{"id":3674,"date":"2018-06-01T16:40:00","date_gmt":"2018-06-01T19:40:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3674"},"modified":"2018-06-10T16:40:37","modified_gmt":"2018-06-10T19:40:37","slug":"disenando-la-topologia-de-nuestro-active-directory-howto-parte3","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3674","title":{"rendered":"Disenando la topologia de nuestro Active Directory {HowTo} –parte3-"},"content":{"rendered":"

\"www.radians.com.ar\"<\/a>Hoy vamos a seguir con la nota sobre como dise\u00f1ar nuestra arquitectura de active directory de una forma correcta. Para poder hacer esto estamos repasando un poco la teoria sobre el tema, ya que como todos saben en el blog tratamos de darle una ayuda a todos, independientemente del nivel que tengamos. Recuerden que pueden encontrar la primer parte aqui: Disenando la topologia de nuestro Active Directory {HowTo} \u2013parte1-<\/a>, la segunda parte pueden encontrarla en: Disenando la topologia de nuestro Active Directory {HowTo} \u2013parte2-<\/a><\/p>\n

Objeto de conexi\u00f3n <\/h4>\n

Un objeto de conexi\u00f3n es un objeto de Active Directory que representa una conexi\u00f3n de replicaci\u00f3n desde un controlador de dominio de origen a un controlador de dominio de destino. Un controlador de dominio es miembro de un \u00fanico sitio y est\u00e1 representado en el sitio por un objeto de servidor en Servicios de dominio de Active Directory (AD DS). Cada objeto de servidor tiene un objeto de configuraci\u00f3n NTDS hijo que representa el controlador de dominio de replicaci\u00f3n en el sitio.<\/p>\n

El objeto de conexi\u00f3n es un elemento secundario del objeto Configuraci\u00f3n de NTDS en el servidor de destino. Para que se produzca la replicaci\u00f3n entre dos controladores de dominio, el objeto servidor de uno debe tener un objeto de conexi\u00f3n que represente la replicaci\u00f3n entrante desde el otro. Todas las conexiones de replicaci\u00f3n para un controlador de dominio se almacenan como objetos de conexi\u00f3n en el objeto Configuraci\u00f3n de NTDS. El objeto de conexi\u00f3n identifica el servidor de origen de replicaci\u00f3n, contiene un cronograma de replicaci\u00f3n y especifica un transporte de replicaci\u00f3n.<\/p>\n

El Knowledge Consistency Checker (KCC) crea objetos de conexi\u00f3n autom\u00e1ticamente, pero tambi\u00e9n se pueden crear manualmente. Los objetos de conexi\u00f3n creados por KCC aparecen en el complemento Sitios y servicios de Active Directory como y se consideran adecuados bajo condiciones normales de operaci\u00f3n. Los objetos de conexi\u00f3n creados por un administrador son objetos de conexi\u00f3n creados manualmente. Un objeto de conexi\u00f3n creado manualmente se identifica con el nombre asignado por el administrador cuando se cre\u00f3. Cuando modificas un objeto de conexi\u00f3n, lo convierte en un objeto de conexi\u00f3n modificado administrativamente y el objeto aparece en forma de GUID. El KCC no realiza cambios en los objetos de conexi\u00f3n manuales o modificados.<\/p>\n

\"www.radians.com.ar\"<\/p>\n

Knowledge Consistency Checker (KCC) <\/h4>\n

El KCC es un proceso integrado que se ejecuta en todos los controladores de dominio y genera una topolog\u00eda de replicaci\u00f3n para el bosque de Active Directory. El KCC crea topolog\u00edas de replicaci\u00f3n separadas seg\u00fan si la replicaci\u00f3n se est\u00e1 produciendo dentro de un sitio (en el sitio) o entre sitios (entre sitios). El KCC tambi\u00e9n ajusta din\u00e1micamente la topolog\u00eda para acomodar la adici\u00f3n de nuevos controladores de dominio, la eliminaci\u00f3n de controladores de dominio existentes, el movimiento de controladores de dominio hacia y desde sitios, cambios en los costos y horarios, y controladores de dominio que est\u00e1n temporalmente no disponibles o en un estado de error .<\/p>\n

