта продолжится до тех пор, пока KCC не удалит ссылки.

Мосты связи сайта необходимы только в том случае, если сайт содержит контроллер домена, на котором размещен раздел каталога, который также не размещается на контроллере домена на соседнем сайте, но контроллер домена, на котором размещается раздел каталога, находится в одном или нескольких других сайтах в лесу. Смежные сайты определяются как любые два или более сайтов, включенных в одну ссылку сайта.

Мост связи сайта создает логическое соединение между двумя ссылками сайта, предоставляя транзитивный путь между двумя отключенными сайтами с помощью промежуточного сайта. В целях генератора межсайтовых топологий (ISTG) мост подразумевает физическое подключение с помощью промежуточного сайта. Мост не означает, что контроллер домена на промежуточном сайте предоставит путь репликации. Однако это может быть так, если промежуточный сайт содержал контроллер домена, на котором размещен раздел каталога, который будет реплицироваться, в этом случае мост связи сайта не требуется.

Добавляется стоимость каждой ссылки сайта, создавая суммированные затраты на результирующий путь. Мост связи сайта будет использоваться, если промежуточный сайт не содержит контроллер домена, в котором размещен раздел каталога, и ссылка на более низкую стоимость не существует. Если промежуточный сайт содержал контроллер домена, на котором размещен раздел каталога, два отключенных сайта настроят подключения репликации к промежуточному контроллеру домена и не используют мост.

Транзитивность канала сайта

По умолчанию все ссылки сайта являются транзитивными или "мостами". При перекрестии связей между сайтами и перекрытии расписаний KCC создает подключения репликации, определяющие партнеров по репликации контроллера домена между сайтами, где сайты не связаны напрямую по ссылкам сайта, но подключаются транзитивно через набор общих сайтов. Это означает, что вы можете подключить любой сайт к любому другому сайту с помощью сочетания ссылок сайта.

Как правило, для полностью перенаправленной сети не требуется создавать мосты связи сайта, если вы не хотите управлять потоком изменений репликации. Если сеть не полностью перенаправлена, необходимо создать мосты связи сайта, чтобы избежать невозможной попытки репликации. Все ссылки сайта для конкретного транспорта неявно принадлежат одному мосту связи сайта для этого транспорта. Переход по умолчанию для ссылок сайта происходит автоматически, и объект Active Directory не представляет этот мост. Параметр "Мост всех ссылок сайта", найденный в свойствах межсайтовых контейнеров транспорта IP-адресов и протокола SMTP, реализует автоматическую привязку канала сайта.

Сервер глобального каталога

Глобальный сервер каталога — это контроллер домена, который хранит сведения обо всех объектах в лесу, чтобы приложения могли выполнять поиск AD DS без ссылки на определенные контроллеры домена, которые хранят запрошенные данные. Как и все контроллеры домена, глобальный сервер каталога хранит полные, записываемые реплики секций каталога схемы и конфигурации и полную, записываемую реплику секции каталога домена для домена, на котором он размещен. Кроме того, сервер глобального каталога хранит частичную реплику только для чтения каждого другого домена в лесу. Частичные реплики домена только для чтения содержат каждый объект в домене, но только подмножество атрибутов (те атрибуты, которые чаще всего используются для поиска объекта).

Кэширование членства в универсальных группах

Кэширование членства в универсальных группах позволяет контроллеру домена кэшировать сведения о членстве в универсальных группах для пользователей. Вы можете включить контроллеры домена под управлением Windows Server 2008 для кэширования членства в универсальных группах с помощью оснастки "Сайты и службы Active Directory".

Включение кэширования членства в универсальных группах устраняет необходимость глобального сервера каталога на каждом сайте в домене, что сводит к минимуму использование пропускной способности сети, так как контроллер домена не должен реплицировать все объекты, расположенные в лесу. Это также сокращает время входа, так как проверка подлинности контроллеров домена не всегда требуется для доступа к глобальному каталогу для получения сведений о членстве в универсальных группах. Дополнительные сведения об использовании кэширования членства в универсальных группах см. в разделе "Планирование размещения сервера глобального каталога".