Windows活动目录系列---AD站点(2)

什么是站点之间的拓扑生成器(Intersite topology generator ISTG)?

在配置多站点的时候,KCC会指定每个站点中的一台DC作为站点间拓扑生成器。无论站点有多少个域或者目录分区,每个站点只能有一个ISTG。ISTG负责计算出跨站点链接时最理想的站点复制拓扑,当你在林中新增一个站点,每个站点的ITSG会去确认新站点出现在哪个目录分区,然后ISTG计算出有多少个新的链接对象是新站点复制信息时必须用到的。

在有些网络中,你可能希望指定某一个DC来进行站点间的复制,我们可以通过配置桥头服务器来满足这个要求。桥头服务器负责站点的所有进站复制和出站复制。ISTG会在它的目录中建立一个连接协议,并且稍后会把这个协议复制到桥头服务器,然后桥头服务器会与远程站点的桥头服务器建立一个复制连接并通过这个复制连接开始复制信息。如果有一个复制伙伴不可用了,ISTG会自动的选择另外一个DC作为该站点中的ISTG,但是如果你手动指定了桥头服务器,并且桥头服务器不可用了,那么ISTG是不会自动选择其他的DC作为该站点的ISTG的。

默认情况下,ISTG会自动选择桥头服务器,然后创建站点间的复制拓扑,来保证那些共享一个站点链接的桥头服务器之间能够正常的复制变更数据。每个目录分区都会有桥头服务器,所以站点内的某个DC可能是架构分区的桥头服务器,而另外一台DC可能是配置分区的桥头服务器,但是通常是一台DC作为所有目录分区的桥头服务器,除非站点中有其他域的应用程序分区或者域分区,如果出现这种情况,就会有多个桥头服务器了。当你在站点之间有防火墙,并且防火墙只允许指定的DC之间进行复制的时候,手动配置桥头服务器就非常适合这种情况。

在多站点的环境中优化DC的覆盖

当你在域中新增一台DC的时候,这台新DC会通过在DNS中建立一个SRV记录来发布它的服务。它和主机的A记录不同,主机的A记录是将主机名与IP地址做映射,而SRV记录是将服务和主机名做映射。例如想要发布提供验证和目录访问功能的服务,就需要一台DC注册Kerberos V5协议和LDAP的SRV记录,这些SRV记录会被写入到林DNS区域的几个文件夹中。

在DNS的域区域中,名称为_tcp的文件夹中保存了域中所有DC的SRV记录,域区域中还有一个_site的文件夹,这个文件夹中保存了为域中每个站点创建的子文件夹,每个站点的文件中都保存了此站点可用服务的SRV记录,比如在一个站点中装了一台DC,那么在_site\站点名\_tcp中就会有一条对应这台DC的SRV记录。

SRV记录中一般包含以下的信息:

  1. 服务名称和端口。SRV记录会表明它所代表的服务和服务所用的固定端口,这个端口不一定要是熟知的端口。在Windows 2012中SRV记录中包含 LDAP的端口389,Kerberos的端口88,Kerberos密码协议的端口464,以及GC服务的端口3268.
  2. 协议。TCP和UDP是服务的两种传输协议,同一个服务可以通过两个不同的SRV记录分别使用这两种传输协议,例如Kerberos记录就用这两种协议注册了SRV记录。Windows的客户端只会用TCP的协议,但是UNIX的客户端可以使用TCP和UDP两种协议。
  3. 主机名。主机名对应了承载服务的服务器A记录,当客户端查询服务的时候,DNS服务器会返回SRV记录和关联的A记录给客户端,所以客户端不需要单独的提交一个查询去解析服务的IP地址。

SRV记录中的服务器名遵循标准的DNS组件层次,通过"."来划分组件。比如一台DC的Kerberos服务注册记录为Kerberos._tcp.站点名._sites.域名。域名指的是域或者DNS区域,例如contoso.com,_site是所有DNS中注册的站点,站点名是承载服务的DC所隶属的站点,_tcp是站点内所有基于TCP协议的服务,Kerberos是使用TCP作为创术协议的Kerberos秘钥颁发中心。

在某些特定的场合,某些分公司地区有计算机设备但是没有DC,或者不需要安装一台DC给它,这种情况我们可以建立一个没有DC的站点,但是这样的话在这个站点的_sites\站点名\_tcp的目录下面是不会列出对应DC的SRV记录的。有几种方式可以解决这个问题,例如你比较关注的是DC和AD域数据库的安全性维护,那么可以部署RODC,或者使用自动站点覆盖功能,在一个空的站点中(指没有DC的站点),离此空站点最近的站点中的DC会自动的处理两个站点的信息(自身站点和空站点),并且将自己的SVR记录写入到空站点中,这个操作可以通过组策略来配置。或者如果站点只是有较少的电脑,并且网络状况良好,为了节省部署服务器的费用,你可以将本地站点的子网添加到有多台DC的中心站点中,此时客户端计算机是位于远程站点的,无DC的站点位置会被认为是隶属于中心站点,只有在中心站点中的DC都不可用的情况下无DC的站点才会出现问题。在这种情况下,客户端使用缓存凭证进行本地验证,但是因为站点链接自动桥接默认是开启的,那么域验证始终还是经过桥接多个站点的站点链接进行。

客户端计算机是如何发现DC的?

