Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Voordat u sitetopologie ontwerpt, moet u vertrouwd raken met enkele Active Directory-replicatieconcepten.
Verbindingsobject
Een verbindingsobject is een Active Directory-object dat een replicatieverbinding van een brondomeincontroller naar een doeldomeincontroller vertegenwoordigt. Een domeincontroller is lid van één site en wordt weergegeven op de site door een serverobject in Active Directory Domain Services (AD DS). Elk serverobject heeft een onderliggend NTDS-instellingenobject dat de replicerende domeincontroller in de site vertegenwoordigt.
Het verbindingsobject is een onderliggend object van het object NTDS Settings op de doelserver. Voor replicatie tussen twee domeincontrollers moet het serverobject van de ene een verbindingsobject hebben dat binnenkomende replicatie van de andere vertegenwoordigt. Alle replicatieverbindingen voor een domeincontroller worden opgeslagen als verbindingsobjecten onder het object NTDS-instellingen. Het verbindingsobject identificeert de replicatiebronserver, bevat een replicatieschema en geeft een replicatietransport op.
Met de Knowledge Consistency Checker (KCC) worden automatisch verbindingsobjecten gemaakt, maar ze kunnen ook handmatig worden gemaakt. Verbindingsobjecten die door de KCC zijn gemaakt, worden weergegeven in de module Active Directory-sites en -services, zoals <automatisch gegenereerd> en worden beschouwd als voldoende onder normale bedrijfsomstandigheden. Verbindingsobjecten die door een beheerder zijn gemaakt, worden handmatig verbindingsobjecten gemaakt. Een handmatig gemaakt verbindingsobject wordt geïdentificeerd door de naam die door de beheerder is toegewezen toen het werd gemaakt. Wanneer u een <automatisch gegenereerd> verbindingsobject wijzigt, converteert u het naar een door de beheerder gewijzigd verbindingsobject en wordt het object weergegeven in de vorm van een GUID. De KCC brengt geen wijzigingen aan in handmatige of gewijzigde verbindingsobjecten.
KCC
De KCC is een ingebouwd proces dat wordt uitgevoerd op alle domeincontrollers en replicatietopologie genereert voor het Active Directory-forest. De KCC maakt afzonderlijke replicatietopologieën, afhankelijk van of replicatie plaatsvindt binnen een site (intrasite) of tussen sites (intersite). De KCC past de topologie ook dynamisch aan om de toevoeging van nieuwe domeincontrollers, het verwijderen van bestaande domeincontrollers, het verplaatsen van domeincontrollers naar en van sites, het wijzigen van kosten en schema's en domeincontrollers die tijdelijk niet beschikbaar of in een foutstatus zijn.
Binnen een site worden de verbindingen tussen beschrijfbare domeincontrollers altijd gerangschikt in een bidirectionele ring, met extra snelkoppelingsverbindingen om de latentie op grote sites te verminderen. Aan de andere kant is de intersitetopologie een gelaagde laag van overlappende bomen, wat betekent dat er één intersiteverbinding bestaat tussen twee sites voor elke mappartitie en in het algemeen geen snelkoppelingsverbindingen bevat. Zie De technische naslaginformatie over Active Directory-replicatietopologie () voor meer informatie over het overspannen van structuren en Active Directory-replicatietopologie.https://go.microsoft.com/fwlink/?LinkID=93578
Op elke domeincontroller maakt de KCC replicatieroutes door binnenkomende verbindingsobjecten in één richting te maken die verbindingen van andere domeincontrollers definiëren. Voor domeincontrollers op dezelfde site maakt de KCC automatisch verbindingsobjecten zonder administratieve tussenkomst. Wanneer u meer dan één site hebt, configureert u sitekoppelingen tussen sites en maakt één KCC in elke site automatisch verbindingen tussen sites.
