Windows活动目录系列---AD站点(1)

AD站点是什么?

大多数管理员对站点的认知是,站点就是一个物理位置,就像一个办公室或者一个城市,它们通常以WAN网连接来隔离。这些站点通过网络链路进行物理上的连接,网络链路可以是基础的拨号连接或者复杂的光纤链路,物理位置和链路结合在一起构成了物理网络的基础架构。在物理网络架构中AD所代表的对象被称为站点,AD站点对象保存在配置分区(CN=Sites,CN=Configuration,DC=contoso,DC=com)并被用于实现两种主要的服务管理任务:

  1. 管理复制流量。在企业环境中一般有两种网络连接类型,高速连接和低速连接。从理论上来说,处于高速网络的环境中,AD发生了变更后应该可以立即将变更的信息复制到其他DC,但是由于你的网络可能很慢,或者价格昂贵,或者可靠性差等原因,你不想让变更的信息立即复制到其他站点,而是希望让复制流量以低速连接传递到公司的各个分支,以达到优化网络,降低花费和管理带宽使用的目的。AD站点代表了企业中的高速连接,当你定义了一个站点,站点内的DC立即会复制变更的信息,但是你可以根据自己的需要调整站点之间的复制计划。
  2. 提供服务位置。AD站点可以帮助你定位服务,它通过DC来提供这些功能。在你登录的时候,Windows客户端会自动的寻找自身所在站点中的DC,如果自身站点中的DC是不可用的,那么他们会去寻找最近站点中的DC,然后通过这台DC来进行验证。

站点还可以用来作为GPO的链接位置,这种情况下,站点代表了GPO层次中的顶层,GPO的设置会首先被应用在站点上。

子网对象是什么?

子网对象是用于标识计算机映射到AD站点的网络地址,子网就是被指派了一组IP地址的TCP/IP网段,因为子网对象映射的是物理网络,所以站点也映射了物理网络。站点可以由一个或者多个子网组成,例如你的网络中有3个子网在纽约,2个子网在伦敦,你可以在纽约和伦敦各建一个站点,然后将每个地区拥有的子网加入到各自的站点中。

注意:在设计你的AD站点配置的时候,正确的将IP子网映射到站点是非常重要的,如果你底层的网络配置发生了变化,你必须确保这些变化在对应的IP子网到站点的映射中同步变更。DC会根据AD中的IP子网信息将客户端计算机和服务器对应到正确的AD站点,如果映射出现误差,AD的一些操作很可能会发生跨WAN网链路,甚至是操作被中断的情况。

默认首站点

在安装林的第一个DC的时候AD会自动创建一个默认站点,默认站点的名称是Defaul-First-Site-Name,这个名称是可以被修改的。如果你只有一个站点,就没有必要去配置子网和额外的站点,因为所有的机器都会被默认站点所覆盖,但是如果使用多站点就必须配置各自的子网。

部署多站点的4个理由:

  1. 网络之间通过慢速链接进行通信。根据之前提到的,本地站点链接具有快速,可靠,低花费的特性,如果两个地区之间通过慢速网络连接,你应该在每个地区配置一个单独的AD站点,通常慢速链接是低于512KB/S的连接速率。
  2. 在某个网络中用户数较多,需要部署DC或其他服务在这个地区。连接的用户数也会影响到你的站点设计,如果一个网络位置中有足够的用户数,无法正常的通过验证会是一个很头疼的问题,如果我们在这个位置部署一台DC用于支持用户的验证,用户的验证问题就可以在部署完DC或者其他分布式服务之后被解决,你可能还想管理AD复制到什么位置或者让某些服务本地化,那么可以配置一个AD站点来代表这个位置。
  3. 需要将服务本地化。通过建立AD站点,你可以确保客户端使用离他最近的DC进行验证,从而减少了验证的延时,降低了WAN网连接的流量。在大多数情况下,每个站点都会连接到一台DC,但是你配置站点可能只是用于服务本地化,而不需要用来做验证,比如DFS,BranchCache,Exchange服务,这些特殊情况下,站点里面是不需要安装DC的。
  4. 需要控制DC之间的复制。可能某些时候两台网络连接良好的DC只允许在特定的时间进行通信,创建站点可以控制DC之间如何进行复制,何时进行复制。

站点之间是如何进行复制的?

