Caros Leitores, ao contrario do que muitos pensam, para um correto planejamento e uso do Active Directory, saber o conceito do produto é fundamental. Assim como em todos os produtos Microsoft. Lendo um pouco mais sobre esta fantástica ferramenta, abaixo separei conceitos que acredito ser de extrema importância e que devem estar na “ponta da língua” dos IT Pros,  responsáveis pelo Design e Planejamento de um bom Projeto de Active Directory. Desejo a todos uma boa Leitura.

Objeto de conexão

Um objeto de conexão é um objeto que representa uma conexão de replicação a partir de um controlador de domínio de origem para um controlador de domínio de destino. Um controlador de domínio é membro de um único site e é representado por um objeto de servidor no AD DS. Cada objeto de servidor possui um objeto de Configurações NTDS filho que representa o controlador de domínio de replicação no site.

O objeto de conexão é filho do objeto de Configurações NTDS no servidor de destino. Para que a replicação aconteça entre dois controladores de domínio, o objeto de servidor de um deverá ter um objeto de conexão de entrada no outro. Todas as conexões de replicação de um controlador de domínio são armazenadas como objetos de conexão no objeto Configurações NTDS. O objeto de conexão identifica o servidor de origem da replicação, contém um agendamento de replicação e especifica um transporte de replicação.

O KCC (Knowledge Consistency Checker) cria objetos de conexão automaticamente, mas eles também podem ser criados manualmente. Sempre que você alterar um objeto de conexão criado pelo KCC, ele será automaticamente convertido em um objeto de conexão manual. O KCC não faz alterações em objetos de conexão manuais.

KCC

O KCC é um processo interno executado em todos os controladores de domínio e gera topologia de replicação para a floresta do Active Directory. O KCC cria topologias de replicação separadas. O KCC também ajusta a topologia dinamicamente para acomodar a adição de novos controladores de domínio, a remoção de controladores de domínio existentes, o movimento de controladores de domínio de sites, a alteração de custos e de agendamentos e os controladores de domínio temporariamente indisponíveis ou em estado de erro.

Em um site, as conexões entre controladores de domínio graváveis, são sempre organizadas em um anel bidirecional, com conexões de atalho adicionais para a redução da latência em sites maiores. Por outro lado, a topologia entre sites é apresentada em camadas de árvores de expansão.

Em cada controlador de domínio, o KCC cria rotas de replicação ao criar objetos de conexão de entrada unidirecionais que  efinem conexões a partir de outros controladores de domínio. Para controladores de domínio do mesmo site, o KCC cria objetos de conexão automaticamente sem intervenção administrativa.

Aprimoramentos do KCC para os RODCs do Windows Server 2008

Existem alguns aprimoramentos do KCC para acomodar o RODC (controlador de domínio somente leitura) lançado no Windows Server 2008. Um cenário de implantação típico para um RODC é a filial. A topologia de replicação do Active Directory mais comumente implantada nesse cenário baseia-se em um design hub e spoke, onde os controladores de domínio de filial em vários sites replicam com um pequeno número de servidores bridgehead em um site central.

Uma das vantagens de implantar o RODC nesse cenário é a replicação unidirecional. Os servidores bridgehead não são necessários para a replicação a partir do RODC, o que reduz a administração e o uso da rede.

No entanto, um desafio administrativo realçado pela tecnologia hub-spoke em versões anteriores do sistema operacional Windows Server é que após a adição de um novo controlador de domínio bridgehead no hub, não há um mecanismo automático para a redistribuição das conexões de replicação entre os controladores de domínio de filial e os controladores de domínio centrais para aproveitar as vantagens do novo controlador de domínio central.

Para RODCs do Windows Server 2008, o funcionamento normal do KCC oferece um pouco de rebalanceamento. A nova funcionalidade é habilitada por padrão. Você pode desabilitá-la ao adicionar a seguinte chave do Registro definida no RODC:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters

“Random BH Loadbalancing Allowed”

1 = Habilitado (padrão), 0 =Desabilitado

Funcionalidade de failover

Os sites garantem que a replicação seja roteada para contornar falhas de rede e controladores de domínio offline. O KCC é executado em intervalos especificados para ajustar a topologia de replicação para alterações ocorridas no AD DS, como quando novos controladores de domínio são adicionados e novos sites são criados. O KCC revisa o status de replicação de conexões existentes para determinar se alguma conexão não está funcionando. Se uma conexão não estiver funcionando devido a uma  alha de controlador de domínio, o KCC criará automaticamente conexões temporárias para outros parceiros de conexão (se disponíveis) para garantir a replicação. Se todos os controladores de domínio de um site estiverem disponíveis, o KCC criará conexões de replicação automaticamente entre controladores de domínio de outro site.

