Служба KCC (Knowledge Consistency Checker) в Windows автоматически управляет внутрисайтовой репликацией. Служба KCC характеризуется сетевой топологией двунаправленного кольца, в которой в качестве транспортного механизма используются удаленные вызовы процедур (RPC) в среде TCP/IP без компрессии данных. Контроллеры домена внутри сайта обычно связаны высокоскоростными сетевыми соединениями, поэтому дополнительно нагружать процессор работой по компрессии/декомпрессии данных нежелательно.

Служба KCC выполняется каждые 15 минут, внося в топологию сети необходимые изменения. При создании нового контроллера домена KCC автоматически размещает контроллер в кольцевой схеме. Для просмотра связей можно использовать оснастку Active Directory — сайты и службы (Active Directory —Sites and Services). Раскройте раздел сайта, контейнер Server и выберите нужный сервер. В разделе NTDS Settings будут показаны созданные объекты соединений.

Поскольку KCC выполняется на всех контроллерах домена, схемы кольца формируются в порядке значений GUID контроллеров домена, что позволяет обеспечить конвергенцию данной топологии. Исключением в кольцевой схеме является необходимость использования до трех переходов между каждой парой контроллеров домена. Для сохранения правила трех переходов KCC добавляет дополнительные связи для семи и более контроллеров домена.

Подобные кольца создаются для каждого контекста именования (то есть, домена) в пределах сайта. Если в сайте присутствует несколько доменов, кольца создаются для каждого домена сайта.

Еще один тип схемы кольца используется для репликации схемы и конфигурационной информации между контроллерами домена. Поскольку все домены совместно используют эту информацию (то есть данные доступны в пределах леса), каждый сайт имеет только одно кольцо такого типа. Таким образом, если в сайте создано два домена, будут использоваться три кольца: по одному кольцу для каждого домена и одно кольцо для всей схемы и конфигурационной информации. Если на сайте используется только один домен, одно кольцо выполняет две функции.

Ручное конфигурирование внутрисайтовой репликации не требуется и компания Microsoft не рекомендует проводить такую настройку в ручном режиме. Единственной задачей, которую стоит выполнять вручную, является добавление новых объектов соединений, которые сокращают количество переходов между контроллерами доменов.

При внесении изменений в данные контекста именования (домена), локальная копия Active Directory на контроллере домена будет изменяться, после чего контроллер домена ожидает пять минут (по умолчанию) и уведомляет партнеров по репликации о внесенном изменении. В течении этого периода времени можно продолжать вносить новые изменения. Временная задержка существует для того, чтобы передать все изменения сразу, а не по одному. Если в течение указанного периода времени никаких изменений не вносилось (длительность периода можно указать в расписании объектов внутрисайтовых соединений), запускается процедура репликации данных, которая обеспечивает сохранение всех внесенных изменений.

Службы SAM или LSA (Local Security Authority) могут провести срочную репликацию данных при следующих условиях: репликация новой заблокированной учетной записи (если сотрудник компании был уволен), изменение пароля LSA (доверенной учетной записи) и изменение статуса хозяина относительного идентификатора (RID — Relative Identifier). Представленные события провоцируют немедленное начало процесса репликации. Срочная репликация требует дополнительного уведомления, поэтому проводится только в рамках одного сайта. Для предоставления уведомлений между сайтами можно внести изменения в соответствующие объекты связей.

Исключением из обычной репликации с несколькими хозяевами являются пользовательские пароли. Как и в случае с другими изменениями атрибутов объектов, на любом контроллере домена можно изменить пароль пользователя. Однако контроллер домена передает информацию об изменении владельцу роли FSMO на основе лучшей попытки. Другие контроллеры домена получают измененные пароли в процессе обычной репликации данных. Дополнительные действия для репликации паролей необходимы по той причине, что если проверка пароля завершится неудачей, контроллер домена отправляет запрос главному контроллеру домена FSMO на тот случай, если пароль был изменен и контроллер домена еще не получил новый пароль в процессе стандартной репликации.

По умолчанию информация о схеме и конфигурационные данные реплицируются между контроллерами домена каждый час.