管理手册-Active Directory站点和服务

2024年1月15日发(作者：)

管理手册：Active Directory站点和服务

目录

1.

概述 .......................................................................................................................................... 2

1.1.

1.2.

站点管理 .......................................................................................................................... 2

服务发布 .......................................................................................................................... 4

2.

向林添加站点 ............................................................................................................................ 4

2.1.

2.2.

过程要求 .......................................................................................................................... 5

向林添加站点过程 ............................................................................................................ 5

3.

站点间的计划复制 ..................................................................................................................... 9

3.1.

3.2.

3.3.

了解站点间复制 .............................................................................................................. 10

配置站点间复制可用性 ................................................................................................... 11

配置站点间复制频率 ...................................................................................................... 12

4.

向站点添加全局编录 ............................................................................................................... 13

4.1.

4.2.

4.3.

4.4.

了解全局编录 ................................................................................................................. 14

添加或删除全局编录 ...................................................................................................... 16

验证全局编录准备就绪情况 ........................................................................................... 17

验证全局编录 DNS 注册 ................................................................................................ 18

附录：Active Directory 站点和服务用户界面说明 ....................................................................... 19

属性页 - 常规选项卡 ........................................................................................ 19

属性页 - 常规选项卡 ........................................................................ 19

NTDS 设置属性页 - 常规选项卡 ................................................................................................. 20

NTDS 站点设置属性页 - 站点设置选项卡 .................................................................................. 21

属性页 - 常规选项卡........................................................................................... 21

IP 或 SMTP 属性 - 常规选项卡 ................................................................................................... 21

新建对象 - 子网对话框 ............................................................................................................... 22

新建对象 – 站点链接桥对话框 .................................................................................................... 22

输入地址前缀 .............................................................................................................................. 23

1

1. 概述

Active Directory(R) 站点和服务是 Windows Server(R) 2008 R2 操作系统中的一个 Microsoft

管理控制台 (MMC) 管理单元，可用来管理 Active Directory 域服务 (AD DS) 林中所有站点间目录数据的复制。此管理单元还提供 AD DS 中发布的服务特定对象的视图。

注意

也可以使用 Active Directory 站点和服务管理 Active Directory 轻型目录服务 (AD LDS) 配置集中所有站点间目录数据的复制。

负责全林性服务管理的管理员可以使用 Active Directory 站点和服务管理林的站点间复制拓扑。可以委派负责应用程序服务的管理员负责管理向其中发布应用程序特定对象的服务容器。

将 Active Directory 域服务服务器角色添加到服务器时，就将“Active Directory 站点和服务”添加到了“管理工具”菜单中。

此外，Active Directory 站点和服务提供了一个服务容器的视图，您可以用来查看在 AD DS 中发布的与服务相关的对象。

1.1. 站点管理

在物理网络中，站点代表由高速网络（如局域网 (LAN)）连接的一组计算机。通常，同一物理站点中的所有计算机都处于同一建筑物或同一校园网络中。

在 AD DS 中，站点对象代表物理站点中可以管理的一些方面，尤其是域控制器之间目录数据的复制。可以使用 Active Directory 站点和服务来管理代表位于这些站点中的站点和服务器的对象。

站点对象及其相关对象均被复制到一个 Active Directory 林中的所有域控制器。

1.1.1. 站点

站点对象位于站点容器中。可以使用站点对象完成下列任务：





创建新站点

通过使用组策略和权限委派对站点的控制

在每个站点中都存在一个“NTDS 站点设置”对象。此对象标识站点间拓扑生成器 (ISTG)。ISTG 是从不同站点的域控制器生成连接对象的站点中的一个域控制器。它还执行高级复制管理任务。

1.1.2. 子网

子网对象标识站点中 IP 地址的范围。可以使用子网对象完成下列任务：

 创建新子网

2





关联子网与站点

提供一个可以由组策略中打印机位置跟踪功能使用的站点位置

1.1.3. 服务器

在添加 Active Directory 域服务服务器角色时将自动创建服务器对象。服务器代表复制拓扑中的域控制器。

可以使用服务器对象完成下列任务：

 标识充当首选桥头服务器的域控制器。可以使用首选桥头服务器控制站点间复制，以便仅在这些指定的域控制器之间进行复制，而不在对站点间复制流量处理能力不足的域控制器之间复制。

 在站点之间移动服务器。如果创建一个新站点，并且已经使用映射到新站点的 IP 地址安装了域控制器，则可以将这些域控制器移动到新站点。

1.1.4. NTDS 设置

每个服务器对象都包含一个“NTDS 设置”对象，它代表复制系统中的域控制器。“NTDS 设置”对象存储连接对象，这使得在两个或多个域控制器之间进行复制成为可能。

可以使用“NTDS 设置”对象完成下列任务：

 生成复制拓扑。“NTDS 设置”对象的Check Replication Topology命令向 ISTG 发出信号，以检查域控制器之间的所有连接，并根据需要添加或删除任何连接。

 启用或禁用服务器上的全局编录。在启用全局编录时，域控制器将复制构成林中全局编录的只读目录分区。

1.1.5. 连接

站点中服务器的复制伙伴由连接对象标识。复制是沿一个方向进行的。服务器的连接对象包含有关向第一台服务器发送复制的其他服务器（“源”服务器）的信息。连接对象存储控制站点内复制的计划。默认情况下，它们每小时自动轮询一次复制伙伴是否有新的更改。对于站点间复制，连接对象从站点链接对象派生其计划。您不必管理连接对象上的计划。连接对象由复制系统自动生成。

