我最近向我的 Active Directory 域 (单林、单域) 添加了新站点。我已将子网映射到站点,并将一个 DC 添加到新站点,其余 4 个 DC 保留在原始站点上。
作为新站点配置的一部分,我查看了 NTDS 设置以确保复制配置正确,但事情看起来……很奇怪。
我整理了一份列表,列出了哪些服务器配置了与其他服务器的复制。出于安全原因,我隐藏了这些服务器的名称,但作为背景信息,我提供了以下信息:
- SERVER-A 是我们所有角色的 FSMO 角色持有者。
- SERVER-B 是 DC 的虚拟实例。
SERVER-A和SERVER-B都是Windows Server 2012 Standard。
- SERVER-C 是我们之前的 FSMO 角色承担者,现已降级为标准 DC 的角色,它不承担任何 FSMO 角色。此 DC 运行 Windows Server 2003。
- SERVER-D 从未承载过任何 FSMO 角色。它运行 Windows Server 2008。
SERVER-A 到 SERVER-D 都位于同一个 AD 站点,称为 BHO。
- SERVER-E 不承担 FSMO 角色,但它是新站点(称为 ECO)中的唯一 DC。它运行 Windows Server 2012 Standard。
最终,SERVER-C 和 SERVER-D 将被降级,从域中移除,并且硬盘将被格式化。但是,我很担心这样做,因为目前看来复制非常依赖这些服务器,尤其是 SERVER-C!
下面的列表显示了每个服务器以及与其关联的“源”服务器(即列出服务器,然后是出现在 ADS+S 中的 NTDS 设置页面下的服务器)。
SERVER-C -> SERVER-A
SERVER-C -> SERVER-B
SERVER-C -> SERVER-E
SERVER-D -> SERVER-A
SERVER-D -> SERVER-B
SERVER-A -> SERVER-C
SERVER-A -> SERVER-D
SERVER-B -> SERVER-C
SERVER-B -> SERVER-D
SERVER-E -> SERVER-A
我不确定这是什么意思。如果我单击 SERVER-C,进入其 NTDS 设置,并看到列出的服务器 A、B 和 E,这是否意味着在服务器 A、B 和 E 上所做的更改将复制到 C,或者在 C 上所做的更改将推送到 A、B 和 E?
我的理解是 C 将收到从 A、B 和 E 中发生的变化看起来很奇怪,因为 C 是我们的“PDC”(因为缺乏更好的描述)。我想要的是 C推对 A、B、D 和 E 进行更改。并且 A、B、D 和 E 各自将其更改推送到 C。更理想的情况是,C 和 D 都将是主副本,它们会在彼此之间复制更改,但所有其他服务器(A、B、E)都会将它们的更改复制到 C 和 D 之一,然后再将更改推送到其余服务器。
我希望这个解释有意义。请问有人能澄清一下我是否搞错了方向,如果是,在删除“不正确”的设置之前添加正确的 NTDS 复制设置是否安全?
答案1
简短回答:除非您的连接非常非常奇怪(连接可用性有时间限制,连接带宽成本过高,需要调整复制流量),否则您真的不需要手动调整有关 Active Directory (AD) 复制的任何内容。它只是工作(实际上相当好)。
微软有关 AD 复制工作原理的背景资料我建议您查看一下以了解详细信息。
站点内(站点内)复制模型的基本概述是:
尽管 AD 复制是基于拉取的,但域控制器 (DC) 会向站点内的复制伙伴发送更改通知,告知他们何时有更改可用。
复制伙伴验证它没有比源服务器 DC 更新的数据(因为它可能已经从另一个 DC 收到了此更新或更新的更新)。
复制伙伴向源 DC 请求更新,它确定其对象的本地副本需要更新。
站点之间的复制不使用更改通知(默认情况下),而是以可配置的间隔(低至 15 分钟)由 DC 轮询其在远程站点中的复制伙伴以获取更改。您可以通过站点间链接启用更改通知机制,以允许复制以短于 15 分钟的间隔进行。
另外,请注意,单个域 AD 林中至少有三种不同的复制拓扑。AD 数据库的每个分区都以可能不同的拓扑进行复制。
- 架构
- 领域
- 全局目录
在 Windows Server 2003 AD 林中,您还将拥有一个 ForestDNSZones 分区,以及林中每个域的一个 ForestDNSZones 分区。
Windows 支持工具中的工具repadmin可用于构建 AD 复制拓扑的一些基本可视化。