Windows_Server_2008_R2_AD_DS架构-第05部分_站点复制、AD数据库维护

第05部配置AD站点和DC间复制、域信任配置AD站点和DC间复制、域信任本章重点AD域的定义及功能域控制器多域的架构站点与GC之间何谓域简言之,共享同一份AD数据库之计算机所组成的集合便是一个域！由于AD数据库里头包含了用户帐户、用户密码、计算机帐户、权限设定等等资讯,所以同域内的计算机和使用者,都是由同一份AD数据来决定谁可以存取哪些资源、谁可以做哪些工作等等。说实在的,管理网络并非一定要有域不可－－但是有域可以省下很多工夫！域－中央集权的架构要管理分散于各服务器的帐户数据库,是一件让人头痛的事,不如选一部计算机专门负责管理帐户资料,让其它的计算机都以它的帐户数据库为准。如此一来,无论使用者或服务器的数量增加多少,网络管理员都只要维护一个数据库即可。同样以10部服务器和100位使用者的环境为例,假设我们将10部服务器的帐户数据库整合成一个,储存在A服务器。域－中央集权的架构域名在不同的应用场合,我们会使用不同的格式来表示域名称,其中较常用到的2种格式,便是DNS域名和LDAP域名：DNS域名AD域的命名方式与DNS相同,例如：LDAP域名DNS域名利用『.』来区隔域,但是LDAP则是以『DC』(DomainComponent,域组件)来代表每一层域。因此用LDAP域名将FLAG.COM.CN表示如下：DC=FLAG,DC=COM,DC=CN域控制器DC先前曾介绍过,存放AD数据库、管理域中的AD对象,并提供身分验证服务的计算机称为域控制器（DC,DomainController）。倘若不用『域控制器』这个微软发明的术语,我们可以称它为『身分验证服务器』（AuthenticationServer）－－因为它主要用来执行身分验证工作。又因为通常是在登入时执行验证,所以也可以称为『登入服务器』（LogonServer）。建立多部DC的考虑因为单靠一部DC的话,万一它无法提供服务（关机、当机或断线）,会导致所有使用者都无法登入,整个域形同瘫痪。如果有其它DC,便可以照常提供服务,域功能不会停摆,等于提供了『容错』（FaultTolerance）机制。此外,由于域可涵盖多个区域网路,而这些局域网络之间可能透过低带宽的因特网连线,为了避免登入迟缓或失败,便可在各局域网络中架设DC,以提升效率。DC之间的复制机制当域中有多部DC时,为了使每个AD数据库有相同的内容,每部DC会将异动的数据复制给其它DC,这种机制称为『复制』（Replication）。然而复制并非只是单存地将整个数据库复制（Copy）过去,而是会遵循以下的基本原则来运作：采用局部复制减低数据量当两部DC进行AD数据的同步化时,并不会复制全部的AD资料库,而只是复制变动的部份。DC复制时会自动协调出合适的方式,其中直接相互复制的对象称为『复制伙伴』（ReplicationPartner）。DC之间的复制-更新序号每部DC各有自己的更新序号（USN,UpdateSequenceNumber）,当AD数据库更新完毕后,即自动将本身的更新序号加1。而每部DC也记录复制伙伴的更新序号。因此,当某部DC的更新序号变动时,其复制伙伴随即就会知道,然后开始执行复制动作。复制动作会沿既定的顺序执行,直到所有的AD数据库内容都同步为止。DC之间的复制-冲突发生冲突时以『更新戳记』决定优先级由于在域的每部DC都可修改AD资料库,因此若两位使用者分别在不同DC上修改同一对象的属性,在复制过程即会造成冲突。此时系统会以『更新戳记』（Stamp）判定以何者的资料为准。更新戳记中包括版本、时刻和GUID等3项资讯,系统首先比较版本,版本数字愈高者愈优先。若版本相同则比较时刻,愈晚修改者愈优先；万一连时刻都一样（虽然这种机会微乎其微）,就以GUID较大者为优先域树域树是由多个域以阶层式组织成树状,如下图：域树域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次root.comchild.root.comgrandchild.child.root.com域林域林是指由一个或多个没有形成连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。root.comchild.root.comgrandchild.child.root.com1.com2.1.com3.2.1.com域的信任关系2.2.com何谓域的信任关系？假设A域信任B域,代表A域的资源开放给B域的使用者来使用；同理,B域若要提供自己的资源给A域的使用者,就必须信任A域。这种信任机制从WindowsNT时代就存在。将AD域加入域树或林时,各域彼此会自动建立信任关系,这种预设建立的信任关系具有以下的特色：单向性双向性（Two-way）单向信任单向信任是两个域之间创建的单向身份验证路径，即受信任域中的用户账户可以使用信任域上的身份验证方式，并访问域中的资源，但反之则无法实现。双向信任默认情况下，WindowsServer2008和WindowsServer2003林中的所有域信任关系都是双向、可传递的。创建新的子域时，双向可传递信任在新的子域和父域之间自动建立，这意味着身份验证求可按两种方向在两个域之间传递。林在中小企业中,考虑到效能与管理,大多不会采用林架构。一般比较常用到林的时机,是在两个或多个公司合并时,将各公司原本的域树整合起来。站点与GC服务器在AD目录架构中,除了域和域控制器之外,还可能遇到的两个名词为站点（Site）和GC服务器（GCServer,GlobalCatalogServer）。AD站点GC服务器AD站点何谓站点站点的功能站点的规划何谓站点所谓AD站点（以下简称为『站点』）是指透过『高速联机』所连接的一群电脑,而且这群计算机位于相同的IP子网。