Active directory sites and services

Active directory sites and services

Можно использовать оснастку "Active Directory — сайты и службы" для управления объектами, относящимися к сайтам, которые служат для внедрения топологии межсайтовой репликации. Эти объекты хранятся в контейнере "Сайты" в доменных службах Active Directory.

Примечание

Также оснастку "Active Directory — сайты и службы" можно использовать для администрирования репликации данных каталогов между всеми сайтами в наборе конфигурации служб облегченного доступа к каталогам Active Directory.

Кроме того, оснастка "Active Directory — сайты и службы" содержит представление контейнера "Службы", которое можно использовать для просмотра объектов, относящихся к службам, опубликованным в доменных службах Active Directory.

В следующих разделах приводятся подробные сведения об управлении сайтами и публикации служб в доменных служб Active Directory:

Управление сайтами

В физической сети сайт представляет собой набор компьютеров, которые соединены между собой по высокоскоростной сети, например по локальной сети. Как правило, все компьютеры в одном физическом сайте располагаются в одном здании или в группе соседних зданий.

В доменных службах Active Directory объект сайта представляет аспекты физического местоположения, которыми можно управлять, например репликацией данных каталога между контроллерами домена. Можно использовать оснастку "Active Directory — сайты и службы" для управления объектами, представляющими сайты, и серверами, находящимися в этих сайтах.

Объекты сайтов и соответствующие им объекты реплицируются на все контроллеры домена в лесу доменных служб Active Directory. С помощью оснастки "Active Directory — сайты и службы" можно управлять следующими объектами:

Сайты

Объекты сайтов размещаются в контейнере "Сайты". С помощью объектов сайтов можно выполнять следующие задачи:

    создание новых сайтов;

делегирование управления сайтам с помощью групповой политики и разрешений.

В каждом сайте имеется объектов параметров NTDS сайта. Этот объект определяет генератор межсайтовой топологии. Генератор межсайтовой топологии — это контроллер домена в сайте, который создает объекты соединений с контроллеров домена в других сайтах. Также он служит для выполнения дополнительных задач по управлению репликацией.

Дополнительные сведения о сайтах и объекте параметров NTDS сайта см. в разделе Общее представление о сайтах, подсетях и связях сайтов.

Подсети

Объекты подсетей указывают на диапазоны IP-адресов в сайте. С помощью объектов подсетей можно выполнять следующие задачи:

    создание новых подсетей;

сопоставление подсетей с сайтами;

предоставление местоположения для сайта, которое может быть использоваться для функциональной возможности групповой политики отслеживания расположения принтеров.

Серверы

Объекты сервера создаются автоматически при добавлении роли сервера доменных служб Active Directory. Серверы представляют собой контроллеры домена в топологии репликации.

С помощью объектов серверов можно выполнять следующие задачи:

    Определять контроллеры домена, которые будут работать как предпочитаемые серверы-плацдармы. Можно использовать предпочитаемые серверы-плацдармы для управления межсайтовой репликацией, чтобы она происходила только между теми контроллерами, домена, которые были указаны, тем самым исключая контроллеры домена, которые не смогут эффективно обрабатывать трафик межсайтовой репликации.

Перемещение серверов между сайтами. Если новый сайт уже создан и установлены контроллеры домена, имеющие IP-адреса, которые уже сопоставлены новому сайту, можно переместить контроллеры домена в новый сайт.

Параметры NTDS

Каждый объект сервера содержит объект параметров NTDS, который представляет контроллер домена в системе репликации. Объект параметров NTDS сохраняет объекты соединения, что способствует репликации между несколькими контроллерами домена.

С помощью объектов параметров NTDS можно выполнять следующие задачи:

    Создание топологии репликации. Команда Check Replication Topology для объекта параметров NTDS приводит к запуску генератора межсайтовой топологии для проверки всех подключений между контроллерами домена и добавления или удаления всех необходимых подключений.

