站点概述
Active Directory® 中的站点代表网络的物理结构或拓扑。Active Directory 使用拓扑信息(在目录中存储为站点和站点链接对象)来建立最有效的复制拓扑。可使用“Active Directory 站点和服务”定义站点和站点链接。站点是一组有效连接的子网。站点和域不同,站点代表网络的物理结构,而域代表组织的逻辑结构。
使用站点
站点有助于简化 Active Directory 内的多种活动,其中包括:
- 复制。通过在站点内更为频繁(与站点之间复制信息相比)地复制信息,Active Directory 平衡对最新目录信息的需求与对优化带宽的需求。您还可以配置站点间连接的相对开销,进一步优化复制。详细信息,请参阅站点间的复制和管理复制。
- 身份验证。站点信息有助于使身份验证更快更有效。当客户端登录到域时,它首先在其本地站点中搜索可用于身份验证的域控制器。通过建立多个站点,可确保客户端利用与它们最近的域控制器进行身份验证,从而减少了身份验证滞后时间,并使通讯保持在 WAN 连接以外。
- 启用 Active Directory 的服务。启用 Active Directory 的服务可利用站点和子网信息,使客户端能够更方便地找到最近的服务器提供程序。有关服务的信息,请参阅Services。
利用子网定义站点
在 Active Directory 中,站点是通过高速网络 [如局域网 (LAN)] 有效连接的一组计算机。同一站点内的所有计算机通常放在同一建筑内,或在同一校园网络上。一个站点是由一个或多个 Internet 协议 (IP) 子网组成。子网是 IP 网络的细分,每个子网都有自己的唯一网络地址。子网地址归组相邻计算机的方式与邮政编码对相邻邮政地址归组的方式非常相似。下图显示了定义 Active Directory 站点的子网内的几个客户端。
在 Active Directory 中,站点和子网是通过站点和子网的对象表示的,可通过“Active Directory 站点和服务”创建这些对象。每个站点对象与一个或多个子网对象相关联。
有关创建站点的信息,请参阅创建站点。
有关创建子网的信息,请参阅创建子网。
有关子网的信息,请参阅 Microsoft Windows 资源工具包网站上的“Introduction to TCP/IP”(TCP/IP 简介)。
将计算机指派给站点
根据其 Internet 协议 (IP) 地址和子网掩码,计算机将被指派给站点。对客户端和成员服务器与对域控制器处理站点指派的方式是不同的。对于客户端,站点指派是在登录期间由其 IP 地址和子网掩码动态决定。对于域控制器,站点成员身份是由 Active Directory 中其相关服务器对象的位置决定。详细信息,请参阅 Microsoft Windows 资源工具包网站上的“Active Directory Replication”(Active Directory 复制)。
有关将子网与站点关联的信息,请参阅将子网与站点关联。
有关建立单个或多个站点的信息,请参阅何时建立单个或单独站点。
了解站点和域
在 Active Directory 中,站点反映了网络的物理结构,而域反映了组织的逻辑或管理结构。这种物理和逻辑结构的区分提供了下列好处:
- 可以单独设计和维护网络的逻辑和物理结构。
- 不必使域命名空间基于物理网络。
- 可以为相同站点中的多个域部署域控制器。也可以为多个站点中的相同域部署域控制器。
有关域的详细信息,请参阅域。
复制概述
除了非常小的网络之外,目录数据必须驻留在网络上的多个位置,以便于所有用户均等地使用。通过复制,Active Directory® 目录服务在多个域控制器上保留目录数据的副本,从而确保所有用户的目录可用性和性能。Active Directory 使用一种多主机复制模型,允许在任何域控制器上(而不只是委派的主域控制器上)更改目录。Active Directory 依靠站点概念来保持复制的效率,并依靠知识一致性检查器 (KCC) 来自动确定网络的最佳复制拓扑。
组织复制的数据
数据存储在目录存储中的每个域控制器上,目录存储在逻辑上分成特定的目录分区。每个分区存储一种不同类型的目录数据,比如域数据、林架构数据、林配置数据或应用程序数据。林中的所有域控制器都拥有该林的架构和配置分区的副本,而特定域中的所有域控制器都拥有该域的域分区的副本。应用程序目录分区拥有应用程序特定的目录数据,并可由属于不同域的域控制器存储。对每个目录分区的更改将被复制到拥有该分区副本的所有其他域控制器。详细信息,请参阅目录数据存储。
