管理活动目录站点：第一部分

利用微软的活动目录（AD）复制，你能够更好地控制网络流量，减轻站点的负担。请认真阅读这套由两部分组成的教程，它们介绍了如何为你自己的域配置AD目录复制系统。
在Windows 2000 活动目录（AD）环境里，你可以使用站点（Site）把网络物理地划分开，从而优化AD复制。通过理解微软是如何在你的域里实现AD复制，你能够更有效地对把你的网络划分成AD站点，从而减少通过低速网络连接的网络流。
这篇文章是关于活动目录站点的两篇系列文章的第一部分，在这篇文章里，我们要研究缺省的AD站点内（intra-site）复制的配置,以及信息如何被复制。在系列的第二部分，我们要研究如何对自己的站点进行安装设置，对通过网络进行的AD复制流进行优化。
活动目录复制
在活动目录(AD) 域控制器(DC)安装到域里时，活动目录会建立缺省的复制模板，并且在活动目录之间自动建立起一个环形的复制拓扑，建立的依据是确保复制流量沿着最有效的路径进行。你可以沿着环的任意方向把变化复制到AD 。
因为在AD里所有的DC的地位都相等，都包含可以写入的AD数据库备份，因此在实现多主机复制系统时，有一些潜在的挑战面对着微软。在你可能考虑到的问题里，有些是：
DC如何把复制流量控制在最小？
DC如何保持所有的数据库拷贝同步？
如果DC从两个复制伙伴得到相同的修改，会怎么样？
如果两个修改同时发生，会怎么样？
那么就让我们按顺序来看看这些问题。
DC如何把复制流量控制在最小？
为了把网络流保持在最小， AD的复制在每－属性（per-attribute ）的基础上进行。简单地说，这就是指如果一个属性发生了变化（比如，用户的电话号码），那么只有这个小小的变化被复制到你的域里的其它DC上。你可以想象， AD的每属性复制，和把整个数据库拷贝都通过网络传递比起来，更加有效率，需要网络带宽也更少。
DC如何保持所有的数据库拷贝同步？
AD DC 使用一套更新顺序数字（USN）系统对彼此间流动的AD数据库的不同版本进行校验和同步。每当一个DC对它的数据库做了修改，它就用一个USN来标识这个修改。在它通知其它DC它有一个修改需要复制时，它还把与被修改的属性相关联的USN通知给其它DC 。
每个DC都维护了一个表格，里面保存着它从环里它的每个复制伙伴那里收到的最高的USN数字。如果一个DC收到了一个修改的通知，而与修改相关联的USN值要比在它的表里的记载的USN值高，那么它就向复制伙伴请求所有插入的修改。你可以在图 A 和图B 里看到这个过程。
图 A:活动目录变化通知里包括更新顺序数字USN 。
图 B:AD 数据库使用USN在多主机环境里控制同步。
更多问题
如果DC从两个复制伙伴得到相同的修改，会怎么样？

就象我们前面讲过的，在一个域里的AD 的DC使用环形拓扑进行复制。您能会想，有没有可能，一个DC从不止一个复制伙伴那里接收到相同的目录修改呢？为了能区别开这些重复，防止修改在复制环里传播得没完没了， AD不但使用USN对不同数据库版本进行同步，而且还用它来确定“源头写” 。“源头写”是在一台DC本地进行的修改，通过复制得到的个性不是源头写。源头写的USN被写入属性，和属性一起被复制。
为了说明这个机制是如何作用的，让我们来看一个简单的例子：假如名为 Astro的DC对某个属性做了修改。它就把新的USN给了这个修改。在这个例子里，我们假设USN为516 。然后它把新值写到属性里，同时给属性值把USN代码写到叫做最新状态矢量的一个东西里。Astro这个DC把修改复制给它的两个复制伙伴：名为George 和 Elroy的DC 。
为了简化，我们假设在我们的域里只有Astro、 George、和 Elroy 这三个DC 。因为它们使用环形的拓扑， Elroy并不知道 Astro 已经把相同的个性给了George ，所以它还想把修改复制到George 。但是，在复制发生之前， George 和 Elroy 要比较属性里的最新状态矢量，看到它们都被标记成来自Astro ，所以就阻止George 从Elroy拉修改。虽然不拉修改， George 仍用Elroy当前的USN来修改自己当前的USN表，好让Elroy在下一个复制周期里，不再把变化传给George 。
如果两个修改同时发生，会怎么样？
您可能已经想到，如果两个管理员，在不同的DC上，同时对同一个对象的同一个属性做了修改，这怎么办？微软也想到了这个问题。为了分开这些修改冲突， AD数据库使用了一套属性版本号系统。AD数据库里的每个属性都有一个版号，每次属性被修改时，版本号都更新。属性版本号在域里的所有DC上都应当相同。如果DC通过复制接收到属性的修改，它对打在修改上的属性版本号和它的数据库里的版本号进行比较。然后进行下面的处理：
如果属性版本号比DC数据库里的版本号低， DC就忽略修改。
如果版本号相同（称为修改冲突），但是两个版本的属性值不同， DC就会用具有最后时间标签的属性值来打破这个约束。这样的修改冲突如图图 C 所示，而它的解决办法如图 D所示。但是不用担心， AD服务会给管理员用户发送一条通知，让他知道发生了冲突。
