活动目录复制

自从 Windows 2000 Server 中引入 Active Directory 技术以来，IT 管理员就一直在使用和围绕 Active Directory 进行工作。 Windows 2000 Server 于 2000 年 2 月 17 日发布，但许多管理员在 1999 年末开始使用 Active Directory，当时 Active Directory 于 1999 年 12 月 15 日发布到生产环境 (RTM)。

在教程的这一部分中，我们将讨论 AD 复制。

活动目录复制

Active Directory 复制是将 Active Directory 对象从一个 DC 传输和更新到另一个 DC 的方法。

DC 之间的连接是根据它们在森林和站点中的位置构建的。 Active Directory 中的每个站点都包含一个或多个子网，这些子网标识与该站点关联的 IP 地址范围。通过将 DC 的 IP 地址映射到子网，Active Directory 知道哪些 DC 位于哪个站点。在站点之间配置连接以确保在站点之间复制 Active Directory 对象。

技术

Active Directory 复制依赖于以下技术才能成功运行：

1. 域名系统

1. 远程过程调用 (RPC)

1. SMTP（可选）

1. 克伯罗斯

1. LDAP

主要成分

Active Directory 中有四个复制的主要组件：

• 多主机复制

与 Windows NT 4.0 中使用的单主复制相比，多主复制可确保每个域控制器都能接收其授权对象的更新。这提供了 Active Directory 环境中的容错能力。

• 拉复制

拉式复制可确保 DC 请求对象更改，而不是推送更改（尤其是不必要的更改）。拉动会稍微减少 DC 之间的复制流量。

• 存储转发复制

存储转发复制可确保每个 DC 与 DC 的子集进行通信，以传输已发生的对象更改。通过存储转发，每个 DC 都会与其他每个 DC 进行通信，这是低效的。存储转发复制可平衡 Active Directory 环境中 DC 之间的复制负载。

• 基于状态的复制

基于状态的复制可确保每个 DC 跟踪复制更新的状态，从而消除冲突和不必要的复制。

复制管理

复制由知识一致性检查器(KCC)管理。

KCC 通过使用自动创建的连接来管理单个站点中 DC 之间的复制。 KCC 读取配置数据并读写 DC 的连接对象。 KCC 仅使用 RPC 与目录服务通信。

站点内复制不使用压缩，更改会立即发送到 DC。但是，站点间复制依赖于必须创建的用户定义的链接。 KCC 使用这些链接创建拓扑，以便跨站点到站点链接管理复制。

可以按计划控制站点连接，并压缩复制数据以最大限度地减少带宽使用。站点到站点连接的默认复制计划为180 分钟，这对于绝大多数组织来说通常太长。在 GUI 中可以将其配置为低至 15 分钟，甚至可以通过修改注册表来配置得更快。

复制数据包大小是根据 DC 中的 RAM 量计算的。默认情况下，数据包大小限制为 RAM 大小的 1/100，最小为 1 MB，最大为 10 MB。此外，数据包中对象的最大数量为系统 RAM 大小的 1/1,000,000th，最少 100 个对象，最多 1,000 个对象。因此，在具有超过 1 GB 或 RAM 的现代服务器中，复制数据包大小将包含最多 10 MB 的数据或最多 1,000 个对象。可以通过修改 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters 位置中的注册表来配置最大数据包大小和对象限制。

主要复制组件

以下是主复制组件的组件：

• 知识一致性检查器（KCC）

KCC 是一个在每个 DC 上运行的进程，直接与 Ntdsa.dll 通信以读取和写入复制对象。

• 目录系统代理 (DSA)

DSA 是一个目录服务组件，在每个 DC 上作为 Ntdsa.dll 运行。它为服务和进程提供读取目录数据库的接口。

• 可扩展存储引擎 (ESE)

ESE 管理目录数据库记录，其中可能包含一列或多列。

• 远程过程调用 (RPC)

目录复制通过使用RPC协议进行通信。 RPC 是一种通信协议，允许开发人员在本地或远程系统上执行代码，而无需开发用于远程执行的特定代码。 KCC 还使用 RPC 与 DC 通信，以在构建复制拓扑时请求信息。

• 站点间拓扑生成器 (ISTG)

ISTG 管理特定站点的站点间入站复制连接对象。每个站点有一台 ISTG 服务器。默认情况下，每个站点中的第一个 DC 是 ISTG。要在名为 tailspintoys.com 的域中名为 HQ 的站点中查找 ISTG，您可以运行 Get- ADObject -Identity “cn=NTDS Site Settings,cn=HQ,cn=sites ,cn=configuration,dc=tailspintoys,dc=com” - 属性 interSiteTopologyGenerator |选择 interSiteTopologyGenerator Windows PowerShell 命令。

KCC 及其组件使用的Active Directory 对象包括：

• 站点

站点是站点类中的 Active Directory 对象，对应于给定站点中的子网。

• 子网

子网对象属于子网类，定义站点对应的网络IP子网。

• 服务器

服务器类中的服务器对象代表服务器计算机，包括 DC。服务器对象被视为安全主体，它们存储在单独的目录分区中，并具有单独的全局唯一标识符 (GUID)。

• NTDS 设置

NTDS 设置对象位于 nTDSDSA 类中，代表特定 DC 上的 Active Directory 实例。

• 连接

连接对象位于 nTDSConnection 类中，并定义从源 DC 到存储连接对象的 DC 的单向入站路由。

• 网站链接

站点链接对象位于 siteLink 类中，并标识在两个或多个站点之间复制数据的协议和计划。

• NTDS 站点设置

NTDS 站点设置对象位于 nTDSSiteSettings 类中，并标识 Active Directory 的站点范围设置。站点容器中的每个站点只有一个 NTDS 站点设置对象。

• 交叉引用

交叉引用对象位于 crossRef 类中，并将 Active Directory 分区的位置存储在 Partitions 容器中。

下图显示了带有一些复制组件的典型双站点 Active Directory 环境。

复制命令和工具

从 Windows Server 2012 中的 Windows PowerShell 开始，有25 个 cmdlet 专门用于管理 Active Directory 复制。这些 cmdlet 提供查看复制信息、配置站点、管理站点链接以及强制进行复制等功能。

RepAdmin.exe 命令行工具还可用于提供信息和配置 Active Directory 复制。

另一个复制工具是Active Directory 复制状态工具。可以从 http://www.microsoft.com/en-us/download/details.aspx?id=30005 获取。您可以使用它来分析和解决 Active Directory 复制问题。

有关 Active Directory 基础的更多信息，您可以在我们的 AD 初学者教程中找到。