复制还确保了整个林的全局编录的可用性。全局编录是可搜索的目录存储,包含所有域中每个对象的相关数据。全局编录由已经为其启用了该全局编录的域控制器存储。详细信息,请参阅全局编录复制。
利用站点提高复制效率
Active Directory 依靠站点使复制更加有效。站点定义为有效连接的计算机组,它决定了目录数据的复制方式。Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。这样,在连接最好的域控制器中,最可能需要特定目录信息的域控制器首先接收复制的更新内容。其他站点中的域控制器也接收更改,但不频繁,以降低网络带宽的消耗。详细信息,请参阅复制的工作原理和站点概述。
确定复制拓扑
知识一致性检查器 (KCC) 是运行在每个域控制器上的一个进程,它根据您在“Active Directory 站点和服务”中提供的网络信息自动为您的网络确定最有效的复制拓扑。KCC 定期再计算复制拓扑以便针对所发生的任何网络更改而作出调整。每个站点中一个域控制器的 KCC(站点间拓扑生成程序)决定了站点间的复制拓扑。有关 KCC 的更多信息,请参阅Active Directory 复制技术。
Windows Server 2003 家族中的复制增强功能
Microsoft® Windows Server 2003 家族包含增强功能,可以使复制既有效又能在大量域和站点之间更具伸缩性。其中包括内存使用的优化、Windows 2000 跨越树算法的增强、Windows Server 2003 林的全新跨越树算法,以及新的负载平衡工具(包括在“Windows 资源工具包”工具中)。
在设置为 Windows 2000 功能级别的林中,复制增强在复制效率和可伸缩性方面颇为有效,即使在站点和域包含运行 Windows 2000 的域控制器的情况下。如果站点至少包含一个运行 Windows Server 2003 的域控制器,那么某个运行 Windows Server 2003 的域控制器将承担该站点的站点间拓扑生成程序角色,使增强生效。
在设置为 Windows Server 2003 功能级别的林中,新的 Windows Server 2003 跨越树算法在效率和可伸缩性方面都起到更大的作用。例如,使用原来的 Windows 2000 跨越树算法,一个域可最多包含 300 个站点。而使用新的 Windows Server 2003 算法时,一个域至少可最多包含 3,000 个站点。在新的算法中,每个站点中的站点间拓扑生成程序使用随机选择过程确定该站点的桥头服务器。这种选择过程能够在站点中的域控制器之间更平均地分布桥头复制工作量,导致效率更高(特别是在有许多域控制器的集线器站点中)。在默认情况下,仅当站点中添加了新的连接对象时,才会发生随机选择过程。不过,当站点中每次发生拓扑或域控制器数量的更改时,可以运行一个称为 adlb.exe 的新工具来重新平衡负载。另外,“adlb”可以交错安排计划,使每个服务器的出站复制负载能够在时间上均衡分布。有关 adlb 的更多信息以及下载该工具,请参阅“Windows Server 2003 Active Directory 分支机构规划与部署指南。”
复制的工作原理
为了保持所有域控制器上的目录数据一致和最新,Active Directory 会定期复制目录更改。复制根据标准网络协议进行,并使用更改跟踪信息防止发生不必要的复制,以及使用链接值复制以提高效率。
转移复制数据
Active Directory 使用支持 Internet 协议 (IP) 的远程过程调用 (RPC) 在域控制器之间转移复制数据。支持 IP 的 RPC 可用于站点间复制和站点内复制。为了保证传输中数据的安全性,支持 IP 的 RPC 复制同时使用身份验证(使用 KerberosV5 身份验证协议)和数据加密。
当直接或可靠的 IP 连接不可用时,可以对站点间的复制进行配置,使其使用简单邮件传输协议 (SMTP)。但是,SMTP 复制功能是受限的,它需要企业证书颁发机构 (CA)。SMTP 只能用来复制配置、架构和应用程序目录分区,它不支持域目录分区的复制。详细信息,请参阅 Microsoft Windows 资源工具包网站上的“Active Directory 复制”。
防止不必要的复制
