Active Directory 复制概念

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

在设计站点拓扑之前，请先熟悉一些 Active Directory 复制概念。

• Connection 对象

• KCC

• 故障转移功能

• 子网

• 站点

• 站点链接

• 站点链接网桥

• 站点链接传递性

• 全局编录服务器

• 通用组成员身份缓存

连接对象

连接对象是一个 Active Directory 对象，代表从源域控制器到目标域控制器的复制连接。 域控制器是单个站点的成员，在站点中由 Active Directory 域服务 (AD DS) 中的服务器对象表示。 每个服务器对象都有一个代表站点中复制域控制器的子 NTDS 设置对象。

连接对象是目标服务器上的 NTDS 设置对象的子对象。 要在两个域控制器之间进行复制，其中一个域控制器的服务器对象必须具有表示来自另一个域控制器的入站复制的连接对象。 域控制器的所有复制连接都存储为 NTDS 设置对象下的连接对象。 连接对象标识复制源服务器，包含复制计划并指定复制传输。

知识一致性检查器 (KCC) 自动创建连接对象，但也可以手动创建。 由 KCC 创建的连接对象在 Active Directory 站点和服务管理单元中显示为<自动生成>，并且在正常操作条件下被认为是足够的。 管理员创建的连接对象是手动创建的连接对象。 手动创建的连接对象由管理员在创建时分配的名称标识。 修改<自动生成>的连接对象时，会将其转换为管理性修改的连接对象，并且该对象以 GUID 的形式出现。 KCC 不会对手动或已修改的连接对象进行更改。

KCC

KCC 是在所有域控制器上运行的内置进程，可为 Active Directory 林生成复制拓扑。 KCC 根据复制是发生在站点内（站点内）还是发生在站点之间（站点间）来创建单独的复制拓扑。 KCC 还可以动态调整拓扑结构，以适应新域控制器的添加、现有域控制器的删除、域控制器在站点之间的移动、更改成本和计划以及暂时不可用或处于错误状态的域控制器。

在一个站点内，可写域控制器之间的连接始终安排在一个双向环中，并具有额外的快捷连接，以减少大型站点中的延迟。 另一方面，站点间拓扑是生成树的分层，这意味着每个目录分区的任意两个站点之间存在一个站点间连接，并且通常不包含快捷连接。 有关生成树和 Active Directory 复制拓扑的详细信息，请参阅“Active Directory 复制拓扑技术参考 (https://go.microsoft.com/fwlink/?LinkID=93578)”。

在每个域控制器上，KCC 通过以下方式来创建复制路由：创建单向入站连接对象，这些对象定义来自其他域控制器的连接。 对于同一站点中的域控制器，KCC 会自动创建连接对象，而无需管理干预。 当你有多个站点时，你可以在站点之间配置站点链接，并且每个站点中的单个 KCC 也会自动创建站点之间的连接。

Windows Server 2008 RODC 的 KCC 改进

为了适应 Windows Server 2008 中新提供的只读域控制器 (RODC)，有许多 KCC 改进。 RODC 的典型部署场景是分支机构。 在此方案中最常部署的 Active Directory 复制拓扑是基于中心辐射型设计，其中多个站点中的分支域控制器与中心站点中的少量桥头服务器进行复制。

在这种情况下，部署 RODC 的好处之一是单向复制。 桥头服务器不需要从 RODC 复制，这减少了管理和网络使用。

但是，以前版本的 Windows Server 操作系统上的中心辐射型拓扑所突出的一个管理挑战是，在中心中添加新的桥头域控制器后，没有自动机制能够重新分配分支域控制器和中心域控制器之间的复制连接来利用新的中心域控制器。

对于 Windows Server 2008 RODC，KCC 的正常功能提供了一些重新均衡。 默认情况下，新功能处于启用状态。 可以通过在 RODC 上添加以下注册表项集来禁用新功能：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Random BH Loadbalancing Allowed"1 = Enabled (default), 0 = Disabled

有关这些 KCC 改进如何工作的详细信息，请参阅“规划和部署分支机构的 Active Directory 域服务 (https://go.microsoft.com/fwlink/?LinkId=107114)”。

故障转移功能

站点确保复制会绕过网络故障和脱机域控制器。 KCC 以指定的时间间隔运行，以针对 AD DS 中发生的更改（如添加新域控制器和创建新站点时）调整复制拓扑。 KCC 检查现有连接的复制状态，以确定是否有任何连接无法正常工作。 如果连接由于域控制器出现故障而失效，KCC 会自动建立到其他复制伙伴（如果可用）的临时连接，以确保进行复制。 如果一个站点中的所有域控制器都不可用，KCC 会自动在另一个站点的域控制器之间创建复制连接。

子网

子网是分配了一组逻辑 IP 地址的 TCP/IP 网络的网段。 子网可对计算机进行分组，采用的方式是标识计算机在网络上的物理接近程度。 AD DS 中的子网对象标识用于将计算机映射到站点的网络地址。

站点

站点是 Active Directory 对象，表示一个或多个具有高度可靠和快速网络连接的 TCP/IP 子网。 站点信息允许管理员配置 Active Directory 访问和复制，以优化物理网络的使用。 站点对象与一组子网相关联，林中的每个域控制器根据其 IP 地址与一个 Active Directory 站点相关联。 站点可以承载来自多个域的域控制器，并且一个域可以在多个站点中表示。

