Conceitos de replicação do Active Directory

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Antes de criar a topologia do site, familiarizar-se com alguns conceitos de replicação do Active Directory.

Objeto de conexão

Um objeto de conexão é um objeto do Active Directory que representa uma conexão de replicação de um controlador de domínio de origem para um controlador de domínio de destino. Um controlador de domínio é membro de um único site e é representado no site por um objeto de servidor Active Directory Domain Services (AD DS). Cada objeto de servidor tem um objeto Configurações NTDS filho que representa o controlador de domínio de re replicação no site.

O objeto de conexão é um filho do objeto Configurações NTDS no servidor de destino. Para que a replicação ocorra entre dois controladores de domínio, o objeto de servidor de um deve ter um objeto de conexão que representa a replicação de entrada do outro. Todas as conexões de replicação para um controlador de domínio são armazenadas como objetos de conexão sob o objeto Configurações NTDS. O objeto de conexão identifica o servidor de origem de replicação, contém um agendamento de replicação e especifica um transporte de replicação.

O Knowledge Consistency Checker (KCC) cria objetos de conexão automaticamente, mas eles também podem ser criados manualmente. Os objetos de conexão criados pelo KCC aparecem no snap-in > Sites e Serviços do Active Directory como gerados automaticamente e são considerados adequados em condições operacionais normais. Os objetos de conexão criados por um administrador são objetos de conexão criados manualmente. Um objeto de conexão criado manualmente é identificado pelo nome atribuído pelo administrador quando ele foi criado. Quando você modifica um objeto de> conexão gerado automaticamente, converte-o em um objeto de conexão modificado administrativamente e o objeto aparece na forma de um GUID. O KCC não faz alterações em objetos de conexão manuais ou modificados.

KCC

O KCC é um processo interno que é executado em todos os controladores de domínio e gera a topologia de replicação para a floresta do Active Directory. O KCC cria topologias de replicação separadas dependendo se a replicação está ocorrendo dentro de um site (intrasite) ou entre sites (entre sites). O KCC também ajusta dinamicamente a topologia para acomodar a adição de novos controladores de domínio, a remoção de controladores de domínio existentes, a movimentação de controladores de domínio de e para sites, alteração de custos e agendamentos e controladores de domínio temporariamente indisponíveis ou em estado de erro.

Em um site, as conexões entre controladores de domínio que podem ser escritos são sempre organizadas em um anel bidirecional, com conexões de atalho adicionais para reduzir a latência em sites grandes. Por outro lado, a topologia entre sites é uma camada de árvores que abrangem árvores, o que significa que existe uma conexão entre sites entre dois sites para cada partição de diretório e geralmente não contém conexões de atalho. Para obter mais informações sobre como abranger árvores e a topologia de replicação do Active Directory, consulte Referência técnica da topologia de replicação do Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).

Em cada controlador de domínio, o KCC cria rotas de replicação criando objetos de conexão de entrada único que definem conexões de outros controladores de domínio. Para controladores de domínio no mesmo site, o KCC cria objetos de conexão automaticamente sem intervenção administrativa. Quando você tem mais de um site, você configura links de site entre sites e um único KCC em cada site cria automaticamente conexões entre sites também.

Melhorias de KCC para rodcs Windows Server 2008

Há várias melhorias de KCC para acomodar o RODC (controlador de domínio somente leitura) recém-disponível no Windows Server 2008. Um cenário de implantação típico para RODC é a filial. A topologia de replicação do Active Directory mais comumente implantada nesse cenário é baseada em um design hub e spoke, em que os controladores de domínio de branch em vários sites são replicados com um pequeno número de servidores bridgehead em um site de hub.

Um dos benefícios da implantação do RODC nesse cenário é a replicação unidirecional. Os servidores bridgehead não são necessários para replicar do RODC, o que reduz a administração e o uso da rede.

No entanto, um desafio administrativo realçado pela topologia hub-spoke em versões anteriores do sistema operacional do Windows Server é que, depois de adicionar um novo controlador de domínio bridgehead no hub, não há nenhum mecanismo automático para redistribuir as conexões de replicação entre os controladores de domínio do branch e os controladores de domínio do hub para aproveitar o novo controlador de domínio do hub.