当域控制器成功处理来自另一个域控制器的目录更改之后,它不应尝试将这些更改复制回发送这些更改的域控制器。另外,如果目标域控制器已经从不同的复制伙伴接收到同样的更新,该域控制器应避免将这些更新发送给其他域控制器。为防止发生此类不必要的复制,Active Directory 使用存储在目录中的更改跟踪信息。有关更改跟踪的信息,请参阅 Microsoft Windows 资源工具包网站上的“Active Directory 复制”。
解决冲突的更改
对于两个不同的用户,有可能对完全相同的对象属性进行更改,并在任一更改复制完成之前使这些更改应用到相同域中的两个不同域控制器上。在这种情况下,两个更改都会作为新更改来复制,这样就产生了冲突。为解决此冲突,接收这些冲突更改的域控制器会检查更改中包含的属性数据,每项更改都有一个版本和时间戳。域控制器将接受版本最高的更改,而丢弃其他更改。如果版本相同,域控制器将接受具有更近的时间戳的更改。
提高复制效率
正如在 Windows Server 2003 家族中采用的,链接值复制允许多值属性的个别值单独进行复制。在 Windows 2000 中,对组的成员进行更改时(具有链接值的多值属性的一个示例),必须复制整个组。通过链接值复制,只能复制已更改的组成员,不能复制整个组。要启用链接值复制,必须将林功能级别提升为 Windows Server 2003。有关林功能级别的详细信息,请参阅域和林功能。有关多值属性的详细信息,请参阅架构。
有关复制的工作原理的详细信息,请参阅 Microsoft Windows 资源工具包网站上的“Active Directory 复制”。
站点内的复制
Active Directory 处理站点内的复制(或称站点间复制)与处理站点间复制所用方法不同,因为站点内的带宽更易使用。Active Directory 信息一致性检查器 (KCC) 使用双向环式设计建立站内复制拓扑结构。站内复制可实现速度优化,站点内的目录更新根据更改通知自动进行。与站点间的复制数据不同,在站点内复制的目录更新并不压缩。
建立站内复制拓扑
每个域控制器上的知识一致性检查器 (KCC) 使用双向环式设计自动建立站内复制的最有效复制拓扑。这种双向环式拓扑至少将为每个域控制器创建两个连接(用于容错),任意两个域控制器之间不多于三个跃点(以减少复制滞后时间)。为了避免出现多于三个跃点的连接,此拓扑可以包括跨环的快捷连接。KCC 定期更新复制拓扑。
注意
- KCC 实际上为每个目录分区(架构、配置、域、应用程序)创建了单独的复制拓扑。在单个站点内,对于同一组域控制器拥有的所有分区,这些拓扑通常是相同的。
确定何时发生站内复制
在站点内进行的目录更新可能对本地客户端产生最直接的影响,因此站内复制可实现速度优化。站点内的复制根据更改通知而自动进行。当在某个域控制器上执行目录更新时,站内复制就开始了。默认情况下,源域控制器等待 15 秒钟,然后将更新通知发送给最近的复制伙伴。如果源域控制器有多个复制伙伴,在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知。当接收到更改通知后,伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3 秒钟的通知间隔可避免来自复制伙伴的更新请求同时到达而使源域控制器应接不暇。
对于站点内的某些目录更新,并不使用 15 秒钟的等待时间,复制会立即发生。这种立即复制称为紧急复制,应用于重要的目录更新,包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。
站点间的复制
Active Directory 处理站点之间的复制(或称站点间复制)与处理站点内的复制所用方法不同,因为站点之间的带宽通常是有限的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带宽效率,并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。
有关站内复制的信息,请参阅站点内的复制。
有关站点设计的信息,请参阅位于 Microsoft Windows 资源工具包网站 上的“Designing the Site Topology”(设计站点拓扑)。
建立站点间复制拓扑
Active Directory 使用您(通过“Active Directory 站点和服务”)提供的关于站点连接的信息,自动建立最有效的站点间复制拓扑。该目录将此信息存储为站点链接对象。每个站点被指派一个域控制器(称为站点间拓扑生成程序)以建立该拓扑。使用最低开销跨越树算法以消除站点之间的冗余复制路径。站点间复制拓扑将定期更新,以响应网络中发生的任何更改。可以通过在创建站点链接时所提供的信息来控制站点间复制。详细信息,请参阅管理复制。
