Aantekeningen Active Directory (week 1 en 2 Windows)
Begin in lesweek met het minstens 1x per week doorlezen van het onderstaande!
• Microsoft gebruikt Active Directory (AD) sinds server 2000. Windows NT maakte geen gebruik van AD (of
LDAP).
• Je kunt AD configureren en beheren met verschillende tools: Voorbeelden zijn AD users and Computers,
(ADUC) AD sites and services (ADSS) en AD Administrative center (ADAC).
• Domein services verwijst naar de tools waarmee je o.a. authenticatie en (policy) management kunt
configureren, maar ook naar de bijhorende services als DNS, het schema van de database (DB) en
bijvoorbeeld de systeemtijd, Kerberos en IP.
• AD is een service die je kunt starten en kunt stoppen, zonder dat je machine uit en aan hoeft te zetten.
• AD Lightweight Directory Service (AD LDS) biedt een directory service aan ‘niet werknemers’ die toch
gebruiken moeten/willen maken van de netwerk services (shares, applicaties,…). Denk aan tijdelijke
werknemers of externe gebruikers. Dus toegang zonder volledig AD.
• AD Federration Service (AD FS) bestaat sinds 2003. FS is het koppelen van (federation) van meerdere AD
forests (andere domeinnamen). Kan ook een koppeling verzorgen met Azure AD (Microsoft cloud).
Shares/informatie kan daarmee door verschillende gebruikers uit verschillende domeinen worden
gedeeld. Wordt o.a. ook gebruikt voor koppeling met externe applicaties zoals Microsoft Office 365.
• Forest (FFL) en domain (DFL) functional levels geven de DC bepaalde functies en
veiligheidsmogelijkheden. DFL en FFL gelden alleen voor een machine die Domain controller is. Alle DC’s
in het netwerk moet hetzelfde minimaal FFL en DFL niveau hebben. Voor memberserver hoeft dat niet.
Voor een 2012R2 DC die naar FFL/DFL 2016 moet, is een upgrade of een migratie nodig. Migratie is ‘het
overzetten’ van de oude gegevens naar een nieuwe server. Bij een upgrade vervang je het OS door een
nieuwere versie.
• AD is afgeleid van de x.500 directory service. Het omvat een distributed model gebaseerd op de
directory information Tree (DIT). Hiermee wordt bedoeld dat de directory (de DB) een hiërarchische
opbouw heeft. Deze is te herkennen aan de naamgeving. Servername.subdomain.domainname.tld. DNS
heeft een soortgelijke opbouw. VB server1.school.test (Dit is de FQDN).
• Microsofts AD is niet compatible met x.500 omdat het o.a. TCP/IP gebruikt.
• Het AD schema is beveiligd met discretionary access control lists (DACL)
• AD Schema bevat de definities voor alle object types (gebruikers, computers, groepen,….). Elk object
heeft een (groot) aantal attributen. Het schema bepaalt hoe dat er allemaal uitziet.
• Objecten in AD o.a.: users, computers, printers en sites.
• Het AD schema is direct uitbreidbaar voor nieuwe/ custom attributes. Bij het installeren van bepaalde
AD geïntegreerde applicaties (zoals Exchange voor email) moet het schema worden aangepast om extra
functionaliteiten en attribute bruikbaar te maken. Geldt niet alleen voor Microsoftapplicaties maar ook
voor third-party applicaties.
• Het aanpassen van het schema is wel een relatief riskante operatie. Je moet goed weten wat je gaat
doen. Een foutje levert direct een probleem met je AD.
• ADSI-edit is een GUI tool voor het aanpassen van AD. Systemcenter (virtual machine manager) vraagt
bijvoorbeeld ook om aanpassingen van het schema. Veelal gaat dit met scripts. ADSI-edit kun je
gebruiken voor het bekijken, modificeren en verwijderen van objecten en/of attributen. Wees hier
voorzichtig mee. Het levert snel problemen op.
1
,• AD gebruikt LDAP, LDAP is een RFC 2251 standaard.
• Objecten in AD moeten uniek zijn. Het pad van een object wordt een distinguished name genoemd (dit
is het absolute/ of volledige pad van het object in de DB). Een afgeleide hiervan is een relative
distinguished name (een relatief pad ten opzichte van) o DN: “cn=mark, Ou=inkoop, ou=RegioWest,
dc=bedrijfx,dc=nl” “ belangrijk bij een spatie.
o RDN: ou=RegioWest,dc=bedrijfx,dc=nl of nog korter ou=RegioWest o Als je adsi-edit opent dan
zie je deze ‘mappen’ structuur.