更极端的可能性是属性版本号和时间标签都相同。这种情况下，微软选择按DC的GUID级别高低选出获胜的修改。因为GUID是绝对唯一的，所以AD使用最高GUID ，就打破了限制。
就象您会想到的，微软在AD时集成了时间同步服务，这样所有的DC在给它们的目录修改做标记时，就会使用相同的时间。
图 C:在用户的电话号码属性上，发生了修改冲突。
图 D:根据两个属性值的时间标签，冲突得到解决。
站点
下面，让我们就站点（Site）稍做讨论。如你所知，你利用活动目录域和组织单元（OU）来定义你公司的逻辑结构。站点被用来定义你的底层网络逻辑结构－而且，对于在公司里通过低速网络连接进行的域内DC之间的复制，站点可以让你对流量做一些控制。
活动目录站点被定义成一个或多个连接好的IP子网的集合。在站点里的全部子网都要有可靠的、高速的网络连接，而不能由远远分隔，通过低速、不可靠的WAN连接连接起来。你会发现，高速是个相对概念。如果你是一个小型网络的管理员，那么对于用128Kbps速率传输数据的两个子网，你可以认为它们之间的连接很好。另一方面，如果你是一个非常大的网络的管理员，那么你可能会把所有低于1.5Mbps的连当作是低速连接。
定义站点（Site）
你可能还不知道，在你的企业里，第一个站点是在你安装第一个AD DC时，自动建立的。这个站点被赋予缺省名称Default-First-Site-Name（缺省第一个站点名称）。对于你的网络，这可能不是一个非常有说明性的名称，所以只要你愿望，你可以随时可以给它改名。缺省情况下，你的全部IP子网都包含在这个站点里。站点的主要用途是对通过低速网络连接进行的复制流量进行优化，并且帮助客户查找离他们最近的DC来处理服务请求。
使用预定义的MMC控制台活动目录站点和服务管理器（Active Directory Sites and Services），你可以在你的企业里建立附加的站点。下个月，我们会具体研究建立站点和站点对象。站点在活动目录（AD）里进行维护，但并不是名称空间的部分。所以，用户不能按站点浏览活动目录（AD）。站点结构只能用于复制。
站点成员
在你把一个 Windows 2000 活动目录（AD）域控制器（DC）提升到域控制器状态时， AD DC就被分配了它的站点信息。缺省情况下，它成为你运行Dcpromo.exe时， AD DC连接的子网所对应的站点的成员。以后，你可以使用活动目录站点和服务管理器（Active Directory Sites And Services）控制台，修改AD DC的站点成员身份。AD DC的站点所在地决定了它在复制拓扑里的位置。
AD 客户计算机从DC取得站点信息。在计算机启动时，它查询DNS ，获取它域里的DC的IP地址。然后它与某个DC联系。如果DC不在客户的本地站点里（根据子网地址）， DC会把正确的站点信息传递给客户，这样客户就可以对它的站点里的DC做更有效的DNS查询。然后，客户能够完成与本地DC的认证过程，还可以向本地DC请求服务。因为客户把这个信息缓存在它的注册表的这个值下面：
HKEY_LOCAL_MacHINESYSTEMCurrentControSet ServicesNetlogonParameter DynamicSiteName
所以，只有当客户的子网发生变化时，才必须重复站点发现过程。
你可以想象得到，这个过程极大地改善了客户和DC之间的通信，还能减少通过站点间低速的WAN连接进行的与AD有关的流量。你对AD站点的正确规划，能够给客户提供来自离它最近的DC的最新AD资源，而且可以保证站点间复制避开高峰时段，从而保证你的网络连接不会因为复制流量而饱和。
理解站点间复制
你可以把域的DC放在不同的站点里，以便对通过低速网络连接进行的AD复制进行控制。当你在一个新的站点里安装第一个DC时，它会自动建立复制连接。叫做站点间连接（intersite link），连接指向域里已有站点中的现存DC 。在图 E里，你可以看到一个例子。你在第二个站点里安装的其它DC ，会在第二个站点里构成环形拓扑。在一个站点里做的所有修改都会通过站点间连接复制到其它站点。
因为每个DC都有一份可以写入的AD数据库拷贝，所以如果站点间连接中断，它是无法防止你对你站点里的DC的AD做修改。只要计算机通信重新建立，在不同站点里的DC就会通过正常的复制过程进行同步。
图 E:在新站里的第一个DC自动建立复制连接，连接指向域里其它站点的现存DC 。
总结
【管理活动目录站点：第一部分】在这篇文章里，你已经看到，通过使用AD逻辑结构的不同实体，对你的网络物理结构进行定义，你可以对AD复制进行估化，从而减少通过低速网络连接的流量。通过把客户认证和请求服务都送给离客户最近的AD DC ，站点让你能够给用户提供服务请求的最快响应时间。你要知道，对于在芝加哥的用户，让他等待经过缓慢的国际WAN连接，由位于巴黎的DC进行认证，他是不会高兴的。