我的 Active Directory 複製設置看起來不正確
我最近向我的 Active Directory 域(單林、單域)添加了一個新站點。我已將子網映射到站點,並將一個 DC 添加到新站點,剩下的 4 個在原始站點上。
作為新站點配置的一部分,我查看了 NTDS 設置以確保複製配置正確,並且事情看起來……很奇怪。
我已經編制了一個列表,其中列出了哪些伺服器從其他伺服器配置了複製。出於安全原因,我隱藏了這些名稱,但出於背景考慮:
- SERVER-A 是我們所有角色的 FSMO 角色持有者。
- SERVER-B 是 DC 的虛擬實例。
SERVER-A 和 SERVER-B 都是 Windows Server 2012 Standard。
- SERVER-C 是我們以前的 FSMO 角色持有者,它已被降級為標準 DC 的角色,它不持有任何 FSMO 角色。此 DC 執行 Windows Server 2003。
- SERVER-D 從未託管過任何 FSMO 角色。它執行 Windows Server 2008。
SERVER-A 到 SERVER-D 都位於同一個 AD 站點,稱為 BHO。
- SERVER-E 沒有 FSMO 角色,但它是一個名為 ECO 的新站點中的唯一 DC。它執行 Windows Server 2012 標準版。
最終,SERVER-C 和 SERVER-D 將被降級,從域中刪除,並對其硬碟進行格式化。但是,我對此感到很緊張,因為目前看來複製在很大程度上依賴於這些伺服器,尤其是 SERVER-C!
下面的列表顯示了每個伺服器,以及與之關聯的“源”伺服器(即列出了伺服器,然後是出現在 ADS+S 中 NTDS 設置頁面下的伺服器。
SERVER-C -> SERVER-A SERVER-C -> SERVER-B SERVER-C -> SERVER-E SERVER-D -> SERVER-A SERVER-D -> SERVER-B SERVER-A -> SERVER-C SERVER-A -> SERVER-D SERVER-B -> SERVER-C SERVER-B -> SERVER-D SERVER-E -> SERVER-A
我不確定這意味著什麼。如果我點擊 SERVER-C,進入它的 NTDS 設置,並查看列出的伺服器 A、B 和 E,這是否意味著在伺服器 A、B 和 E 上所做的更改將被複製到 C,或者 C 上的更改被推送到 A , B 和 E?
我的理解是 C 將收到來自 A、B 和 E 的更改,這似乎很奇怪,因為 C 是我們的“PDC”(因為需要更好的描述)。我想要的是讓 C將更改推送到 A、B、D 和 E。對於 A、B、D 和 E 中的每一個都將更改推送到 C。更理想的是,C 和 D 都將是主副本,將在它們之間複製更改,但所有其他伺服器(A、B、E)會將其更改複製到 C 和 D 之一,然後再將更改推送到其餘伺服器。
我希望這個解釋是有道理的。請有人澄清我是否在吠叫錯誤的樹,如果是這樣,在刪除“不正確”的設置之前添加正確的 NTDS 複製設置是否安全?
非常簡短的回答:除非您有非常非常奇怪的連接(具有時間限制可用性的連接、需要調整複製流量的頻寬成本過高的連接),否則您真的不需要手動調整有關 Active Directory (AD) 複製的任何內容。它只是工作(實際上相當好)。
Microsoft 有關於 AD 複製如何工作的背景材料,我建議您查看這些材料以獲取詳細資訊。
站點內(站點內)複製模型的基本概述是:
- 儘管 AD 複製是基於拉的,但域控制器 (DC) 會向站點內的複制夥伴發送更改通知,通知他們何時更改可用。
- 複製夥伴驗證它沒有比源伺服器 DC 更新的數據(因為它可能已經從另一個 DC 接收到此更新或更新的更新)。
- 複製夥伴從源 DC 請求更新,它確定其對象的本地副本需要更新。
站點之間的複制不使用更改通知(預設情況下),而是以可配置的時間間隔(低至 15 分鐘),DC 將輪詢遠端站點中的複制夥伴以獲取更改。您可以通過站點間連結啟用更改通知機制,以允許以小於 15 分鐘的時間間隔進行複制。
此外,請注意,在單個域 AD 林中至少存在三種不同的複制拓撲。AD 數據庫的每個分區都在可能不同的拓撲上進行複制。
- 架構
- 領域
- 全球目錄
在 Windows Server 2003 AD 林中,您還將擁有一個 ForestDNSZones 分區,以及林中每個域的 ForestDNSZones 分區。
Windows 支持工具中的
repadmin
工具可用於建構 AD 複製拓撲的一些基本視覺化。