活动目录的复制及检测工具.ppt

活动目录的复制及监测工具 一、概述 除了非常小的网络之外，目录数据必须驻留在网络上的多个位置，以便于所有用户均等的使用。通过复制，活动目录服务在多个域控制器上保留目录数据的副本，从而确保所有用户的目录的可用性与性能。 为了维持目录的一致性、保有最新信息、且提供良好效率和高度可用性，复制程序是必须的。 复制程序将目录信息的多个副本移到离使用者最近的地方，但是由于每次增加、删除、修改使用者、应用程序或机器信息等动作都会变更目录信息，因此这些副本也必须同时被更新。 什么时候需要启用复制程序？ 目录服务反应时间太长，使用者会觉得效率非常低下。 目录服务系统停摆，使用者无法完成工作。 一台服务器的沉重负荷或当机必须不会瘫痪整个网络。 二、复制类型 活动目录数据库中存在两种复制类型：单主复制和多主复制。 只有当AD运行在本机模式或者2003功能级别时才使用多主复制 混合模式或2003临时模式的域采用单主复制。 1、单主复制 在此模式下，每个复制代理DSA可拥有目录树DIT的一部分，并且能够和其他DSA进行复制。 此模式存在一个问题，假如一台服务器“down”机，使用的目录会变成一个只读的副本，系统管理员再也无法新增用户、更改帐户信息，也不能重新调整目录应用程序。对大型的动态企业网络环境来说，持续几分钟的只读状态是不能接受的。 2、多主复制 AD目录服务为域、域树或森林中所有的域控制器完成多主复制流程。 系统会为单一网络所使用的命名空间和整个森林所用的命名空间分别建立不同的拓扑。每个域控制器会根据站点的带宽，自动计算出复制拓扑。系统管理员也可为某特定用户环境调试复制拓扑。 优点是：高度有效性，缺点是：产生出大量网络流量。 在一个网络内，AD目录服务会自动连接域控制器到复制拓扑内，所以当任何域控制器的信息变更时，它会通知它的复制伙伴，然后复制伙伴初始化或停止更新。一旦初始化后，这些运作透过网络域控制器的串联直接或间接的传送开来，直到所有域控制器都更新为止。 三、复制机制 通知更新复制 紧急复制 定时检查复制 1、通知更新复制 DC A建立一个用户帐号，因为是新建帐号，属于初始更新。更新完成后，A服务器在15s之后发出更新通知。此更新通知并非同时通知所有域内的DC，在通知B后，间隔3s。B接受到复制信息后，将新的帐号复制到B的数据库中，仅复制发生改变的数据，属于增量更新。然后A再通知C。此复制过程属于拉复制，仅复制需要的数据。再间隔3s后，通知其他DC 2、紧急复制 帐号管理SAM和安全策略LSA使用紧急复制的方式。它以一种“推”的机制来立即更新DC上的AD数据库，包括任何新的停用帐户、RID集区变更和DC帐户变更。紧急复制运作模式会立刻传递变更通知给所有的复制伙伴，而不会等到暂停时间结束。 3、定时检查复制 每小时（定制的复制时间）检查复制的状态1次，包括更改通知复制和紧急复制，在接受通知更新和紧急复制后的数据是否同步、丢失数据或复制没有完成等。如果出现上述状况，将通知初始域控制器，以“拉”的方式复制没有更新的数据，复制立即执行。 实验p142 定制复制的时间 四、复制方式 站点复制通常就是将同一AD站点的数据内容同时保存在网络中不同的位置，以便于所有用户的快速调用，同时可以起到备份的目的。 AD站点复制使用的是一种多主机复制模型，允许在任何DC上（而不只是委派的主域控制器上）更改目录数据。 AD依靠站点来保持复制的效率，并依靠KCC来自动确定网络的最佳复制拓扑。 1、站点间复制 KCC使用开销最低的跨越树设计建立站点间复制拓扑。 站点间复制被优化为最佳的带宽效率，并且站点之间的目录更新可根据配置的日程安排自动进行。 站点间复制的目录更新被压缩以节省带宽。 建立站点间复制拓扑：AD站点复制服务使用用户提供的关于站点连接的信息，自动建立最有效的站点间复制拓扑。该目录将此信息存储为站点连接对象。每个站点被指派一个域控制器（称为站点间拓扑生成程序）以建立该拓扑。使用最低开销跨越树算法以消除站点间的冗余复制路径。站点间复制拓扑将定期更新，以响应网络中发生的任何更改，可以通过在创建站点连接时所提供的信息来实现DC站点间复制。 确定何时发生站点间复制。AD站点复制服务提供最小化复制的频率以及允许安排站点复制链接的可用性，来节省站点间的带宽。默认情况下，跨越每个站点链接的站点间复制每180分钟进行1次。另外如果实际条件不允许，还可以通过调整该频率来满足自己的具体需求。 2、站点内复制 KCC使用双向环式设计建立站内复制拓扑结构。 站内复制可实现速度优化，站点内的目录更新根据更改通知自动进行，站内复制的目录更新不压缩。 建立站内复制拓扑。 KCC使用双向环式设计自动建立站内复制拓扑。这种双向环式拓扑至少将为每个DC创建2个连接（用于容错），任意两个DC