Conceitos de replicação do Active Directory
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
Antes de criar a topologia do site, familiarize-se com alguns conceitos de replicação do Active Directory.
Objeto de conexão
Um objeto de conexão é um objeto do Active Directory que representa uma conexão de replicação de um controlador de domínio de origem para um controlador de domínio de destino. Um controlador de domínio é membro de um site e é representado no site por um objeto de servidor no AD DS (Active Directory Domain Services). Cada objeto de servidor tem um objeto de Configurações do NTDS filho que representa o controlador de domínio de replicação no site.
O objeto de conexão é um filho do objeto de Configurações do NTDS no servidor de destino. Para que a replicação ocorra entre dois controladores de domínio, o objeto de servidor de um precisa ter um objeto de conexão que represente a replicação de entrada do outro. Todas as conexões de replicação de um controlador de domínio são armazenadas como objetos de conexão no objeto Configurações do NTDS. O objeto de conexão identifica o servidor de origem de replicação, contém um agendamento de replicação e especifica um transporte de replicação.
O KCC (Knowledge Consistency Checker) cria objetos de conexão automaticamente, mas eles também podem ser criados manualmente. Os objetos de conexão criados pelo KCC aparecem no suplemento Sites e Serviços do Active Directory como <gerados automaticamente> e são considerados adequados em condições operacionais normais. Objetos de conexão criados por um administrador são objetos de conexão criados manualmente. Um objeto de conexão criado manualmente é identificado pelo nome atribuído pelo administrador no momento da criação. Quando você modifica um objeto de conexão <gerado automaticamente>, converte-o em um objeto de conexão modificado administrativamente e o objeto aparece na forma de um GUID. O KCC não faz alterações em objetos de conexão manuais ou modificados.
KCC
O KCC é um processo interno executado em todos os controladores de domínio que gera a topologia de replicação da floresta do Active Directory. O KCC cria topologias de replicação separadas dependendo de a replicação estar ocorrendo em um site (intrasite) ou entre sites (intersite). O KCC também ajusta dinamicamente a topologia para acomodar a adição de novos controladores de domínio, a remoção de controladores de domínio existentes, a movimentação de controladores de domínio de e para sites, a alteração de custos e agendamentos e os controladores de domínio temporariamente indisponíveis ou em um estado de erro.
Em um site, as conexões entre controladores de domínio graváveis sempre são organizadas em um anel bidirecional, com conexões de atalho adicionais para reduzir a latência em sites grandes. Por outro lado, a topologia intersite é uma camada de árvores abrangentes, o que significa que existe uma conexão intersite entre quaisquer dois sites para cada partição de diretório e geralmente não contém conexões de atalho. Para obter mais informações sobre árvores abrangentes e a topologia de replicação do Active Directory, confira a Referência Técnica da Topologia de Replicação do Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).
Em cada controlador de domínio, o KCC cria rotas de replicação criando objetos de conexão de entrada unidirecional que definem conexões de outros controladores de domínio. Para controladores de domínio no mesmo site, o KCC cria objetos de conexão automaticamente sem intervenção administrativa. Quando tem mais de um site, você configura links de site entre sites, e um KCC em cada site cria conexões automaticamente entre sites também.
Aprimoramentos do KCC para RODCs do Windows Server 2008
Há vários aprimoramentos do KCC para acomodar o RODC (controlador de domínio somente leitura) recém-disponível no Windows Server 2008. Um cenário de implantação típico para o RODC é a filial. A topologia de replicação do Active Directory mais comumente implantada nesse cenário é baseada em um design hub-and-spoke, em que os controladores de domínio de branch em vários sites são replicados com um pequeno número de servidores bridgehead em um site de hub.
Um dos benefícios da implantação do RODC nesse cenário é a replicação unidirecional. Servidores bridgehead não são necessários para replicar do RODC, o que reduz o uso de rede e a administração.
No entanto, um desafio administrativo realçado pela topologia hub-spoke em versões anteriores do sistema operacional Windows Server é que, depois de adicionar um novo controlador de domínio bridgehead no hub, não há um mecanismo automático para redistribuir as conexões de replicação entre os controladores de domínio do branch e os controladores de domínio do hub para aproveitar o novo controlador de domínio do hub.
