活动目录服务器同步

我们希望一旦在一台 AD 服务器中完成更改，所有服务器中的更改都会自动完成

您无需执行任何操作。标准 Active Directory 拓扑会自动执行此操作。

我想将所有 3 台服务器同步在一起，其中数据中心服务器应为中央服务器，其余 2 台服务器应与数据中心服务器同步。

如果您想明确强制所有更改必须通过“中央”服务器进行复制，而不是直接从节点到节点进行复制，您可以这样做。在 Active Directory 站点和服务 MMC 中仔细查看，因为这是控制复制规则的地方。

您需要做的是将所有物理站点设置为“站点和服务”中的站点，然后将每个域控制器移动到其相应的站点。然后，展开每个域控制器并转到其 NTDS 设置。从这里，您可以删除或创建域控制器之间的新链接。

您要做的就是让每个域控制器互相联系位于同一网站（因此每个物理位置内的服务器立即相互同步），然后创建与中央域控制器的附加连接。

另外，我有主域（例如 xyz.local）和两个附加域控制器。我如何将它们与 .local 域同步？我们如何复制它？我们是否需要 VPN 连接才能将 xyz.local 的数据复制到我们的其他分支域控制器？

正如 Mark 所说，域控制器在同一域内自动复制 Active Directory 数据和它们之间的更改，因此您不需要做任何事情，只需在“Active Directory 站点和服务”控制台中正确定义站点即可。快速教程在这里：

• 根据 IP 地址/子网掩码定义子网。
• 定义站点。
• 将子网与站点关联，以便 AD 知道 IP 地址属于哪个站点。
• 当创建一个新的 DC 时，它将被自动放置在正确的站点中。
• 如果已经创建了 DC，只需将其手动移动到适当的站点。

等待一段时间后，Active Directory 后台进程（称为“知识一致性检查器”或 KCC）将检测新的拓扑并在 DC 之间建立适当的复制连接（即谁与谁复制）；如果您愿意，您可以手动进行调整。

---

要将新的域控制器添加到现有域，您需要将“Active Directory 域服务”角色添加到服务器，然后运行命令dcpromo.exe；以下向导将询问您各种信息，您只需告诉它向现有域添加新的 DC（并使其成为 DNS 服务器和全局目录，因为每个站点只有其中一个）；然后复制将自动开始。

---

这一切都适用于域控制器在同一个域中。如果您需要更多域名，事情会变得更加复杂，因此如果您实际上不需要，您应该避免这种情况需要多个域名（提示：很有可能您没有）。

---

更新：

看起来您已经创建了三个不同的域。情况是很多现在比较棘手：同一林中的不同域（我希望它们是......）实际上是同步的某物它们之间相互依赖，但每个账户都有不同的用户数据库；因此，如果你在域 A 中创建用户账户，则决不让该用户帐户出现在域 B 中：您必须使用信任和权限来允许域 A 中的用户访问域 B 中的资源。我强烈建议您删除这两个附加域并返回单域设计，因为您似乎还没有进入生产阶段。

---

要使复制正常工作，您需要 WAN 链接或 VPN。我假设您的每台服务器都有一个私有 IP 地址，因此如果没有其中任何一个，它们将无法通信……但即使它们有公共 IP（这将是相当由于网络流量较大（非常不寻常），所以你肯定不会希望看到这种流量在互联网上公开流动。

没有 VPN，您无法做您想做的事情。没有 VPN 也可以复制某些内容，但用户帐户和密码不属于其中。

此外，由于您有 3 个域，如果您想将所有内容复制到每个站点，则每个站点都需要 3 个域控制器。这不是一个好方法。以下是我建议您做的：

1. 在站点之间设置站点到站点 VPN
2. 选择要保留的域并在该域上安装 ADMT
3. 将其他 2 个域中的所有用户和计算机帐户迁移到您要保留的域
4. 在其他服务器上运行 dcpromo 来销毁这些域
5. 将其他服务器加入到您的唯一域
6. 在这些服务器上运行 dcpromo，将它们升级回同一域中的域控制器
7. 使用 Active Directory 站点和服务设置适当的站点并使每台服务器成为全局目录服务器