我有两个 AD 站点:Hub 和 Spoke。
两者的 ISTG 都已关闭,并且正在将新的 DC 放入未启用 ISTG 的站点中。
设置手动单向 NTDS 连接的正确操作顺序是什么?
例如
- 如果我将站点和服务焦点设置为 DC,则辐站点,我应该在哪里添加哪些 NTDS 连接?我应该将连接添加到站点和服务中可见的“分支”站点吗?还是应该在焦点设置在此 DC 上时将连接添加到中心站点?
反过来
- 如果我将站点和服务焦点设置为 DC,则中心站点,我应该在哪里添加哪些 NTDS 连接?我应该将连接添加到站点和服务中可见的“分支”站点吗?还是我应该将连接添加到中心站点,同时将焦点设置在此 DC 上?
我的想法是,如果我做错了,将会出现以下两种情况之一:
双方都会“知道”对方的存在,但不会发起推送,因为他们希望推送服务器能够做到这一点。(提示:推送服务器不知道推送更新,因为它没有配置为这样做)
如果我只是创建双向连接,那么我可能会浪费时间并导致 AD 出现异常。例如,如果我在“AD 站点和服务”中的中心辐射站点中创建一个,并在将焦点设置到每一侧时执行相同的操作,则会建立 4 个连接。不知道会发生什么……
答案1
更好的选择是根本不禁用 ISTG,让 KCC 在 Active Directory 站点和服务中定义的范围内执行操作。根据您上面的评论,您没有理由禁用 ISTG。这是我的建议。
在“站点和服务”中禁用“桥接所有站点链接”选项。这将防止两个单独的站点链接自动被视为可传递的。由于您的辐条无法通信,因此这一点很重要。
如果尚未创建,请为每个分支和中心创建一个站点链接。例如,如果您在 AD 站点和服务中拥有名为“波士顿”和“费城”的分支站点以及名为“HQ”的中心站点,则您应该拥有两个站点链接:一个名为“波士顿-HQ”的站点链接,仅包含这两个站点;另一个名为“费城-HQ”的站点链接,仅包含这两个站点。由于站点链接桥接已禁用,费城不会尝试与波士顿通信。切勿在同一个站点链接中包含两个无法通信的辐条。
在您禁用 ISTG 的任何位置重新启用它。
删除您已手动创建的所有复制连接。
在每个 DC 上运行
repadmin /kcc以强制自动复制连接生成。
创建手动站点链接并阻止 KCC 执行其重要的功能很少是必要的,而且听起来你没有令人信服的理由这样做。自动复制连接生成是大大从管理和可用性角度来看,这是首选。如果您重新评估当前的设计,您的实际问题就变得无关紧要了。