Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Antes de projetar a topologia de site, familiarize-se com alguns conceitos de replicação do Ative Directory.
Objeto de conexão
Um objeto de conexão é um objeto do Ative Directory que representa uma conexão de replicação de um controlador de domínio de origem para um controlador de domínio de destino. Um controlador de domínio é membro de um único site e é representado no site por um objeto de servidor nos Serviços de Domínio Ative Directory (AD DS). Cada objeto de servidor tem um objeto filho NTDS Settings que representa o controlador de domínio replicante no site.
O objeto de conexão é filho do objeto Configurações NTDS no servidor de destino. Para que a replicação ocorra entre dois controladores de domínio, o objeto de servidor de um deve ter um objeto de conexão que represente a replicação de entrada do outro. Todas as conexões de replicação para um controlador de domínio são armazenadas como objetos de conexão no objeto Configurações NTDS. O objeto de conexão identifica o servidor de origem da replicação, contém uma agenda de replicação e especifica um transporte de replicação.
O Verificador de Consistência de Conhecimento (KCC) cria objetos de conexão automaticamente, mas eles também podem ser criados manualmente. Os objetos de conexão criados pelo KCC aparecem no snap-in Sites e Serviços do Active Directory como <gerados> automaticamente e são considerados adequados em condições normais de operação. Os objetos de conexão criados por um administrador são objetos de conexão criados manualmente. Um objeto de conexão criado manualmente é identificado pelo nome atribuído pelo administrador quando foi criado. Quando você modifica um <objeto de conexão gerado> automaticamente, converte-o em um objeto de conexão modificado administrativamente e o objeto aparece na forma de um GUID. O KCC não faz alterações em objetos de conexão manuais ou modificados.
KCC
O KCC é um processo interno que é executado em todos os controladores de domínio e gera topologia de replicação para a floresta do Ative Directory. O KCC cria topologias de replicação separadas, dependendo se a replicação está ocorrendo dentro de um site (intrasite) ou entre sites (intersite). O KCC também ajusta dinamicamente a topologia para acomodar a adição de novos controladores de domínio, a remoção de controladores de domínio existentes, o movimento de controladores de domínio de e para sites, a alteração de custos e agendas e controladores de domínio que estão temporariamente indisponíveis ou em estado de erro.
Dentro de um site, as conexões entre controladores de domínio graváveis são sempre organizadas em um anel bidirecional, com conexões de atalho adicionais para reduzir a latência em sites grandes. Por outro lado, a topologia entre sites é uma camada de árvores de abrangência, o que significa que existe uma conexão entre sites entre quaisquer dois sites para cada partição de diretório e geralmente não contém conexões de atalho. Para obter mais informações sobre árvores de abrangência e topologia de replicação do Ative Directory, consulte Referência técnica da topologia de replicação do Ative Directory (https://go.microsoft.com/fwlink/?LinkID=93578).
Em cada controlador de domínio, o KCC cria rotas de replicação criando objetos de conexão de entrada unidirecionais que definem conexões de outros controladores de domínio. Para controladores de domínio no mesmo site, o KCC cria objetos de conexão automaticamente sem intervenção administrativa. Quando temos mais de um site, configuramos ligações de site entre eles, e um único KCC em cada site cria automaticamente conexões entre sites.
Melhorias do KCC para RODCs do Windows Server 2008
Há vários aprimoramentos do KCC para acomodar o controlador de domínio somente leitura (RODC) recém-disponível no Windows Server 2008. Um cenário de implantação típico para o RODC é a filial. A topologia de replicação do Ative Directory mais comumente implantada neste cenário é baseada em um design hub-and-spoke, em que os controladores de domínio de filial em vários locais replicam com um pequeno número de servidores bridgehead em um site de hub.
Um dos benefícios da implantação do RODC nesse cenário é a replicação unidirecional. Os servidores Bridgehead não precisam replicar a partir do RODC, o que reduz a administração e o uso da rede.
No entanto, um desafio administrativo destacado pela topologia hub-spoke em versões anteriores do sistema operacional Windows Server é que, depois de adicionar um novo controlador de domínio bridgehead no hub, não há nenhum mecanismo automático para redistribuir as conexões de replicação entre os controladores de domínio de filial e os controladores de domínio de hub para aproveitar o novo controlador de domínio de hub.