可以使用连接对象完成下列任务：





标识站点中服务器的复制合作关系

如果不想等待计划的复制或者要通过某个连接测试复制，则可以通过此连接强制执行复制

1.1.6. 站点链接

站点链接代表站点之间的复制流。可以通过配置以下站点属性来管理站点间复制：可以在哪个时段进行复制，在特定时段内的复制频率以及两个站点之间的首选路由。

可以使用站点链接对象完成下列任务：

3





添加和删除使用站点链接的站点

设置通过站点链接的复制成本，当存在可以将复制传递到目标站点的多个路由时，它确定通过此站点链接进行复制的可能性

设置站点链接计划，它确定可以通过该站点链接进行复制的时间和日期

设置复制间隔，它确定在可以进行复制时通过该站点链接的复制频率





1.1.7. IP 和 SMTP 站点间传输

复制使用远程过程调用 (RPC) 通过 IP 传输或简单邮件传输协议 (SMTP) 传输进行。在广域网

(WAN) 链接不可用的环境中，可以使用 SMTP 通过邮件发送复制。在此情况下，复制将根据邮件发送计划而不是站点链接计划进行复制。默认情况下，站点间复制使用 IP 传输协议传递复制数据包。可以使用 IP 和 SMTP 站点间传输容器完成下列任务：





创建站点链接。可以根据适应新站点的需要将站点链接添加到复制拓扑。

创建站点链接桥。在默认情况下，AD DS 中的站点链接是相互桥接的，而且它们在大多数部署中不是必需的。

1.2. 服务发布

有些服务（如证书服务、消息队列和 Exchange Server）在安装后会自动在 AD DS 的站点容器中发布信息。还可以在编程接口的目录中发布其他服务。

Active Directory 站点和服务在服务节点中公开发布的与服务相关的对象。默认情况下，看不到此节点。若要查看此节点，请打开 Active Directory 站点和服务，然后在“查看”菜单中单击“显示服务节点”。

在 Active Directory 站点和服务的服务节点中发布的对象供各自的应用程序管理员使用。因此，在服务或应用程序的文档中提供了关于这些对象的信息。

2. 向林添加站点

如果需要在远离中心站点的网络区域部署域控制器，则可以在 Active Directory 域服务

(AD DS) 中创建一个站点对象，使之代表远程区域中的局域网 (LAN)。您必须配置此站点，使其包括在远程 LAN 上分配的子网地址。在创建新的站点对象时，必须将该站点置于现有站点链接中。如果已经有多个站点，则需要创建其他站点链接，以将新站点连接到现有站点。

创建新站点之后，在将“Active Directory 域服务”服务器角色添加到具有映射到该站点的 IP 地址的服务器时，可以指定根据其 IP 地址在站点中创建新域控制器的服务器对象。作为一种替代方案，您可以选择新域控制器的站点，然后将其 IP 地址配置为映射到该站点子网的地址。

4

2.1. 过程要求

本部分中的过程具有以下要求：





一个或多个网络地址（形式为网络地址/前缀）。在创建子网时，这些地址形成子网对象名。

一个站点链接。若要创建站点，必须将新站点添加到现有站点链接中。如果不存在其他站点链接，则可以使用默认站点链接 (DEFAULTIPSITELINK)。如果有两个以上的现有站点，并想再添加一个站点，则可以将该站点添加到现有的站点链接，然后创建一个新站点链接，并将新站点与该站点链接相关联。在多数情况下，可以随后从旧站点链接中删除该新站点。

 可用于通过站点链接进行复制的传输协议。当站点之间广域网 (WAN) 链接可用时，请使用

IP 传输。当连接有间断或者端到端 IP 连接不可用时，可以使用简单邮件传输协议 (SMTP)

向站点复制。不过，SMTP 复制有一些限制。

2.2. 向林添加站点过程

2.2.1. 了解站点、子网和站点链接

站点概述

在 AD DS 中的站点代表您的网络的物理结构或拓扑。AD DS 使用作为站点、子网和站点链接对象存储在目录中的网络拓扑信息，构建最有效的复制拓扑。复制拓扑本身由启用从源域控制器到存储连接对象的目标域控制器的入站复制的连接对象集组成。知识一致性检查器 (KCC) 将在每个域控制器上自动创建这些连接对象。

注意

您不必管理连接对象。实际上，会忽略对 KCC 自动创建的连接对象进行的更改。

可以使用 Active Directory 站点和服务管理单元管理合并影响复制拓扑的站点、子网和站点链接对象。

注意

也可以使用 Active Directory 站点和服务管理在 Active Directory 轻型目录服务 (AD LDS)

配置集中的站点。

区分站点和域很重要。站点代表网络的物理结构，而域代表组织的逻辑结构。站点对象及其内容被复制到林中的所有域控制器，无论是域还是站点。

使用站点

5

域控制器和使用站点的其他服务器在 AD DS 中发布服务器对象以利用站点提供的良好网络连接。根据需要域数据的位置，将域控制器置入站点。例如，如果域中没有用户在物理上位于某一站点中，则没有理由将该域的域控制器放置在该站点中。