Sub-rede

Uma sub-rede é um segmento de uma rede TCP/IP para a qual um conjunto de endereços IP lógicos é atribuído. As sub-redes agrupam computadores para identificar sua proximidade física na rede. Os objetos de sub-rede do AD DS identificam os endereços de rede usados no mapeamento de computadores para sites.

Site

Os sites são objetos do Active Directory que representam uma ou mais sub-redes TCP/IP com conexões de rede altamente confiáveis e rápidas. As informações do site permitem que os administradores configurem o acesso ao Active Directory e a replicação para otimizar o uso da rede física. Os objetos de site são associados a um conjunto de sub-redes, e cada controlador de domínio de uma floresta é associado a um site do Active Directory de acordo com seu endereço IP. Os sites podem hospedar controladores de domínio de mais de um domínio e um domínio pode ser representado em mais de um site.
Link de site

Os links de site são objetos do Active Directory que representam caminhos lógicos usados pelo KCC para estabelecer uma conexão para a replicação do Active Directory. Um objeto de link de site representa um conjunto de sites que podem se comunicar a custo uniforme por meio de um transporte entre sites.

Todos os sites contidos no link de site são considerados como conectados pelo mesmo tipo de rede. Os sites devem ser vinculados manualmente a outros sites por meio de links de site para que os controladores de domínio de um site possam replicar alterações de diretório de controladores de domínio de outro site. Como os links de site não correspondem ao caminho real percorrido por pacotes de rede na rede física durante a replicação, não é necessário criar links de site redundantes para aumentar a eficiência da replicação do Active Directory.

Quando dois sites são conectados por um link de site, o sistema de replicação cria automaticamente conexões entre  ontroladores de domínio específicos em cada site chamados de servidores bridgehead. No Windows Server 2008, todos os  ontroladores de domínio de um site que hospeda a mesma partição de diretório são candidatos a serem selecionados como servidores bridgehead. As conexões de replicação criadas pelo KCC são aleatoriamente distribuídas entre todos os servidores bridgehead candidatos em um site para que a carga de trabalho da replicação seja compartilhada. Por padrão, o processo de seleção aleatória acontece somente uma vez, quando objetos de conexão são adicionados pela primeira vez ao site.

Ponte de link de site

Uma ponte de link de site é um objeto do Active Directory que representa um conjunto de links de site, todos cujos sites possam se comunicar usando um transporte comum. As pontes de link de site permitem que controladores de domínio que não estejam diretamente conectados por um link de comunicação executem a replicação entre eles. Tipicamente, uma ponte de link de site corresponde a um roteador (ou a um conjunto de roteadores) de uma rede IP.

Por padrão, o KCC pode formar uma rota transitiva por meio de qualquer link de site ou de todos eles com alguns sites em comum. Se esse comportamento for desabilitado, cada link de site representará sua própria rede distinta e isolada. Conjuntos de links de site podem ser tratados como uma única rota expressa por meio de uma ponte de link de site. Cada ponte representa um ambiente de comunicação isolado para tráfego de rede.

As pontes de link de site são um mecanismo para a representação lógica de conectividade física transitiva entre sites. Uma ponte de link de site permite que o KCC use qualquer combinação dos links de site incluídos para determinar a rota mais barata para a interconexão de partições de diretório mantidas nesses sites. A ponte de link de site não oferece conectividade real aos controladores de domínio. Se a ponte de link de site for removida, a replicação nos links de site combinados continuará até que
o KCC remova os links.

As pontes de link de site só serão necessárias se um site contiver um controlador de domínio que hospede uma partição de  diretório que não esteja também hospedada em um controlador de domínio em um site adjacente, mas se um controlador de domínio que hospede essa partição de diretório esteja localizado em um ou mais sites da floresta. Os sites adjacentes são  efinidos como dois ou mais sites incluídos em um único link de site.

Uma ponte de link de site cria uma conexão lógica entre dois links de site, oferecendo um caminho transitivo entre dois sites desconectados usando um site temporário. Para fins do ISTG (gerador de topologia entre sites), a ponte implica em conectividade física usando o site temporário. A ponte não implica em que um controlador de domínio no site temporário vá oferecer o caminho de replicação. No entanto, esse seria o caso se o site temporário contivesse um controlador de domínio que hospedasse a partição de diretório a ser replicada, quando a ponte de link de site não seria necessária.