Para RODCs do Windows Server 2008, o funcionamento normal do KCC fornece algum reequilíbrio. A nova funcionalidade está habilitada por padrão. Você pode desativá-lo adicionando a seguinte chave do Registro definida no RODC:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Random BH Loadbalancing Allowed"1 = Ativado (padrão), 0 = Desativado
Para obter mais informações sobre como esses aprimoramentos do KCC funcionam, consulte Planejando e implantando serviços de domínio Ative Directory para filiais (https://go.microsoft.com/fwlink/?LinkId=107114).
Funcionalidade de failover
Os sites garantem que a replicação seja roteada em torno de falhas de rede e controladores de domínio offline. O KCC é executado em intervalos especificados para ajustar a topologia de replicação para alterações que ocorrem no AD DS, como quando novos controladores de domínio são adicionados e novos sites são criados. O KCC analisa o status de replicação das conexões existentes para determinar se alguma conexão não está funcionando. Se uma conexão não estiver funcionando devido a uma falha no controlador de domínio, o KCC criará automaticamente conexões temporárias com outros parceiros de replicação (se disponíveis) para garantir que a replicação ocorra. Se todos os controladores de domínio em um site não estiverem disponíveis, o KCC criará automaticamente conexões de replicação entre controladores de domínio de outro site.
Subnet
Uma sub-rede é um segmento de uma rede TCP/IP à qual um conjunto de endereços IP lógicos são atribuídos. As sub-redes agrupam computadores de forma a identificar a sua proximidade física na rede. Os objetos de sub-rede no AD DS identificam os endereços de rede usados para mapear computadores para sites.
Site
Sites são objetos do Ative Directory que representam uma ou mais sub-redes TCP/IP com conexões de rede altamente confiáveis e rápidas. As informações do site permitem que os administradores configurem o acesso e a replicação do Ative Directory para otimizar o uso da rede física. Os objetos de site são associados a um conjunto de sub-redes e cada controlador de domínio em uma floresta é associado a um site do Ative Directory de acordo com seu endereço IP. Os sites podem hospedar controladores de domínio de mais de um domínio e um domínio pode ser representado em mais de um site.
Link do site
Os links de site são objetos do Ative Directory que representam caminhos lógicos que o KCC usa para estabelecer uma conexão para a replicação do Ative Directory. Um objeto de ligação de site representa um conjunto de sites que podem comunicar a um custo homogéneo através de um transporte intersite especificado.
Todos os sites contidos no link do site são considerados conectados por meio do mesmo tipo de rede. Os sites devem ser vinculados manualmente a outros sites usando links de site para que os controladores de domínio em um site possam replicar alterações de diretório de controladores de domínio em outro site. Como os links de site não correspondem ao caminho real tomado pelos pacotes de rede na rede física durante a replicação, não é necessário criar links de site redundantes para melhorar a eficiência da replicação do Ative Directory.
Quando dois sites são conectados por um link de site, o sistema de replicação cria automaticamente conexões entre controladores de domínio específicos em cada site que são chamados de servidores bridgehead. No Windows Server 2008, todos os controladores de domínio em um site que hospedam a mesma partição de diretório são candidatos a serem selecionados como servidores bridgehead. As conexões de replicação criadas pelo KCC são distribuídas aleatoriamente entre todos os servidores bridgehead candidatos em um site para compartilhar a carga de trabalho de replicação. Por padrão, o processo de seleção aleatória ocorre apenas uma vez, quando os objetos de conexão são adicionados pela primeira vez ao site.
Ponte de site
Uma ponte de link de site é um objeto do Active Directory que representa um conjunto de links de site, cujos sites podem comunicar-se usando um transporte comum. As pontes de link de site permitem que os controladores de domínio que não estão diretamente conectados por meio de um canal de comunicação realizem replicação entre si. Normalmente, uma ponte de ligação de site corresponde a um router (ou um conjunto de routers) numa rede IP.
Por padrão, o KCC pode formar uma rota transitiva através de todo e qualquer link de site que tenha alguns sites em comum. Se esse comportamento estiver desabilitado, cada link de site representa sua própria rede distinta e isolada. Conjuntos de ligações de site que podem ser tratados como uma única rota são expressos através de uma ponte de ligação de site. Cada ponte representa um ambiente de comunicação isolado para o tráfego de rede.
As pontes de ligação de site são um mecanismo para representar logicamente a conexão física transitiva entre sites. Uma ponte de ligação de site permite que o KCC use qualquer combinação dos links de site incluídos para determinar a rota menos custosa para interconectar partições de diretório mantidas nesses sites. A ponte de ligação do site não fornece conectividade efetiva aos controladores de domínio. Se a ponte de ligação de site for removida, a replicação nos links combinados continuará até que o KCC remova os links.
