底漆/环境:
- 地点:圣克拉拉(数据中心)、旧金山(办公室)、西雅图(办公室)、波士顿(办公室)
- 每个站点有两个域控制器。
- 所有站点均可与旧金山通信,但不能相互通信。
- 没有与网站共享/提供任何其他服务。
- 仅 AD/LDAP 身份验证
- IP 子网在 AD 站点和服务中分配
- 旧金山使用 Default-First-Site
问题:
当新的 DC 出现时,它会创建一个与它实际上无法通信的站点/DC 的连接。例如:圣何塞的一个新 DC,我们称之为 SJC-DC02,它与西雅图的一个 DC SEA-01 建立了连接,但它实际上无法连接到 SEA-01。它只能(根据设计)与 SFO-DC01 和 SFO-DC02 通信。我必须手动创建从 SJC-DC02 到 SFO-DC01 和 SFO-DC02 的连接。
问题 1:
我如何一劳永逸地摆脱这些“自动生成”的连接?(如果你只是简单地删除它们,它们就会回来)
问题2:
提醒我一下,所有连接都应该是双向的吗?例如:SJC-DC02 到 SFO-DC01 和 SFO-DC02 以及 SFO-DC01 到 SJC-DC02 和 SFO-DC02 到 SJC-DC02
答案1
我先做一个假设:根据您的要点,我假设您已在 Active Directory (AD) 中创建了代表您的物理位置和子网的站点和子网对象。如果您还没有,那么第一的你需要做的事。
您确实应该允许 AD 自动创建复制连接。我理解您为什么要覆盖它,但幸运的是,Microsoft 已经考虑到了您的情况。进行配置更改应该会使其能够与自动生成的连接正常工作。
默认情况下,AD 假定整个企业都具有可传递网络连接。也就是说,它将站点间链接视为“桥接”。
然而,你的情况使得这个假设不成立。禁用“桥接所有站点链接”选项将导致 AD 创建一个复制拓扑,该拓扑假定网络连接仅在直接相邻的站点之间。
如果您有耐心,您可以在“中心”站点进行此更改,然后等待 AD 复制更改。您也可以强制复制。一旦其他站点中的 AD 副本收到更改,您就可以删除手动创建的连接对象并强制知识一致性检查器(KCC)重新计算复制拓扑(使用“检查复制拓扑”功能)。您应该看到 AD 自动构建符合您要求的复制拓扑。
如果你的网络中最终存在部分过渡网络连接,你可以随时使用“站点链接桥”功能来通知 AD 此部分传递性。但是,如果您继续具有非传递性连接,则无需担心这一点。
回答你的第二个问题:
复制连接是单向的。如果您继续手动创建它们,则需要确保目录的每个分区都有从每个站点“指向”两个方向的复制连接。
不过,我确实认为你应该尝试让自动拓扑生成工作。一旦它正常工作,你会对它感到满意的。
答案2
这就是通常所说的“中心辐射型”拓扑;您应该告诉 Active Directory 它是什么样子的,然后 AD 本身将负责相应地设置复制连接。
为了使其正常工作,您需要定义多个站点:
- 为每个城市创建一个 Active Directory 站点。
- 将本地 IP 子网映射到每个站点。
- 定义每个站点与旧金山之间的站点链接。
- 将已经存在的域控制器放置在各自的站点中。
当您向域中添加新的 DC 时,它将检测它所属的站点(基于其 IP 子网),并且它将以最合适的方式自动定义其复制连接,即到同一站点中的其他域控制器和/或旧金山中央站点中的域控制器。