Active Directory Sites and Services循序渐进指南

2000年2月16日 星期三

把此文档发送给你的同事

内容

  • 简介
  • 前提条件
  • 使用结点布局工具
  • 结点链路和结点链路桥
  • 附录:复制布局概念
  • 相关链接

    • 简介

    回到页首

    Windows® 2000 Active Directory® Sites and Services插件的主要用途就是管理企业环境局域网中结点内部和宽域网(WAN)中结点之间的复制布局。

    注意:以下附录提供了Active Directory(活动目录)服务复制执行方式的支持定义和解释。如果对复制还不熟悉,您最好先复习一下附录。

    结点

    结点就是具有高带宽连接的网络的一个区域,从定义来看,结点就是基于Internet Protocol(IP)子网的、连接良好的计算机集合。因为结点控制着复制的发生方式,Sites and Service(结点和服务)插件所作的改变将影响到某域中域控制器(这些域控制器相隔很远)通信的有效性。

    从Windows 2000域的概念考虑,结点是独立的,因为一个结点可能横跨多个域,而一个域可能横跨多个结点。结点不是域名字空间的一部分。结点控制着域信息的复制,并且帮助确定资源相似性。例如,一个工作站将选择其结点内的一个域控制器,并通过该域控制器进行身份验证。

    为了确保Windows 2000操作系统中的Active Directory(活动目录)服务可以正常复制,一个名为Knowledge Consistency Checker(KCC,知识一致性检查器)的服务运行于所有域控制器上,并在同一结点内的独立计算机之间自动建立连接。这些都是Active Directory连接对象。管理员可以建立附加连接对象或删除连接对象,但是,当结点内不能进行复制或出现单点故障时,KCC逐步前进并建立继续Active Directory复制所需的新连接对象。

    结点间复制假定发生在较高成本或较低速度连接处。同样的是,结点间复制的机制允许选择替代传输,该机制通过创建结点链接和结点链接桥建立。

    Default-First-Site

    在您在企业内第一个域控制器上安装Windows 2000 Server时,您的第一个结点就已经自动创建。由此产生的第一个结点名为Default-First-Site。您可以为该结点重新命名,或者保留其默认名称。

    网络上结点复制布局可以控制:

    • 复制发生的地点,如哪个域控制器直接与同一结点内的其他域控制器通信。此外,该布局控制着结点互相通信的方式。
    • 复制发生的时间。结点间复制完全可由管理员安排。同一结点内的域控制器间复制是基于通知信息的,通知信息在域内某对象发生改变的5分钟内被发送。

    所有新提升的域控制器都被放置于Site包容器中,该包容器在安装时应用到这些域控制器上。例如,运往加利福尼亚的服务器可能早就已创建并在Maui,Hawii数据中心里配置--因此Configure Your Server(配置您的服务器)向导将该服务器放置于Maui结点中。在该服务器到达加州后,该服务器对象可以使用Sites and Services(结点和服务)插件迁移到新结点中。

    您可以使用Sites and Services(结点和服务)插件的结点部分完成以下操作:

    • 显示某企业内的合法结点。例如,Default-First-Site可能是诸如Headquarters(总部)的结点名称。您可以创建、删除或为结点重新命名。
    • 显示参与某结点的服务器。您可以删除或在结点间移动服务器。(注意:尽管您还可以手动添加服务器,但是添加服务器的任务通常都在域控制器启动过程中自动完成。)
    • 显示使用结点知识的应用程序。Active Directory(活动目录)布局位于Sites\Default-First-Site\Servers处。它只包含了那些参与特定结点的服务器,而与域无关。要查看任何服务器的连接,只需显示Sites\Default-First-Site\Servers\{server}\NTDS Settings。每台服务器都有连接和进度表,它们共同控制着对该结点中其他服务器的复制。
      1. 连接。对于有双向复制的两台计算机,第一台计算机到第二台计算机间必须有一个连接,第二台计算机到第一台计算机间必须有一个辅助连接。
      2. 进度表。在某结点内,新目录增量的pull复制每5分钟在服务器间发生一次。进度表在结点内是非常重要的,一旦某伙伴的连接对象受损,它可以向入站伙伴强制发送周期性通知信息。这种通知信息通常每6小时发生一次。此外,进度表在控制结点间pull复制时也是非常重要的(没有结点间5分钟一次的自动复制)。
    • 显示结点间的传输和链路。传输表示用于在所选结点间通信的协议(例如IP协议等)。
    • 显示子网。子网允许管理员将IP地址范围与结点关联一起。