站点有助于促进多种活动，包括：

 复制。通过在站点内无论何时数据更新时复制信息及根据配置计划在站点间复制信息，AD DS 都会平衡最新目录信息与带宽优化的需要。

身份验证。站点信息可使身份验证更加快速和高效。当客户端登录到域时，它首先请求其本地站点中的域控制器进行身份验证。通过建立站点，可以确保客户端使用最接近它们的域控制器进行身份验证，这会减少身份验证延迟和广域网络 (WAN) 连接上的流量。

服务位置。其他服务（例如 Active Directory 证书服务 (AD CS)、Exchange Server 和消息队列）使用 AD DS 存储可以使用站点和子网信息以使客户端能够更轻松地查找最接近的服务提供程序的对象。





关联站点和子网

在 AD DS 组中的一个子网对象，其以几乎与邮政代码组邻接邮政地址相同的方式邻接计算机。通过将一个站点与一个或多个子网相关联，为站点指定一组 IP 地址。

注意

AD DS 中的术语“子网”没有单一路由器背后所有地址集的严格网络定义。对于 AD DS 子网的唯一要求是地址前缀符合 IP 版本 4 (IPv4) 或 IP 版本 6 (IPv6) 格式。

添加 Active Directory 域服务服务器角色来创建林中的第一个域控制器时，将在 AD DS 中创建一个默认站点 (Default-First-Site-Name)。只要此站点是目录中的唯一站点，添加到林的所有域控制器将被分配到此站点。但是如果您的林将具有多个站点，则必须创建子网以将 IP 地址分配到

Default-First-Site-Name 以及所有其他站点。

将计算机分配到站点

在 AD DS 中，通过应用程序或服务创建服务器对象，并根据其 IP 地址将它们置入站点。将

Active Directory 域服务服务器角色添加到服务器时，将在 AD DS 站点中创建一个服务器对象，该站点包含服务器的 IP 地址所映射到的子网。如果域控制器的 IP 地址没有映射到林中的任何站点，将在为 AD DS 提供复制源域控制器的站点中创建域控制器的服务器对象。

注意

默认情况下，不在 Default-First-Site-Name 中创建服务器对象，除非林中没有其他站点。

对于客户端，将通过其在登录时的 IP 地址和子网掩码动态确定站点分配。

6

通过站点查找域控制器

域控制器在识别其站点名称的域名称系统 (DNS) 中注册服务 (SRV) 资源记录。域控制器也在识别其 IP 地址的 DNS 中注册主机 (A) 资源记录。客户端请求域控制器时，它将其站点名称提供给

DNS。DNS 使用站点名称在该站点中（或在下一个最接近该客户端的站点中）查找域控制器。然后 DNS 向客户端提供域控制器的 IP 地址以用于连接域控制器。因此，确保向域控制器指定的 IP

地址映射到与各服务器对象的站点相关联的子网很重要。否则，客户端请求域控制器时，返回的

IP 地址可能是远处站点中的域控制器的 IP 地址。客户端连接远处站点时，结果可能减缓性能并给昂贵的 WAN 链接带来不必要的流量。

将站点与站点链接相连接

网络通常由一组通过 WAN 连接的局域网 (LAN) 组成。在 AD DS 中，站点链接对象代表站点间的 WAN 连接。尽管站点内的复制将在目录更新发生时自动触发，站点间复制（通过更慢、更昂贵的 WAN 链接）计划每 3 小时发生一次。您可以更改默认计划以在指定的期间和指定的间隔发生，以便可以控制 WAN 链接流量。

2.2.2. 创建站点

可以使用 Active Directory 站点和服务管理单元在环境中创建新站点。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成此过程的最低要求。

1. 打开“Active Directory 站点和服务”。若要打开 Active Directory 站点和服务，请依次单击“开始”、“管理工具”和“Active Directory 站点和服务”。

2. 在控制台树中，右键单击“站点”，然后单击“新建站点”。

3. 在“名称”中，键入新站点的名称。

4. 在“链接名称”中，单击站点链接对象，然后单击“确定”。

其他注意事项

 若要执行此过程，您必须是林中的 Enterprise Admins 组或林根域中的 Domain Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

2.2.3. 创建子网

可以使用 Active Directory 站点和服务管理单元来创建新子网。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成此过程的最低要求。

1. 打开“Active Directory 站点和服务”。若要打开“Active Directory 站点和服务”，请依次单击“开始”、“管理工具”和“Active Directory 站点和服务”。

7

2. 在控制台树中，双击“站点”，右键单击“子网”，然后单击“新建子网”。

3. 在“前缀”中，键入 IP 版本 4 (IPv4) 或 IP 版本 6 (IPv6) 子网前缀。

4. 在“为此前缀选择一个站点对象”中，单击要与此子网关联的站点，然后单击“确定”。

其他注意事项

 若要执行此过程，您必须是林中的 Enterprise Admins 组或林根域中的 Domain Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

2.2.4. 创建站点链接

可以使用 Active Directory 站点和服务管理单元创建新站点链接。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成此过程的最低要求。

1. 打开“Active Directory 站点和服务”。若要打开“Active Directory 站点和服务”，请依次单击“开始”、“管理工具”和“Active Directory 站点和服务”。

2. 在控制台树中，右键单击要使站点链接使用的站点间传输协议。

位置？

 Active Directory 站点和服务站点站间传输IP 或 SMTP

3. 单击“新站点链接”。

4. 在“名称”中，键入站点链接的名称。

5. 在“不在此站点链接中的站点”中，单击站点以添加站点链接，然后单击“添加”。重复以上步骤，以向站点链接中添加更多站点。若要从站点链接删除站点，请在“此链接中的站点”中，单击该站点，然后单击“删除”。