Para Windows RODCs do Server 2008, o funcionamento normal do KCC fornece algum rebalanceamento. A nova funcionalidade está habilitada por padrão. Você pode desabilitá-lo adicionando a seguinte chave do Registro definida no RODC:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Loadbalancing Random LTD Permitido"1 = Habilitado (padrão), 0 = Desabilitado

Para obter mais informações sobre como essas melhorias de KCC funcionam, consulte Planning and Deploying Active Directory Domain Services for Branch Offices (https://go.microsoft.com/fwlink/?LinkId=107114).

Funcionalidade de failover

Os sites garantem que a replicação seja roteada em torno de falhas de rede e controladores de domínio offline. O KCC é executado em intervalos especificados para ajustar a topologia de replicação para alterações que ocorrem no AD DS, como quando novos controladores de domínio são adicionados e novos sites são criados. O KCC revisa o status de replicação de conexões existentes para determinar se as conexões não estão funcionando. Se uma conexão não estiver funcionando devido a um controlador de domínio com falha, o KCC criará automaticamente conexões temporárias com outros parceiros de replicação (se disponível) para garantir que a replicação ocorra. Se todos os controladores de domínio em um site não estão disponíveis, o KCC cria automaticamente conexões de replicação entre controladores de domínio de outro site.

Sub-rede

Uma sub-rede é um segmento de uma rede TCP/IP à qual um conjunto de endereços IP lógicos é atribuído. As sub-redes agrupam computadores de uma maneira que identifica sua proximidade física na rede. Os objetos de sub-rede AD DS os endereços de rede usados para mapear computadores para sites.

Site

Os sites são objetos do Active Directory que representam uma ou mais sub-redes TCP/IP com conexões de rede altamente confiáveis e rápidas. As informações do site permitem que os administradores configurem o acesso e a replicação do Active Directory para otimizar o uso da rede física. Os objetos de site são associados a um conjunto de sub-redes e cada controlador de domínio em uma floresta é associado a um site do Active Directory de acordo com seu endereço IP. Os sites podem hospedar controladores de domínio de mais de um domínio e um domínio pode ser representado em mais de um site.

Link do site

Links de site são objetos do Active Directory que representam caminhos lógicos que o KCC usa para estabelecer uma conexão para replicação do Active Directory. Um objeto de link do site representa um conjunto de sites que podem se comunicar a um custo uniforme por meio de um transporte entre sites especificado.

Todos os sites contidos no link do site são considerados conectados por meio do mesmo tipo de rede. Os sites devem ser vinculados manualmente a outros sites usando links de site para que os controladores de domínio em um site possam replicar alterações de diretório de controladores de domínio em outro site. Como os links do site não correspondem ao caminho real feito pelos pacotes de rede na rede física durante a replicação, você não precisa criar links de site redundantes para melhorar a eficiência de replicação do Active Directory.

Quando dois sites são conectados por um link de site, o sistema de replicação cria automaticamente conexões entre controladores de domínio específicos em cada site que são chamados de servidores bridgehead. No Windows Server 2008, todos os controladores de domínio em um site que hospedam a mesma partição de diretório são candidatos a serem selecionados como servidores bridgehead. As conexões de replicação criadas pelo KCC são distribuídas aleatoriamente entre todos os servidores bridgehead candidatos em um site para compartilhar a carga de trabalho de replicação. Por padrão, o processo de seleção aleatória ocorre apenas uma vez, quando os objetos de conexão são adicionados pela primeira vez ao site.

Ponte de link do site

Uma ponte de link do site é um objeto do Active Directory que representa um conjunto de links do site, todos cujos sites podem se comunicar usando um transporte comum. As pontes de link do site permitem que os controladores de domínio que não estão conectados diretamente por meio de um link de comunicação sejam replicados entre si. Normalmente, uma ponte de link de site corresponde a um roteador (ou um conjunto de roteadores) em uma rede IP.

Por padrão, o KCC pode formar uma rota transitiva por meio de qualquer e todos os links de site que têm alguns sites em comum. Se esse comportamento estiver desabilitado, cada link do site representará sua própria rede distinta e isolada. Conjuntos de links de site que podem ser tratados como uma única rota são expressos por meio de uma ponte de link do site. Cada ponte representa um ambiente de comunicação isolado para o tráfego de rede.

As pontes de link do site são um mecanismo para representar logicamente a conectividade física transitiva entre sites. Uma ponte de link do site permite que o KCC use qualquer combinação dos links de site incluídos para determinar a rota menos cara para interconectar partições de diretório mantidas nesses sites. A ponte de link do site não fornece conectividade real para os controladores de domínio. Se a ponte de link do site for removida, a replicação nos links combinados do site continuará até que a KCC remova os links.