Dentro de un sitio, las conexiones entre controladores de dominio grabables siempre se organizan en un anillo bidireccional, con conexiones de acceso directo adicionales para reducir la latencia en sitios grandes. Por otro lado, la topolog\u00eda entre sitios es una estratificaci\u00f3n de \u00e1rboles de expansi\u00f3n, lo que significa que existe una conexi\u00f3n entre dos sitios para cada partici\u00f3n de directorio y, en general, no contiene conexiones de acceso directo. <\/p>\n

En cada controlador de dominio, el KCC crea rutas de replicaci\u00f3n al crear objetos de conexi\u00f3n de entrada unidireccional que definen conexiones desde otros controladores de dominio. Para los controladores de dominio en el mismo sitio, el KCC crea objetos de conexi\u00f3n autom\u00e1ticamente sin intervenci\u00f3n administrativa. Cuando tiene m\u00e1s de un sitio, configura enlaces de sitio entre sitios, y un solo KCC en cada sitio crea autom\u00e1ticamente conexiones entre sitios tambi\u00e9n.<\/p>\n

Mejoras de KCC para los RODC de Windows Server 2008 <\/h4>\n

Hay una serie de mejoras de KCC para acomodar el controlador de dominio de solo lectura (RODC) disponible desde Windows Server 2008. Un escenario de implementaci\u00f3n t\u00edpico para RODC es la sucursal. La topolog\u00eda de replicaci\u00f3n de Active Directory m\u00e1s com\u00fanmente implementada en este escenario se basa en un dise\u00f1o de hub and spoke, donde los controladores de dominio de la sucursal en varios sitios se replican con una peque\u00f1a cantidad de servidores cabeza de puente en un sitio concentrador.<\/p>\n

Uno de los beneficios de implementar RODC en este escenario es la replicaci\u00f3n unidireccional. Los servidores Bridgehead no est\u00e1n obligados a replicar desde el RODC, lo que reduce la administraci\u00f3n y el uso de la red.<\/p>\n

Sin embargo, un desaf\u00edo administrativo destacado por la topolog\u00eda hub-spoke en versiones anteriores del sistema operativo Windows Server es que despu\u00e9s de agregar un nuevo controlador de dominio cabeza de puente en el hub, no hay un mecanismo autom\u00e1tico para redistribuir las conexiones de replicaci\u00f3n entre los controladores de dominio de rama y los controladores de dominio de concentrador para aprovechar el nuevo controlador de dominio concentrador.<\/p>\n

Para los RODC, el funcionamiento normal del KCC proporciona cierto reequilibrio, lo que elimina la necesidad de utilizar una herramienta adicional como Adlb.exe. Esta funcionalidad est\u00e1 habilitada por defecto. Puede deshabilitarlo agregando la siguiente clave de registro establecida en el RODC:<\/p>\n

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ NTDS \\ Parameters<\/font><\/p>\n

"Balanceo de carga aleatorio BH permitido"
1 = Activado (predeterminado), 0 = Desactivado<\/font><\/p>\n

Funcionalidad de conmutaci\u00f3n por error <\/h4>\n

Los sitios garantizan que la replicaci\u00f3n se enrute alrededor de fallas de red y controladores de dominio fuera de l\u00ednea. El KCC se ejecuta en intervalos espec\u00edficos para ajustar la topolog\u00eda de replicaci\u00f3n para los cambios que ocurren en AD DS, como cuando se agregan nuevos controladores de dominio y se crean nuevos sitios. El KCC revisa el estado de replicaci\u00f3n de las conexiones existentes para determinar si alguna conexi\u00f3n no funciona. Si una conexi\u00f3n no funciona debido a un controlador de dominio fallido, KCC crea autom\u00e1ticamente conexiones temporales con otros socios de replicaci\u00f3n (si est\u00e1n disponibles) para garantizar que se produzca la replicaci\u00f3n. Si todos los controladores de dominio en un sitio no est\u00e1n disponibles, el KCC crea autom\u00e1ticamente conexiones de replicaci\u00f3n entre los controladores de dominio de otro sitio.<\/p>\n