• AD wordt o.a. gebruikt voor authenticatie van gebruikers. AD kan meerdere DC’s bevatten en deze zijn,
in principe, lees en schrijfbaar. Tenzij je een read-only DC gebruikt (kan zoals de naam zegt alleen maar
worden gelezen). Door het lezen en schrijfbaar maken van alle DC’s wordt de omgeving vaak een
multimaster systeem (en dus ook multi-master replicatie) genoemd. Alle DC’s geven elkaar door wat ze
weten en wat er is aangemaakt of aangepast.
• Om o.a de prestaties te verhogen heeft AD een Global Catalog Serivce (GC). De GC bevat een referentie
naar AD en heeft een aantal belangrijk attributen ‘opgeslagen’. Het gaat om de meest gebruikte
attributen van de belangrijkste objecten. GC-rol is standaard aanwezig op een DC, je kunt het
uitschakelen maar daar moet je goede redenen voor hebben. In elke ‘remote locatie’ moet je minimaal
1 GC hebben (of een RODC)zeker bij langzamere WAN verbindingen. Er bestaat ook een read-only GC
(ROGC). O.a. Exchange heeft een GC in de locatie van de gebruiker minimaal nodig. Meerdere GC zorgt
voor load distribution en redundantie. Exchange kan geen gebruikmaken van een RODC/ROGC.
• Bij voorkeur heb je minimaal 1 GC per fysieke locatie. Meerdere GC’s voor: loadbalancing, redundantie
en performance (sneller zoeken,..)
• Om problemen in een multimaster omgeving tegen te gaan zijn er een vijftal rollen. Deze werden
FSMOrollen genoemd, maar heten tegenwoordig Operations Master Roles. De vijf rollen zijn:
o Schema master: DC met deze rol bevat de enige schrijfbare schema structuur. Voor een
aanpassing van het schema moet deze rol/dc online zijn. Moet conflicten in het schema
voorkomen. Er is maar één dc in het AD forest met deze rol.
o Domain naming master: Voor het uitbreiden van het domein (subdomein). Deze rol moet op
een DC staan waar ook de GC rol op aanwezig is. Ook als je de domeinnaam wilt aanpassen,
moet deze rol/dc online zijn.
o PDC emulator: Legacy windows NT mogelijkheden. Het zorgt ook voor de juiste tijdservice. Ook
belangrijk voor het inloggen. Er is een PDC emulator per AD DS domein. Dus er zijn er twee in
een (hoofd)domein en een subdomein. School.test en edam.school.test.
o RID master: Objecten in AD krijgen een Security ID (SID). Een SID heeft een domeincomponent
en uniekdeel. De RID-master deelt blokken van SID’s uit. Dit wordt een SID-pool genoemd.
Vergelijk het enigszins met een IP-pool bij een DHCP-server. Als een DC door zijn pool dreigt te
raken, dan vraagt de server om een nieuwe aanvullende pool. Als de pool op is en de RID-
master kan niet worden bereikt, dan kunnen er geen nieuwe objecten worden aangemaakt. Er is
één RID-master per AD DS domein.
o Infrastructure master: Regelt de referenties naar domein objecten die niet in het eigen domein
zitten, maar bijvoorbeeld in het subdomein. De veranderingen worden door de infrastructure
master georganiseerd. Een voorbeeld is ook de informatie van Sites and services.
• Het overdragen van Operation Master roles kan via verschillende tools. Soms via ADUC en soms via
ADSS. Powershell is dan vaak een betere optie.
2
,• Domain Trusts: domeinen in een Tree hebben een transitive trust relatie. Dit wil zeggen dat als domein
A en B elkaar vertrouwen en domein A vertrouwt ook domein C, dat B en C elkaar ook vertrouwen.
Twoway transitive houdt in dat het naar beide kant is. Dus gebruikers uit domein B mogen bijvoorbeeld
bij resources uit domein A en C. Hou wel in de gaten dat dit geen automatisch vertrouwen en dus
toegang tot shares of printers betekent. NTFS en Share permissie spelen hierbij nog wel een rol.
• Een Explicit Trust is een handmatige trust relatie. Meestal tussen domeinen in een domain forest. Zie
het onderstaande voorbeeld
•
• Een shortcut trust is een handmatige/manual trustrelatie tussen twee (sub)domeinen. Deze geldt dan
alleen voor deze twee subdomeinen. Zie zie hieronder. Let op dat in het plaatje er eigenlijk al een
transitive trust is, maar een shortcut trust heeft o.a. een performance winst.
