了解ADDS中复制的作用:

在企业中目录环境必须包括跨越整个目录结构同步和更新目录信息的机制,在windowsADDS中,必须使用最新的信息来更新每个域控制器,以便用户可以登录,访问资源并且正确的与目录交互。

ADDS与许多目录服务不同之处:目录信息复制在实现独立于实际的逻辑目录设计,

ADDS站点的概念完全独立于ADDS森林、树、和域的逻辑结构,ADDS中的单个站点确实能够驻留相同森林中不同域的域控制器。

多主复制拓扑

ADDS进行特殊设计以便允许创建、修改、删除来自多个域控制器的目录信息。此概念为多主复制multimasterreplication,没有一个域控制器作为授权域控制器

如果任何域控制器停止同工作,其余任何一个可写的域控制器将更已更改目录信息

然后可以跨越域基础结构来复制这些更改,需要对这种复制施加某种控制以便优先复制最新的变化,通过更新序列号UpdateSequenceNumbersUSN,实现这种控制

更新序列号USN

ADDS利用USN提供目录更改的精确复制

USN是由ADDS中每个域控制器维护的一个64位数字,每次对特定的服务器上的目录做出变更时按推进USN,每个额外域控制器也包含其对等控制器中最近已知的USN的副本,随后的更新讲变得更加简明,。

使用USN可以确保复制的完整性,因为仅在确认已将更改写入到特定的域控制器时才更新USN编号,按照这种方式,如果一台服务器因故障中断了复制周期,相关的服务器扔将基于他的USN编号寻求更新,以确保事物处理的完整性。

复制冲突:

造成复制冲突的原因:在更改已复制到所有域控制器之间就对同一个对象施加了更改,

eg:一个管理员在server1上重设了用户口令,另一个管理员在server1有机会复制此发动之前就在server2上重设了同一个用户的口令,那么会出现复制冲突,通过使用属性版本号可以解决复制冲突。

属性版本号

属性版本号作为一个属性应用到ADDS内的所有对象上,一旦对象出现更改,则按照次粗更新这些编号并打下时间戳,如果出现复制冲突,则会执行具有最新时间戳的属性版本号并且会废弃更陈旧的更改。

windows2008包括一个内置的服务来同步域内的时间。

使用windowstimeservice来维护DC同步

windowstime

时间在ADDS中是一个重要的方面

kerberos是windowsADDS使用的一个自带的认证机制,并且它的票证系统基于一个精确的时间源。如果相同域中的两个机器的差别超过5分钟,认证会失败

windows2008利用windowstimeservice和域层次结构在整个域中的所有域控制器之间维护一致的时间源。

一台服务器,也就是PDC仿真器,负责从人工的可信源中获取精确时间,如NTFS\windows.time.com、pool.ntp.org或者GPS时钟。

本地可信的源成为层次0,PDC仿真器是层次1,PDC仿真器所在的同一个站点中其他所有DC是层次2,远程站点中的桥头堡服务器是层次3,并且同一个远程站点中的其他所有DC是层次4

成员计算机将试图从他们自己坐在站点上最低层的DC中获取时间,如果DC没有提供时间,那么将会利用下一个较高的层次。

所以即使更改了本地时钟,始终也会自动重置到域时间

在启动时进行时间同步并且此后每隔45分钟完成连续3个成功的时间同步,随后时间间隔检验周期增加到8小时

连接对象

连接对象由ADDS知识一致性检验器KnowledgeconsistencycheckerKCC自动生成,以充当复制通信的通道,也可以手动建立连接对象

他提供了一个域控制器到另一个域控制器间的复制通路

1、打开activedirectorysitesandservices

2、展开sites---sitename----servers----servername----NTDS设置

3、右击NTDS设置并选择newactivedirectorydomainservicsconnection

复制延迟

1、打开Activedirectorysitesadservices

2、定位到sites---sitename----servers----servername----NTDS设置,

3、右击每个连接对象,悬着replicationnow

repadmin工具

解释ADDS是如何进行复制

我们知道域控制器之间的数据是进行同步复制的。

ADDS复制是通过一种称之为“源写入”(OrginatingWrites)的特性完成域控制器之间的对象复制。

当对象进行变化时,此属性值会递增,域控制器比较其自身保存的这个属性值与复制请求过程中收到的值。如果其值较低,那说明发生了变化;否者丢弃收到的值,这种简化的复制方法还是非常可靠和高效的,并允许有效的对象同步。