确定何时发生站点间复制
Active Directory 通过最小化复制的频率以及允许安排站点复制链接的可用性,来节省站点之间的带宽。在默认情况下,跨越每个站点链接的站点间复制每 180 分钟(3 小时)进行一次。可以调整此频率以满足您的具体需要。请注意,提高此频率将增加复制所用的带宽量。此外,还可以安排复制所用的站点链接的可用性。在默认情况下,站点链接在任何时间都可以传输复制通讯。可以将此安排限制在每周的特定日子和每天的具体时间。例如,可以安排站点间复制,使其仅发生在正常工作时间以后。详细信息,请参阅配置站点链接复制频率和配置站点链接复制可用性。
注意
- 在特定的限制条件下,可使用简单邮件传输协议 (SMTP) 复制到没有直接或可靠的 Internet 协议 (IP) 连接的站点。详细信息,请参阅 Microsoft Windows 资源工具包网站 上的“Active Directory Replication”(Active Directory 复制)。
- 通过防火墙或虚拟专用网的站点间复制需要一些特殊的考虑。有关详细信息,请参阅 Microsoft 网站 上的 Active Directory。
何时建立单一或单独站点
通过适当建立站点,可以优化复制效率并减少网络的管理开销。站点的最有效数量取决于网络的物理设计。当最初创建新的林时,将创建一个默认的 Active Directory 站点(称为 Default-Site-First-Name),代表您的整个网络。对于完全以高速带宽连接的单一位置网络,包含单一站点的林或域是非常有效的。如果您的林或域包含多个地理位置,它们通过低速广域网 (WAN) 连接进行通信,那么建立多个站点,您便可更细致地控制复制行为,缩短身份验证滞后时间,并降低 WAN 上的网络通信量。
有关站点的信息,请参阅站点概述。
有关设计站点拓扑的信息,请参阅 Microsoft Windows 资源工具包网站上的“Designing the Site Topology”(设计站点拓扑)。
带宽为何重要
在站点内,带宽会影响复制进行的效率。站内复制的执行频率需要高速带宽以更有效地工作。因此,在创建新站点之前,应确保这个要建立的站点内的所有计算机都以高速带宽连接。域控制器之间以每秒 10 兆比特 (Mbps) 或更高速度的带宽连接的任何区域都是好的建站位置。
何时建立单一站点
如果您有包含单一子网的单一 LAN,或者如果您的网络包含以高速主干线连接的多个子网,那么建立单站点复制拓扑可提供下列好处:
- 简化的复制管理
- 所有域控制器之间的快速目录更新
单一站点拓扑允许网络上的所有复制均为站点内复制,不需要进行手动复制的配置。单站点设计还允许所有域控制器保持目录更改的最新状态,因为目录更新几乎是即时复制的。详细信息,请参阅站点内的复制。有关创建站点的详细信息,请参阅创建站点。
何时建立多个站点
当您的网络包含多个地理位置并通过 WAN 连接时,为每个位置建立单独的站点可提供下列好处:
- 有效利用 WAN 带宽进行复制
- 复制行为的粒度控制
- 减少身份验证滞后时间
物理上独立的网络位置通常是通过 WAN 连接进行通信的,其最常见的特征就是低速带宽。通过为网络上的每个物理位置创建单独的站点,便可确保以 WAN 连接进行通信的域控制器使用站点间复制,这是为提高低速带宽连接的效率而专门设计的复制方式。详细信息,请参阅站点间的复制。
使用多个站点时,可通过几个可配置的站点间复制设置,更细致地控制复制行为。这些设置包括不同复制路径的相对开销、与每个站点相关的域控制器、与每个站点相关的子网、目录更新的传输频率,以及复制所用连接的可用性。详细信息,请参阅管理复制。
作为身份验证过程的一部分,登录到某个域的网络客户端必须与域控制器联系,首先查看自己的站点。如果该站点包含两个或多个物理上独立的网络位置,则该客户端将跨越 WAN 连接针对某个域控制器进行身份验证。跨越 WAN 的身份验证会造成身份验证过程中的延迟。通过将物理上独立的网络位置放在独立的 Active Directory 站点中,可确保客户端首先尝试针对其自身站点中的域控制器进行身份验证。
带宽
带宽
带宽是影响网络上的站内复制最重要的实际考虑因素。尽管站点可以很方便地通过子网来定义,但是必须清楚这样做的原因是子网相互连接的结构通常比较好。这意味着子网通常是但不总是确定站点的有效方法。