6. 添加了要通过此站点链接连接的站点后，请单击“确定”。

重要

除非您的网络具有的远程站点其网络连接存在间歇性或者端对端 IP 连接不可用，否则请使用 IP 站点间传输。简单邮件传输协议 (SMTP) 复制具有不适用于 IP 复制的限制。

其他注意事项

 若要执行此过程，您必须是林中的 Enterprise Admins 组或林根域中的 Domain Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运8

行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

2.2.5. 向站点链接添加站点或从中删除站点

将站点和站点链接添加到林中时，可能要创建一个条件，即将相同的站点添加到两个站点链接。也可能要创建这样一个条件，即站点链接不包含要求通过站点链接复制的所有站点。可以使用

Active Directory 站点和服务管理单元将站点添加到站点链接及从站点链接删除站点。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成此过程的最低要求。

1. 打开“Active Directory 站点和服务”。若要打开“Active Directory 站点和服务”，请依次单击“开始”、“管理工具”和“Active Directory 站点和服务”。

2. 在控制台树中，单击站点间传输文件夹，该文件夹包含要在其中添加或删除站点的站点链接。

位置？

 Active Directory 站点和服务站点站间传输IP 或 SMTP

3. 在详细信息窗格中，右键单击要在其中添加或删除站点的站点链接，然后单击“属性”。

4. 在相应的列表中，单击要添加到此站点链接或从此站点链接删除的站点，然后分别单击“添加”或“删除”。

重要

除非您的网络具有的远程站点其网络连接存在间歇性或者端对端 IP 连接不可用，否则请使用 IP 站点间传输。简单邮件传输协议 (SMTP) 复制具有不适用于 IP 复制的限制。

其他注意事项

 若要执行此过程，您必须是林中的 Enterprise Admins 组或林根域中的 Domain Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

3. 站点间的计划复制

若要控制两个站点之间的复制，则可以使用 Active Directory 站点和复制管理单元在添加站点的站点链接对象上配置设置。通过在站点链接上配置设置，可以控制两个或多个站点之间进行复制的时间和频率。在站点链接上配置设置时，请考虑您的行业应用程序产生的网络流量、业务运营时9

间以及在工作日内活动高峰期。请针对远程站点中目录更新的需要权衡这些注意事项。例如，您可能会决定，对于在远程站点执行任务的用户而言，每天在下班后的低流量期间复制一次就足够了。

过程要求

本部分中的过程具有以下要求：





代表两个或多个站点之间物理广域网 (WAN) 链接的站点链接对象

关于站点与远程站点中用户和应用程序更新要求之间的 WAN 流量信息

3.1. 了解站点间复制

Active Directory 域服务 (AD DS) 处理站点之间的复制（又称站点间复制），这与站点内复制不同，因为站点之间的带宽通常受到限制。Active Directory 知识一致性检查器 (KCC) 使用成本最低的跨树设计构建站点间复制拓扑。站点间复制针对带宽效率进行了优化。目录更新可以根据可配置的计划在站点之间自动进行。在站点之间复制的目录更新是经过压缩的，以便节省带宽。

3.1.1. 建立站点间复制拓扑

AD DS 使用通过 Active Directory 站点和服务管理单元提供的有关站点和站点链接的信息自动构建最有效的站点间复制拓扑。目录将复制拓扑存储为系统自动创建的连接对象，以形成站点内和站点间的复制拓扑。连接对象为站点内复制和站点间复制识别复制伙伴。这些对象始终表示为单向的，即入站复制到包含对象的服务器。站点间复制拓扑将定期更新，以响应网络中发生的任何更改。您不必创建或管理连接对象。不过，可以通过在配置站点链接对象时提供的信息来控制站点间复制计时。

注意

可以使用 Active Directory 站点和服务来管理 Active Directory 轻型目录服务 (AD LDS) 配置集中所有站点间的目录数据的复制。

3.1.2. 确定何时发生站点间复制

AD DS 通过最小化复制的频率以及允许计划站点复制链接的可用性，来节省站点之间的带宽。在默认情况下，跨越每个站点链接的站点间复制每 180 分钟（3 小时）进行一次。可以调整此频率以满足您的具体需要。请注意，提高此频率将增加复制所用的带宽量。除了计划复制频率外，还可以计划站点复制链接的可用性。在默认情况下，站点链接随时可以传输复制通信。可以将此计划限制在每周的特定日期和每天的具体时间。例如，可以计划站点间复制仅在正常工作时间（每周五天）之后进行。

如果配置了多个站点链接，使两个站点之间有一个以上的路由，则可以配置站点链接上的复制成本，以标识一个路由相对于另一路由的优先级。

10

3.1.3. 使用复制传输

默认的站点间 AD DS 复制传输是通过 IP 的远程过程调用 (RPC)。通过 IP 的 RPC 还用于站点间复制。Active Directory 站点和服务中的 IP 容器包含一些代表站点链接的对象，这些对象使用通过 IP 的 RPC 打包并在站点之间传输复制数据。为确保数据在站点之间传输时的安全性，通过

IP 的 RPC 复制同时使用身份验证（采用 Kerberos 版本 5 (V5) 身份验证协议）和数据加密。

当直接或可靠的 IP 连接不可用时，您可以将站点之间的复制配置为使用简单邮件传输协议

(SMTP)。不过，SMTP 复制功能限制在非域复制（架构、配置和全局编录更新）范围内。在站点链接上使用时，还需要企业证书颁发机构 (CA)。在 Windows Server 2008 R2 中，站点间消息的