•
• AD DS Replication is een essentiele functie voor het ‘werkbaar’ houden van complexe domeinen.
Hiermee worden veranderingen die op een bepaalde DC zijn gemaakt, automatisch gerepliceerd naar de
andere DC’s in het domein en/of subdomein. Let op dat niet alles altijd naar een subdomein wordt
gerepliceerd.
• AD replicatie is onafhankelijk van een forest, een tree of de domeinstructuur.
• Twee vormen van replicatie: inter-site en intra-site replicatie. Je IP-range kan hier een rol bij spelen. In
Sites and Services wordt dan aangegeven/geconfigureerd met een subnet en systemen in hetzelfde
subnet zitten daarmee (meestal) in dezelfde site. Tussen sites zijn er site links. Meestal zijn dat
verwijzingen naar de fysieke kabels of verbindingen (bijvoorbeeld via een router) naar de andere site. De
site links kunnen op basis van bijvoorbeeld de bandbreedte worden geconfigureerd waardoor je invloed
op het replicatieproces kunt uitoefenen. Bijvoorbeeld dat je tussen twee locaties alleen maar in de nacht
of avond, als iedereen naar huis is, wilt repliceren.
• Per site(link) is er een server die alle het replicatieverkeer zal verzamelen. Deze server wordt de
bridgehead server genoemd. Hieronder een voorbeeld van Sites and services. Bij inter-site transport kun
je het protocol kiezen waarmee/waarover wordt gerepliceerd. Je hebt hier als keuze SMTP (mail, wordt
bijna niet gebruikt) of IP (wat de default is). Bij de subnets geen je de IP-ranges op waaraan een kan
worden gezien tot welke site deze zal behoren. In het onderstaande voorbeeld zijn er twee sites
(datacenter1 en Intern). Per site vind je de DC’s terug die onderdeel zijn van een bepaalde site. Let op
dat memberserver hier geen onderdeel van uitmaken.
3
, •
• Intrasite (binnen een site) replicatie is replicatie tussen DC’s in hetzelfde subnet (dus meestal de
IPrange, maar een site kan eventueel ook wel uit meerdere IP-ranges bestaan). Intersite replicatie geeft
vrijwel direct en de data wordt niet gecomprimeerd. Deze vorm van replicatie heb je dus in elke site.
• Intersite (tussen)sites replicatie gaat niet direct en is wel gecomprimeerd. De replicatie gaat via de
bridgeheadservers. De standaardtijd voor intersite replicatie is drie uur, maar kan vanwege random
timers langer duren. Voor het repliceren tussen sites heb je sitelinks. Dit kun je zien als ‘virtuele’
verbindingen over de fysieke infrastructuur. Als je meerdere locaties (dus sites) hebt die allemaal via
een ISP of een leased line met elkaar verbonden zijn, dan kun je verschillende site links configureren. Je
kunt dan op de site links aangeven of deze link wel altijd gebruikt moet worden of dat je bepaalde links
alleen moet gebruiken in geval van nood. Vergelijk het enigszins met een floating static uit netwerken.
De link geef je een cost. Een lager cost is een grotere kans dat deze link wordt gekozen. De link met een
hogere cost zal dan als backup link worden gebruikt.
•
• Een site link is een connection object tussen DC’s. Er is een standaard (default first site link), maar die
geeft niet altijd het juiste beeld van je fysieke connecties
• Standaard staat site link bridging aan. Hiermee kunnen alle DC’s rechtstreeks met elkaar repliceren.
• Met het replication schedule kun je bepalen hoe vaak per uur en wanneer (op welke uren) er moet
worden gerepliceerd.
• SiteLink bridges verbinden sites die niet rechtreeks met elkaar verbonden zijn toch met elkaar. Het
replicatie verkeer gaat dan via een andere site. Dit noemen ze ook wel eens een hub-and-spoke
oplossing (vergelijk het met een naaf in het midden van je fietswiel). Van de ene spoke gaat het via de
hub naar een andere spoke en dat noemen we dan een sitelink bridges. (zie PPT)
• Het replicatieproces in een domein wordt geregeld door twee service, namelijk Intersite Topology
Generator (ISTG) en Knowledge Consistency Checjer (KCC). Beide werken automatisch en meestal hoef
je zelf geen aanpassingen te maken. (is vaak beter van niet omdat je anders mogelijk de automatische
4
Begin in lesweek met het minstens 1x per week doorlezen van het onderstaande!
