Active Directory(AD)复制是如何工作的?当它不能正常运行的时候我们应该做些什么?
在这之前,你的公司已经部署了Windows 2000及Active Directory,所有的事情已经很完美地工作了一段时间,但现在你开始感觉到Windows 2000并没有完全像Microsoft所承诺的那样完美。许多管理员并没有对排除正常的目录服务逐渐变坏所产生的故障做好准备。不幸的是,AD的复制是 Windows 2000中一个很少去理解的功能,现在是逐步展开理解复制的内部工作原理并发现可用的故障排除工具的时候了。
复制概述 AD是一个数据库,默认地,每个域控制器(DC)在它的“\winnt\ntds”文件夹中以ntds.dit文件形式存储这个数据库的一个副本。AD数据库从逻辑上划分为三个目录分区,又称为命名上下文(Naming Context,NC),它们分别是架构NC(Schema NC)、配置NC(Configuration NC)以及域NC(Domain NC)。森林中所有的DC都拥有同样的架构NC和配置NC,因为这些信息是在森林范围被定义的,而在一个AD域中的每个DC上拥有本域的域NC的同样的副本。如果DC被指派为全局编录(GC)服务器,那么这台DC同时包含森林中其他域的域NC的一部分副本,这部分副本包括所有来自个域中的对象,但仅仅是属性的一个子集。
复制是AD在域或森林中对拥有这些信息的所有DC之间的信息进行同步的一种机制。AD使用知识一致性检查器(Knowledge Consistency Checker ,KCC)、站点(Site)、站点链路(Site Link)和连接对象(Connection Object)来实现这个复制操作。
KCC是运行在所有DC上的一个内置进程,用来创建森林的复制拓扑。你可以使用站点来组织附近网络中被高速连接在一起的DC,你的网络与AD构架决定了一台DC是否属性高速连接,许多公司认为连接各DC的网络速度达到10M以上带宽就可称之为高速连接。站点的创建通常以子网为基础,如果多个子网高速连接在一起,你也可以把他们组织为一个站点。一个站点内DC之间的复制称为站内复制,为了建立一个站内复制拓扑,KCC自动在站点内的DC之间创建连接对象。连接对象同样也是跨站点连接DC的单向连接器。每个链路就像一条通道,表示一个从源DC到目的 DC的入站链接。在站点内两台DC相互之间复制目录数据之前,你必须建立两个分离的连接对象。
如果有些DC之间没有高速连接,你就需要创建多个站点,分离的站点之间的复制称为站间复制。AD管理员使用Active Directory站点与管理控制台(MMC)管理单元来创建站点链路,它提供了站点之间进行数据复制的通道。在AD管理员建立这些通道之后,KCC在链接的站点之间创建连接对象。典型情况下,并不是所有的DC共享所有的信息(比如,各个域中的DC可能维护不同的数据)。因此,KCC可能需要建立多个连接对象来确保在整个企业中的每个NC被完全复制。在图1中显示了一个站间连接对象的例子,站点A与站点B通过一个手工创建的站点链路连接。在这个例子中, KCC已经创建了两个单向连接对象复制来自同一个域中二台DC之间的三个NC。
图1 桥头服务器(bridgehead server)是复制拓扑中另一个组件,如果你使用过Microsoft Exchange服务器,你应该熟悉这个服务器的角色。为了增加复制的有效性,KCC不会对一个站点内所有的DC与另一个站点内所有的DC之间创建单个连接对象,相反,KCC在两台桥头服务器(每个站点中一台)之间使用存储并转发的信息复制机制。然后桥头服务器使用站内复制把信息复制到它所在站点的其余DC上。关于桥头服务器的更多信息,请参见附文《桥头服务器》。
复制得到了什么? 考虑AD对更改一个DC的目录对象的能力,AD需要一种有效的方法去判断哪一个对象已经被更改以及是否需要被复制到复制伙伴的其他DC中。AD使用更新顺序号(Update Sequence Number,USN)来跟踪什么时候目录发生变化,USN是由AD在本地每台DC指定的64位计数器。当AD、用户、管理员或者应用程序更新一个属性时,DC查看属性的当前USN值,把值增加,并且对更新的对象指定一个新的值作为它本地的USN。
在AD复制拓扑内部,复制伙伴以一种高水印(high-watermark)值的方式来保持他们对来自源DC最近更新的跟踪。当一个目的DC从源DC请求更新时,为返回更新,目的DC 会把它的高水印值发送给源DC,源DC以这个高水印值作为一个基准,仅发送高水印值高于这一基准的目录对象到目的DC,因此减少了网络线路中不必要的复制数据流量。
京公网安备 11010802021500号