SMTP 组件是可选的。必须添加它才能使用 SMTP 进行复制。

注意

通过防火墙或虚拟专用网络 (VPN) 进行站点间复制需要注意一些特殊事项。

3.2. 配置站点间复制可用性

若要控制可能通过站点链接发生站点间复制的时间块，可以使用 Active Directory 站点和服务管理单元配置站点链接计划中的可用性设置。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成此过程的最低要求。

配置站点间复制可用性的步骤

1. 打开“Active Directory 站点和服务”。若要打开“Active Directory 站点和服务”，请依次单击“开始”、“管理工具”和“Active Directory 站点和服务”。

2. 在控制台树中，单击站点间传输文件夹，该文件包含要配置站点间复制可用性的站点链接。

位置：

 Active Directory 站点和服务站点站间传输IP 或 SMTP

3. 在详细信息窗格中，右键单击要配置其计划的站点链接，然后单击“属性”。

4. 单击“更改计划”。

注意

当使用没有充分凭据更改计划的帐户登录时，可用的选项是“查看计划”。

11

5. 选择要复制为可用或不可用期间的时间块，然后分别单击“不能使用复制”或“可以使用复制”。

重要

除非您的网络具有的远程站点其网络连接存在间歇性或者端对端 IP 连接不可用，否则请使用 IP 站点间传输。简单邮件传输协议 (SMTP) 复制具有不适用于 IP 复制的限制。

其他注意事项

 若要执行此过程，您必须是林中的 Enterprise Admins 组或林根域中的 Domain Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

3.3. 配置站点间复制频率

若要指定在站点间复制计划中的任何可用性区块期间发生的复制频率，可以使用

Active Directory 站点和服务管理单元配置站点链接对象属性中的频率设置。在指定时间间隔（例如，每 60 分钟一次），在站点中充当桥头服务器的域控制器请求来自不同站点中其源复制伙伴的更改。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成此过程的最低要求。

配置站点间复制频率的步骤

1. 打开“Active Directory 站点和服务”。若要打开“Active Directory 站点和服务”，请依次单击“开始”、“管理工具”和“Active Directory 站点和服务”。

2. 在控制台树中，单击站点间传输文件夹，该文件包含要配置站点间复制可用性的站点链接。

位置：

 Active Directory 站点和服务站点站间传输IP 或 SMTP

3. 在详细信息窗格中，右键单击要配置其计划的站点链接，然后单击“属性”。

4. 在“复制频率”中，键入或选择复制间的间隔分钟数。

重要

12

除非您的网络具有的远程站点其网络连接存在间歇性或者端对端 IP 连接不可用，否则请使用 IP 站点间传输。

其他注意事项

 若要执行此过程，您必须是林根域中的 Domain Admins 组或林中的 Enterprise Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。





默认站点链接复制频率为 180 分钟。

“复制频率”值将被处理为最接近的 15 分钟的倍数，范围为最低 15 分钟到最大 10,080 分钟（1 星期）。

4. 向站点添加全局编录

全局编录服务器使搜索整个 Active Directory 域服务 (AD DS) 林成为可能，从而无需参照存储搜索目标域中的域控制器。在将全局编录添加到域控制器时，林中每个域（不是新全局编录服务器存储的域）的部分只读副本将复制到域控制器。在通用组可用的林中执行搜索和处理域登录时需要全局编录服务器。

全局编录服务器和域

全局编录服务器响应通过端口 3268 进行的林范围的轻型目录访问协议 (LDAP) 查询。全局编录省去了将查询发送到多个域控制器，直至该查询找到包含请求对象的域这一需要。

当林仅包含一个域时，所有域控制器都有可搜索的对象的完整补集，并且不需要全局编录服务器消除对其他域的参照。不过，由于全局编录端口与默认 LDAP 端口 (389) 不同，全局编录查询必须找到全局编录服务器。在具有单一域的林中，通过将所有域控制器配置为全局编录服务器，可以确保全局编录查询在域中的所有域控制器之间均匀地进行负载平衡。由于不需要额外复制或处理其他域数据，因此，与其他域控制器相比，单一域全局编录服务器具有不需要特殊硬件的优势。

但是，如果林包含多个域，则全局编录服务器必须为林中的所有域存储和复制域数据。在此情况下，应根据站点需求确定是否替换林中的全局编录服务器，如以下几部分所述。

全局编录服务器和站点

为优化多站点环境的网络性能，应根据站点需求考虑向站点添加全局编录服务器，以加快搜索响应和域登录速度。在单站点多域环境中，通常单个全局编录服务器就足以包含 Active Directory

公用查询和登录。使用下表中的信息可以确定多域多站点环境是否可以从额外全局编录服务器中受益。

13

在以下情况下使用全局编录 优点 缺点

站点中的常用应用程序使用端口 3268 解决全局编录查询。 改进性能 由于复制全局编录引起的额外网络流量

使用慢速或不可靠的广域网 (WAN) 连接以连接到其他站点。使用与个别域控制器相同的失败规则和负载分发规则，确定每个站点中是否需要其他全局编录服务器。

容错 由于复制全局编录引起的额外网络流量

属于 Windows 2000 域（域功能级别设置为 Windows 2000

本机）的站点中的用户。在此情况下，所有用户必须从全局编录服务器获得通用组成员身份信息。如果全局编录服务器不在同一站点，则所有登录请求必须通过 WAN 连接路由到其他站点的全局编录服务器。