Включение или отключение глобального каталога не сервере. При включении глобального каталога контроллер домена реплицирует доступные только для чтения разделы каталога, которые в совокупности составляют глобальный каталог леса.

Дополнительные сведения о глобальном каталоге см. в разделе Общее представление о глобальном каталоге.

Подключения

Партнеры репликации серверов в сайте определяются по объектам соединения. Репликация происходит в одном направлении. Объект соединения для сервера содержит сведения о другом сервере, который содержит исходные данные по отношению к первому серверу. В объектах соединений хранятся расписания, с помощью которых управляется репликация в сайте. По умолчанию они автоматически опрашивают партнера репликации каждый час на наличие новых изменений. При межсайтовой репликации объекты соединения получают расписание от объекта связи сайтов. Управлять расписаниями на объектах соединения необязательно. Объекты соединения создаются в системе репликации автоматически.

С помощью объектов соединения можно выполнять следующие задачи:

    Определения партнерства репликации для серверов в сайте

Принудительная репликация по подключению, если не следует ожидать запланированной репликации или если необходимо проверить репликацию по подключению

Связи сайтов

Связи сайтов представляют направление репликации между сайтами. Можно управлять межсайтовой репликацией путем настройки свойств сайта: в какие периоды времени может происходить репликация, как часто должна выполняться репликация в определенный период времени, какие предпочитаемые маршруты должны использоваться между двумя сайтами.

С помощью объектов связи сайтов можно выполнять следующие задачи:

    добавление и удаление сайтов, использующих связь сайтов;

настройка стоимости репликации по определенной связи, что определяет вероятность выполнения репликации по этой связи сайтов при наличии нескольких маршрутов достижения конечного сайта;

настройка расписания связи сайтов, что определяет часы и дни, в которых репликация по этой связи сайтов будет доступной;

настройка интервала репликации, что определяет, как часто будет выполняться репликация по этой связи сайтов, если будет доступна.

Дополнительные сведения об использовании связи сайтов см. в разделе Планирование репликации между сайтами.

Межсайтовые транспорты по протоколам IP и SMTP

При репликации используются вызовы удаленных процедур по транспорту IP или SMTP. Можно использовать протокол SMTP для отправки данные репликации посредством электронной почты в тех средах, где связь по глобальным сетям недоступна. В этом случае репликация будет происходить в соответствии с расписанием обмена сообщениями, а не по расписанию связи сайтов. По умолчанию при межсайтовой репликации используется транспорт по протоколу IP для доставки пакетов репликации. Можно использовать контейнеры транспорта по протоколу IP и SMTP для выполнения следующих задач:

Читайте также:  Dell inspiron 7577 оперативная память

    Создание связей сайтов. Можно добавлять связи сайтов в топологию репликации по необходимости, чтобы включать новые сайты.

Создание мостов связей. Связи сайтов соединены подключением типа мост в доменных службах Active Directory по умолчанию, в большинстве развертываний необходимость в них отсутствует.

Дополнительные сведения о межсайтовом транспорте см. в разделе Планирование репликации между сайтами.

Публикация служб

Некоторые службы, такие как службы сертификатов, очередь сообщений и Exchange Server, при установке автоматически публикуют сведения в контейнере "Сайты" в доменных службах Active Directory. Другие службы могут быть опубликованы в каталоге с помощью программируемых интерфейсов.

В оснастке "Active Directory — сайты и службы" опубликованные объекты, относящиеся к службам, отражаются в узле "Службы". Этот узел по умолчанию не виден. Чтобы просмотреть этот узел, откройте оснастку "Active Directory — сайты и службы", затем в меню Просмотреть щелкните Показать узел служб.

Объекты в узле "Службы" оснастки "Active Directory — сайты и службы" публикуются для использования соответствующими администраторами приложений. По этой причине сведения об этих объектах доступны в документации по службе или приложению.

Two topologies are found in a successful network, Physical Topology and Logical Topology. Physical Topology represents the structure of the network which includes network topologies, hardware placements, IP address allocations. Logical Topology represents the security boundaries of said network, network services etc. In an Active Directory infrastructure setup, the Domain represents the logical topology while Sites and Subnets represent the physical topology.