站点内复制的主要特点是:

  1. 站点内的网络连接可靠,并且有足够的可用带宽。
  2. 站点内的复制流量是未压缩的,因为站点是一种高速,可靠的网络连接,不压缩复制流量可以减少DC的负载,但是会增加带宽的消耗。
  3. 通过变更通知发起站内的复制。

站点之间复制的主要特点:

  1. 站点之间的网络链路的可用带宽有限,可能花费较高,或者可靠性较差。
  2. 站点之间的复制流量可以通过压缩的方式来优化带宽的利用率。复制流量在传送前可以压缩到原来的10%-15%,虽然压缩可以优化网络的带宽,但是在压缩和解压的时候会给DC带来额外的处理器负载。
  3. 当你定义好了一些可配置的值后(如复制计划或复制间隔),站点之间会自动开始复制。你可以将复制计划定在非工作时间,变更数据在站点之间的复制默认是根据你定义的复制计划来执行的,而不是根据数据变更的时间来进行复制。复制计划决定复制何时被执行,复制计划的间隔是指在复制执行期间,DC检查数据变更的频率。

AD站点之间的变更通知的传递方式

AD的变更数据在不同站点的DC之间复制,它们是根据定义好的复制计划来执行的,而不是像站点内复制一样只要变更发生就会执行复制动作。因为这个原因,林中的复制延时就等于是任意目录分区按照最长的复制路径经历最大的复制延时的总和,在某些场景中,这种机制是非常低效的。

为了避免复制的延时,我们可以通过在站点之间的链接配置变更通知,打开站点链路对象,将所有的站点链接启用站点之间的变更通知,由于复制伙伴之间是跨站点的接收变更通知,所以站点之间的复制间隔实际上是被忽略的,然后变更的起始DC通知其他站点的DC有数据变更,就像在站点内部通知DC数据变更一样。

对于账号锁定或其他类似的安全性有关的变更,对复制的即时性要求较高,所以在这种情况下,我们需要使用紧急复制,紧急复制绕过了通知延时,直接发送变更通知。但是如果你没有在站点之间启用变更通知,站点的复制始终还是会根据站点链接的复制间隔执行复制。

注意:当用户密码变更之后,PDC操作主机会发起即时复制,这个与紧急复制是不同的,因为即时复制是马上就执行的,不需要理会站点的复制间隔。

时间: 2024-11-03 01:22:54

Windows活动目录系列---AD站点(1)的相关文章

Windows活动目录系列---AD站点(2)

什么是站点之间的拓扑生成器(Intersite topology generator ISTG)? 在配置多站点的时候,KCC会指定每个站点中的一台DC作为站点间拓扑生成器.无论站点有多少个域或者目录分区,每个站点只能有一个ISTG.ISTG负责计算出跨站点链接时最理想的站点复制拓扑,当你在林中新增一个站点,每个站点的ITSG会去确认新站点出现在哪个目录分区,然后ISTG计算出有多少个新的链接对象是新站点复制信息时必须用到的. 在有些网络中,你可能希望指定某一个DC来进行站点间的复制,我们可以通

Windows活动目录系列---配置和监视AD域复制(1)

AD域的站点链接是什么? 两个站点之间要交换复制数据,必须通过站点链接把他们连接起来.站点链接是一个逻辑的路径,它被KCC或ISTG用来建立站点间的复制.当你创建了另一个站点,你必须至少选择一个站点链接,将新的站点和现有的一个站点相连.如果没有站点链接,KCC是无法让不同站点中的计算机互相连通的,站点之间也无法进行复制. 站点链接有一个很重要的概念,它代表用于复制的一条可用路径.一个单独的站点链接是无法控制被使用的网络路由的,当你创建了一个站点链接并且将一个站点加入其中,就等于你告诉AD域可以在

Windows活动目录系列---配置和监视AD域复制(2)

前面讲述了AD站点复制的理论,现在我们通过一些实验来更直观的理解所说的理论. 实验环境: LON-DC1   172.16.0.10  DC LON-SVR1  10.10.0.10   DC 一.修改默认站点名称,给站点配置子网 在现有的Adatum.com域环境中将LON-SVR1提升为DC,这个具体步骤就不演示了,然后我们在LON-DC1上打开AD站点和服务控制台(dssite.msc),可以从下图中看到该控制台中已就有一个默认站点Default-First-Site-Name,并且该站点