可以使用通用组成员身份缓存（运行

Windows Server 2003、Windows Server 2008 或 Windows

Server 2008 R2 的域控制器上的一种功能），这样就可以在域登录过程中不必联系其他站点中的全局编录服务器。

快速用户登录 由于复制全局编录引起的额外网络流量

4.1. 了解全局编录

全局编录是 Active Directory 域服务 (AD DS) 林中所有对象的集合。全局编录服务器是一个域控制器，它存储林中主持域的目录中所有对象的完全副本，以及所有其他域中所有对象的部分只读副本。全局编录服务器响应全局编录查询。

4.1.1. 复制到全局编录的属性

组成全局编录的对象的部分、只读副本被称为“部分”，因为它们包括一组有限的属性，即架构所必需的属性以及在用户搜索操作中最常用到的属性。将标记这些属性以作为架构定义的一部分包含在部分属性集 (PAS) 中。存储全局编录中所有域对象的最常搜索的属性，使得用户的搜索更有效，同时不因为不必要的域控制器引用而影响网络性能，并且全局编录服务器无需存储大量不需要的数据。

14

4.1.2. 全局编录功能

当您安装 AD DS 时，会在林中的第一个域控制器上自动创建新林的全局编录。可以将全局编录功能添加到其他域控制器。也可以从域控制器删除该全局编录。

全局编录服务器：

 查找对象。

全局编录使用户能够在林中的所有域上搜索目录信息，无论数据存储在什么位置。将以最大的速度和最低的网络流量在林中执行搜索。

当某个用户从“开始”菜单搜索个人或打印机，或在查询中选择“整个目录”选项时，该用户会搜索全局编录。用户输入搜索请求之后，请求会被路由到默认全局编录端口 3268，并被发送到全局编录服务器进行解析。

 提供用户主体名称身份验证。

当验证域控制器无法识别用户帐户时，全局编录服务器会解析用户主体名称 (UPN)。例如，如果用户的帐户位于 中并且用户使用

luis@ 的 UPN 从一台位于 中的计算机上登录，则在 中的域控制器将无法查找该用户的帐户，它必须与全局编录服务器联系才能完成登录过程。

 验证林中的对象引用。

域控制器使用全局编录验证对林中其他域的对象的引用。当域控制器保留其属性包含对其他域中对象引用的目录对象时，域控制器将通过与全局编录服务器联系来验证引用。

提供多域环境中的通用组成员身份信息。

域控制器可以始终发现其域中任何用户的域本地组和全局组成员身份，并且这些组的成员身份不被复制到全局编录。在单域林中，域控制器也可以始终发现通用组成员身份。但通用组可以具有不同域中的成员。因此将通用组的member属性（包含组中成员的列表）复制到全局编录。在多域林中的用户登录到允许通用组的域时，域控制器必须与全局编录服务器联系，以检索用户可能在其他域中具有的任何通用组成员身份。

如果在用户登录到通用组可用的域时全局编录服务器不可用，用户的客户端计算机可以使用缓存凭据登录（如果用户以前曾登录到该域）。如果用户以前未曾登录到该域，则用户只能登录到本地计算机。

注意



域中的管理员（Builtin Administrator 帐户）始终可以登录到域，即使全局编录服务器不可15

用也是如此。

4.1.3. 通用组成员身份缓存

在没有全局编录服务器的站点中运行 Windows Server 2003、Windows Server 2008 或

Windows Server 2008 R2 的域控制器上，可以使用通用组成员身份缓存来降低联系不同站点中全局编录服务器的需要。已启用此功能时，当用户第一次登录到通用组可用的域时，用户的通用组成员身份信息将被缓存到域控制器上。此后，域控制器使用缓存成员身份处理登录，而不必与全局编录服务器联系。

4.2. 添加或删除全局编录

可以在 Active Directory 站点和服务管理单元中使用同一用户界面 (UI) 添加或删除全局编录。启用全局编录可能导致额外复制流量。不过，将在后台逐渐执行全局编录删除操作，且不会影响复制或性能。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成此过程的最低要求

添加或删除全局编录的步骤

1. 打开“Active Directory 站点和服务”。若要打开“Active Directory 站点和服务”，请依次单击“开始”、“管理工具”和“Active Directory 站点和服务”。

2. 在控制台树中，单击要向其添加或从中删除全局编录的服务器对象。

位置：

 Active Directory 站点和服务站点站点名服务器

3. 在详细信息窗格中，右键单击所选服务器对象的“NTDS 设置”，然后单击“属性”。

4. 选中“全局编录”复选框以添加全局编录，或者清除复选框以删除全局编录。

其他注意事项

 若要执行此过程，您必须是所选域控制器的域中的 Domain Admins 组或林中的 Enterprise

Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

 域控制器在收到全部域目录分区之前不在域名系统 (DNS) 中将其自身宣传为全局编录服务器。

也可以使用 Windows PowerShell(TM) 的 Active Directory 模块执行此过程中的任务。若要打开 Active Directory 模块，请依次单击「开始」、“管理工具”和Windows