Para RODCs do Windows Server 2008, o funcionamento normal do KCC fornece algum rebalanceamento. A nova funcionalidade é habilitada por padrão. Você pode desabilitá-la adicionando o seguinte conjunto de chaves do registro no RODC:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Loadbalancing BH aleatório permitido"1 = Habilitado (padrão), 0 = Desabilitado
Para obter mais informações sobre como esses aprimoramentos do KCC funcionam, consulte Planejando e Implantando o Active Directory Domain Services para Filiais (https://go.microsoft.com/fwlink/?LinkId=107114).
Funcionalidade de failover
Os sites garantem que a replicação seja roteada em torno de falhas de rede e controladores de domínio offline. O KCC é executado em intervalos especificados para ajustar a topologia de replicação para alterações que ocorrem no AD DS, por exemplo, quando novos controladores de domínio são adicionados e sites são criados. O KCC revisa o status de replicação das conexões existentes para determinar se alguma conexão não está funcionando. Se uma conexão não estiver funcionando devido a um controlador de domínio com falha, o KCC criará automaticamente conexões temporárias com outros parceiros de replicação (se disponíveis) para garantir que a replicação ocorra. Se todos os controladores de domínio em um site estiverem indisponíveis, o KCC criará automaticamente conexões de replicação entre controladores de domínio de outro site.
Sub-rede
Uma sub-rede é um segmento de uma rede TCP/IP à qual um conjunto de endereços IP lógicos são atribuídos. As sub-redes agrupam computadores de uma maneira que identifica sua proximidade física na rede. Objetos de sub-rede no AD DS identificam os endereços de rede usados para mapear computadores para sites.
Site
Sites são objetos do Active Directory que representam uma ou mais sub-redes TCP/IP com conexões de rede altamente confiáveis e rápidas. As informações do site permitem que os administradores configurem o acesso e a replicação do Active Directory para otimizar o uso da rede física. Objetos de site são associados a um conjunto de sub-redes e cada controlador de domínio em uma floresta é associado a um site do Active Directory de acordo com seu endereço IP. Os sites podem hospedar controladores de domínio de mais de um domínio, e um domínio pode ser representado em mais de um site.
Link de site
Links de site são objetos do Active Directory que representam caminhos lógicos que o KCC usa para estabelecer uma conexão para replicação do Active Directory. Um objeto de link de site representa um conjunto de sites que podem se comunicar, a um custo uniforme, por meio de um transporte intersite especificado.
Todos os sites contidos no link de site são considerados conectados por meio do mesmo tipo de rede. Os sites devem ser vinculados manualmente a outros sites usando links de site para que os controladores de domínio em um site possam replicar alterações de diretório de controladores de domínio em outro. Como links de site não correspondem ao caminho real seguido pelos pacotes de rede na rede física durante a replicação, você não precisa criar links de site redundantes para melhorar a eficiência de replicação do Active Directory.
Quando dois sites são conectados por um link de site, o sistema de replicação cria automaticamente conexões entre controladores de domínio específicos em cada site que são chamados de servidores bridgehead. No Windows Server 2008, todos os controladores de domínio em um site que hospedam a mesma partição de diretório são candidatos a serem selecionados como servidores bridgehead. As conexões de replicação criadas pelo KCC são distribuídas aleatoriamente entre todos os servidores bridgehead candidatos em um site para compartilhar a carga de trabalho de replicação. Por padrão, o processo de seleção aleatória ocorre apenas uma vez, quando os objetos de conexão são adicionados pela primeira vez ao site.
Ponte de link de site
Uma ponte de link de site é um objeto do Active Directory que representa um conjunto de links de site, e todos os sites deles podem se comunicar usando um transporte comum. As pontes de link de site habilitam controladores de domínio que não estão conectados diretamente por meio de um link de comunicação a replicar uns com os outros. Normalmente, uma ponte de link de site corresponde a um roteador (ou a um conjunto de roteadores) em uma rede IP.
Por padrão, o KCC pode formar uma rota transitiva por meio de todos os links de site que têm alguns sites em comum. Se esse comportamento estiver desabilitado, cada link de site representará a própria rede distinta e isolada. Conjuntos de links de site que podem ser tratados como uma só rota são expressos por meio de uma ponte de link de site. Cada ponte representa um ambiente de comunicação isolado para o tráfego de rede.
Pontes de link de site são um mecanismo para representar logicamente a conectividade física transitiva entre sites. Uma ponte de link de site permite que o KCC use qualquer combinação dos links de site incluídos para determinar a rota mais barata para interconectar partições de diretório mantidas nesses sites. A ponte de link de site não fornece conectividade real com os controladores de domínio. Se a ponte de link de site for removida, a replicação nos links de site combinados continuará até que o KCC remova os links.
