Ya hemos visto varias notas sobre replicación, y como hacer troubleshooting con distintas tools: Active Directory Replication Status y RepAdmin. Hoy vamos a ver la primera parte de una serie de notas sobre RepAdmin y cómo utilizar esta herramienta para supervisar, diagnosticar y solucionar los problemas de replicación más comunes que las nuestras organizaciones pueden experimentar en entornos de Active Directory.
Como dijimos antes, Repadmin.exe es una herramienta de línea de comandos que está diseñada para ayudar a los administradores en el diagnóstico, seguimiento y solución de problemas de replicación de Active Directory. Para entender un poco mas el tema de la replicación debemos tener en cuenta ciertos aspectos y dependencias, como ser:
-
Routable IP infrastructure: La topología de replicación depende de una infraestructura IP enrutable desde el que se puede asignar rangos de direcciones de subred IP a los objetos del sitio. Este mapeo genera la información que las estaciones de trabajo cliente utilizan para comunicarse con los controladores de dominio que están cerca -cuando hay una elección- y no con los controladores de dominio que se encuentran a través de vínculos de red de área amplia ( WAN).
-
DNS: El sistema de nombres de dominio (DNS) que resuelve los nombres DNS a direcciones IP. Active Directory requiere que DNS este correctamente diseñado e implementado para que los controladores de dominio puedan resolver correctamente los nombres DNS de los asociados de replicación.
-
Remote Procedure Call (RPC): La replicación de Active Directory requiere conectividad IP y el Remote Procedure Call (RPC) para transferir las actualizaciones entre los asociados de replicación.
-
Autenticación Kerberos versión 5 (v5): El protocolo de autenticación para la autenticación y encriptación que se requiere para toda la replicación de RPC de Active Directory.
-
Lightweight Directory Services Protocol (LDAP): El protocolo de acceso principal de Active Directory. La replicación completa de una réplica de un dominio de Active Directory, como ocurre cuando Active Directory está instalado en un controlador de dominio adicional en un dominio existente, utiliza la comunicación LDAP en lugar de RPC .
-
NetLogon: registra dinámicamente el identificador único global (GUID) CNAME en DNS que un controlador de dominio utiliza para resolver el nombre de host de su pareja y la dirección IP para la replicación de Active Directory.
-
Mensajería entre sitios: es necesaria para la replicación Inter-Site SMTP y para los cálculos de cobertura del sitio. Si el nivel funcional del bosque es Windows 2000, Mensajería entre Sitios es necesaria para la generación de topología entre sitios .
Esto mismo gráficamente seria algo similar a lo siguiente:
Alguna terminología que debemos tener en cuenta también, y esto es para poder entender el resto de las notas sobre RepAdmin son:
Active Directory Replication |
Active Directory es un servicio de directorio distribuido, en el que no todos los objetos del directorio se almacenan en cada controlador de dominio. Además, todos los controladores de dominio de un dominio se pueden actualizar directamente, no a un solo controlador de dominio principal. La replicación de Active Directory es el medio por el cual los cambios que se hagan en un controlador de dominio se sincronizan con todos los demás controladores de dominio adecuados en el dominio o bosque que almacene las copias de la misma información. La integridad de los datos se mantiene mediante el seguimiento de los cambios en cada controlador de dominio y la actualizacion de otros controladores de dominio de una manera sistemática. La réplica utiliza una topología de conexión que se crea automáticamente para optimizar el uso de conexiones de red. |
Active Directory replication topology |
es el conjunto actual de conexiones de Active Directory mediante el cual los controladores de dominio de un bosque se comunican a través de redes de área local (LAN) y redes WAN para sincronizar las réplicas de la partición de directorio que los controladores de dominio que tienen en común. La generación de la topología de replicación suele ser dinámica. Se adapta a las condiciones de la red y la disponibilidad de los controladores de dominio. Como resultado de lo mucho que dependen y dependemos de los servicios de directorio actual, es muy importante asegurarse de que la topología de replicación de directorios es ajustado para mantener y ofrecer el nivel de rendimiento esperado. |
Active Directory sites |
Un sitio es una parte de la red con conectividad de gran ancho de banda. Por definición, es un conjunto de equipos bien conectados, con base en subredes IP. Podemos utilizar Active Directory Sites and Services para administrar sitios. Dado que los sitios controlan cómo se produce la replicación, los cambios que realicemos con este complemento afectan la eficiencia con los controladores de dominio dentro de un dominio (pero separados por grandes distancias) se fusionarán. |
Knowledge Consistency Checker (KCC) |
Es una parte de la función ISTG en el directorio activo. Los KCC chequean, y como una opción, vuelve a crear la información de topología de dominio de Active Directory. |
Intersite Topology Generator (ISTG) |
Se trata de un rol que un controlador de dominio en un sitio de Active Directory debe realizar. El ISTG designa a uno o más servidores como bridgehead server para realizar la replicación entre sitios. |
Multimaster replication |
Cada controlador de dominio puede recibir actualizaciones a los datos procedentes de los que es autorizada, en lugar de tener un solo controlador de dominio que recibe todas las actualizaciones originales (también conocido como single-master replication. |
Pull replication |
Los controladores de dominio pueden solicitar los cambios (haciendo un pull) en lugar de enviar (haciendo un push) los cambios que podrían no ser necesarios. |
Store-and-forward replication |
Cada controlador de dominio se comunica con un subconjunto de los controladores de dominio para transferir cambios de replicación, en lugar de que un controlador de dominio sea responsable de comunicarse con cualquier otro controlador de dominio que requiere el cambio. |
High water mark |
es un valor que el controlador de dominio de destino mantiene para un seguimiento de los cambios más recientes que ha recibido de un controlador de dominio de origen específico para un objeto en una partición específica. Esta marca de agua evita que los objetos irrelevantes sean considerados por el controlador de dominio de origen con respecto a un solo destino. |
Up-to-dateness vector |
El up-to-dateness vector es un valor que el controlador de dominio de destino mantiene para el seguimiento de los cambios originarias que se reciben de todos los controladores de dominio de origen. Cuando un controlador de dominio de destino solicita cambios para una partición de directorio, se le proporciona un up-to-dateness vector hasta el controlador de dominio de origen. El controlador de dominio de origen utiliza este valor para reducir el conjunto de atributos que se envía al controlador de dominio de destino. |
Bueno, creo que con esto tenemos bastante como para arrancar con el tema de la replicación, y como hacer su troubleshooting. Tengamos en cuenta que esto va a ser una serie de notas, por lo cual esta primera parte, es una de las mas pesadas ya que tenemos mucho teórico, pero es imprescindible para poder entender como funciona y que es la replicación como para luego poder realizar el mantenimiento y troubleshooting de errores.
Espero les sea de interés y utilidad. Gracias, Roberto Di Lello.
Les dejo otros links de interés:
[…] Bueno esto es todo para la segunda parte, les dejo el link de la primera: Windows Server 2012: Replicacion, como hacer troubleshooting – Parte 1{Tool} […]
Week of October 28: GA of Windows Server/System Center (and getting started) and new RDP clients for iOS, Android, and OSX
Greetings, all, It’s been a little while since I was able to publish one of these roundups.