PowerShell 的 Active Directory 模块。



16

4.3. 验证全局编录准备就绪情况

全局编录服务器符合复制要求时，isGlobalCatalogReadyrootDSE属性被设置为TRUE，且全局编录准备就绪可以为客户端计算机提供服务。可以在Ldp管理单元中或在命令行上使用以下过程验证此设置。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成这些过程的最低要求。

4.3.1. 使用 Windows 界面验证全局编录准备就绪情况的步骤

1. 打开Ldp管理单元。若要打开Ldp，请依次单击“开始”和“运行”，再键入ldp，然后单击“确定”。

2. 在“连接”菜单中，单击“连接”。

3. 在“连接”中，键入要验证其全局编录准备就绪情况的服务器的名称。

4. 在“端口”中，如果不出现 389，请键入389。

5. 如果选中了“无连接”复选框，请清除它，然后单击“确定”。

6. 在详细信息窗格中，验证isGlobalCatalogReady属性具有值TRUE。

7. 在“连接”菜单中，单击“断开连接”，然后关闭Ldp。

其他注意事项

 若要执行此过程，您必须是所选域控制器的域中的 Domain Admins 组或林中的 Enterprise

Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

4.3.2. 使用命令行验证全局编录准备就绪情况

1. 打开命令提示符。若要打开命令提示符，请依次单击“开始”和“运行”，再键入cmd，然后单击“确定”。

2. 键入以下命令，然后按 Enter：

nltest /server: /dsgetdc:

值

nltest

/server:

描述

执行网络管理任务。

指定已指定作为全局编录服务器的域控制器的名称。

17

/dsgetsdc:

指定服务器所属域的名称。

在输出的Flags行中，如果出现GC，则全局编录服务器已符合其复制要求。

若要查看此命令的完整语法，请在命令提示符下键入：

nltest /?

其他注意事项

 若要执行此过程，您必须是所选域控制器的域中的 Domain Admins 组或林中的 Enterprise

Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 AD DS 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

4.4. 验证全局编录 DNS 注册

若要验证服务器是否被公布为全局编录服务器，可以使用 DNS 管理器管理单元验证是否存在全局编录服务器的域名称系统 (DNS) 服务位置 (SRV) 资源记录。

林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完成这些过程的最低要求。

验证全局编录 DNS 注册的步骤

1. 重新启动要验证其 DNS 注册的全局编录服务器。

2. 打开 DNS 管理器。若要打开 DNS 管理器，请依次单击“开始”、“管理工具”和“DNS”。

3. 若要连接到林根域中的域控制器，对此进行验证 DNS 注册，请右键单击“DNS”，然后单击“连接到 DNS 服务器”。

4. 在控制台树中，单击林根域的“_tcp”容器。

位置：

 DNSDNSServer正向查找区域ForestRootDomain

5. 在详细信息窗格中，在“名称”列中查找_gc，并在“数据”列中查找服务器的名称。以_gc开头的记录是全局编录服务位置 (SRV) 资源记录。

其他注意事项

 若要执行此过程，您必须是所选域控制器的域中的 Domain Admins 组或林中的 Enterprise

Admins 组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运行”执行此过程。管理 Active Directory 域服务 (AD DS) 时，请使用您的最低级别的用户帐户登录并使用管理凭据。

18

附录：Active Directory 站点和服务用户界面说明

属性页 - 常规选项卡

项目 详细信息

开销 指定一个开销值以设置使用此站点链接而非支持将复制路由到相同的站点的其他站点链接的首选项。

在两个站点间有多个路由可用时，站点间复制将发生在具有最小开销的路由上。如果在创建复制拓扑时域控制器不可用，这使得不可能通过站点进行复制，则将使用下一个最小开销的路由。当桥接（可传递）站点链接时，会自动进行此重新路由，这是默认设置。

“复制频率为 ___

分钟”

指定通过此站点链接的复制事件间的持续时间，以分钟单位。复制会以此频率在通过此站点链接的复制计划可用时发生。

最小复制间隔为 15 分钟。

“更改计划”或“查看计划”

若要检查或更改此链接的计划，请单击“更改计划”。

当使用没有充分凭据更改计划的帐户登录时，可用的选项是“查看计划”。

属性页 - 常规选项卡

除非自己拥有连接对象，否则更改连接对象的属性没有效果。在手动创建连接对象或取得自动连接对象的所有权时，将建立对连接对象的所有权。除非手动创建复制拓扑，否则不必管理连接对象。

项目 详细信息

“传输” 提供此连接使用的可用网络协议列表。

19

大多数复制方案都使用 IP。简单邮件传输协议 (SMTP) 仅在不能使用 IP 复制的少数拓扑中使用。

“更改计划”或“查看计划”

此计划适用于站点内连接对象和手动创建的站点间连接对象。

对于手动创建的站点间连接对象，可单击查看或指定通过此连接进行复制的频率。自动生成的站点间连接对象从站点链接对象派生其计划。

对于站点内连接对象，为响应更改而进行复制。不过，自动生成的站点内连接对象还有一个默认 1 小时的计划，以防在通知机制出现故障时确保能够进行复制。自动生成的站点内连接对象从 NTDS 站点设置对象计划派生其计划。

“更改”

“复制的名称上下文”

单击选择备用域控制器作为源复制伙伴，通过此连接从中复制目录信息。

此域控制器与其在“服务器”中的源复制伙伴共有的目录分区，此域控制器为其接收更新。

“部分复制的名称上下文”