    前提条件

    您至少需要安装两个Windows 2000域控制器。每个域控制器应该容留不同的域分区(容留不同的Windows 2000域),并且是同一森林的成员。本逐步指南假定两个Windows 2000域间的父/子关系。

    在执行本文档中的指令操作之前,您可以先通读通用基础结构和建立附加域的逐步指南并创建这一基础配置。

    如果不打算使用通用基础架构,您需要对本指南中的指令操作做适当的更改。

    使用Sites Topology(结点布局)工具

    回到页首

    1. 单击Start(开始),选择Programs(程序),选择Administrative Tools(管理工具),然后单击Active Directory Sites and Services(活动目录结点和服务)。

    如图1所示的控制台将出现:

    图1。Active Directory Sites and Services(活动目录结点和服务)插件中的Default-First-Site内容

    添加一个结点

    1. 鼠标右击该控制台左侧窗格中的Sites(结点),然后单击New Site(新结点)。
    2. New Object-Site(新对象--结点)对话框中输入新结点的名称(本例中所用名称为Site1,如图2所示)

    图2。创建一个结点

    1. 选择包含该新结点的结点链路对象。如果出现一个Default Site Link(默认结点链路),您可以在此时将该结点与之关联。Site Links(结点链路)在本文档后面有详细论述。然后单击OK
    2. Active Directory(活动目录)消息框出现时,单击OK

    现在您可以在NTDS Settings包容器中将其他结点的计算机移到该结点内。

    将计算机移到某结点内

    1. Active Directory Sites and Services(活动目录结点和服务)插件中,鼠标右击您想要移往左侧窗格的计算机,单击Move(移动),Move Server(移动服务器)框将出现。
    2. 选择该计算机将要移入的结点,然后单击OK

    添加一个子网

    定义特定结点的子网

    1. 在该控制台的左侧窗格中,鼠标右击结点名称下的Subnets(子网)。
    2. Action(动作)菜单中单击New Subnet(新子网)。
    3. 在如图3所示的New Object-Subnet(新对象--子网)框中,输入子网地址和子网屏蔽码。
    4. 在下侧选择该子网的Site(结点)对象并单击OK

    图3。添加一个子网

    如果您已经正确地输入该子网,它将出现在Subnets文件夹中。 将该子网与某结点关联

    1. 鼠标右击该控制台右侧窗格中的子网,然后单击Properties(属性)。
    2. Properties(属性)对话框中,从列表框中选择与该子网关联的结点。

    图4.将子网与某结点关联

    • 单击Location(位置)选项卡,输入城市名称;本例中为Renton。单击OK

    结点链路和结点链路桥

    回到页首

    创建一个结点链路

    对于发生在多个结点间的预定复制,这些结点必须就通讯传输协议达成一致。最常见传输是基于IP协议的。

    1. 单击左侧窗格中Inter-Site Transports(结点间传输)旁边的+号,以展开该传输(如果它还没被展开)。鼠标右击IP,然后单击New Site Link(新结点链路)。

      图5。新结点链路

    2. New Object-Site Link(新对象--结点链路)对话框中输入该结点链路的名称,如图7所示。
    3. 选择左侧窗格中的结点,然后单击Add(添加)。
    4. 当想要包含在该结点中的结点链路都被添加到右侧窗格列表后,单击OK

