RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2008 & R2 2012 & R2 2016 2019 Directory Services

Disenando la topologia de nuestro Active Directory {HowTo} –parte3-

Avatar photo

ByRoberto Di Lello

Jun 1, 2018 , , , ,

www.radians.com.arHoy vamos a seguir con la nota sobre como diseñar nuestra arquitectura de active directory de una forma correcta. Para poder hacer esto estamos repasando un poco la teoria sobre el tema, ya que como todos saben en el blog tratamos de darle una ayuda a todos, independientemente del nivel que tengamos. Recuerden que pueden encontrar la primer parte aqui: Disenando la topologia de nuestro Active Directory {HowTo} –parte1-, la segunda parte pueden encontrarla en: Disenando la topologia de nuestro Active Directory {HowTo} –parte2-

Objeto de conexión

Un objeto de conexión es un objeto de Active Directory que representa una conexión de replicación desde un controlador de dominio de origen a un controlador de dominio de destino. Un controlador de dominio es miembro de un único sitio y está representado en el sitio por un objeto de servidor en Servicios de dominio de Active Directory (AD DS). Cada objeto de servidor tiene un objeto de configuración NTDS hijo que representa el controlador de dominio de replicación en el sitio.

El objeto de conexión es un elemento secundario del objeto Configuración de NTDS en el servidor de destino. Para que se produzca la replicación entre dos controladores de dominio, el objeto servidor de uno debe tener un objeto de conexión que represente la replicación entrante desde el otro. Todas las conexiones de replicación para un controlador de dominio se almacenan como objetos de conexión en el objeto Configuración de NTDS. El objeto de conexión identifica el servidor de origen de replicación, contiene un cronograma de replicación y especifica un transporte de replicación.

El Knowledge Consistency Checker (KCC) crea objetos de conexión automáticamente, pero también se pueden crear manualmente. Los objetos de conexión creados por KCC aparecen en el complemento Sitios y servicios de Active Directory como y se consideran adecuados bajo condiciones normales de operación. Los objetos de conexión creados por un administrador son objetos de conexión creados manualmente. Un objeto de conexión creado manualmente se identifica con el nombre asignado por el administrador cuando se creó. Cuando modificas un objeto de conexión, lo convierte en un objeto de conexión modificado administrativamente y el objeto aparece en forma de GUID. El KCC no realiza cambios en los objetos de conexión manuales o modificados.

www.radians.com.ar

Knowledge Consistency Checker (KCC)

El KCC es un proceso integrado que se ejecuta en todos los controladores de dominio y genera una topología de replicación para el bosque de Active Directory. El KCC crea topologías de replicación separadas según si la replicación se está produciendo dentro de un sitio (en el sitio) o entre sitios (entre sitios). El KCC también ajusta dinámicamente la topología para acomodar la adición de nuevos controladores de dominio, la eliminación de controladores de dominio existentes, el movimiento de controladores de dominio hacia y desde sitios, cambios en los costos y horarios, y controladores de dominio que están temporalmente no disponibles o en un estado de error .

Dentro de un sitio, las conexiones entre controladores de dominio grabables siempre se organizan en un anillo bidireccional, con conexiones de acceso directo adicionales para reducir la latencia en sitios grandes. Por otro lado, la topología entre sitios es una estratificación de árboles de expansión, lo que significa que existe una conexión entre dos sitios para cada partición de directorio y, en general, no contiene conexiones de acceso directo.

En cada controlador de dominio, el KCC crea rutas de replicación al crear objetos de conexión de entrada unidireccional que definen conexiones desde otros controladores de dominio. Para los controladores de dominio en el mismo sitio, el KCC crea objetos de conexión automáticamente sin intervención administrativa. Cuando tiene más de un sitio, configura enlaces de sitio entre sitios, y un solo KCC en cada sitio crea automáticamente conexiones entre sitios también.