KCC-verbeteringen voor Windows Server 2008 RODC's
Er zijn een aantal KCC-verbeteringen voor de nieuw beschikbare alleen-lezen domeincontroller (RODC) in Windows Server 2008. Een typisch implementatiescenario voor RODC is het filiaal. De Active Directory-replicatietopologie die het meest in dit scenario wordt geïmplementeerd, is gebaseerd op een hub-and-spoke-ontwerp, waarbij vertakkingsdomeincontrollers op meerdere sites worden gerepliceerd met een klein aantal bridgeheadservers in een hubsite.
Een van de voordelen van het implementeren van RODC in dit scenario is unidirectionele replicatie. Bridgehead-servers hoeven niet te worden gerepliceerd vanuit de RODC, wat het beheer- en netwerkgebruik vermindert.
Een administratieve uitdaging die is gemarkeerd door de hub-spoke-topologie in eerdere versies van het Windows Server-besturingssysteem is echter dat er na het toevoegen van een nieuwe bridgehead-domeincontroller in de hub geen automatisch mechanisme is om de replicatieverbindingen tussen de vertakkingsdomeincontrollers en de hubdomeincontrollers te herdistribueren om te profiteren van de nieuwe hubdomeincontroller.
Voor Windows Server 2008-RODC's biedt de normale werking van de KCC enige herverdeling. De nieuwe functionaliteit is standaard ingeschakeld. U kunt dit uitschakelen door de volgende registersleutelset toe te voegen aan de RODC:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"1 = Ingeschakeld (standaard), 0 = Uitgeschakeld
Zie Active Directory Domain Services voor filialen plannen en implementeren voor meerhttps://go.microsoft.com/fwlink/?LinkId=107114 informatie over hoe deze KCC-verbeteringen werken.
Failover-functionaliteit
Sites zorgen ervoor dat replicatie wordt gerouteerd rond netwerkfouten en offline domeincontrollers. De KCC wordt uitgevoerd met opgegeven intervallen om de replicatietopologie aan te passen voor wijzigingen die plaatsvinden in AD DS, zoals wanneer er nieuwe domeincontrollers worden toegevoegd en nieuwe sites worden gemaakt. De KCC controleert de replicatiestatus van bestaande verbindingen om te bepalen of verbindingen niet werken. Als een verbinding niet werkt vanwege een mislukte domeincontroller, bouwt de KCC automatisch tijdelijke verbindingen met andere replicatiepartners (indien beschikbaar) om ervoor te zorgen dat de replicatie plaatsvindt. Als alle domeincontrollers in een site niet beschikbaar zijn, maakt de KCC automatisch replicatieverbindingen tussen domeincontrollers van een andere site.
Subnet
Een subnet is een segment van een TCP/IP-netwerk waaraan een set logische IP-adressen wordt toegewezen. Subnetten groeperen computers op een manier die hun fysieke nabijheid op het netwerk identificeert. Subnetobjecten in AD DS identificeren de netwerkadressen die worden gebruikt om computers toe te wijzen aan sites.
Site
Sites zijn Active Directory-objecten die een of meer TCP/IP-subnetten vertegenwoordigen met zeer betrouwbare en snelle netwerkverbindingen. Met site-informatie kunnen beheerders Active Directory-toegang en replicatie configureren om het gebruik van het fysieke netwerk te optimaliseren. Siteobjecten zijn gekoppeld aan een set subnetten en elke domeincontroller in een forest is gekoppeld aan een Active Directory-site op basis van het IP-adres. Sites kunnen domeincontrollers van meer dan één domein hosten en een domein kan worden weergegeven in meer dan één site.
Sitekoppeling
Sitekoppelingen zijn Active Directory-objecten die logische paden vertegenwoordigen die door de KCC worden gebruikt om een verbinding tot stand te brengen voor Active Directory-replicatie. Een sitekoppelingsobject vertegenwoordigt een set sites die tegen uniforme kosten kunnen communiceren via een opgegeven intersitetransport.