    图6。创建一个结点链路

    在两个结点之间创建一个链路

    1. Intersite Transports(结点间传输)结点处,单击选择一个适用的传输。本例中选择的是IP
    2. 如果您希望将某结点加入到现有结点链路中,从右侧窗格的Sites in this Link(本链路中结点)中选择该链路,右击它,然后单击Properties(属性)。
    3. 添加该结点,单击Apply(应用),然后单击OK

    创建一个结点链路桥

    创建结点链路桥的过程与创建结点链路基本相同;不同之处在于,您现在需要提供该桥的结点链路名,而不是提供该链路的结点名。

    重要注释

    在本逐步指南中举例的公司、组织、产品、人及事件都是虚构的。我们没有蓄意将其与任何公司、组织、产品、人或事件联系在一起。

    本通用基础架构设计用于专用网络。通用基础架构中使用的虚构公司名称和DNS名称都没有在Internet上注册使用。请不要在公用网络或Internet上使用该名称。

    该通用基础架构的活动目录服务结构主要用于说明Windows 2000特性与活动目录的交互方式。我们没有将其设计为配置某组织活动目录的模型,要获取此类信息,请参看活动目录文档。

    附录:复制布局概念

    回到页首

    结点

    结点就是一组IP子网。Site(结点)对象代表Active Directory(活动目录)中的一个结点。

    在把一组IP子网组合到某结点内后,您可以认为这些子网连接良好。直观地说,连接良好表示高带宽局域网连接(可能涉及到通过高性能路由器进行的中继。)

    判断两个子网是否应放在同一结点内并没有固定的标准。通过理解Active Directory(活动目录)如何使用结点信息,您可以作出综合性的判断。 Active Directory以下列4种方式利用结点信息:

    • 当某客户端请求对域控制器的连接时(例如登录请求),结点允许该客户端连接到同一结点内的某域控制器上,而无论这样做是否可行。这样做可以减少网络等待时间并保持网络带宽。
    • 当Active Directory KCC配置域控制器之间的复制连接时,KCC在同一结点内域控制器之间创建的连接数大于不同结点内域控制器之间的连接数。这样做可以保持结点内较低的复制等待时间,并且可以保持结点间较高的复制带宽。
    • 某结点内域控制器间的复制消息是未经压缩的,因此这些消息在域控制器上占用较少的CPU循环周期。不同结点内域控制器间的复制消息是经过压缩的,因此这些消息占用较少的网络带宽。
    • 某结点内域控制器间复制引发条件为更新的到达,这样做可以减少结点内的复制等待时间。不同结点内域控制器间的复制按照进度表执行,这样做可以保持网络带宽。

    结点与Active Directory(活动目录)域名字空间没有任何联系。目录对象的名称与存放该对象的结点没有必然联系。一个结点可能包含不同域的域控制器,某个域的域控制器可能出现在多个结点中。(在Microsoft Exchange中,结点与名字空间是有联系的。)

    服务器和Windows 2000 Active Directory设置

    当您使用Active Directory Setup(活动目录建立)向导创建域控制器时,该向导创建代表该域控制器计算机的Server对象。Server对象不同于Computer对象,Computer对象声明该计算机为安全主管。事实上,Server对象包含对关联Computer对象的引用。

    Server对象是Site对象的子辈。某服务器的父结点应该包含该服务器的子网。Active Directory Setup(活动目录建立)向导不总是可以将Server对象放置于它所属的位置处;例如,必要的Site对象可能不存在。此时,您必须将某服务器从一个结点移到另一个结点处,以使该服务器的结点与其IP子网保持一致。

    一个NTDS Settings对象代表运行于新域控制器上的Active Directory(活动目录)服务,该对象也是由Active Directory setup(活动目录建立)向导创建。NTDS Settings对象是域控制器Server对象的子辈。

    连接

    Connection对象代表一个域控制器到另一个域控制器的复制连接。Connection对象是复制目的NTDS Setting对象的子辈,并且指向该复制源。

    Connection对象可以以两种方式创建:

    • 通过运行于目的域控制器上的KCC。
    • 通过一个Active Directory(活动目录)管理员。

    通过创建结点链路并配置其复制可用性、相对成本及复制频率,管理员为Active Directory(活动目录)提供关于复制目录数据所需创建的Connection对象的信息。Active Directory(活动目录)将结点链路用作创建Connection对象的位置指示器,Connection对象使用实际网络连接交换目录信息。

    连接是单向的;双向复制连接实际是两个不同NTDS Settings对象下的两个Connection对象。

    复制在命名上下文(NC)副本间进行。两个域控制器经常共用几个NC。事实上,它们至少共用两个NC:Configuration NC和Schema NC。如果从两个域控制器之间存在一个连接,该连接将用于复制所需数量的NC。在同一方向上绝对不需要创建链接同两个域控制器的多个连接。

    KCC可以创建连接,即使在扩展失败和停机状态下也可保持目录的连通性,而无需任何人工干预。一般而言,只有当KCC自动配置的对象不能连接特定域控制器、而您坚信应该可以连接时才需要手动创建连接:

    • 在某结点内,您可能决定添加连接,以减少结点内复制等待时间。在默认情况下,某更新从生成到进入结点内任何其他域控制器,最多经过3个中继。为了将中继数量减少为2个或1个,您可以添加附加的链路。与默认配置相比,代价就是额外的CPU循环时间、磁盘读取及花费在复制上的网络消息。
    • 您可能决定在结点间添加连接,以减少等待时间,尤其在出现故障时。(KCC将创建新连接,以绕过故障,但这一自适应过程也增加了等待时间。)与默认配置相比,代价就是额外的CPU循环时间、磁盘读取及花费在复制上的网络消息。

    连接包含一个复制进度表。手动创建连接的另一个原因就是得到不能通过KCC方式获取的复制进度表。

    如果您创建的连接与KCC正常情况下创建的连接相同,该KCC将不创建附加连接,并且KCC绝不删除您创建的任何连接。

    您可以在创建结点链路对象时指定一个附加值:复制周期。如果没有指定该值,结点链路将使用通用默认复制周期(该值也可以设置)。在KCC创建连接对象时,它的复制周期将是沿着连接两端间结点链路对象最低成本途径的最小周期值。

    作为这一改变的结果,您可以独立控制布局和进度表: 通过设置结点链路上的成本(cost),您可以控制布局。在一般情况下,您可以将属于主干网的结点链路的成本设置为1,将与部门办公室低速连接通信的结点链路的成本设置为100。这样设置成本可以确保部门办公室与主干网结点中域控制器进行复制,而不是与其他部门办公室直接复制。这些成本数字并不影响到复制周期。

    • 通过设置结点链路上的复制周期,您可以控制复制周期。在一般情况下,您可以将通用默认复制周期设置为15分钟,并为与部门办公室低速连接通信的结点链路设置较长的复制周期。较长的周期可以更有效地利用链路,但同时也增加了复制等待时间。
    • 通过在结点链路上使用进度表,您可以控制链路可用性。在多数链路上您应该使用默认(100%可用)进度表,但该设置可能会阻塞高峰营业时间内特定部门链路上的复制流通。通过阻塞复制,您可以为其他流通提供优先权,但这样做也增加了复制等待时间。
    • 您可以启用改变通知信息的连接对象。改变通知信息在结点内是自动传送的,并且将保持这一自动状态。但是,如果启用改变通知信息的连接对象以正确的方向连接两个域控制器,那么改变通知信息将在一个结点内的域控制器处出现,并传播到另一个结点中的域控制器处。KC不创建启用改变通知信息的连接,但管理员可以这样做。