Subred <\/h4>\n

Una subred es un segmento de una red TCP \/ IP a la que se le asigna un conjunto de direcciones IP l\u00f3gicas. Las subredes agrupan las computadoras de una manera que identifica su proximidad f\u00edsica en la red. Los objetos de subred en AD DS identifican las direcciones de red que se utilizan para asignar las computadoras a los sitios.<\/p>\n

Sitio <\/h4>\n

Los sitios son objetos de Active Directory que representan una o m\u00e1s subredes TCP \/ IP con conexiones de red altamente confiables y r\u00e1pidas. La informaci\u00f3n del sitio permite a los administradores configurar el acceso y la replicaci\u00f3n de Active Directory para optimizar el uso de la red f\u00edsica. Los objetos del sitio est\u00e1n asociados con un conjunto de subredes, y cada controlador de dominio en un bosque est\u00e1 asociado con un sitio de Active Directory de acuerdo con su direcci\u00f3n IP. Los sitios pueden alojar controladores de dominio de m\u00e1s de un dominio y un dominio puede estar representado en m\u00e1s de un sitio.<\/p>\n

Site link -Enlace al sitio-<\/h4>\n

Los enlaces de sitio son objetos de Active Directory que representan rutas l\u00f3gicas que el KCC usa para establecer una conexi\u00f3n para la replicaci\u00f3n de Active Directory. Un objeto de enlace de sitio representa un conjunto de sitios que pueden comunicarse a un costo uniforme a trav\u00e9s de un transporte entre sitios espec\u00edfico.<\/p>\n

Todos los sitios contenidos dentro del enlace del sitio se consideran conectados por medio del mismo tipo de red. Los sitios deben vincularse manualmente a otros sitios utilizando enlaces de sitio para que los controladores de dominio en un sitio puedan replicar los cambios de directorio de los controladores de dominio en otro sitio. Debido a que los enlaces de sitio no se corresponden con la ruta real tomada por los paquetes de red en la red f\u00edsica durante la replicaci\u00f3n, no es necesario crear enlaces de sitios redundantes para mejorar la eficacia de la replicaci\u00f3n de Active Directory.<\/p>\n

Cuando dos sitios est\u00e1n conectados por un enlace de sitio, el sistema de replicaci\u00f3n crea autom\u00e1ticamente conexiones entre controladores de dominio espec\u00edficos en cada sitio que se denominan servidores cabeza de puente. Todos los controladores de dominio en un sitio que aloja la misma partici\u00f3n de directorio son candidatos para ser seleccionados como servidores cabeza de puente. Las conexiones de replicaci\u00f3n creadas por el KCC se distribuyen aleatoriamente entre todos los servidores cabeza de puente candidatos en un sitio para compartir la carga de trabajo de replicaci\u00f3n. De forma predeterminada, el proceso de selecci\u00f3n aleatoria solo tiene lugar una vez, cuando los objetos de conexi\u00f3n se agregan primero al sitio.<\/p>\n

Site link bridge -Puente de enlace del sitio-<\/h4>\n

Un puente de enlace de sitio es un objeto de Active Directory que representa un conjunto de enlaces de sitio, todos cuyos sitios pueden comunicarse utilizando un transporte com\u00fan. Los puentes de enlace del sitio permiten que los controladores de dominio que no est\u00e1n conectados directamente por medio de un enlace de comunicaci\u00f3n se repliquen entre s\u00ed. Normalmente, un puente de enlace de sitio corresponde a un enrutador (o un conjunto de enrutadores) en una red IP.<\/p>\n

