Active Directory 複寫概念
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
在設計站台拓撲之前,請先熟悉一些 Active Directory 複寫概念。
Connection 物件
連線物件是 Active Directory 物件,代表從來源網域控制站到目的地網域控制站的複寫連線。 網域控制站是單一站台的成員,在站台中以 Active Directory Domain Services (AD DS) 中的伺服器物件表示。 每個伺服器物件都有代表站台中複寫網域控制站的子系 NTDS 設定物件。
連線物件是目的地伺服器上 NTDS 設定物件的子系。 若要在兩個網域控制站之間進行複寫,其中一個網域控制站的伺服器物件必須有一個連線物件,代表來自另一個網域控制站的輸入複寫。 網域控制站的所有複寫連線都會儲存為 NTDS 設定物件下的連線物件。 連線物件會識別複寫來源伺服器、包含複寫排程,並指定複寫傳輸。
知識一致性檢查工具 (KCC) 會自動建立連線物件,但也可以手動建立連線物件。 KCC 建立的連線物件會在 Active Directory 站台及服務嵌入式管理單元中,以<自動產生>的形式顯示,且在正常作業情況下應已足夠使用。 系統管理員建立的連線物件是手動建立的連線物件。 手動建立的連線物件會由系統管理員在建立時指派的名稱來識別。 修改<自動產生>的連線物件時,會將它轉換成系統管理修改的連線物件,且物件會以 GUID 形式顯示。 KCC 不會對手動或修改的連線物件進行變更。
KCC
KCC 是內建程序,可在所有網域控制站上執行,並產生 Active Directory 樹系的複寫拓撲。 KCC 會根據複寫發生在站台內部 (站台內) 或站台之間 (站台間),來建立個別的複寫拓撲。 KCC 也會動態調整拓撲,以配合新增的新網域控制站、移除現有的網域控制站、將網域控制站移入和移出站台、變更成本和排程,以及暫時無法使用或處於錯誤狀態的網域控制站。
在站台內,可寫入網域控制站之間的連線一律會排列在雙向通道,結合其他捷徑連線,以減少大型站台中的延遲。 另一方面,站台間拓撲是跨越樹狀目錄的分層,這表示每個目錄分割區的任何兩個站台之間存在一個站台間連線,而且通常未包含捷徑連線。 如需跨越樹狀目錄和 Active Directory 複寫拓撲的詳細資訊,請參閱 Active Directory 複寫拓撲技術參考 (https://go.microsoft.com/fwlink/?LinkID=93578)。
在每個網域控制站上,KCC 會建立可定義來自其他網域控制站連線的單向輸入連線物件,藉以建立複寫路由。 針對相同站台中的網域控制站,KCC 會自動建立連線物件,而不需要系統管理介入。 有多個站台時,您可以在站台之間設定站台連結,而每個站台中的單一 KCC 也會自動建立站台之間的連線。
針對 Windows Server 2008 RODC 的 KCC 改善
有許多 KCC 改善功能,可配合 Windows Server 2008 中新提供的唯讀網域控制站 (RODC)。 RODC 的典型部署案例是分公司。 此案例中最常部署的 Active Directory 複寫拓撲是以中樞與輪輻設計為基礎,其中多個站台中的分支網域控制站會使用中樞站台中的少量 Bridgehead 伺服器進行複寫。
在此案例中部署 RODC 的優點之一是單向複寫。 Bridgehead 伺服器不需要從 RODC 進行複寫,這可減少系統管理和網路使用量。
不過,舊版 Windows Server 作業系統上中樞輪輻拓撲所強調的一項系統管理挑戰是,在中樞新增 Bridgehead 網域控制站之後,沒有自動化機制可重新發佈分支網域控制站與中樞網域控制站之間的複寫連線,以利用新的中樞網域控制站。
針對 Windows Server 2008 RODC,KCC 的正常運作可提供一些重新平衡。 該新功能預設會啟用。 您可以藉由在 RODC 上新增下列登錄機碼來停用它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"1 = Enabled (預設),0 = Disabled
如需這些 KCC 改善功能運作方式的詳細資訊,請參閱規劃和部署分公司的 Active Directory Domain Services (https://go.microsoft.com/fwlink/?LinkId=107114)。
容錯移轉功能
站台可確保在發生網路失敗和離線網域控制站時會路由複寫。 KCC 會以指定的間隔執行,以調整 AD DS 中所發生變更的複寫拓撲,例如新增網域控制站和建立新站台時。 KCC 會檢閱現有連線的複寫狀態,以判斷是否有任何連線無法運作。 如果連線因網域控制站失敗而無法運作,KCC 會自動建立與其他複寫夥伴的暫存連線 (如果有的話),以確保複寫發生。 如果站台中的所有網域控制站都無法使用,KCC 會自動從另一個站台建立網域控制站之間的複寫連線。
子網路
子網路是獲指派一組邏輯 IP 位址的 TCP/IP 網路區段。 子網路會以識別其在網路上實體鄰近性的方式將電腦分組。 AD DS 中的子網路物件會識別用來將電腦對應至站台的網路位址。
地點
站台是 Active Directory 物件,代表一或多個具有高度可靠且快速網路連線的 TCP/IP 子網路。 站台資訊可讓系統管理員設定 Active Directory 存取和複寫,以最佳化實體網路的使用量。 站台物件會與一組子網路相關聯,而且樹系中的每個網域控制站都會根據其 IP 位址與 Active Directory 站台相關聯。 站台可以裝載來自多個網域的網域控制站,而且一個網域可以呈現在多個站台中。
