Внутренняя и внешняя репликация между сайтами
Одна из главных причин создания дополнительных сайтов в Active Directory состоит в том, чтобы иметь возможность управления трафиком репликации. Поскольку предполагается, что все контроллеры домена в пределах сайта связаны высокоскоростными соединениями, то репликация между ними оптимизируется для получения максимальной скорости и уменьшения времени ожидания. Однако если трафик репликации пересекает низкоскоростное соединение, то сохранение пропускной способности сети становится серьезной проблемой. Создание нескольких сайтов позволяет сохранять пропускную способность сети.
Совет.
Если вы работали с Microsoft Exchange Server 5.5 или более ранней версией, различия процессов репликации внутри и между сайтами вам знакомы. Служба Active Directory использует многие принципы управления репликацией в Exchange Server 5.5.
Репликация внутри сайта
Основная цель репликации внутри сайта состоит в уменьшении времени ожидания репликации, т.е. все контроллеры домена сайта должны обновляться настолько быстро, насколько это возможно. Трафик внутренней репликации характеризуется следующим.
- Репликация происходит сразу после того, как произошло изменение информации Active Directory. По умолчанию контроллер домена ожидает 15 с после того, как изменение было сделано, а затем начинает копировать это изменение на другие контроллеры домена в сайте. После завершения репликации с одним партнером контроллер домена ожидает 3 с, а затем начинает репликацию с другим партнером. Ожидание в 15 с необходимо для увеличения эффективности репликации в случае, если к информации раздела будут сделаны дополнительные изменения. Продолжительность периода ожидания может быть изменена через системный реестр Windows 2000 или Windows Server 2003 (обратитесь к соответствующим разделам в комплекте ресурсов Resource Kits за подробностями). На функциональном уровне Windows Server 2003 это значение можно изменить для каждого раздела каталога, используя инструмент ADSI Edit.
- Трафик репликации не сжат. Поскольку все компьютеры в пределах сайта связаны высокоскоростными соединениями, данные посылаются без сжатия. Сжатие данных репликации добавляет дополнительную нагрузку на сервер контроллера домена. При отсутствии трафика репликации производительность сервера сохраняется за счет использования сети.
- Процесс репликации инициируется в соответствии с уведомлением, пришедшим от контроллера-отправителя. После изменения в базе данных компьютер-отправитель обновлений уведомляет контроллер домена адресата о том, что произошло обновление. Контроллер домена адресата забирает изменения с помощью процедуры удаленного вызова (RPC). После окончания репликации контроллер-отправитель уведомляет другой контроллер домена адресата, который также забирает изменения. Этот процесс продолжается до тех пор, пока все партнеры по репликации не будут обновлены.
- Трафик репликации посылается нескольким партнерам в течение каждого цикла репликации. После любого изменения каталога контроллер домена будет копировать информацию всем прямым партнерам по репликации; это могут быть все контроллеры домена в сайте или только некоторые из них.
- Изменить трафик репликации в пределах сайта нетрудно. Можно сконфигурировать объекты-связи вручную через инструмент администрирования Active Directory Sites And Services (Сайты и службы Active Directory), изменить некоторые значения (например, начальное уведомление партнера по репликации) через системный реестр (обратитесь к соответствующим разделам документа Resource Kits за подробностями) или через объект Partition (Раздел), если ваш лес работает на функциональном уровне Windows Server 2003. Но в большинстве случаев этого делать не придется.
Репликация между сайтами
Основная цель репликации между сайтами — уменьшить нагрузку на сеть из-за трафика репликации. Трафик репликации между сайтами характеризуется следующим образом:
- Репликация инициируется по графику, а не сразу после внесения изменений. Для управления репликацией между сайтами необходимо настроить канал связи, соединяющий эти сайты. Можно задать время репликации и интервал, указывающий, как часто репликации будут происходить в установленное время. Если пропускная способность сети между офисами ограничена, репликации можно запланировать на нерабочее время.
- Трафик репликации сжимается примерно на 10-15% от первоначального размера, если он превышает 32 Кб. Для сохранения пропускной способности сети серверы-плацдармы каждого сайта сжимают трафик, используя дополнительные ресурсы процессора.
- Для уведомления контроллеров домена другого сайта об изменениях в каталоге не используются уведомления. Время репликации определяется по расписанию.