• Microsoft gebruikt Active Directory (AD) sinds server 2000. Windows NT maakte geen gebruik van AD (of
LDAP).
• Je kunt AD configureren en beheren met verschillende tools: Voorbeelden zijn AD users and Computers,
(ADUC) AD sites and services (ADSS) en AD Administrative center (ADAC).
• Domein services verwijst naar de tools waarmee je o.a. authenticatie en (policy) management kunt
configureren, maar ook naar de bijhorende services als DNS, het schema van de database (DB) en
bijvoorbeeld de systeemtijd, Kerberos en IP.
• AD is een service die je kunt starten en kunt stoppen, zonder dat je machine uit en aan hoeft te zetten.
• AD Lightweight Directory Service (AD LDS) biedt een directory service aan ‘niet werknemers’ die toch
gebruiken moeten/willen maken van de netwerk services (shares, applicaties,…). Denk aan tijdelijke
werknemers of externe gebruikers. Dus toegang zonder volledig AD.
• AD Federration Service (AD FS) bestaat sinds 2003. FS is het koppelen van (federation) van meerdere AD
forests (andere domeinnamen). Kan ook een koppeling verzorgen met Azure AD (Microsoft cloud).
Shares/informatie kan daarmee door verschillende gebruikers uit verschillende domeinen worden
gedeeld. Wordt o.a. ook gebruikt voor koppeling met externe applicaties zoals Microsoft Office 365.
• Forest (FFL) en domain (DFL) functional levels geven de DC bepaalde functies en
veiligheidsmogelijkheden. DFL en FFL gelden alleen voor een machine die Domain controller is. Alle DC’s
in het netwerk moet hetzelfde minimaal FFL en DFL niveau hebben. Voor memberserver hoeft dat niet.
Voor een 2012R2 DC die naar FFL/DFL 2016 moet, is een upgrade of een migratie nodig. Migratie is ‘het
overzetten’ van de oude gegevens naar een nieuwe server. Bij een upgrade vervang je het OS door een
nieuwere versie.
• AD is afgeleid van de x.500 directory service. Het omvat een distributed model gebaseerd op de
directory information Tree (DIT). Hiermee wordt bedoeld dat de directory (de DB) een hiërarchische
opbouw heeft. Deze is te herkennen aan de naamgeving. Servername.subdomain.domainname.tld. DNS
heeft een soortgelijke opbouw. VB server1.school.test (Dit is de FQDN).
• Microsofts AD is niet compatible met x.500 omdat het o.a. TCP/IP gebruikt.
• Het AD schema is beveiligd met discretionary access control lists (DACL)
• AD Schema bevat de definities voor alle object types (gebruikers, computers, groepen,….). Elk object
heeft een (groot) aantal attributen. Het schema bepaalt hoe dat er allemaal uitziet.
• Objecten in AD o.a.: users, computers, printers en sites.
• Het AD schema is direct uitbreidbaar voor nieuwe/ custom attributes. Bij het installeren van bepaalde
AD geïntegreerde applicaties (zoals Exchange voor email) moet het schema worden aangepast om extra
functionaliteiten en attribute bruikbaar te maken. Geldt niet alleen voor Microsoftapplicaties maar ook
voor third-party applicaties.
• Het aanpassen van het schema is wel een relatief riskante operatie. Je moet goed weten wat je gaat
doen. Een foutje levert direct een probleem met je AD.
• ADSI-edit is een GUI tool voor het aanpassen van AD. Systemcenter (virtual machine manager) vraagt
bijvoorbeeld ook om aanpassingen van het schema. Veelal gaat dit met scripts. ADSI-edit kun je
gebruiken voor het bekijken, modificeren en verwijderen van objecten en/of attributen. Wees hier
voorzichtig mee. Het levert snel problemen op.
1
,• AD gebruikt LDAP, LDAP is een RFC 2251 standaard.
• Objecten in AD moeten uniek zijn. Het pad van een object wordt een distinguished name genoemd (dit
is het absolute/ of volledige pad van het object in de DB). Een afgeleide hiervan is een relative
distinguished name (een relatief pad ten opzichte van) o DN: “cn=mark, Ou=inkoop, ou=RegioWest,
dc=bedrijfx,dc=nl” “ belangrijk bij een spatie.
o RDN: ou=RegioWest,dc=bedrijfx,dc=nl of nog korter ou=RegioWest o Als je adsi-edit opent dan
zie je deze ‘mappen’ structuur.