As pontes de link de site só são necessárias se um site contiver um controlador de domínio que hospeda uma partição de diretório que não está também hospedada em um controlador de domínio em um site adjacente, mas um controlador de domínio que hospeda essa partição de diretório está localizado em um ou mais outros sites na floresta. Sites adjacentes são definidos como quaisquer dois ou mais sites incluídos em um único link de site.
Uma ponte de ligações de site cria uma conexão lógica entre duas ligações de site, proporcionando um caminho transitivo entre dois sites desconectados através de um site intermediário. Para os fins do gerador de topologia entre sites (ISTG), a ponte implica conectividade física usando o site provisório. A ponte não implica que um controlador de domínio no site provisório fornecerá o caminho de replicação. No entanto, esse seria o caso se o site provisório contivesse um controlador de domínio que hospedasse a partição de diretório a ser replicada, caso em que uma ponte de link de site não é necessária.
O custo de cada link de site é adicionado, criando um custo somado para o caminho resultante. A ponte de link de site será usada se o site provisório não contiver um controlador de domínio que hospede a partição de diretório e um link de custo mais baixo não existir. Se o site provisório contivesse um controlador de domínio que hospedasse a partição de diretório, dois sites desconectados configurariam conexões de replicação com o controlador de domínio provisório e não usariam a ponte.
Transitividade dos links de site
Por padrão, todos os links de site são transitivos ou "em ponte". Quando os links de site são interligados e os horários coincidem, o KCC cria ligações de replicação que determinam os parceiros de replicação do controlador de domínio entre sites, onde os sites não estão diretamente ligados por links de site, mas são conectados transitivamente por meio de um conjunto comum de sites. Isso significa que você pode conectar qualquer site a qualquer outro site através de uma combinação de links de site.
Em geral, para uma rede totalmente roteada, não é necessário criar pontes de ligação entre sites, a menos que deseje controlar o fluxo de alterações de replicação. Se a sua rede não estiver totalmente roteada, devem ser criadas pontes de ligação de sites para evitar tentativas de replicação impossíveis. Todos os links de site para um transporte específico pertencem implicitamente a uma única ponte de ligação de site para esse transporte. A ponte padrão para links de site ocorre automaticamente e nenhum objeto do Ative Directory representa essa ponte. A configuração Bridge all site links, encontrada nas propriedades dos contentores de transporte intersite IP e SMTP (Simple Mail Transfer Protocol), implementa a ligação automática de links de sites.
Note
A replicação SMTP não será suportada em versões futuras do AD DS; portanto, a criação de objetos de links de site no contêiner SMTP não é recomendada.
Servidor de catálogo global
Um servidor de catálogo global é um controlador de domínio que armazena informações sobre todos os objetos na floresta, para que os aplicativos possam pesquisar o AD DS sem fazer referência a controladores de domínio específicos que armazenam os dados solicitados. Como todos os controladores de domínio, um servidor de catálogo global armazena réplicas completas e graváveis das partições de diretório de esquema e configuração e uma réplica completa e gravável da partição de diretório de domínio para o domínio que está hospedando. Além disso, um servidor de catálogo global armazena uma réplica parcial, somente leitura, de todos os outros domínios num domínio de floresta. As réplicas de domínio parciais e somente leitura contêm todos os objetos no domínio, mas apenas um subconjunto dos atributos (os atributos mais comumente usados para pesquisar o objeto).
Cache de associação de grupo universal
O cache de associação de grupo universal permite que o controlador de domínio armazene em cache informações de associação de grupo universal para usuários. Você pode ativar controladores de domínio que estejam a executar o Windows Server 2008 para armazenar associações de grupo universal, utilizando o snap-in Sites e Serviços do Active Directory.
A habilitação do cache de associação de grupo universal elimina a necessidade de um servidor de catálogo global em cada site de um domínio, o que minimiza o uso da largura de banda da rede porque um controlador de domínio não precisa replicar todos os objetos localizados na floresta. Ele também reduz os tempos de logon porque os controladores de domínio de autenticação nem sempre precisam acessar um catálogo global para obter informações de associação de grupo universal. Para obter mais informações sobre quando usar o cache de associação de grupo universal, consulte Planejando o posicionamento do servidor de catálogo global.