Alle sites in de sitekoppeling worden beschouwd als verbonden via hetzelfde netwerktype. Sites moeten handmatig aan andere sites worden gekoppeld met behulp van sitekoppelingen, zodat domeincontrollers op de ene site mapwijzigingen van domeincontrollers in een andere site kunnen repliceren. Omdat sitekoppelingen niet overeenkomen met het werkelijke pad dat wordt genomen door netwerkpakketten in het fysieke netwerk tijdens de replicatie, hoeft u geen redundante sitekoppelingen te maken om de efficiëntie van Active Directory-replicatie te verbeteren.
Wanneer twee sites zijn verbonden via een sitekoppeling, maakt het replicatiesysteem automatisch verbindingen tussen specifieke domeincontrollers in elke site die brugservers worden genoemd. In Windows Server 2008 zijn alle domeincontrollers op een site waarop dezelfde mappartitie wordt gehost, kandidaten om te worden geselecteerd als brughoofdservers. De replicatieverbindingen die door de KCC zijn gemaakt, worden willekeurig verdeeld over alle kandidaat-brughoofdservers in een site om de replicatieworkload te delen. Standaard vindt het gerandomiseerde selectieproces slechts één keer plaats, wanneer verbindingsobjecten voor het eerst aan de site worden toegevoegd.
Sitekoppelingsbrug
Een sitekoppelingsbrug is een Active Directory-object dat een set sitekoppelingen vertegenwoordigt, waarvan alle sites kunnen communiceren met behulp van een gemeenschappelijk transport. Sitekoppelingsbruggen maken domeincontrollers mogelijk die niet rechtstreeks zijn verbonden via een communicatiekoppeling om met elkaar te repliceren. Normaal gesproken komt een sitekoppelingsbrug overeen met een router (of een set routers) in een IP-netwerk.
De KCC kan standaard een transitieve route vormen via alle sitekoppelingen die enkele sites gemeen hebben. Als dit gedrag is uitgeschakeld, vertegenwoordigt elke sitekoppeling een eigen afzonderlijk en geïsoleerd netwerk. Sets sitekoppelingen die als één route kunnen worden behandeld, worden uitgedrukt via een sitekoppelingsbrug. Elke brug vertegenwoordigt een geïsoleerde communicatieomgeving voor netwerkverkeer.
Sitekoppelingsbruggen zijn een mechanisme om transitieve fysieke connectiviteit tussen sites logisch te vertegenwoordigen. Met een sitekoppelingsbrug kan de KCC elke combinatie van de opgenomen sitekoppelingen gebruiken om de goedkoopste route te bepalen om mappartities op die sites onderling te verbinden. De sitekoppelingsbrug biedt geen werkelijke connectiviteit met de domeincontrollers. Als de koppelingsbrug van de site wordt verwijderd, wordt de replicatie via de gecombineerde sitekoppelingen voortgezet totdat de KCC de koppelingen verwijdert.
Sitekoppelingsbruggen zijn alleen nodig als een site een domeincontroller bevat die als host fungeert voor een mappartitie die niet ook wordt gehost op een domeincontroller op een aangrenzende site, maar een domeincontroller die als host fungeert voor die mappartitie zich op een of meer andere sites in het forest bevindt. Aangrenzende sites worden gedefinieerd als twee of meer sites die zijn opgenomen in één sitekoppeling.
Een sitekoppelingsbrug maakt een logische verbinding tussen twee sitekoppelingen en biedt een transitief pad tussen twee niet-verbonden sites met behulp van een tussentijdse site. Voor de intersitetopologiegenerator (ISTG) impliceert de brug fysieke connectiviteit met behulp van de tussentijdse site. De brug impliceert niet dat een domeincontroller op de tussentijdse site het replicatiepad levert. Dit is echter het geval als de tussentijdse site een domeincontroller bevat die als host fungeert voor de mappartitie die moet worden gerepliceerd, in welk geval een sitekoppelingsbrug niet vereist is.
