《二零一六_R2_AD_DS架构-第05部分_站点复制、AD数据库维护》.pdf

第05部 配置AD站点和DC 间复制、域信任 配置AD站点和DC 间复制、域信任 本章重点 AD域的定义及功能 域控制器 多域的架构 站点与GC之间 何谓域 简言之,共享同一份AD数据库之计算机所组成的 集合便是一个域！ 由于AD数据库里头包含了用户帐户、用户密码、 计算机帐户、权限设定等等资讯,所以同域内 的计算机和使用者,都是由同一份AD数据来决 定谁可以存取哪些资源、谁可以做哪些工作 等等。 说实在的,管理网络并非一定要有域不可－－但 是有域可以省下很多工夫！ 域－中央集权的架构 要管理分散于各服务器的帐户数据库,是一件让 人头痛的事,不如选一部计算机专门负责管理 帐户资料,让其它的计算机都以它的帐户数据 库为准。 如此一来,无论使用者或服务器的数量增加多少, 网络管理员都只要维护一个数据库即可。 同样以10部服务器和100位使用者的环境为例, 假设我们将10部服务器的帐户数据库整合成 一个,储存在A服务器。 域－中央集权的架构 域名 在不同的应用场合,我们会使用不同的格式来表 示域名称,其中较常用到的2种格式,便是DNS 域名和LDAP域名： DNS域名 AD域的命名方式与DNS相同,例如： LDAP域名 DNS域名利用 『. 』来区隔域,但是LDAP则是以 『DC 』(Domain Component,域组件)来代表每一层域。 因此用LDAP域名将FLAG.COM.CN表示如下： DC=FLAG,DC=COM,DC=CN 域控制器DC 先前曾介绍过,存放AD数据库、管理域中的AD对 象,并提供身分验证服务的计算机称为域控制 器（DC, Domain Controller）。 倘若不用 『域控制器』这个微软发明的术语,我 们可以称它为 『身分验证服务器』 （AuthenticationServer）－－因为它主要 用来执行身分验证工作。 又因为通常是在登入时执行验证,所以也可以称 为 『登入服务器』 （Logon Server）。 建立多部DC 的考虑 因为单靠一部DC的话,万一它无法提供服务（关 机、当机或断线）,会导致所有使用者都无法 登入,整个域形同瘫痪。 如果有其它DC,便可以照常提供服务,域功能不 会停摆,等于提供了 『容错』 （FaultTolerance）机制。 此外,由于域可涵盖多个区域网路,而这些局域 网络之间可能透过低带宽的因特网连线,为了 避免登入迟缓或失败,便可在各局域网络中架 设DC,以提升效率。 DC之间的复制机制 当域中有多部DC时,为了使每个AD数据库有相同 的内容,每部DC会将异动的数据复制给其它DC, 这种机制称为 『复制』 （Replication） 。 然而复制并非只是单存地将整个数据库复制 （Copy）过去,而是会遵循以下的基本原则来 运作： 采用局部复制减低数据量 当两部DC进行AD数据的同步化时,并不会复制全部 的AD资料库,而只是复制变动的部份。 DC复制时会自动协调出合适的方式,其中直接相互 复制的对象称为 『复制伙伴』 （Replication Partner）。 DC之间的复制-更新序号 每部DC各有自己的更新序号（USN, Update Sequence Number）,当AD数据库更新完毕后, 即自动将本身的更新序号加1。 而每部DC也记录复制伙伴的更新序号。 因此,当某部DC的更新序号变动时,其复制伙伴 随即就会知道,然后开始执行复制动作。 复制动作会沿既定的顺序执行,直到所有的AD数 据库内容都同步为止。 DC之间的复制-冲突 发生冲突时以 『更新戳记』决定优先级 由于在域的每部DC都可修改AD 资料库,因此若两位使用者 分别在不同DC上修改同一对象的属性,在复制过程即会 造成冲突。 此时系统会以 『更新戳记』