如果此服务器是全局编录服务器，则通过此连接复制对这些只读目录分区的更新。

NTDS 设置属性页 - 常规选项卡

项目 详细信息

查询策略

为许多轻型目录访问协议 (LDAP) 操作提供操作限制以确保域控制器可以支持服务级别保证。

DNS 别名

显示域名称系统 (DNS) 中别名 (CNAME) 资源记录的名称，复制伙伴使用该名称查找用于复制的域控制器。别名 (CNAME) 资源记录使用目录系统代理（也称为

DSA）对象的全局唯一标识符 (GUID)。

当您选择此复选框时，会将全局编录添加到此域控制器。当您清除此复选框时，将从此域控制器删除全局编录。因为在登录过程中需要用全局编录服务器来检查组成员身份，所以将全局编录添加到每个站点中的域控制器可减少因登录造成的站点间流量。

“全局编录”复选框

20

NTDS 站点设置属性页 - 站点设置选项卡

项目 详细信息

“更改计划”或“查看计划”

站点内复制的默认计划。不应更改此计划。虽然站点内复制在发生更新时会自动进行，也会每小时联系一次复制伙伴以确保复制可能已错过的更改。

当使用没有充分凭据更改计划的帐户登录时，可用的选项是“查看计划”。

“站点间拓扑生成器”

负责从其他站点中的域控制器创建连接站点中的单一域控制器的名称。由所有站点中站点间拓扑生成器创建的所有连接的组合形成林的站点间复制拓扑。

“通用组成员身份缓存”

“启用通用组成员身份缓存”：使得此站点中的域控制器无需与不同站点中的全局编录服务器联系以在域登录期间检查通用组成员身份。

“刷新缓存，来自”：列出林中的可用站点。使用此列表指定从其缓存通用组成员身份的站点。“<默认>”使用到具有全局编录服务器的站点最有效的路由。如果指定站点，请确保它包含一个正常工作的全局编录服务器。

属性页 - 常规选项卡

项目 详细信息

可用于站点间数据传送的传输

列出此服务器可以用于复制的复制传输。





IP:IP传输是用于站点内和站点间复制的默认复制传输。

SMTP：简单邮件传输协议 (SMTP) 传输使用电子邮件传输复制数据。此传输要求在网络属性中进行其他配置，它具有明显的限制。

“此服务器是下列传输的首选桥头服务器”

包含已添加的传输以指定此服务器作为首选桥头服务器。通过将传输添加到列表，可指定服务器作为使用该传输的复制的首选桥头服务器。通过删除传输，可使服务器返回非桥头服务器状态。

IP 或 SMTP 属性 - 常规选项卡

项目 详细信息

“忽略计此选项等同于复制始终可用。如果选中“忽略计划”，则将以指定的间隔进行复制，但将忽略任何计划的日期和时间。使用简单邮件传输协议 (SMTP) 传输的站21

划” 点链接始终忽略站点链接计划。

“为所有站点链接搭桥”

指定是否可以在不是由站点链接直接连接的站点之间进行间接复制。默认情况下该选项处于启用状态。如果下列条件为真，则不同站点中的域控制器可以进行间接复制：







它们通过不同的站点链接连接到共同站点。

这两个站点链接上的计划重叠。（可以在共同时间进行复制。）

该域的域控制器在中间站点中不可用。

如果禁用此选项，则需要创建站点链接桥，以便特定域控制器能够进行通信。

新建对象 - 子网对话框

项目 详细信息

“前缀”

“Active Directory

域服务的前缀名”

标识此子网中 IP 地址范围的网络地址。

用于 Active Directory 域服务 (AD DS) 中子网对象名的值。

“为此前缀选择一个站点对象”

与子网地址关联的站点。当域名系统 (DNS) 服务器收到对此站点中域控制器的请求时，仅返回其 IP 地址在此子网范围内的域控制器。这样，就可以根据站点找到域控制器。

新建对象–站点链接桥对话框

默认情况下站点链接被桥接，这表示复制自动遵循在站点间具有最小开销的路由。您不必手动桥接站点链接，除非要确保从不使用到某一站点的某些路由。

项目

“不在此站详细信息

最初，此列表不包含任何站点链接，因为默认情况下所有站点链接被桥接。当禁用点链接桥站点链接桥接时，不会更改此列表。当第一次手动创建站点链接桥时，必须从不希中的站点” 望包括在站点链接桥中的桥接站点链接列表中删除站点。

“此站点链接桥中的最初，此列表包含所有站点链接，因为默认情况下所有站点链接被桥接。当禁用站点链接桥接时，不会更改此列表。若要选择要包括在站点链接桥中的站点链接，请22

站点” 删除不希望包括在站点链接桥中的站点链接。如果已经实现站点链接桥，则可能必须将一个或多个站点链接添加到该桥。

输入地址前缀

子网一组可以用来有效地在组织网络的子网中分配一个或多个单播地址前缀的地址空间的技术。

若要确定前缀长度表示法 (/n) 中的 IP 版本 4 (IPv4) 地址配置的子网前缀，请保留 n 高阶位，并将所有其余位设置为 0，然后将结果转换为点分十进制表示法。若要确定以子网掩码表示法中的 IPv4 地址配置的子网前缀，请在 IPv4 地址及其子网掩码之间执行按位逻辑 AND。

除 IPv4 地址之外，Windows Server 2008 R2 还支持 IP 版本 6 (IPv6) 子网前缀。若要在 IPv6

地址空间中创建子网，请使用十六进制或十进制方法枚举子网地址前缀。

23