当你将一台windows操作系统的计算机加入域并重启后,客户端就完成了DC的发现和客户端注册过程。注册过程的目的是为了根据IP子网的信息,最快的发现离客户端最近的DC。

客户端发现DC的过程如下:

  1. 新的客户端会去查询域中所有的DC。当新加域的客户端重新启动的时候,它会从DHCP接收一个IP地址,并为域的验证做好准备,但是客户端不知道DC在哪里,因此客户端会去查找_tcp文件夹来查询DC,_tcp文件夹中保存有域中所有DC的SRV记录。
  2. 客户端尝试一个LDAP的Ping命令,去按顺序的Ping所有的DC。客户端向DNS查询_tcp文件夹后,DNS返回给客户端一个清单,里面包含了所有满足的DC,然后客户端在第一次启动的时候会尝试连接清单中所有的DC。
  3. 第一台DC响应Ping命令。第一台响应Ping命令的DC会检查客户端的IP地址,并且将客户端的IP地址和站点中的子网对象相互参照,接着将客户端所隶属的站点信息发回给客户端,客户端收到信息后将站点名保存在本机的注册表中,然后到指定站点的_tcp文件夹中查询DC信息。
  4. 客户端查询所属站点中的所有DC。第3步中的查询动作发生后,DNS会返回客户端一个所属站点中的DC列表。
  5. 客户端顺序的对站点中所有的DC进行LDAP的Ping操作。DC发出响应首次验证客户端。
  6. 客户端生成一个亲密度。客户端会与最先响应的DC形成一个亲密度,并且以后的验证都会最先尝试与这台DC联系,如果这台DC不可用了,客户端会再次查询站点内的_tcp文件夹,然后再与最先响应的DC进行绑定。

如果客户端移动到了另外一个站点,像移动客户端,手提电脑之类的设备,客户端会尝试连接到它的首选DC去验证,首选DC会通知客户端,它的IP地址不是本站点的,然后引用一个新站点给客户端,客户端通过DNS查询IP所属的站点中的DC。

自动的站点覆盖:

像之前提到的,你可以配置站点引导用户找到复制资源的本地副本,比如DFS命名空间中的共享文件夹。有时候你可能不需要DC,只要求让服务本地化,那么非本站点的最近DC将会把它的SVR记录在本站点中,这个过程就称为站点覆盖。

没有DC的站点应用站点覆盖时,一般是被与此站点的站点链接花费最低的站点中的DC,当然你也可以手动的去配置站点覆盖和SRV记录的优先级,来指定你想要使用的站点中的DC来为没有DC的站点提供验证服务。

关于如何评估站点覆盖的资料可以参考一下链接:

http://go.microsoft.com/fwlink/?LinkId=168550

时间: 2024-07-31 00:27:30

Windows活动目录系列---AD站点(2)的相关文章

Windows活动目录系列---AD站点(1)

AD站点是什么? 大多数管理员对站点的认知是,站点就是一个物理位置,就像一个办公室或者一个城市,它们通常以WAN网连接来隔离.这些站点通过网络链路进行物理上的连接,网络链路可以是基础的拨号连接或者复杂的光纤链路,物理位置和链路结合在一起构成了物理网络的基础架构.在物理网络架构中AD所代表的对象被称为站点,AD站点对象保存在配置分区(CN=Sites,CN=Configuration,DC=contoso,DC=com)并被用于实现两种主要的服务管理任务: 管理复制流量.在企业环境中一般有两种网络

Windows活动目录系列---配置和监视AD域复制(1)

AD域的站点链接是什么? 两个站点之间要交换复制数据,必须通过站点链接把他们连接起来.站点链接是一个逻辑的路径,它被KCC或ISTG用来建立站点间的复制.当你创建了另一个站点,你必须至少选择一个站点链接,将新的站点和现有的一个站点相连.如果没有站点链接,KCC是无法让不同站点中的计算机互相连通的,站点之间也无法进行复制. 站点链接有一个很重要的概念,它代表用于复制的一条可用路径.一个单独的站点链接是无法控制被使用的网络路由的,当你创建了一个站点链接并且将一个站点加入其中,就等于你告诉AD域可以在