A site can simply be defined as a physical location or network. It can be separate building, separate city or even in separate country. This Step-By-Step will provide example of this by detailing steps on setup and configuration of sites and subnets. Two sites, Site A and Site B will be created then assigned to the relevant servers along with the subnets.

The environment to be created is as follows:

In this demo, SRV1 server is located in Branch office which is located in different geographical location. It is connected to primary domain via 256kb link. It is currently setup under the default AD site.

Step 1: Creating a new site

  1. Navigate to Server Manager >Tools >Active Directory Sites and Services
  2. In the Active Directory Sites and Service window, right-clickSites and selectNew Site

  • EnterSiteA in the Name: box
  • Select the DEFAULTIPSITELINK and clickOK
  • ClickOK to complete the site creation
  • Repeat steps 1 to 5 and create SiteB. Once completed, you should see the following:
  • Step 2: Creating Subnets

      In the Active Directory Sites and Services MMC, right-clickSubnets and selectNew Subnet…

  • In the New Object – subnet window, type 192.168.148.0/24
  • In the Select a site object for this prefix option selectSiteA and clickOK
  • Repeat steps 1 to 3 and use prefex 10.10.10.0/24 assigned to SiteB
  • Step 3: Creating Site Links

      In the Active Directory Sites and Services MMC, right-clickInter-Site Transports >IP and then clickNew Site Link



    In the New Object – subnet window, enter a desired name for the link, select both SiteA and SiteB, and clickadd

  • ClickOK to continue
  • The link is then created link with the default values however it can be optimized. Right-click on the link and selectproperties


  • In the SiteA-SiteB Dedicated Link Properties window, the cost defines the links assigned bandwidth. Further details in regards to cost can be found here

  • Replication changes can also be defined between sites. To accomplish this, click on Change Schedule
  • Define a custom schedule and clickOK
  • ClickOK to apply the changes
  • Step 4: Moving the Domain controllers to the newly created sites

    1. In the Active Directory Sites and Services MMC, navigate to Default-First-Site-Name >Servers
    2. Right-click on the Domain controller required to move and selectMove…



    In the Move Server window, select SiteA which will be site the Domain Controller will be moving to and clickOK



    Repeat steps 1 to 3 to moveSRV1 to SiteB

    This completes the configuration of sites, subnets and site links.

    Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

    Before designing site topology, become familiar with some Active Directory replication concepts.

    Connection object

    A connection object is an Active Directory object that represents a replication connection from a source domain controller to a destination domain controller. A domain controller is a member of a single site and is represented in the site by a server object in Active Directory Domain Services (AD DS). Each server object has a child NTDS Settings object that represents the replicating domain controller in the site.

    The connection object is a child of the NTDS Settings object on the destination server. For replication to occur between two domain controllers, the server object of one must have a connection object that represents inbound replication from the other. All replication connections for a domain controller are stored as connection objects under the NTDS Settings object. The connection object identifies the replication source server, contains a replication schedule, and specifies a replication transport.

    The Knowledge Consistency Checker (KCC) creates connection objects automatically, but they can also be created manually. Connection objects created by the KCC appear in the Active Directory Sites and Services snap-in as and are considered adequate under normal operating conditions. Connection objects created by an administrator are manually created connection objects. A manually created connection object is identified by the name assigned by the administrator when it was created. When you modify a connection object, you convert it into an administratively modified connection object and the object appears in the form of a GUID. The KCC does not make changes to manual or modified connection objects.

    Читайте также:  8 10 800 Стоимость звонка

    The KCC is a built-in process that runs on all domain controllers and generates replication topology for the Active Directory forest. The KCC creates separate replication topologies depending on whether replication is occurring within a site (intrasite) or between sites (intersite). The KCC also dynamically adjusts the topology to accommodate the addition of new domain controllers, the removal of existing domain controllers, the movement of domain controllers to and from sites, changing costs and schedules, and domain controllers that are temporarily unavailable or in an error state.

