AD站点是什么?
大多数管理员对站点的认知是,站点就是一个物理位置,就像一个办公室或者一个城市,它们通常以WAN网连接来隔离。这些站点通过网络链路进行物理上的连接,网络链路可以是基础的拨号连接或者复杂的光纤链路,物理位置和链路结合在一起构成了物理网络的基础架构。在物理网络架构中AD所代表的对象被称为站点,AD站点对象保存在配置分区(CN=Sites,CN=Configuration,DC=contoso,DC=com)并被用于实现两种主要的服务管理任务:
- 管理复制流量。在企业环境中一般有两种网络连接类型,高速连接和低速连接。从理论上来说,处于高速网络的环境中,AD发生了变更后应该可以立即将变更的信息复制到其他DC,但是由于你的网络可能很慢,或者价格昂贵,或者可靠性差等原因,你不想让变更的信息立即复制到其他站点,而是希望让复制流量以低速连接传递到公司的各个分支,以达到优化网络,降低花费和管理带宽使用的目的。AD站点代表了企业中的高速连接,当你定义了一个站点,站点内的DC立即会复制变更的信息,但是你可以根据自己的需要调整站点之间的复制计划。
- 提供服务位置。AD站点可以帮助你定位服务,它通过DC来提供这些功能。在你登录的时候,Windows客户端会自动的寻找自身所在站点中的DC,如果自身站点中的DC是不可用的,那么他们会去寻找最近站点中的DC,然后通过这台DC来进行验证。
站点还可以用来作为GPO的链接位置,这种情况下,站点代表了GPO层次中的顶层,GPO的设置会首先被应用在站点上。
子网对象是什么?
子网对象是用于标识计算机映射到AD站点的网络地址,子网就是被指派了一组IP地址的TCP/IP网段,因为子网对象映射的是物理网络,所以站点也映射了物理网络。站点可以由一个或者多个子网组成,例如你的网络中有3个子网在纽约,2个子网在伦敦,你可以在纽约和伦敦各建一个站点,然后将每个地区拥有的子网加入到各自的站点中。
注意:在设计你的AD站点配置的时候,正确的将IP子网映射到站点是非常重要的,如果你底层的网络配置发生了变化,你必须确保这些变化在对应的IP子网到站点的映射中同步变更。DC会根据AD中的IP子网信息将客户端计算机和服务器对应到正确的AD站点,如果映射出现误差,AD的一些操作很可能会发生跨WAN网链路,甚至是操作被中断的情况。
默认首站点
在安装林的第一个DC的时候AD会自动创建一个默认站点,默认站点的名称是Defaul-First-Site-Name,这个名称是可以被修改的。如果你只有一个站点,就没有必要去配置子网和额外的站点,因为所有的机器都会被默认站点所覆盖,但是如果使用多站点就必须配置各自的子网。
部署多站点的4个理由:
- 网络之间通过慢速链接进行通信。根据之前提到的,本地站点链接具有快速,可靠,低花费的特性,如果两个地区之间通过慢速网络连接,你应该在每个地区配置一个单独的AD站点,通常慢速链接是低于512KB/S的连接速率。
- 在某个网络中用户数较多,需要部署DC或其他服务在这个地区。连接的用户数也会影响到你的站点设计,如果一个网络位置中有足够的用户数,无法正常的通过验证会是一个很头疼的问题,如果我们在这个位置部署一台DC用于支持用户的验证,用户的验证问题就可以在部署完DC或者其他分布式服务之后被解决,你可能还想管理AD复制到什么位置或者让某些服务本地化,那么可以配置一个AD站点来代表这个位置。
- 需要将服务本地化。通过建立AD站点,你可以确保客户端使用离他最近的DC进行验证,从而减少了验证的延时,降低了WAN网连接的流量。在大多数情况下,每个站点都会连接到一台DC,但是你配置站点可能只是用于服务本地化,而不需要用来做验证,比如DFS,BranchCache,Exchange服务,这些特殊情况下,站点里面是不需要安装DC的。
- 需要控制DC之间的复制。可能某些时候两台网络连接良好的DC只允许在特定的时间进行通信,创建站点可以控制DC之间如何进行复制,何时进行复制。
站点之间是如何进行复制的?
站点内复制的主要特点是:
- 站点内的网络连接可靠,并且有足够的可用带宽。
- 站点内的复制流量是未压缩的,因为站点是一种高速,可靠的网络连接,不压缩复制流量可以减少DC的负载,但是会增加带宽的消耗。
- 通过变更通知发起站内的复制。
站点之间复制的主要特点:
- 站点之间的网络链路的可用带宽有限,可能花费较高,或者可靠性较差。
- 站点之间的复制流量可以通过压缩的方式来优化带宽的利用率。复制流量在传送前可以压缩到原来的10%-15%,虽然压缩可以优化网络的带宽,但是在压缩和解压的时候会给DC带来额外的处理器负载。
- 当你定义好了一些可配置的值后(如复制计划或复制间隔),站点之间会自动开始复制。你可以将复制计划定在非工作时间,变更数据在站点之间的复制默认是根据你定义的复制计划来执行的,而不是根据数据变更的时间来进行复制。复制计划决定复制何时被执行,复制计划的间隔是指在复制执行期间,DC检查数据变更的频率。
AD站点之间的变更通知的传递方式
AD的变更数据在不同站点的DC之间复制,它们是根据定义好的复制计划来执行的,而不是像站点内复制一样只要变更发生就会执行复制动作。因为这个原因,林中的复制延时就等于是任意目录分区按照最长的复制路径经历最大的复制延时的总和,在某些场景中,这种机制是非常低效的。
为了避免复制的延时,我们可以通过在站点之间的链接配置变更通知,打开站点链路对象,将所有的站点链接启用站点之间的变更通知,由于复制伙伴之间是跨站点的接收变更通知,所以站点之间的复制间隔实际上是被忽略的,然后变更的起始DC通知其他站点的DC有数据变更,就像在站点内部通知DC数据变更一样。
对于账号锁定或其他类似的安全性有关的变更,对复制的即时性要求较高,所以在这种情况下,我们需要使用紧急复制,紧急复制绕过了通知延时,直接发送变更通知。但是如果你没有在站点之间启用变更通知,站点的复制始终还是会根据站点链接的复制间隔执行复制。
注意:当用户密码变更之后,PDC操作主机会发起即时复制,这个与紧急复制是不同的,因为即时复制是马上就执行的,不需要理会站点的复制间隔。