为了更有效地组织您的站点,请考虑复制要求和有效的连接性。找到一个均衡的办法,确保相同站点的域控制器的连接非常好,足以处理频繁的目录信息交换,也不会给您带来过高的开销(例如财政费用过高或网络性能降低)。
考虑带宽时,您可能需要把几个子网合并到一个站点或将一个子网分割为几个站点,如下例所示:
- 有一些连接很差的计算机,包括在一个子网中的几个域控制器。创建几个较小的子网,这些子网的连接状况比大的子网要好。为了使它更有效,每个新子网都应包含一个域控制器。
- 您已经有一些连接良好的子网,或者拥有比子网少的域控制器,但您想在单独的站点中放几个子网。为此,需要在一个站点中加入多个子网。
管理复制管理复制
Active Directory 依靠站点配置信息来管理和优化复制过程。在某些情况下,Active Directory 可自动配置这些设置。此外,您可以使用“Active Directory 站点和服务”为您的网络配置与站点相关的信息。可配置信息包括站点链接、站点链接桥和桥头服务器的设置。
配置站点链接
可以使用站点链接设置来控制站点之间的复制。可配置设置包括每个站点链接的相对开销、每个站点链接上的复制频率,以及用于复制的每个站点链接的日程安排可用性。有关站点链接的详细信息,请参阅站点间的复制。
站点链接开销
站点链接的开销决定了 Active Directory 信息一致性检查器 (KCC) 对于在复制拓扑中使用站点链接的相对优先权。站点链接的开销越高,KCC 对使用该站点链接的优先权越低。例如,如果您有两个站点链接,A 站点链接和 B 站点链接,并且您将 A 站点链接的开销设置为 150,而将 B 站点链接的开销设置为 200,那么 KCC 将在复制拓扑中首选使用 A 站点链接。在默认情况下,新创建的站点链接的开销为 100。有关设置站点链接开销的信息,请参阅配置站点链接开销。有关 KCC 的信息,请参阅复制概述。
复制频率
站点链接的复制频率决定了在该站点链接上复制发生的频率。默认情况下,站点链接的复制频率为 180 分钟,这表示在该站点链接上,每 180 分钟(或三小时)进行一次复制。使用“Active Directory 站点和服务”可将复制频率设置为 15 分钟到 10,080 分钟(一周)。不论进行任何复制,站点链接必须可用。如果在复制更新间经过的分钟数时站点链接不可用,将不会发生复制。详细信息,请参阅配置站点链接复制频率。
站点链接可用性
站点链接的可用性日程安排决定了在每周的哪些时间或哪些日子可以使用站点链接进行复制。默认情况下,站点链接在每周的任何时间都可用。您可以更改此日程安排,例如排除上班时间,此时网络忙于处理其他类型的通信。或者可以排除您不希望进行复制的某些天。使用简单邮件传输协议 (SMTP) 进行复制的站点链接将忽略日程安排信息。详细信息,请参阅配置站点链接复制可用性。
配置站点链接桥
默认情况下,所有站点链接都是桥接或可传递的。这样就允许未经明确的站点链接连接的任意两个站点通过一系列中间站点链接和站点直接进行通信。桥接所有站点链接的一个优点是网络易于维护,因为不需要创建站点链接来描述站点对之间的每一种可能的路径。
一般来说,可以启用自动站点链接桥接功能。但是,您可能希望在下列情况下禁用自动站点链接桥接,而只为特定站点链接手动创建站点链接桥:
- 您的网络没有充分路由(并非每个域控制器都能与其他所有域控制器直接通信)。
- 您的网络路由或安全策略不允许每个域控制器与其他所有域控制器直接通信。
- 您的 Active Directory 设计包括大量站点。详细信息,请参阅 Microsoft 网站 上的“Active Directory 分支机构规划指南”。
有关站点链接桥及其对复制的影响的详细信息,请参阅 Microsoft Windows 资源工具包网站 上的“Active Directory 复制”。
有关禁用自动站点链接桥接功能的信息,请参阅启用或禁用站点链接桥。
有关手动创建站点链接桥的信息,请参阅创建站点链接桥。
配置首选桥头服务器
当 KCC 建立站点间复制拓扑时,它会自动为每个站点指派一个或多个桥头服务器,以确保在站点链接上只需要将目录更改复制一次。建议您允许 KCC 指派桥头服务器。通过“Active Directory 站点和服务”,可以手动指派桥头服务器。但是,如果您手动指派的某个桥头服务器不可用,有可能中断复制。详细信息,请参阅 Microsoft Windows 资源工具包网站 上的“Active Directory 复制”。
有关手动配置桥头服务器的信息,请参阅委派首选桥头服务器。
- 您的网络没有充分路由(并非每个域控制器都能与其他所有域控制器直接通信)。