De kosten van elke koppeling worden toegevoegd, waardoor een totale kostprijs voor het resulterende pad wordt gecreëerd. De sitekoppelingsbrug wordt gebruikt als de tussentijdse site geen domeincontroller bevat die als host fungeert voor de mappartitie en er geen koppeling met lagere kosten bestaat. Als de tussentijdse site een domeincontroller bevat die als host fungeert voor de mappartitie, zouden twee niet-verbonden sites replicatieverbindingen met de tussentijdse domeincontroller instellen en de brug niet gebruiken.
Transitiviteit van sitekoppelingen
Standaard zijn alle sitekoppelingen transitief of 'overbrugd'. Wanneer sitekoppelingen worden overbrugd en de planningen elkaar overlappen, maakt de KCC replicatieverbindingen die bepalen welke replicatiepartners van domeincontrollers tussen sites zijn, waarbij de sites niet rechtstreeks zijn verbonden door sitekoppelingen, maar transitief zijn verbonden via een set gemeenschappelijke sites. Dit betekent dat u elke site via een combinatie van sitekoppelingen kunt verbinden met een andere site.
Over het algemeen hoeft u voor een volledig gerouteerd netwerk geen sitekoppelingsbruggen te maken, tenzij u de stroom van replicatiewijzigingen wilt beheren. Als uw netwerk niet volledig is gerouteerd, moeten sitekoppelingsbruggen worden gemaakt om onmogelijke replicatiepogingen te voorkomen. Alle sitekoppelingen voor een specifiek transport behoren impliciet tot één sitekoppelingsbrug voor dat transport. De standaard bridging voor sitekoppelingen vindt automatisch plaats en er is geen Active Directory-object dat deze brug vertegenwoordigt. De instelling voor alle sitekoppelingen van Bridge , die wordt gevonden in de eigenschappen van zowel de SMTP-containers (IP- als Simple Mail Transfer Protocol) voor intersitetransport, implementeert automatische koppelingsoverbrugging van sites.
Note
SMTP-replicatie wordt niet ondersteund in toekomstige versies van AD DS; Daarom wordt het maken van sitekoppelingsobjecten in de SMTP-container niet aanbevolen.
Globale catalogusserver
Een globale catalogusserver is een domeincontroller die informatie over alle objecten in het forest opslaat, zodat toepassingen AD DS kunnen doorzoeken zonder te verwijzen naar specifieke domeincontrollers die de aangevraagde gegevens opslaan. Net als alle domeincontrollers slaat een globale catalogusserver volledige, beschrijfbare replica's van de schema- en configuratiemappartities op en een volledige, beschrijfbare replica van de domeinmappartitie voor het domein dat het host. Bovendien slaat een globale catalogusserver een gedeeltelijke, alleen-lezen replica van elk ander domein in het forest op. Gedeeltelijke, alleen-lezen domeinreplica's bevatten elk object in het domein, maar slechts een subset van de kenmerken (die kenmerken die het meest worden gebruikt om het object te doorzoeken).
Universele groepslidmaatschap opslaan in cache
Met de cache van universele groepslidmaatschappen kan de domeincontroller informatie over het lidmaatschap van universele groepen in de cache opslaan voor gebruikers. U kunt domeincontrollers met Windows Server 2008 inschakelen om universele groepslidmaatschappen in de cache te plaatsen met behulp van de module Active Directory-sites en -services.
Als u het opslaan van universele groepslidmaatschappen inschakelt, hoeft u geen globale catalogusserver op elke site in een domein in te schakelen, waardoor het netwerkbandbreedtegebruik wordt geminimaliseerd omdat een domeincontroller niet alle objecten in het forest hoeft te repliceren. Het vermindert ook de aanmeldingstijden omdat de authenticatiedomeincontrollers niet altijd toegang hoeven te hebben tot een globale catalogus om toegang te verkrijgen tot universele groepslidmaatschapsinformatie. Zie De plaatsing van de globale catalogusserver plannen voor meer informatie over wanneer u de cache van universele groepslidmaatschappen moet gebruiken.