De forma predeterminada, el KCC puede formar una ruta transitiva a trav\u00e9s de todos los enlaces de sitios que tienen algunos sitios en com\u00fan. Si este comportamiento est\u00e1 deshabilitado, cada enlace de sitio representa su propia red distinta y aislada. Los conjuntos de enlaces de sitio que se pueden tratar como una ruta \u00fanica se expresan a trav\u00e9s de un puente de enlace de sitio. Cada puente representa un entorno de comunicaci\u00f3n aislado para el tr\u00e1fico de red.<\/p>\n

Los puentes de enlace de sitio son un mecanismo para representar l\u00f3gicamente la conectividad f\u00edsica transitiva entre sitios. Un puente de enlace de sitio permite que el KCC use cualquier combinaci\u00f3n de los enlaces de sitio incluidos para determinar la ruta menos costosa para interconectar particiones de directorio en esos sitios. El puente de enlace del sitio no proporciona conectividad real a los controladores de dominio. Si se elimina el puente de enlace del sitio, la replicaci\u00f3n sobre los enlaces del sitio combinado continuar\u00e1 hasta que el KCC elimine los enlaces.<\/p>\n

Los enlaces de sitio solo son necesarios si un sitio contiene un controlador de dominio que aloja una partici\u00f3n de directorio que no est\u00e1 alojada en un controlador de dominio en un sitio adyacente, pero un controlador de dominio que aloja esa partici\u00f3n de directorio se encuentra en uno o m\u00e1s sitios en el bosque . Los sitios adyacentes se definen como dos o m\u00e1s sitios incluidos en un enlace de sitio \u00fanico.<\/p>\n

Un puente de enlace de sitio crea una conexi\u00f3n l\u00f3gica entre dos enlaces de sitio, proporcionando una ruta de acceso transitiva entre dos sitios desconectados mediante el uso de un sitio provisional. A los efectos del generador de topolog\u00eda entre sitios (ISTG), el puente implica conectividad f\u00edsica mediante el uso del sitio provisional. El puente no implica que un controlador de dominio en el sitio provisional proporcionar\u00e1 la ruta de replicaci\u00f3n. Sin embargo, este ser\u00eda el caso si el sitio provisional conten\u00eda un controlador de dominio que hospedaba la partici\u00f3n de directorio que se replicar\u00eda, en cuyo caso no se requiere un puente de enlace de sitio.<\/p>\n

Se agrega el costo de cada enlace de sitio, creando un costo total para la ruta resultante. El puente de enlace del sitio se usar\u00eda si el sitio provisional no contiene un controlador de dominio que aloja la partici\u00f3n de directorio y no existe un v\u00ednculo de menor costo. Si el sitio provisional conten\u00eda un controlador de dominio que aloja la partici\u00f3n de directorio, dos sitios desconectados establecer\u00edan conexiones de replicaci\u00f3n con el controlador de dominio provisional y no usar\u00edan el puente.<\/p>\n

Site link transitivity -La transitividad del enlace del sitio-<\/h4>\n

Por defecto, todos los enlaces del sitio son transitivos o "puenteados". Cuando los enlaces de sitios se puentean y los horarios se superponen, el KCC crea conexiones de replicaci\u00f3n que determinan los socios de replicaci\u00f3n del controlador de dominio entre sitios, donde los sitios no est\u00e1n conectados directamente por enlaces de sitios pero est\u00e1n conectados transitivamente a trav\u00e9s de un conjunto de sitios comunes. Esto significa que puede conectar cualquier sitio a cualquier otro sitio a trav\u00e9s de una combinaci\u00f3n de enlaces de sitios.<\/p>\n

