第10章管理活动目录复制.ppt

活动目录的物理结构包括域控制器和站点。 由于域是一种逻辑的组织形式，它可以把分布于不同地点的计算机组织起来，因此为了在网络中实现DC的容错和负载分担的目的，通常一个域中会有多台DC。每台DC都可以为用户提供服务，所以就要求这些DC之间的信息必须同步，这就是活动目录数据的复制。 管理活动目录复制 本章目标 介绍活动目录复制 建立和配置站点 管理站点拓扑结构 排除复制故障 活动目录复制就是指一台DC上的数据改变到另一台DC的信息更新。 复制使每个域控制器上的数据拷贝同步。同步可以确保整个网络上的所有域控制器和客户计算机都可以获得活动目录上的所有信息。 活动目录的物理结构就是来控制复制的流量的。 活动目录复制有两种方式：单主控复制和多主控复制。 （1）单主控复制：几个DC之间不是平等的关系，而是有主次之分。 Windows NT 4.0的域中采用单主控复制的方式。 （2）多主控复制：多个DC之间没有主次之分，任何一台DC上的变化都会复制到其他的DC上。 Windows 2000和Windows Server 2003的域中采用的是多主控复制，只有涉及到操作主控的复制采用的是单主控复制。 在多主控复制中所有的DC都是可读可写的，网络中任何一台DC上的变化都要复制到其他所有的DC上。 活动目录复制介绍 复制组件和过程 复制的触发 简单来说，活动目录数据的更改导致了活动目录的复制。活动目录的数据更改包括以下几个方面。 活动目录中添加新的对象，如创建用户、组及OU等。 活动目录中对象属性值的更改，如修改用户帐号的电话号码等。 修改活动目录对象的名字或移动活动目录对象的位置。 从活动目录中删除对象。 复制组件和过程 复制的触发 活动目录数据的更改而引发的对活动目录的更新请求有两种类型：初始更新和复制更新。 （1）初始更新：活动目录数据库变化的结果所发出的请求是初始更新。初始更新完成后，数据必须复制到网络上所有的DC上。 （2）复制更新：在不引起更新的DC上执行的更新是复制更新。 复制如何工作 活动目录更新 复制组件和过程 变化通告 当一台DC上发生活动目录数据改变时，DC通知本站点内的复制伙伴，这个过程称为变化通告。 站点内的复制在变化通告的进程中开始，当复制伙伴接收到变化通告时，它将从发送通告的DC复制这些变化。 当没有变化通告时，默认情况下一个站点内DC之间每隔1个小时复制一次。 复制等待时间 复制等待时间是指当复制更新时，某台域控制器的活动目录数据库内有一条数据变动时默认等15s后会通知同一站点内的其他域控制器。 复制组件和过程 紧急复制 活动目录中涉及到安全性的重要改变如帐号锁定或密码改变等，将立即通知并复制到伙伴上，这种立即通告称为紧急复制。紧急复制会立即响应紧急通告，而不需要等待15s的时间。 收敛 当活动目录更新最终被本站点内所有DC接收并复制成功时，称为收敛。 复制的延迟 解决复制冲突 复制冲突 由于是多主控复制，因此无论哪台DC上的内容更新都将引发其他DC的复制更新。所以当发起于两个独立的主控备份的当前更新不一致时，就会产生复制冲突。 常见的冲突类型： 属性值：当在不同的DC上对同一对象的同一属性设置不同的值时，就会出现这种冲突。 在删除的容器对象上添加/删除容器对象：当在一个DC上删除一个对象，而在未同步之前，又在另一个DC上存储该容器下的对象时，就会发生这种冲突。 同属名字：当在一个DC上试图把一个对象移到一个容器中，而同时在另一个DC上刚好把另一个同名的对象也移到该容器中，就会发生这种冲突。 解决复制冲突 解决复制冲突 全局惟一戳记 在活动目录中采用全局惟一戳记来解决复制冲突，在复制时用戳记（stamp）跟踪更新。 全局惟一戳记包括下面3个重要性依次降低的组件。 版本编号：从1开始，每更新一次增加1。 时间戳记：执行更新的DC的系统时间和日期。 服务器GUID：服务器的全局惟一标识符。 解决复制冲突 解决冲突 把活动目录全局惟一戳记分派给所有始发端（首先发生变化的DC）更新操作，如添加、修改、移动或删除，这样就可以解决复制冲突。 针对上面提到的3种不同的冲突类型，可以有不同的解决方法。 属性值：有较高戳记值的更新操作将取代较低戳记值更新操作的属性值。 在删除的容器对象上添加/删除容器对象：在解决冲突时，将删除该容器对象，其子对象将存放在Lost and Found容器中。 同属名字：具有较大戳记编号的对象将保持相对重要的名字。同属名字由域控制器分派给惟一相对重要的名字。分派的名字=相对重要的名字+”CN：“+保留字符（星号）+对象的GUID。 复制拓扑 目录分区 什