Mejoras de KCC para los RODC de Windows Server 2008

Hay una serie de mejoras de KCC para acomodar el controlador de dominio de solo lectura (RODC) disponible desde Windows Server 2008. Un escenario de implementación típico para RODC es la sucursal. La topología de replicación de Active Directory más comúnmente implementada en este escenario se basa en un diseño de hub and spoke, donde los controladores de dominio de la sucursal en varios sitios se replican con una pequeña cantidad de servidores cabeza de puente en un sitio concentrador.

Uno de los beneficios de implementar RODC en este escenario es la replicación unidireccional. Los servidores Bridgehead no están obligados a replicar desde el RODC, lo que reduce la administración y el uso de la red.

Sin embargo, un desafío administrativo destacado por la topología hub-spoke en versiones anteriores del sistema operativo Windows Server es que después de agregar un nuevo controlador de dominio cabeza de puente en el hub, no hay un mecanismo automático para redistribuir las conexiones de replicación entre los controladores de dominio de rama y los controladores de dominio de concentrador para aprovechar el nuevo controlador de dominio concentrador.

Para los RODC, el funcionamiento normal del KCC proporciona cierto reequilibrio, lo que elimina la necesidad de utilizar una herramienta adicional como Adlb.exe. Esta funcionalidad está habilitada por defecto. Puede deshabilitarlo agregando la siguiente clave de registro establecida en el RODC:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters

"Balanceo de carga aleatorio BH permitido"
1 = Activado (predeterminado), 0 = Desactivado

Funcionalidad de conmutación por error

Los sitios garantizan que la replicación se enrute alrededor de fallas de red y controladores de dominio fuera de línea. El KCC se ejecuta en intervalos específicos para ajustar la topología de replicación para los cambios que ocurren en AD DS, como cuando se agregan nuevos controladores de dominio y se crean nuevos sitios. El KCC revisa el estado de replicación de las conexiones existentes para determinar si alguna conexión no funciona. Si una conexión no funciona debido a un controlador de dominio fallido, KCC crea automáticamente conexiones temporales con otros socios de replicación (si están disponibles) para garantizar que se produzca la replicación. Si todos los controladores de dominio en un sitio no están disponibles, el KCC crea automáticamente conexiones de replicación entre los controladores de dominio de otro sitio.

Subred

Una subred es un segmento de una red TCP / IP a la que se le asigna un conjunto de direcciones IP lógicas. Las subredes agrupan las computadoras de una manera que identifica su proximidad física en la red. Los objetos de subred en AD DS identifican las direcciones de red que se utilizan para asignar las computadoras a los sitios.

Sitio

Los sitios son objetos de Active Directory que representan una o más subredes TCP / IP con conexiones de red altamente confiables y rápidas. La información del sitio permite a los administradores configurar el acceso y la replicación de Active Directory para optimizar el uso de la red física. Los objetos del sitio están asociados con un conjunto de subredes, y cada controlador de dominio en un bosque está asociado con un sitio de Active Directory de acuerdo con su dirección IP. Los sitios pueden alojar controladores de dominio de más de un dominio y un dominio puede estar representado en más de un sitio.

Site link -Enlace al sitio-

Los enlaces de sitio son objetos de Active Directory que representan rutas lógicas que el KCC usa para establecer una conexión para la replicación de Active Directory. Un objeto de enlace de sitio representa un conjunto de sitios que pueden comunicarse a un costo uniforme a través de un transporte entre sitios específico.

Todos los sitios contenidos dentro del enlace del sitio se consideran conectados por medio del mismo tipo de red. Los sitios deben vincularse manualmente a otros sitios utilizando enlaces de sitio para que los controladores de dominio en un sitio puedan replicar los cambios de directorio de los controladores de dominio en otro sitio. Debido a que los enlaces de sitio no se corresponden con la ruta real tomada por los paquetes de red en la red física durante la replicación, no es necesario crear enlaces de sitios redundantes para mejorar la eficacia de la replicación de Active Directory.