    结点链路

    Site Link对象代表一组结点,这些结点可以以统一的成本通过结点间传输进行通信。对于IP传输,典型结点链路连接两个结点并与实际宽域网链路通信。连接两个以上结点的IP结点链路可以与ATM(异步传输模式)主干通信,该主干连接较大校园中两个以上的建筑群,或者该主干连接大型城市区域中的几个办公室,这些办公室通过租用线路和IP路由器连接在一起。

    通过指定以下内容,您可以为特定结点间传输创建一个Site Link对象:

    • 成本数字。较高的成本数代表更昂贵的消息。成本影响到已配置KCC连接上的复制频率。当成本值在[0..1]之间时,复制每15分钟进行一次,当成本值在[1..2]之间时,复制每30分钟进行一次,当成本值在[2..3]之间时,复制每45分钟进行一次,依此类推。成本单位对于目录中所有结点链路必须是一致的。
    • 两个或更多的结点。
    • 一个进度表。进度表声明链路的可用时间周期。例如,在电话使用频率较高时,您可以让拨号线路的结点链路在营业时间内不可用。

    例如,如果您创建了一个IP结点链路对象XYZ,该对象连接3个结点X、Y和Z,成本为5,您可以认为IP消息可以在所有结点组之间发送(X到Y,X到Z,Y到X,Z到X,Z到Y),成本为5。

    如果某结点对于两个结点链路是共用的,该结点将不会在两个链路中进行自动路由选择。例如,如果结点链路XY通过IP协议连接结点X和Y,成本为3,结点链路YZ通过IP协议连接结点Y和Z,成本为4,这并不表示IP消息可以从X发送到Z,成本为7,实际成本值不定。

    结点可以通过许多Site Link对象连接到其他结点。多结点目录中的每个结点必须通过至少一个结点链路相连。否则该结点将不能与任何其他结点中的域控制器进行复制,该目录也就处于断开状态。因此,您必须配置多个结点目录中的结点链路。

    结点链路桥

    Site Link Bridge对象代表一组结点链路,所有这些结点链路都可以以某种传输方式互相通信。通常结点链路桥与IP网络中的路由器(或路由器组)通信。

    通过为特定结点间传输指定两个或更多的结点链路,您可以为该结点间传输(通常为IP传输)创建一个Site Link Bridge对象。

    为了加深对结点链路的理解,请思考以下实例:

    • 结点链路XY通过IP协议连接结点X和Y,成本为3。
    • 结点链路YZ通过IP协议连接结点Y和Z,成本为4。
    • 结点链路桥XYZ连接XY和YZ。

    结点链路桥XYZ表示,一个IP消息可以从结点X发送到结点Z,成本为3+4=7。这就是本实例中桥的全部作用。

    桥中的每个结点链路L应该有与桥中其他结点链路共用的结点。否则该桥不能计算出从链路L中结点到该桥其他链路中结点的成本。

    同一传输的多结点链路桥共同合作,以模拟多中继路由选择。将以下对象添加到先前的例子中:

    • 结点链路WX通过IP协议连接结点W和X,成本为2。
    • 结点链路桥WXY连接WX和XY。

    现在结点链路桥WXY和XYZ合起来表示,一个IP消息可以从结点W发送到结点Z,成本为2+3+4=9。

    在默认情况下,所有结点链路都可以认为是可传递的。也就是说,特定传输的所有结点链路都属于该传输的单个结点链路桥。因此,在常见的完全已选路由IP网络中,您不必配置所有结点链路桥。如果您的IP网络不是完全已选路由的,您可以关闭该IP传输的传递结点链路特性,此时所有IP结点链路都可以认为是非可传递的,您可以配置结点链路桥,以模拟网络的实际路由选择行为。

    对于可以使用结点链路和结点链路桥组合来描述的任何网络,您也可以单独使用结点链路描述它。通过使用结点链路桥,该网络描述规模更小,并且更易于维护,因为您无需使用结点链路描述结点对间的所有可能路径。

    相关链接

    回到页首

    Windows 2000规划和部署指南
    研究活动目录
    Windows 2000/NT论坛