站点链接

站点链接是代表逻辑路径的 Active Directory 对象，KCC 使用这些逻辑路径为 Active Directory 复制建立连接。 站点链接对象表示一组网站，这些站点可以通过指定的站点间传输以统一成本进行通信。

站点链接中包含的所有站点军备被视为通过相同的网络类型进行连接。 必须使用站点链接将站点手动链接到其他站点，这样一个站点中的域控制器才能从另一个站点中的域控制器复制目录更改。 由于站点链接与复制期间物理网络上的网络数据包所采用的实际路径并不对应，因此并不需要通过创建冗余站点链接来提高 Active Directory 复制效率。

当两个站点通过站点链接连接时，复制系统会自动在每个站点中的特定域控制器（称为桥头服务器）之间创建连接。 在 Windows Server 2008 中，站点中托管同一目录分区的所有域控制器都是被选为桥头服务器的候选对象。 由 KCC 创建的复制连接在站点中的所有候选桥头服务器之间随机分布，以分担复制工作负载。 默认情况下，随机选择过程仅发生一次，即首次将连接对象添加到站点时。

站点链接网桥

站点链接网桥是一个 Active Directory 对象，表示一组站点链接，这些站点链接的所有站点都可以使用公共传输进行通信。 站点链接网桥让那些未通过通信链接直接连接的域控制器能够相互复制。 通常，站点链路网桥对应于 IP 网络上的一个路由器（或一组路由器）。

默认情况下，KCC 可以通过具有某些公共站点的任何和所有站点链接形成可传递路由。 如果禁用此行为，则每个站点链接都代表其自己独特的隔离网络。 对于可视为单个路由的站点链接集合，将通过站点链接网桥来表示。 每个网桥代表网络流量的隔离通信环境。

站点链接网桥是一种在逻辑上表示站点之间可传递的物理连接的机制。 站点链接网桥允许 KCC 使用包含的站点链接的任意组合来确定将这些站点中保存的目录分区互连的开销最低的路由。 站点链接网桥不提供到域控制器的实际连接。 如果删除了站点链接网桥，则组合站点链接上的复制将继续，直到 KCC 删除链接为止。

只有在以下情况下，才需要站点链接网桥：站点包含一个承载目录分区的域控制器，而该目录分区又没有承载于相邻站点中的域控制器上，但承载该目录分区的域控制器位于林中的一个或多个其他站点中。 相邻站点的定义是在单个站点链接中包含的任何两个或更多个站点。

站点链接网桥在两个站点链接之间创建逻辑连接，通过使用中间站点在两个断开连接的站点之间提供传递路径。 对于站点间拓扑生成器 (ISTG)，网桥意味着使用临时站点进行物理连接。 网桥并不意味着临时站点中的域控制器将提供复制路径。 但是，如果临时站点包含托管要复制的目录分区的域控制器，则会出现这种情况，在这种情况下，不需要站点链接网桥。

将每个站点链接的开销相加就是所产生路径的开销之和。 如果临时站点不包含托管目录分区的域控制器，并且不存在更低开销的链接，则将使用站点链接网桥。 如果临时站点包含承载目录分区的域控制器，则两个断开连接的站点将建立到临时域控制器的复制连接，并且不使用网桥。

站点链接传递性

默认情况下，所有站点链接都是可传递的或“桥接”。当站点链接被桥接并且计划重叠时，KCC 将创建复制连接，以确定站点之间的域控制器复制伙伴，其中站点不通过站点链接直接连接，而是通过一组通用站点间接连接。 这意味着你可以通过站点链接的组合将任何站点连接到任何其他站点。

通常，对于完全路由的网络，你不需要创建任何站点链接网桥，除非你想要控制复制更改的流程。 如果你的网络未完全路由，则应创建站点链接网桥以避免不可能的复制尝试。 特定传输的所有站点链接都隐式属于该传输的单个站点链接网桥。 站点链接的默认桥接是自动发生的，没有任何 Active Directory 对象代表该网桥。 “桥接所有站点链接”设置可以在 IP 和简单邮件传输协议 (SMTP) 站点间传输容器的属性中找到，用于实现自动站点链接桥接。

注意

未来版本的 AD DS 将不会支持 SMTP 复制。因此，建议不要在 SMTP 容器中创建站点链接对象。

全局编录服务器

全局编录服务器是一个域控制器，可存储林中所有对象的相关信息，这样应用程序便可以直接搜索 AD DS，而无需引用存储所请求数据的特定域控制器。 与所有域控制器一样，全局编录服务器存储架构和配置目录分区的完整可写副本，以及托管的域的域目录分区的完整可写副本。 此外，全局编录服务器还存储林中每个其他域的部分只读副本。 部分只读域副本包含域中的每个对象，但只包含属性的子集（最常用于搜索对象的属性）。

通用组成员身份缓存

通用组成员身份缓存允许域控制器缓存用户的通用组成员身份信息。 通过使用 Active Directory 站点和服务管理单元，可以使运行 Windows Server 2008 的域控制器能够缓存通用组成员身份。

启用通用组成员身份缓存后，就不需要在域中的每个站点上都部署全局编录服务器，这样可以最大限度地减少网络带宽的使用，因为域控制器不需要复制林中的所有对象。 这还减少了登录时间，因为进行身份验证的域控制器并不总是需要访问全局编录来获取通用组成员身份信息。 有关何时使用通用组成员身份缓存的详细信息，请参阅规划全局编录服务器放置。