Cuando dos sitios están conectados por un enlace de sitio, el sistema de replicación crea automáticamente conexiones entre controladores de dominio específicos en cada sitio que se denominan servidores cabeza de puente. Todos los controladores de dominio en un sitio que aloja la misma partición de directorio son candidatos para ser seleccionados como servidores cabeza de puente. Las conexiones de replicación creadas por el KCC se distribuyen aleatoriamente entre todos los servidores cabeza de puente candidatos en un sitio para compartir la carga de trabajo de replicación. De forma predeterminada, el proceso de selección aleatoria solo tiene lugar una vez, cuando los objetos de conexión se agregan primero al sitio.

Site link bridge -Puente de enlace del sitio-

Un puente de enlace de sitio es un objeto de Active Directory que representa un conjunto de enlaces de sitio, todos cuyos sitios pueden comunicarse utilizando un transporte común. Los puentes de enlace del sitio permiten que los controladores de dominio que no están conectados directamente por medio de un enlace de comunicación se repliquen entre sí. Normalmente, un puente de enlace de sitio corresponde a un enrutador (o un conjunto de enrutadores) en una red IP.

De forma predeterminada, el KCC puede formar una ruta transitiva a través de todos los enlaces de sitios que tienen algunos sitios en común. Si este comportamiento está deshabilitado, cada enlace de sitio representa su propia red distinta y aislada. Los conjuntos de enlaces de sitio que se pueden tratar como una ruta única se expresan a través de un puente de enlace de sitio. Cada puente representa un entorno de comunicación aislado para el tráfico de red.

Los puentes de enlace de sitio son un mecanismo para representar lógicamente la conectividad física transitiva entre sitios. Un puente de enlace de sitio permite que el KCC use cualquier combinación de los enlaces de sitio incluidos para determinar la ruta menos costosa para interconectar particiones de directorio en esos sitios. El puente de enlace del sitio no proporciona conectividad real a los controladores de dominio. Si se elimina el puente de enlace del sitio, la replicación sobre los enlaces del sitio combinado continuará hasta que el KCC elimine los enlaces.

Los enlaces de sitio solo son necesarios si un sitio contiene un controlador de dominio que aloja una partición de directorio que no está alojada en un controlador de dominio en un sitio adyacente, pero un controlador de dominio que aloja esa partición de directorio se encuentra en uno o más sitios en el bosque . Los sitios adyacentes se definen como dos o más sitios incluidos en un enlace de sitio único.

Un puente de enlace de sitio crea una conexión lógica entre dos enlaces de sitio, proporcionando una ruta de acceso transitiva entre dos sitios desconectados mediante el uso de un sitio provisional. A los efectos del generador de topología entre sitios (ISTG), el puente implica conectividad física mediante el uso del sitio provisional. El puente no implica que un controlador de dominio en el sitio provisional proporcionará la ruta de replicación. Sin embargo, este sería el caso si el sitio provisional contenía un controlador de dominio que hospedaba la partición de directorio que se replicaría, en cuyo caso no se requiere un puente de enlace de sitio.

Se agrega el costo de cada enlace de sitio, creando un costo total para la ruta resultante. El puente de enlace del sitio se usaría si el sitio provisional no contiene un controlador de dominio que aloja la partición de directorio y no existe un vínculo de menor costo. Si el sitio provisional contenía un controlador de dominio que aloja la partición de directorio, dos sitios desconectados establecerían conexiones de replicación con el controlador de dominio provisional y no usarían el puente.

Site link transitivity -La transitividad del enlace del sitio-

Por defecto, todos los enlaces del sitio son transitivos o "puenteados". Cuando los enlaces de sitios se puentean y los horarios se superponen, el KCC crea conexiones de replicación que determinan los socios de replicación del controlador de dominio entre sitios, donde los sitios no están conectados directamente por enlaces de sitios pero están conectados transitivamente a través de un conjunto de sitios comunes. Esto significa que puede conectar cualquier sitio a cualquier otro sitio a través de una combinación de enlaces de sitios.