- Подключения для репликации между сайтами могут использовать протокол интернета (IP) или протокол электронной почты (SMTP). Выбор протокола зависит от пропускной способности и надежности сети между офисами компании.
- Трафик репликации направляется не партнерам по репликации, а через серверы-плацдармы. Изменения в каталоге сайта реплицируются на один сервер-плацдарм (один для каждого раздела каталога) этого сайта, а затем — на сервер-плацдарм другого сайта. После этого изменения реплицируются с сервера-плацдарма второго сайта на все контроллеры домена этого сайта.
- Вы можете легко изменять поток репликации между сайтами, модифицируя практически любой компонент репликации.
Планирование. Ключевой момент в проектировании Active Directory — планирование количества сайтов, их месторасположения, настройка подключений между сайтами для оптимизации пропускной способности сети и сокращения времени ожидания репликации. Опции настройки подключений между сайтами рассматриваются далее в этой главе, а вопросы проектирования структуры сайта — в главе 5.
Время ожидания репликации. Репликация в Active Directory Windows Server 2003 реализована так, что копирование изменений на другие контроллеры домена может занимать время. Эта задержка называется временем ожидания репликации. Обычно время ожидания репликации легко определить, особенно в пределах сайта. Любое изменение, сделанное в базе данных каталога на одном из контроллеров домена, будет копироваться партнерам по репликации примерно через 15 секунд. Контроллер домена-получатель задержит это изменение на 15 секунд, а затем передаст его своим партнерам по репликации. Время ожидания репликации в пределах сайта приближается к 15 секундам, умноженным на количество ретрансляций, которые потребуются, чтобы информация достигла всех контроллеров домена. Топология репликации в пределах сайта обычно не требует более трех ретрансляций, так что максимальное время ожидания репликации в пределах сайта составляет примерно 45 секунд.
Определить время ожидания репликации между сайтами сложно. Сначала нужно вычислить время ожидания репликации в пределах исходного сайта. Это время, за которое изменения на контроллере домена сайта источника копируются на сервер-плацдарм этого сайта. Как только данные достигают сервера-плацдарма сайта-источника, время до достижения сайта-получателя зависит от расписания связи этого сайта и интервала между репликациями. По умолчанию репликации происходят каждые 3 часа. Если это не изменено, к времени ожидания репликации добавляются эти 3 часа. После достижения сервера-плацдарма на сайте-получателе к общему времени добавляется время ожидания репликации на этом сайте. В некоторых случаях это время может быть большим. Чтобы уменьшить его, можно сократить интервал репликаций между сайтами до 15 минут.
Управление временем ожидания репликаций - это баланс между потребностью в быстрой репликации и ограничением пропускной способности сети. Если нужно минимальное время ожидания, все контроллеры домена стоит разместить в одном сайте. Тогда время ожидания будет около 45 секунд. Но если офисы компании соединены WAN с ограниченной пропускной способностью, потребуется несколько сайтов, и время ожидания увеличится.
Срочная репликация
Иногда время ожидания репликации может быть слишком долгим, особенно при изменении важных атрибутов. В таких случаях Active Directory использует срочную репликацию, при которой контроллер домена немедленно передает изменения партнерам по репликации. Контроллер домена, получивший срочное обновление, также передает его немедленно. Так, все контроллеры домена в сайте обновляются за несколько секунд. Срочные репликации могут быть вызваны различными изменениями.
- Изменение политики блокировки учетных записей.
- Изменение политики паролей.
- Перемещение роли RID на новый контроллер домена.
- Изменения в безопасности LSA, например, при смене пароля контроллера домена.
По умолчанию срочные обновления применяются только к внутренней репликации и не распространяются на репликацию между сайтами. Эту политику можно изменить, разрешив уведомления для репликации между сайтами. Изменения пароля пользователя реплицируются по особой модели. Когда пользователь меняет пароль на контроллере домена, изменение сразу копируется на PDC-эмулятор. Эта репликация проходит через границы сайта и не использует серверы-плацдармы. Контроллер домена, где было изменение, использует RPC-подключение к PDC-эмулятору. Затем PDC-эмулятор обновляет все другие контроллеры через стандартный процесс репликации. Если пользователь пытается войти на контроллер, который еще не получил новый пароль, контроллер проверит PDC-эмулятор на наличие обновлений пароля.