站台連結
站台連結是 Active Directory 物件,代表 KCC 用來建立 Active Directory 複寫連線的邏輯路徑。 站台連結物件代表一組站台,可透過指定的站台間傳輸,以統一的成本進行通訊。
站台連結中包含的所有站台都會被視為透過相同網路類型進行連線。 站台必須使用站台連結手動連結至其他站台,讓某個站台中的網域控制站可以從另一個站台中的網域控制站複寫目錄變更。 由於站台連結不會對應到實體網路上網路封包在複寫期間所採取的實際路徑,因此您不需要建立備援站台連結,以改善 Active Directory 複寫效率。
透過站台連結連線兩個站台時,複寫系統會自動在每個站台中的特定網域控制站之間建立連線,稱為 Bridgehead 伺服器。 在 Windows Server 2008 中,裝載相同目錄分割區之站台中的所有網域控制站都是可做為 Bridgehead 伺服器的候選項目。 KCC 所建立的複寫連線會隨機分散到站台中所有候選 Bridgehead 伺服器,以共用複寫工作負載。 依預設,隨機化選取程序只會在連線物件第一次新增至站台時發生一次。
站台連結橋接器
站台連結橋接器是一個 Active Directory 物件,代表一組站台連結,其所有站台都可以使用一般傳輸進行通訊。 站台連結橋接器可讓未透過通訊連結直接連線的網域控制站彼此複寫。 一般而言,站台連結橋接器會對應至 IP 網路上的一部路由器 (或一組路由器)。
依預設,KCC 可以透過具有某些共通站台的任何和所有站台連結,形成具轉移性的路由。 如果停用此行為,則每個站台連結都代表它自己的相異和隔離網路。 可視為單一路由的站台連結集合會透過站台連結橋接器來表示。 每個橋接器都代表網路流量的隔離通訊環境。
站台連結橋接器是以邏輯方式代表站台之間的可轉移實體連線的機制。 站台連結橋接器可讓 KCC 使用內含站台連結的任何組合,來判斷與這些站台中保存的目錄分割區交互連線的成本最低路由。 站台連結橋接器未提供網域控制站的實際連線能力。 如果移除站台連結橋接器,在 KCC 移除連結之前,透過合併站台連結的複寫將會繼續。
站台連結橋接器只有在站台包含的網域控制站裝載目錄分割區 (其也未裝載在相鄰站台的網域控制站上),但裝載該目錄分割區的網域控制站位於樹系中的一或多個其他站台時才需要。 連續的站台會定義為單一站台連結中包含的任何兩個或多個站台。
站台連結橋接器會在兩個站台連結之間建立邏輯連線,使用過渡站台在兩個中斷連線的站台之間提供可轉移路徑。 為了站台間拓撲產生器 (ISTG) 的目的,橋接器隱含表示使用過渡站台的實體連線能力。 橋接器並不隱含表示過渡站台中的網域控制站會提供複寫路徑。 不過,如果過渡站台包含裝載要複寫的目錄分割區的網域控制站,則就會是這種情況,在此情況下,不需要站台連結橋接器。
每個站台連結的成本會增加,為產生的路徑建立總和成本。 如果過渡站台未包含裝載目錄分割區的網域控制站,且不存在成本較低的連結,則會使用站台連結橋接器。 如果過渡站台包含裝載目錄分割區的網域控制站,則兩個中斷連線的站台會設定與過渡網域控制站的複寫連線,而不會使用橋接器。
站台連結轉移性
依預設,所有站台連結都具轉移性或稱為「橋接式」。當站台連結橋接和排程重疊時,KCC 會建立複寫連線,以決定站台之間的網域控制站複寫夥伴,其中的站台不是透過站台連結直接連線,而是透過一組通用站台以轉移方式連線。 這表示您可以透過站台連結的組合,將任何站台連線到任何其他站台。
一般而言,針對完全路由的網路,除非您想要控制複寫變更的流程,否則不需要建立任何站台連結橋接器。 如果您的網路未完全路由,應該建立站台連結橋接器,以避免不可能的複寫嘗試。 特定傳輸的所有站台連結都會隱含地屬於該傳輸的單一站台連結橋接器。 站台連結的預設橋接會自動發生,而且沒有任何 Active Directory 物件會代表該橋接器。 可在 IP 和簡易郵件傳輸通訊協定 (SMTP) 站台間傳輸容器的屬性中找到的橋接所有站台連結設定,會實作自動站台連結橋接。
注意
未來版本的 AD DS 中將不支援 SMTP 複寫;因此,不建議在 SMTP 容器中建立站台連結物件。
通用類別目錄伺服器
通用類別目錄伺服器是網域控制站,可儲存樹系中所有物件的相關資訊,讓應用程式可以在不參考儲存所要求資料的特定網域控制站的情況下搜尋 AD DS。 如同所有網域控制站,通用類別目錄伺服器會儲存結構描述和組態目錄分割區的完整、可寫入複本,以及所裝載網域的網域目錄分割區的完整可寫入複本。 此外,通用類別目錄伺服器會儲存樹系中每個其他網域的部分唯讀複本。 部分唯讀網域複本包含網域中的每一個物件,但只有屬性的子集 (最常用於搜尋物件的那些屬性)。
通用群組成員資格快取
通用群組成員資格快取可讓網域控制站快取使用者的通用群組成員資格資訊。 您可以使用 Active Directory 站台及服務嵌入式管理單元,讓執行 Windows Server 2008 的網域控制站快取通用群組成員資格。
啟用通用群組成員資格快取可免除網域中每個站台的通用類別目錄伺服器的需求,這可將網路頻寬使用量降到最低,因為網域控制站不需要複寫位於樹系中的所有物件。 它也會減少登入時間,因為驗證網域控制站不一定需要存取通用類別目錄以取得通用群組成員資格資訊。 如需使用通用群組成員資格快取時機的詳細資訊,請參閱規劃通用類別目錄伺服器放置。