En general, para una red completamente enrutada, no necesita crear ningún enlace de enlace de sitio a menos que desee controlar el flujo de cambios de replicación. Si su red no está completamente enrutada, se deben crear puentes de enlace de sitio para evitar intentos de replicación imposibles. Todos los enlaces de sitio para un transporte específico pertenecen implícitamente a un único enlace de enlace de sitio para ese transporte. El puente predeterminado para enlaces de sitios se produce automáticamente, y ningún objeto de Active Directory representa ese puente. La configuración Bridge all site links , que se encuentra en las propiedades de los contenedores de transporte entre sitios IP y Simple Mail Transfer Protocol (SMTP), implementa el enlace automático de enlace de sitio. Deben tener en cuenta que la replicación SMTP no es compatible en las utlimas versiones de AD DS; por lo tanto, no se recomienda crear objetos de enlaces de sitio en el contenedor SMTP.

Servidor de catálogo global

Un servidor de catálogo global es un controlador de dominio que almacena información sobre todos los objetos en el bosque, de modo que las aplicaciones pueden buscar AD DS sin referirse a controladores de dominio específicos que almacenan los datos solicitados. Al igual que todos los controladores de dominio, un servidor de catálogo global almacena réplicas completas y grabables de las particiones de esquema y directorio de configuración y una réplica completa y editable de la partición de directorio de dominio para el dominio que aloja. Además, un servidor de catálogo global almacena una réplica parcial de solo lectura de todos los demás dominios del bosque. Las réplicas de dominio de solo lectura parciales contienen todos los objetos del dominio, pero solo un subconjunto de los atributos (los atributos que se usan con más frecuencia para buscar el objeto).

Almacenamiento en caché de pertenencia de grupo universal

El almacenamiento en caché de pertenencia a un grupo universal permite que el controlador de dominio guarde en caché la información de pertenencia a un grupo universal para los usuarios. Podemos habilitar los controladores de dominio que ejecutan Windows Server para almacenar en caché las pertenencias de grupos universales mediante el complemento Sitios y servicios de Active Directory.

Al habilitar el almacenamiento en caché universal de miembros de grupo, se elimina la necesidad de un servidor de catálogo global en cada sitio de un dominio, lo que minimiza el uso de ancho de banda de red porque un controlador de dominio no necesita replicar todos los objetos ubicados en el bosque. También reduce los tiempos de inicio de sesión porque los controladores de dominio de autenticación no siempre necesitan acceder a un catálogo global para obtener información universal de membresía de grupo. Para obtener más información acerca de cuándo usar el almacenamiento en caché de la pertenencia universal de grupo, consulte Planificación de la ubicación del servidor de catálogo global .

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello.

Post Relacionados:

  1. Active Directory Domain Services (ADDS) como verificar los puertos de comunicacion del Domain Controller {HowTo}
  2. Recuperacion de los Servicios de dominio de Active Directory {ADDS} – Parte 1
  3. Como cambiar SID en Windows Server 2012 R2. NewSid nunca mas.
  4. Como reparar los objetos persistentes -Lingering Object- de nuestra replicacion de Active Directory (Event IDs 1388, 1988, 2042) {HowTo}
  5. Las mejores prácticas para Securizar nuestra arquitectura de Active Directory [Parte 1] [HowTo]
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

2012 & R2 2016 2019 Directory Services

C�mo verificar los requisitos de complejidad de las contrase�as en Active Directory [Howto]

Feb 15, 2024 Roberto Di Lello
2008 & R2 2012 & R2 2016

Windows Server: No existe carpetas SYSVOL y Netlogon en nuestro Controlador de�Dominio [segunda opcion]

Oct 10, 2023 Roberto Di Lello
2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Evaluaci�n de su entorno para la reducci�n de NTLM [Parte4]

Oct 3, 2023 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

You missed

Azure Windows 365

Como habilitar Password Self Service Portal en el portal Entra ID/Azure para nuestra empresa [Howto]

Abr 12, 2024 Roberto Di Lello
Azure

Microsoft Teams dejará de estar incluido en Office 365 en todo el mundo

Abr 5, 2024 Roberto Di Lello
Windows 365

Windows 365, la introduccion

Mar 25, 2024 Roberto Di Lello
Windows 11 Windows 365

Windows 11: primera gran actualización, mas CoPilot

Mar 22, 2024 Roberto Di Lello