Windows活动目录系列---分布式活动目录部署概述(下)

本地ADDS部署与云服务集成: 目前可以通过两种方法来将ADDS扩展到云上.一种是通过Windows Azure AD,另一种是在Windows Azure虚拟机上安装Windows 2012R2的服务器,然后将服务器提升为DC. 什么是Windows Azure AD? Windows Azure AD是一个基于Windows Azure的服务,它被用来给云上的应用程序提供ID管理和访问控制.通常在订阅了office365,Exchange Online,SharePoint Online,L

Windows活动目录系列---ADDS复制的概述(1)

AD DS分区介绍: 活动目录数据存储中所包含的信息会被ADDS发布到林中的所有DC上.数据存储中包含的大部分信息会在单域中发布,但是还有部分相关信息会不受域的复制边界限制,将信息发布到整个林中. 为了提升DC之间的复制效率和扩展性,活动目录的数据被逻辑的划分成几个分区,每个分区作为一个复制单元,并且每个分区都有自身的复制拓扑,ADDS有以下默认的分区: 配置分区.配置分区是在林中第一台DC被创建的时候自动生成的,配置分区中包含了林范围的ADDS结构信息,包括林中有哪些域或站点,每个域中有哪些D

Windows活动目录系列---配置AD域服务的信任(1)

在一个多域的AD林中,AD域之间会自动生成双向传递的信任关系,这样能够在所有的AD域之间有一条信任通道.在林中自动创建的信任都是可传递的信任,这表示如果A域信任B域,B域信任C域,那么A域就会信任C域. 下面列举几种主要的信任关系: 信任类型 传递性 方向 描述 父子信任 传递 双向 当一个新的AD域加入到现有的AD域树中,会自动创建父子信任关系 根树信任 传递 双向 当一个新的AD域树加入到现有的AD林中,根树信任会被自动创建 外部信任 非传递 单向或双向 外部信任能够将资源的访问权限开放给W

Windows活动目录系列---配置AD域服务的信任(2)

下面对AD DS信任的一些高级配置进行介绍: 在某些时候,信任会引起一些安全性的问题.如果你配置了不恰当的信任关系,那么一些不该拥有权限的用户将会有权限访问你的某些资源,这就给你的资源带来了安全性上的风险.为了解决这个问题,我们可以运用几种技术来帮助你管理控制信任的安全性. SID筛选 当你建立一个林或者域的时候,会默认启用域隔离,这也被称作SID筛选.当一个用户在一个受信任的域中被验证时,用户展示的验证数据会包含用户隶属的群组的SID,以及用户自身的历史SID和隶属群组的历史SID. AD D

Windows活动目录系列---ADDS复制的概述(2)

AD DS是如何处理复制冲突的? 因为AD DS支持多主机复制模式,所以有可能会出现复制冲突的情况,一般会有三种可能的冲突: 在两台不同的DC上同时修改同一个对象的相同属性的值 在一台DC上新增或者修改一个对象,而同一时间在另外一台DC上这个对象所在的容器被删除了 在不同的DC上向同一个容器中新增了一个有相同的相关可分辨名的对象,比如在DC1和DC2上同时新增了一个账号,DC1上新增的是张珊,DC2上新增的是张山,但是他们的可分辨名称DN都是CN=zhangshan,CN=Users,DC=co

Windows活动目录系列---分布式活动目录部署概述

AD DS组件的概述: 什么是AD DS域? AD DS域是一个将用户,计算机和群组对象,逻辑的组合在一起用于集中管理和保障安全性的工具.所有这些对象都是保存在ADDS数据库中,并且在域中的每一个域控制器上都存有这些数据的副本.因此ADDS的数据库具有容错功能,域内的客户端可以在任何一台域控制器上存取域的信息.ADDS提供了一个可搜索的层次型目录,和一个应用配置以及企业中对象的安全性设置的框架.你可以使用ADDS和GPO去把配置和安全性设置应用到用户和计算机账号上. 什么是AD DS域树? AD