Pontes de link de site só serão necessárias se um site contiver um controlador de domínio que hospeda uma partição de diretório que também não está hospedada em um controlador de domínio em um site adjacente, mas um controlador de domínio que hospeda essa partição de diretório estiver localizado em um ou mais outros sites na floresta. Sites adjacentes são definidos como dois ou mais sites incluídos em um só link de site.
Uma ponte de link de site cria uma conexão lógica entre dois links de site, fornecendo um caminho transitivo entre dois sites desconectados usando um site provisório. Para fins do gerador de topologia intersite (ISTG), a ponte implica em conectividade física usando o site provisório. A ponte não implica que um controlador de domínio no site provisório forneça o caminho de replicação. No entanto, esse seria o caso se o site provisório contivesse um controlador de domínio que hospedasse a partição de diretório a ser replicada; nesse caso, uma ponte de link de site não é necessária.
O custo de cada link de site é adicionado, criando um custo somado para o caminho resultante. A ponte de link de site será usada se o site provisório não contiver um controlador de domínio que hospeda a partição de diretório e se um link de custo mais baixo não existir. Se o site provisório contiver um controlador de domínio que hospeda a partição de diretório, dois sites desconectados configurariam conexões de replicação com o controlador de domínio provisório e não usariam a ponte.
Transitividade de link de site
Por padrão, todos os links de site são transitivos ou "em ponte". Quando os links de site são colocados em ponte e os agendamentos se sobrepõem, o KCC cria conexões de replicação que determinam parceiros de replicação do controlador de domínio entre sites, em que os sites não são conectados diretamente por links de site, mas são conectados transitivamente por meio de um conjunto de sites comuns. Isso significa que você pode conectar qualquer site a qualquer outro site por meio de uma combinação de links de site.
Em geral, para uma rede totalmente roteada, você não precisa criar nenhuma ponte de link de site, a menos que deseje controlar o fluxo de alterações de replicação. Se a rede não estiver totalmente roteada, pontes de link de site deverão ser criadas para evitar tentativas de replicação impossíveis. Todos os links de site para um transporte específico pertencem implicitamente a uma ponte de link de site para esse transporte. A ponte padrão para links de site ocorre automaticamente e nenhum objeto do Active Directory representa essa ponte. A configuração Vincular todos os links de site, encontrada nas propriedades dos contêineres de transporte entre sites IP e SMTP (Simple Mail Transfer Protocol), implementa a ponte automática do link do site.
Observação
Não haverá suporte para replicação SMTP em versões futuras do AD DS, portanto, não é recomendável criar objetos de links de site no contêiner SMTP.
Servidor de catálogo global
Um servidor de catálogo global é um controlador de domínio que armazena informações sobre todos os objetos na floresta, para que os aplicativos possam pesquisar o AD DS sem se referir a controladores de domínio específicos que armazenam os dados solicitados. Como todos os controladores de domínio, um servidor de catálogo global armazena réplicas completas e graváveis das partições de diretório de configuração e esquema, bem como uma réplica completa e gravável da partição de diretório de domínio para o domínio que está hospedando. Além disso, um servidor de catálogo global armazena uma réplica parcial somente leitura de todos os outros domínios na floresta. Réplicas de domínio parciais somente leitura contêm todos os objetos no domínio, mas apenas um subconjunto dos atributos (os atributos mais comumente usados para pesquisar o objeto).
Cache de membros de grupos universais
O cache de associação de grupo universal permite que o controlador de domínio armazene em cache informações de associação de grupo universais para usuários. Você pode habilitar controladores de domínio que estão executando o Windows Server 2008 a armazenar em cache associações de grupo universais usando o suplemento Sites e Serviços do Active Directory.
Habilitar o cache de associação de grupo universal elimina a necessidade de um servidor de catálogo global em cada site em um domínio, o que minimiza o uso de largura de banda de rede porque um controlador de domínio não precisa replicar todos os objetos localizados na floresta. Isso também reduz os tempos de logon porque os controladores de domínio de autenticação nem sempre precisam acessar um catálogo global para obter informações universais de associação de grupo. Para obter mais informações sobre quando usar o cache de associação de grupo universal, consulte Como planejar o posicionamento do servidor de catálogo global.