所谓的高速连线,微软预设是以500Kbps为界线,低于此带宽便视为低速联机。因此常见的局域网络联机都算是高速连线,而透过传统调制解调器所建立的拨接连线则是低速联机。站点的功能站点的主要两项功能如下：控制登入速度因为客户端登入域时,会优先与相同站点内的DC建立连线,所以若将距离最近的DC划分到不同的站点；将距离最远或最忙碌的DC划分到相同的站点,便会将降低登入的速度。控制复制方式DC之间的复制动作,若是发生在相同站点内,会自动协调出一套方式,毋须人为干预；若是不同站点间的复制,则必须人工设定各种参数,系统才能判断出最好的方式。什么是站点和子网对象?ActiveDirectorySitesandServicesConsoleWindowHelpActiveViewTreeActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsSiteInter-SiteTransportContainerSiteSubnetsContainerNameTypeRedmond-SiteDefault-First-Site-NameInter-SiteTransportsRedmond-SiteSubnetsDENVERNTDSSettingsDefault-First-Site-NameRedmond-SiteB1A1IPSubnetIPSubnetIPSubnet什么是站点链接?SiteIPSubnetIPSubnetA1A2SiteLinkIPSubnetIPSubnetSiteB3B1B2Cost一个站点连接:启用站间的复制通讯展现站点间的物理连接站内复制vs.站间复制站内复制:假定快速和可靠的网络连接不压缩复制通信使用更改通知机制(15s)站间复制:假定受限的可用带宽和不可靠的网络连接在站点间压缩所有的复制通信产生一个手工的时间安排scheduleIPSubnetA1A2IPSubnetReplicationIPSubnetA1A2IPSubnetReplicationIPSubnetB1B2IPSubnetReplicationReplication什么是桥头堡服务器BridgeheadServer?Abridgeheadserver:SendsandreceivesreplicateddataIsdesignatedforeachpartitioninthesiteIPSubnetIPSubnetA1BridgeheadServerReplicationIPSubnetIPSubnetB1BridgeheadServer什么是站内拓扑生成器IntersiteTopologyGenerator?IPSubnetA1A2BridgeheadServerReplicationB2BridgeheadServerB1ReplicationIPSubnetIPSubnetReplicationIPSubnetIntersiteTopologyGeneratorIntersitetopologygeneratordefinesthereplicationbetweensitesonanetwork为什么禁用默认的所有站点链接的桥接?IPSubnetIPSubnetSiteBIPSubnetIPSubnetSiteAIPSubnetIPSubnetA1A2SiteLinkBridgeB2SiteLinkBCSiteLinkABB1B3C2C1SiteCGC服务器GC（GlobalCatalog,全局编录）是一份清单,记载了林（Forest）内所有对象的资讯,而储存这份列表的计算机便是GC服务器。事实上,GC也是储存在AD数据库内,亦即NTDS.DIT档案中,所以GC服务器这个角色一定依附在DC（域控制器）。换言之,GC服务器一定是DC,但是DC未必是GC服务器。GC的内容更进一步地看,GC服务器所储存的对象信息区分为以下两种：自己域中,所有对象的完整信息。同林的其他域中,所有对象的部份信息。所谓的部分资讯,代表『经常被查询』或『执行特定功能时必要』的信息。以用户对象为例,『使用者名称』就是经常被查询的信息；但是对于打印机对象,我们很少查询其『打印速度』,因此该信息（属性）便不在GC内。GC服务器的功能GC服务器的主要功能为『加速查询』和『提供登入时所需的信息』。在多域的架构中,用户要查询的对象信息可能位于不同的域,必须透过DC的转介功能,询问其它域的DC,往往降低查询的效率。有了GC服务器之后,搜寻对象信息时会先查询GC的内容,若找到了当然就可以直接使用,缩短了查询的时间。若是在单一域的环境,因为没有跨域查询的问题,所以就不容易彰显出GC服务器的功用。第05部AD备份及恢复AD备份及恢复本章重点活动目录数据库文件活动目录数据修改流程维护活动目录数据库简介WindowsServerBackupActiveDirectory备份ActiveDirectory还原ActiveDirectory回收站活动目录数据库文件文件描述Ntds.dit活动目录数据库文件存储了活动目录所有数据对象默认保存在%Systemroot%\NTDS路径下Edb*.log事务日志文件Edb.chk检查点文件跟踪尚未写入到活动目录数据库的事务日志Res1.logRes2.log保留日志文件活动目录数据修改流程修改请求初始化事务写入事务缓冲写于数据库文件Ntds.ditEDB.log写入事务日志文件事务完成更新检查点文件Edb.chk维护活动目录数据库简介备份活动目录恢复活动目录整理碎片移动活动目录数据库移动活动目录数据库及整理停止活动目录服务netstopntds输入ntdsutil回车。然后依次键入activateinstancentds、files命令输入compacttoc:\，压缩活动目录数据库，将压缩后的文件放在c:\。压缩