As pontes de link do site só serão necessárias se um site contiver um controlador de domínio que hospeda uma partição de diretório que também não está hospedada em um controlador de domínio em um site adjacente, mas um controlador de domínio que hospeda essa partição de diretório está localizado em um ou mais sites na floresta. Sites adjacentes são definidos como dois ou mais sites incluídos em um único link de site.

Uma ponte de link do site cria uma conexão lógica entre dois links de site, fornecendo um caminho transitivo entre dois sites desconectados usando um site provisório. Para fins do ISTG (gerador de topologia entre sites), a ponte implica conectividade física usando o site provisório. A ponte não implica que um controlador de domínio no site provisório fornecerá o caminho de replicação. No entanto, esse seria o caso se o site provisório contivesse um controlador de domínio que hospedava a partição de diretório a ser replicada, caso em que uma ponte de link do site não é necessária.

O custo de cada link do site é adicionado, criando um custo somado para o caminho resultante. A ponte de link do site seria usada se o site provisório não contém um controlador de domínio que hospeda a partição de diretório e um link de custo mais baixo não existe. Se o site provisório contivesse um controlador de domínio que hospedasse a partição de diretório, dois sites desconectados configurariam conexões de replicação para o controlador de domínio provisório e não usariam a ponte.

Transittividade do link do site

Por padrão, todos os links do site são transitivos ou "pontes". Quando os links do site são pontes e os agendamentos se sobrepõem, o KCC cria conexões de replicação que determinam parceiros de replicação do controlador de domínio entre sites, em que os sites não estão diretamente conectados por links do site, mas são conectados transitivamente por meio de um conjunto de sites comuns. Isso significa que você pode conectar qualquer site a qualquer outro site por meio de uma combinação de links do site.

Em geral, para uma rede totalmente roteada, você não precisa criar pontes de link de site, a menos que você queira controlar o fluxo de alterações de replicação. Se sua rede não for totalmente roteada, as pontes de link do site deverão ser criadas para evitar tentativas de replicação impossíveis. Todos os links de site para um transporte específico pertencem implicitamente a uma ponte de link de site único para esse transporte. A ponte padrão para links de site ocorre automaticamente e nenhum objeto do Active Directory representa essa ponte. A configuração De ponte de todos os links de site, encontrada nas propriedades dos contêineres de transporte entre sites IP e SMTP (Simple Mail Transfer Protocol), implementa a ponte automática de link do site.

Observação

A replicação de SMTP não terá suporte em versões futuras do AD DS; portanto, não é recomendável criar objetos de links de site no contêiner SMTP.

Servidor de catálogo global

Um servidor de catálogo global é um controlador de domínio que armazena informações sobre todos os objetos na floresta, para que os aplicativos possam pesquisar AD DS sem se referir a controladores de domínio específicos que armazenam os dados solicitados. Assim como todos os controladores de domínio, um servidor de catálogo global armazena réplicas completas e que podem ser escritas das partições de diretório de configuração e do esquema e uma réplica completa e passível de escrita da partição de diretório de domínio para o domínio que está hospedando. Além disso, um servidor de catálogo global armazena uma réplica parcial e somente leitura de todos os outros domínios na floresta. Réplicas de domínio parciais somente leitura contêm todos os objetos no domínio, mas apenas um subconjunto dos atributos (os atributos mais usados para pesquisar o objeto).

Cache de membros de grupos universais

O cache de associação de grupo universal permite que o controlador de domínio armazena em cache informações de associação de grupo universal para usuários. Você pode habilitar controladores de domínio que estão executando o Windows Server 2008 para armazenar em cache associações de grupo universal usando o snap-in Serviços e Sites do Active Directory.

A habilitação do cache de associação de grupo universal elimina a necessidade de um servidor de catálogo global em cada site em um domínio, o que minimiza o uso de largura de banda de rede porque um controlador de domínio não precisa replicar todos os objetos localizados na floresta. Ele também reduz os tempos de logon porque os controladores de domínio de autenticação nem sempre precisam acessar um catálogo global para obter informações de associação de grupo universal. Para obter mais informações sobre quando usar o cache de associação de grupo universal, consulte Planning Global Catalog Server Placement.