• AD wordt o.a. gebruikt voor authenticatie van gebruikers. AD kan meerdere DC’s bevatten en deze zijn,
in principe, lees en schrijfbaar. Tenzij je een read-only DC gebruikt (kan zoals de naam zegt alleen maar
worden gelezen). Door het lezen en schrijfbaar maken van alle DC’s wordt de omgeving vaak een
multimaster systeem (en dus ook multi-master replicatie) genoemd. Alle DC’s geven elkaar door wat ze
weten en wat er is aangemaakt of aangepast.
• Om o.a de prestaties te verhogen heeft AD een Global Catalog Serivce (GC). De GC bevat een referentie
naar AD en heeft een aantal belangrijk attributen ‘opgeslagen’. Het gaat om de meest gebruikte
attributen van de belangrijkste objecten. GC-rol is standaard aanwezig op een DC, je kunt het
uitschakelen maar daar moet je goede redenen voor hebben. In elke ‘remote locatie’ moet je minimaal
1 GC hebben (of een RODC)zeker bij langzamere WAN verbindingen. Er bestaat ook een read-only GC
(ROGC). O.a. Exchange heeft een GC in de locatie van de gebruiker minimaal nodig. Meerdere GC zorgt
voor load distribution en redundantie. Exchange kan geen gebruikmaken van een RODC/ROGC.
• Bij voorkeur heb je minimaal 1 GC per fysieke locatie. Meerdere GC’s voor: loadbalancing, redundantie
en performance (sneller zoeken,..)
• Om problemen in een multimaster omgeving tegen te gaan zijn er een vijftal rollen. Deze werden
FSMOrollen genoemd, maar heten tegenwoordig Operations Master Roles. De vijf rollen zijn:
o Schema master: DC met deze rol bevat de enige schrijfbare schema structuur. Voor een
aanpassing van het schema moet deze rol/dc online zijn. Moet conflicten in het schema
voorkomen. Er is maar één dc in het AD forest met deze rol.
o Domain naming master: Voor het uitbreiden van het domein (subdomein). Deze rol moet op
een DC staan waar ook de GC rol op aanwezig is. Ook als je de domeinnaam wilt aanpassen,
moet deze rol/dc online zijn.
o PDC emulator: Legacy windows NT mogelijkheden. Het zorgt ook voor de juiste tijdservice. Ook
belangrijk voor het inloggen. Er is een PDC emulator per AD DS domein. Dus er zijn er twee in
een (hoofd)domein en een subdomein. School.test en edam.school.test.
o RID master: Objecten in AD krijgen een Security ID (SID). Een SID heeft een domeincomponent
en uniekdeel. De RID-master deelt blokken van SID’s uit. Dit wordt een SID-pool genoemd.
Vergelijk het enigszins met een IP-pool bij een DHCP-server. Als een DC door zijn pool dreigt te
raken, dan vraagt de server om een nieuwe aanvullende pool. Als de pool op is en de RID-
master kan niet worden bereikt, dan kunnen er geen nieuwe objecten worden aangemaakt. Er is
één RID-master per AD DS domein.
o Infrastructure master: Regelt de referenties naar domein objecten die niet in het eigen domein
zitten, maar bijvoorbeeld in het subdomein. De veranderingen worden door de infrastructure
master georganiseerd. Een voorbeeld is ook de informatie van Sites and services.
• Het overdragen van Operation Master roles kan via verschillende tools. Soms via ADUC en soms via
ADSS. Powershell is dan vaak een betere optie.
2
,• Domain Trusts: domeinen in een Tree hebben een transitive trust relatie. Dit wil zeggen dat als domein
A en B elkaar vertrouwen en domein A vertrouwt ook domein C, dat B en C elkaar ook vertrouwen.
Twoway transitive houdt in dat het naar beide kant is. Dus gebruikers uit domein B mogen bijvoorbeeld
bij resources uit domein A en C. Hou wel in de gaten dat dit geen automatisch vertrouwen en dus
toegang tot shares of printers betekent. NTFS en Share permissie spelen hierbij nog wel een rol.
• Een Explicit Trust is een handmatige trust relatie. Meestal tussen domeinen in een domain forest. Zie
het onderstaande voorbeeld
•
• Een shortcut trust is een handmatige/manual trustrelatie tussen twee (sub)domeinen. Deze geldt dan
alleen voor deze twee subdomeinen. Zie zie hieronder. Let op dat in het plaatje er eigenlijk al een
transitive trust is, maar een shortcut trust heeft o.a. een performance winst.
