我最近向我的 Active Directory 域(单林、单域)添加了一个新站点。我已将子网映射到站点,并将一个 DC 添加到新站点,剩下的 4 个在原始站点上。
作为新站点配置的一部分,我查看了 NTDS 设置以确保复制配置正确,并且事情看起来……很奇怪。
我已经编制了一个列表,其中列出了哪些服务器从其他服务器配置了复制。出于安全原因,我隐藏了这些名称,但出于背景考虑:
- SERVER-A 是我们所有角色的 FSMO 角色持有者。
- SERVER-B 是 DC 的虚拟实例。
SERVER-A 和 SERVER-B 都是 Windows Server 2012 Standard。
- SERVER-C 是我们以前的 FSMO 角色持有者,它已被降级为标准 DC 的角色,它不持有任何 FSMO 角色。此 DC 运行 Windows Server 2003。
- SERVER-D 从未托管过任何 FSMO 角色。它运行 Windows Server 2008。
SERVER-A 到 SERVER-D 都位于同一个 AD 站点,称为 BHO。
- SERVER-E 没有 FSMO 角色,但它是一个名为 ECO 的新站点中的唯一 DC。它运行 Windows Server 2012 标准版。
最终,SERVER-C 和 SERVER-D 将被降级,从域中删除,并对其硬盘进行格式化。但是,我对此感到很紧张,因为目前看来复制在很大程度上依赖于这些服务器,尤其是 SERVER-C!
下面的列表显示了每个服务器,以及与之关联的“源”服务器(即列出了服务器,然后是出现在 ADS+S 中 NTDS 设置页面下的服务器。
SERVER-C -> SERVER-A
SERVER-C -> SERVER-B
SERVER-C -> SERVER-E
SERVER-D -> SERVER-A
SERVER-D -> SERVER-B
SERVER-A -> SERVER-C
SERVER-A -> SERVER-D
SERVER-B -> SERVER-C
SERVER-B -> SERVER-D
SERVER-E -> SERVER-A
我不确定这意味着什么。如果我单击 SERVER-C,进入它的 NTDS 设置,并查看列出的服务器 A、B 和 E,这是否意味着在服务器 A、B 和 E 上所做的更改将被复制到 C,或者 C 上的更改被推送到 A , B 和 E?
我的理解是 C 将收到来自 A、B 和 E 的更改,这似乎很奇怪,因为 C 是我们的“PDC”(因为需要更好的描述)。我想要的是让 C将更改推送到 A、B、D 和 E。对于 A、B、D 和 E 中的每一个都将更改推送到 C。更理想的是,C 和 D 都将是主副本,将在它们之间复制更改,但所有其他服务器(A、B、E)会将其更改复制到 C 和 D 之一,然后再将更改推送到其余服务器。
我希望这个解释是有道理的。请有人澄清我是否在吠叫错误的树,如果是这样,在删除“不正确”的设置之前添加正确的 NTDS 复制设置是否安全?
非常简短的回答:除非您有非常非常奇怪的连接(具有时间限制可用性的连接、需要调整复制流量的带宽成本过高的连接),否则您真的不需要手动调整有关 Active Directory (AD) 复制的任何内容。它只是工作(实际上相当好)。
Microsoft 有关于 AD 复制如何工作的背景材料,我建议您查看这些材料以获取详细信息。
站点内(站点内)复制模型的基本概述是:
尽管 AD 复制是基于拉的,但域控制器 (DC) 会向站点内的复制伙伴发送更改通知,通知他们何时更改可用。
复制伙伴验证它没有比源服务器 DC 更新的数据(因为它可能已经从另一个 DC 接收到此更新或更新的更新)。
复制伙伴从源 DC 请求更新,它确定其对象的本地副本需要更新。
站点之间的复制不使用更改通知(默认情况下),而是以可配置的时间间隔(低至 15 分钟),DC 将轮询远程站点中的复制伙伴以获取更改。您可以通过站点间链接启用更改通知机制,以允许复制以少于 15 分钟的时间间隔进行。
此外,请注意,在单个域 AD 林中至少存在三种不同的复制拓扑。AD 数据库的每个分区都在可能不同的拓扑上进行复制。
在 Windows Server 2003 AD 林中,您还将拥有一个 ForestDNSZones 分区,以及林中每个域的 ForestDNSZones 分区。
Windows 支持工具中的
repadmin工具可用于构建 AD 复制拓扑的一些基本可视化。