O custo de cada link de site é adicionado, criando um custo somado para o caminho resultante. A ponte de link de site seria  sada caso o site temporário não contivesse um controlador de domínio hospedando a partição de diretório e se não existisse um link de menor custo. Se o site temporário contivesse um controlador de domínio com a partição de diretório, dois sites  esconectados configurariam conexões de replicação para o controlador de domínio temporário e não usariam a ponte.

Transitividade de link de site

Por padrão, todos os links de site são transitivos, ou “ligados por pontes”. Quando links de site são ligados por pontes e os  gendamentos se sobrepõem, o KCC cria conexões de replicação que determinam parceiros de replicação de controlador de domínio entre sites, onde os sites não estão diretamente conectados por links de site, mas conectados de forma transitiva por meio de um conjunto de sites comuns. Isso significa que você poderá conectar qualquer site a qualquer outro site por
meio de uma combinação de links de site.

Em geral, para uma rede totalmente roteada, não é necessário criar qualquer ponte de link de site, a menos que você queira controlar o fluxo de alterações de replicação. Se a sua rede não for totalmente roteada, as pontes de link de site deverão ser criadas para impedir tentativas de replicação impossíveis. Todos os links de site para um transporte específico implicitamente pertencem a uma única ponte de link de site para esse transporte. A ligação por pontes padrão para links de site ocorre automaticamente e nenhum objeto do Active Directory representará essa ponte. A configuração Ponte para todos os links de site, encontrada nas propriedades dos contêineres de transporte entre sites IP e SMTP, implementa a ligação automática por pontes de links de site.

Observação: A replicação SMTP não será suportada em versões futuras do AD DS e, portanto, a criação de objetos de links de site no contêiner SMTP não é recomendada.

Servidor de catálogo global

Um servidor de catálogo global é um controlador de domínio que armazena informações sobre todos os objetos da floresta, para que os aplicativos possam pesquisar o AD DS sem consultar controladores de domínio específicos que armazenam os dados solicitados. Assim como todos os controladores de domínio, um servidor de catálogo global armazena réplicas completas e graváveis do esquema e de partições de diretório de configuração e uma réplica completa e gravável da partição de diretório do
domínio para o domínio hospedado. Além disso, um servidor de catálogo global armazena uma réplica parcial e somente leitura de todos os outros domínios da floresta. As réplicas de domínio parciais e somente leitura contêm todos os objetos do domínio, mas somente um subconjunto dos atributos (aqueles que são mais comumente usados para a pesquisa do objeto).

Cache de membros de grupos universais

O cache de associação de grupo universal permite que o controlador de domínio armazene em cache informações de associação de grupo universal para usuários. Você pode permitir que controladores de domínio que estejam executando o Windows Server 2008 armazenem em cache associações de grupo universal usando o snap-in Serviços e Sites do Active Directory.

O cache da associação de grupo universal elimina a necessidade de um servidor de catálogo global em cada site de um domínio, minimizando o uso da largura de banda de rede, já que um controlador de domínio não precisará replicar todos os objetos localizados na floresta. Reduz também os tempos de logon, já que os controladores de domínio de autenticação nem sempre precisam acessar um catálogo global para obter informações de associação de grupo universal.

Fonte: Site TechNet – http://technet.microsoft.com/pt-br/library/default.aspx

Sobre Erivelto Postai

Erivelto Postai Silva escreveu 28 artigos no blog.

Há 12 anos, atuando na área de Tecnologia da Informação, com vivencia em gerenciamento, desenvolvimento e implantação de projetos, voltados a empresa de pequeno, médio e grande porte. Atualmente, atuando como Gerente de Infraestrutura de TI na Empresa WRA Gestão em Tecnologia da Informação. Responsável por gerenciamento de projetos e também líder da equipe de infraestrutura. Experiência na implantação de servidores de gerenciamento, segurança de borda, servidores de mensageria, servidores de colaboração, gerenciamento de estações de trabalho, licenciamento de software, gerenciamento de ativos de software, MOF, ITIL.

Share →

2 Responses to Conceitos de replicação do Active Directory

  1. Grande post Erivelto, veio em ótimo momento, estou estudando o Kit de Treinamento 70-640 e estou bem perto desse assunto. Inclusive tenho algumas situações que preciso resolver sobre replicação junto a 2 clientes.
    Vlw, Grande abraço!

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>