Windows活动目录系列---配置和监视AD域复制(2)

前面讲述了AD站点复制的理论,现在我们通过一些实验来更直观的理解所说的理论. 实验环境: LON-DC1   172.16.0.10  DC LON-SVR1  10.10.0.10   DC 一.修改默认站点名称,给站点配置子网 在现有的Adatum.com域环境中将LON-SVR1提升为DC,这个具体步骤就不演示了,然后我们在LON-DC1上打开AD站点和服务控制台(dssite.msc),可以从下图中看到该控制台中已就有一个默认站点Default-First-Site-Name,并且该站点

Windows活动目录系列---分布式活动目录部署概述(下)

本地ADDS部署与云服务集成: 目前可以通过两种方法来将ADDS扩展到云上.一种是通过Windows Azure AD,另一种是在Windows Azure虚拟机上安装Windows 2012R2的服务器,然后将服务器提升为DC. 什么是Windows Azure AD? Windows Azure AD是一个基于Windows Azure的服务,它被用来给云上的应用程序提供ID管理和访问控制.通常在订阅了office365,Exchange Online,SharePoint Online,L

Windows活动目录系列---ADDS复制的概述(1)

AD DS分区介绍: 活动目录数据存储中所包含的信息会被ADDS发布到林中的所有DC上.数据存储中包含的大部分信息会在单域中发布,但是还有部分相关信息会不受域的复制边界限制,将信息发布到整个林中. 为了提升DC之间的复制效率和扩展性,活动目录的数据被逻辑的划分成几个分区,每个分区作为一个复制单元,并且每个分区都有自身的复制拓扑,ADDS有以下默认的分区: 配置分区.配置分区是在林中第一台DC被创建的时候自动生成的,配置分区中包含了林范围的ADDS结构信息,包括林中有哪些域或站点,每个域中有哪些D

Windows活动目录系列---配置AD域服务的信任(1)

在一个多域的AD林中,AD域之间会自动生成双向传递的信任关系,这样能够在所有的AD域之间有一条信任通道.在林中自动创建的信任都是可传递的信任,这表示如果A域信任B域,B域信任C域,那么A域就会信任C域. 下面列举几种主要的信任关系: 信任类型 传递性 方向 描述 父子信任 传递 双向 当一个新的AD域加入到现有的AD域树中,会自动创建父子信任关系 根树信任 传递 双向 当一个新的AD域树加入到现有的AD林中,根树信任会被自动创建 外部信任 非传递 单向或双向 外部信任能够将资源的访问权限开放给W

Windows活动目录系列---配置AD域服务的信任(2)

下面对AD DS信任的一些高级配置进行介绍: 在某些时候,信任会引起一些安全性的问题.如果你配置了不恰当的信任关系,那么一些不该拥有权限的用户将会有权限访问你的某些资源,这就给你的资源带来了安全性上的风险.为了解决这个问题,我们可以运用几种技术来帮助你管理控制信任的安全性. SID筛选 当你建立一个林或者域的时候,会默认启用域隔离,这也被称作SID筛选.当一个用户在一个受信任的域中被验证时,用户展示的验证数据会包含用户隶属的群组的SID,以及用户自身的历史SID和隶属群组的历史SID. AD D

Windows活动目录系列---ADDS复制的概述(2)

AD DS是如何处理复制冲突的? 因为AD DS支持多主机复制模式,所以有可能会出现复制冲突的情况,一般会有三种可能的冲突: 在两台不同的DC上同时修改同一个对象的相同属性的值 在一台DC上新增或者修改一个对象,而同一时间在另外一台DC上这个对象所在的容器被删除了 在不同的DC上向同一个容器中新增了一个有相同的相关可分辨名的对象,比如在DC1和DC2上同时新增了一个账号,DC1上新增的是张珊,DC2上新增的是张山,但是他们的可分辨名称DN都是CN=zhangshan,CN=Users,DC=co

Windows活动目录系列---分布式活动目录部署概述

AD DS组件的概述: 什么是AD DS域? AD DS域是一个将用户,计算机和群组对象,逻辑的组合在一起用于集中管理和保障安全性的工具.所有这些对象都是保存在ADDS数据库中,并且在域中的每一个域控制器上都存有这些数据的副本.因此ADDS的数据库具有容错功能,域内的客户端可以在任何一台域控制器上存取域的信息.ADDS提供了一个可搜索的层次型目录,和一个应用配置以及企业中对象的安全性设置的框架.你可以使用ADDS和GPO去把配置和安全性设置应用到用户和计算机账号上. 什么是AD DS域树? AD