En general, para una red completamente enrutada, no necesita crear ning\u00fan enlace de enlace de sitio a menos que desee controlar el flujo de cambios de replicaci\u00f3n. Si su red no est\u00e1 completamente enrutada, se deben crear puentes de enlace de sitio para evitar intentos de replicaci\u00f3n imposibles. Todos los enlaces de sitio para un transporte espec\u00edfico pertenecen impl\u00edcitamente a un \u00fanico enlace de enlace de sitio para ese transporte. El puente predeterminado para enlaces de sitios se produce autom\u00e1ticamente, y ning\u00fan objeto de Active Directory representa ese puente. La configuraci\u00f3n Bridge all site links , que se encuentra en las propiedades de los contenedores de transporte entre sitios IP y Simple Mail Transfer Protocol (SMTP), implementa el enlace autom\u00e1tico de enlace de sitio. Deben tener en cuenta que la replicaci\u00f3n SMTP no es compatible en las utlimas versiones de AD DS; por lo tanto, no se recomienda crear objetos de enlaces de sitio en el contenedor SMTP.<\/p>\n

Servidor de cat\u00e1logo global <\/h4>\n

Un servidor de cat\u00e1logo global es un controlador de dominio que almacena informaci\u00f3n sobre todos los objetos en el bosque, de modo que las aplicaciones pueden buscar AD DS sin referirse a controladores de dominio espec\u00edficos que almacenan los datos solicitados. Al igual que todos los controladores de dominio, un servidor de cat\u00e1logo global almacena r\u00e9plicas completas y grabables de las particiones de esquema y directorio de configuraci\u00f3n y una r\u00e9plica completa y editable de la partici\u00f3n de directorio de dominio para el dominio que aloja. Adem\u00e1s, un servidor de cat\u00e1logo global almacena una r\u00e9plica parcial de solo lectura de todos los dem\u00e1s dominios del bosque. Las r\u00e9plicas de dominio de solo lectura parciales contienen todos los objetos del dominio, pero solo un subconjunto de los atributos (los atributos que se usan con m\u00e1s frecuencia para buscar el objeto).<\/p>\n

Almacenamiento en cach\u00e9 de pertenencia de grupo universal <\/h4>\n

El almacenamiento en cach\u00e9 de pertenencia a un grupo universal permite que el controlador de dominio guarde en cach\u00e9 la informaci\u00f3n de pertenencia a un grupo universal para los usuarios. Podemos habilitar los controladores de dominio que ejecutan Windows Server para almacenar en cach\u00e9 las pertenencias de grupos universales mediante el complemento Sitios y servicios de Active Directory.<\/p>\n

Al habilitar el almacenamiento en cach\u00e9 universal de miembros de grupo, se elimina la necesidad de un servidor de cat\u00e1logo global en cada sitio de un dominio, lo que minimiza el uso de ancho de banda de red porque un controlador de dominio no necesita replicar todos los objetos ubicados en el bosque. Tambi\u00e9n reduce los tiempos de inicio de sesi\u00f3n porque los controladores de dominio de autenticaci\u00f3n no siempre necesitan acceder a un cat\u00e1logo global para obtener informaci\u00f3n universal de membres\u00eda de grupo. Para obtener m\u00e1s informaci\u00f3n acerca de cu\u00e1ndo usar el almacenamiento en cach\u00e9 de la pertenencia universal de grupo, consulte Planificaci\u00f3n de la ubicaci\u00f3n del servidor de cat\u00e1logo global .<\/p>\n

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello.<\/p>\n","protected":false},"excerpt":{"rendered":"

Hoy vamos a seguir con la nota sobre como dise\u00f1ar nuestra arquitectura de active directory…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[11,158,281,342,325],"tags":[217,195,243,290,343],"class_list":["post-3674","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2008-r2","category-windows-server-2012","category-281","category-342","category-directory-services","tag-ad-domain-services","tag-windows-server-2008-r2","tag-windows-server-2012-r2","tag-windows-server-2016","tag-windows-server-2019"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3674","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3674"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3674\/revisions"}],"predecessor-version":[{"id":3675,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3674\/revisions\/3675"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3674"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3674"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3674"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}