第 8 章 设计同步

在对现有站点(第 2.3 节 “执行站点问卷调查”)进行站点调查时需要考虑的一个重要因素是包括 Active Directory 目录服务的结构和数据类型。通过 Windows 同步,可以同步现有 Windows 目录服务并将其与 Directory 服务器集成,包括创建、修改和删除目录服务器上的 Windows 帐户,或者相反的 Windows 上的 Directory Server 帐户。这提供了在目录服务中维护目录信息完整性的有效方法。

8.1. Windows 同步概述

同步过程类似于复制过程:该插件启用和发起,并且通过同步协议启动,并且目录更改的记录会被维护,并根据该日志发送更新。
完整 Windows 同步过程有两个部分:
  • 用户和组同步.与多倍复制一样,用户和组条目将通过插件同步,默认情况下是启用的。与用于多层次复制的变更记录也用于将更新从 Directory 服务器发送到 Windows 同步对等服务器作为 LDAP 操作。服务器还针对其 Windows 服务器执行 LDAP 搜索操作,将 Windows 条目所做的更改同步到对应的目录服务器条目。
  • 密码同步.此应用程序捕获 Windows 用户的密码更改,并通过 LDAPS 将这些更改转发回目录服务器。它必须安装在 Active Directory 机器上。

图 8.1. 同步过程

同步过程

8.1.1. 同步协议

同步由一个或多个 同步协议配置和控制。它们与复制协议类似,包含类似的信息,包括 Windows 服务器的主机名和端口号,以及要同步的子树。Directory 服务器通过 TLS 使用 LDAP 或 LDAP 连接到发送和接收更新,连接到其对等 Windows 服务器。
单个 Windows 子树与单个 Directory Server 子树同步,反之亦然。与连接数据库的复制不同,同步是在 后缀、部分目录树结构间进行。因此,在设计目录树时,请考虑应当与 Directory 服务器同步的 Windows 子树,以及设计或添加对应的 Directory Server 子树。同步的 Windows 和目录服务器后缀都在同步协议中指定。对应子树中的所有条目都可用于同步,包括不是指定后缀直接子级的条目。
注意
任何子代容器条目需要由管理员在 Windows 服务器上单独创建;Windows Sync 不会创建容器条目。

8.1.2. changelogs

Directory Server 维护一个 changelog,这是记录发生的修改的数据库。Windows Sync 使用 changelog 来协调并发送对 Windows 同步对等服务器所做的更改。使用 Active Directory 的 Dirsync 搜索功能可找到对 Windows 服务器中的条目的更改。因为 Active Directory 端没有 changelog,所以默认会发布 Dirsync 搜索。使用 Dirsync 可确保仅检索自上次搜索以来更改的条目。