    Within a site, the connections between writable domain controllers are always arranged in a b >

    On each domain controller, the KCC creates replication routes by creating one-way inbound connection objects that define connections from other domain controllers. For domain controllers in the same site, the KCC creates connection objects automatically without administrative intervention. When you have more than one site, you configure site links between sites, and a single KCC in each site automatically creates connections between sites as well.

    KCC improvements for Windows Server 2008 RODCs

    There are a number of KCC improvements to accommodate the newly available read-only domain controller (RODC) in Windows Server 2008 . A typical deployment scenario for RODC is the branch office. The Active Directory replication topology most commonly deployed in this scenario is based on a hub-and-spoke design, where branch domain controllers in multiple sites replicate with a small number of bridgehead servers in a hub site.

    One of the benefits of deploying RODC in this scenario is unidirectional replication. Bridgehead servers are not required to replicate from the RODC, which reduces administration and network usage.

    However, one administrative challenge highlighted by the hub-spoke topology on previous versions of the Windows Server operating system is that after adding a new bridgehead domain controller in the hub, there is no automatic mechanism to redistribute the replication connections between the branch domain controllers and the hub domain controllers to take advantage of the new hub domain controller.

    For Windows Server 2003 domain controllers, you can rebalance the workload by using a tool such as Adlb.exe from the Windows Server 2003 Branch Office Deployment Gu >

    For Windows Server 2008 RODCs, the normal functioning of the KCC provides some rebalancing, which eliminates the need to use an additional tool such as Adlb.exe. The new functionality is enabled by default. You can disable it by adding the following registry key set on the RODC:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters

    "Random BH Loadbalancing Allowed"
    1 = Enabled (default), 0 = Disabled

    For more information about how these KCC improvements work, see Planning and Deploying Active Directory Domain Services for Branch Offices (https://go.microsoft.com/fwlink/?Link >

    Failover functionality

    Sites ensure that replication is routed around network failures and offline domain controllers. The KCC runs at specified intervals to adjust the replication topology for changes that occur in AD DS, such as when new domain controllers are added and new sites are created. The KCC reviews the replication status of existing connections to determine if any connections are not working. If a connection is not working due to a failed domain controller, the KCC automatically builds temporary connections to other replication partners (if available) to ensure that replication occurs. If all the domain controllers in a site are unavailable, the KCC automatically creates replication connections between domain controllers from another site.

    Subnet

    A subnet is a segment of a TCP/IP network to which a set of logical IP addresses are assigned. Subnets group computers in a way that identifies their physical proximity on the network. Subnet objects in AD DS identify the network addresses that are used to map computers to sites.

    Sites are Active Directory objects that represent one or more TCP/IP subnets with highly reliable and fast network connections. Site information allows administrators to configure Active Directory access and replication to optimize usage of the physical network. Site objects are associated with a set of subnets, and each domain controller in a forest is associated with an Active Directory site according to its IP address. Sites can host domain controllers from more than one domain, and a domain can be represented in more than one site.

    Site link

    Site links are Active Directory objects that represent logical paths that the KCC uses to establish a connection for Active Directory replication. A site link object represents a set of sites that can communicate at uniform cost through a specified intersite transport.

    All sites contained within the site link are considered to be connected by means of the same network type. Sites must be manually linked to other sites by using site links so that domain controllers in one site can replicate directory changes from domain controllers in another site. Because site links do not correspond to the actual path taken by network packets on the physical network during replication, you do not need to create redundant site links to improve Active Directory replication efficiency.

    When two sites are connected by a site link, the replication system automatically creates connections between specific domain controllers in each site that are called bridgehead servers. In Windows Server 2008 , all domain controllers in a site that host the same directory partition are candidates for being selected as bridgehead servers. The replication connections created by the KCC are randomly distributed among all candidate bridgehead servers in a site to share the replication workload. By default, the randomized selection process takes place only once, when connection objects are first added to the site.