•
• AD DS Replication is een essentiele functie voor het ‘werkbaar’ houden van complexe domeinen.
Hiermee worden veranderingen die op een bepaalde DC zijn gemaakt, automatisch gerepliceerd naar de
andere DC’s in het domein en/of subdomein. Let op dat niet alles altijd naar een subdomein wordt
gerepliceerd.
• AD replicatie is onafhankelijk van een forest, een tree of de domeinstructuur.
• Twee vormen van replicatie: inter-site en intra-site replicatie. Je IP-range kan hier een rol bij spelen. In
Sites and Services wordt dan aangegeven/geconfigureerd met een subnet en systemen in hetzelfde
subnet zitten daarmee (meestal) in dezelfde site. Tussen sites zijn er site links. Meestal zijn dat
verwijzingen naar de fysieke kabels of verbindingen (bijvoorbeeld via een router) naar de andere site. De
site links kunnen op basis van bijvoorbeeld de bandbreedte worden geconfigureerd waardoor je invloed
op het replicatieproces kunt uitoefenen. Bijvoorbeeld dat je tussen twee locaties alleen maar in de nacht
of avond, als iedereen naar huis is, wilt repliceren.
• Per site(link) is er een server die alle het replicatieverkeer zal verzamelen. Deze server wordt de
bridgehead server genoemd. Hieronder een voorbeeld van Sites and services. Bij inter-site transport kun
je het protocol kiezen waarmee/waarover wordt gerepliceerd. Je hebt hier als keuze SMTP (mail, wordt
bijna niet gebruikt) of IP (wat de default is). Bij de subnets geen je de IP-ranges op waaraan een kan
worden gezien tot welke site deze zal behoren. In het onderstaande voorbeeld zijn er twee sites
(datacenter1 en Intern). Per site vind je de DC’s terug die onderdeel zijn van een bepaalde site. Let op
dat memberserver hier geen onderdeel van uitmaken.
3
, •
• Intrasite (binnen een site) replicatie is replicatie tussen DC’s in hetzelfde subnet (dus meestal de
IPrange, maar een site kan eventueel ook wel uit meerdere IP-ranges bestaan). Intersite replicatie geeft
vrijwel direct en de data wordt niet gecomprimeerd. Deze vorm van replicatie heb je dus in elke site.
• Intersite (tussen)sites replicatie gaat niet direct en is wel gecomprimeerd. De replicatie gaat via de
bridgeheadservers. De standaardtijd voor intersite replicatie is drie uur, maar kan vanwege random
timers langer duren. Voor het repliceren tussen sites heb je sitelinks. Dit kun je zien als ‘virtuele’
verbindingen over de fysieke infrastructuur. Als je meerdere locaties (dus sites) hebt die allemaal via
een ISP of een leased line met elkaar verbonden zijn, dan kun je verschillende site links configureren. Je
kunt dan op de site links aangeven of deze link wel altijd gebruikt moet worden of dat je bepaalde links
alleen moet gebruiken in geval van nood. Vergelijk het enigszins met een floating static uit netwerken.
De link geef je een cost. Een lager cost is een grotere kans dat deze link wordt gekozen. De link met een
hogere cost zal dan als backup link worden gebruikt.
•
• Een site link is een connection object tussen DC’s. Er is een standaard (default first site link), maar die
geeft niet altijd het juiste beeld van je fysieke connecties
• Standaard staat site link bridging aan. Hiermee kunnen alle DC’s rechtstreeks met elkaar repliceren.
• Met het replication schedule kun je bepalen hoe vaak per uur en wanneer (op welke uren) er moet
worden gerepliceerd.
• SiteLink bridges verbinden sites die niet rechtreeks met elkaar verbonden zijn toch met elkaar. Het
replicatie verkeer gaat dan via een andere site. Dit noemen ze ook wel eens een hub-and-spoke
oplossing (vergelijk het met een naaf in het midden van je fietswiel). Van de ene spoke gaat het via de
hub naar een andere spoke en dat noemen we dan een sitelink bridges. (zie PPT)
• Het replicatieproces in een domein wordt geregeld door twee service, namelijk Intersite Topology
Generator (ISTG) en Knowledge Consistency Checjer (KCC). Beide werken automatisch en meestal hoef
je zelf geen aanpassingen te maken. (is vaak beter van niet omdat je anders mogelijk de automatische
4