    Читайте также:  Dark souls 3 ashes of ariandel боссы

    Site link bridge

    A site link bridge is an Active Directory object that represents a set of site links, all of whose sites can communicate by using a common transport. Site link bridges enable domain controllers that are not directly connected by means of a communication link to replicate with each other. Typically, a site link bridge corresponds to a router (or a set of routers) on an IP network.

    By default, the KCC can form a transitive route through any and all site links that have some sites in common. If this behavior is disabled, each site link represents its own distinct and isolated network. Sets of site links that can be treated as a single route are expressed through a site link bridge. Each bridge represents an isolated communication environment for network traffic.

    Site link bridges are a mechanism to logically represent transitive physical connectivity between sites. A site link bridge allows the KCC to use any combination of the included site links to determine the least expensive route to interconnect directory partitions held in those sites. The site link bridge does not provide actual connectivity to the domain controllers. If the site link bridge is removed, replication over the combined site links will continue until the KCC removes the links.

    Site link bridges are only necessary if a site contains a domain controller hosting a directory partition that is not also hosted on a domain controller in an adjacent site, but a domain controller hosting that directory partition is located in one or more other sites in the forest. Adjacent sites are defined as any two or more sites included in a single site link.

    A site link bridge creates a logical connection between two site links, providing a transitive path between two disconnected sites by using an interim site. For the purposes of the intersite topology generator (ISTG), the bridge implies physical connectivity by using the interim site. The bridge does not imply that a domain controller in the interim site will provide the replication path. However, this would be the case if the interim site contained a domain controller that hosted the directory partition to be replicated, in which case a site link bridge is not required.

    The cost of each site link is added, creating a summed cost for the resulting path. The site link bridge would be used if the interim site does not contain a domain controller hosting the directory partition and a lower cost link does not exist. If the interim site contained a domain controller that hosts the directory partition, two disconnected sites would set up replication connections to the interim domain controller and not use the bridge.

    Site link transitivity

    By default, all site links are transitive, or "bridged." When site links are bridged and the schedules overlap, the KCC creates replication connections that determine domain controller replication partners between sites, where the sites are not directly connected by site links but are connected transitively through a set of common sites. This means that you can connect any site to any other site through a combination of site links.

    In general, for a fully routed network, you do not need to create any site link bridges unless you want to control the flow of replication changes. If your network is not fully routed, site link bridges should be created to avoid impossible replication attempts. All site links for a specific transport implicitly belong to a single site link bridge for that transport. The default bridging for site links occurs automatically, and no Active Directory object represents that bridge. The Bridge all site links setting, found in the properties of both the IP and Simple Mail Transfer Protocol (SMTP) intersite transport containers, implements automatic site link bridging.

    SMTP replication will not be supported in future versions of AD DS; therefore, creating site links objects in the SMTP container is not recommended.

    Global catalog server

    A global catalog server is a domain controller that stores information about all objects in the forest, so that applications can search AD DS without referring to specific domain controllers that store the requested data. Like all domain controllers, a global catalog server stores full, writable replicas of the schema and configuration directory partitions and a full, writable replica of the domain directory partition for the domain that it is hosting. In addition, a global catalog server stores a partial, read-only replica of every other domain in the forest. Partial, read-only domain replicas contain every object in the domain but only a subset of the attributes (those attributes that are most commonly used for searching the object).

    Universal group membership caching

    Universal group membership caching allows the domain controller to cache universal group membership information for users. You can enable domain controllers that are running Windows Server 2008 to cache universal group memberships by using the Active Directory Sites and Services snap-in.

    Enabling universal group membership caching eliminates the need for a global catalog server at every site in a domain, which minimizes network bandwidth usage because a domain controller does not need to replicate all of the objects located in the forest. It also reduces logon times because the authenticating domain controllers do not always need to access a global catalog to obtain universal group membership information. For more information about when to use universal group membership caching, see Planning Global Catalog Server Placement.

    Ссылка на основную публикацию
    Adblock detector