Conceptos de replicación de Active Directory

Antes de diseñar la topología del sitio, familiarícese con algunos conceptos de replicación de Active Directory.

Connection (objeto)

Un objeto de conexión es un objeto de Active Directory que representa una conexión de replicación de un controlador de dominio de origen a un controlador de dominio de destino. Un controlador de dominio es miembro de un único sitio y se representa en el sitio mediante un objeto de servidor en Active Directory Domain Services (AD DS). Cada objeto de servidor tiene un objeto de configuración NTDS secundario que representa el controlador de dominio de replicación del sitio.

El objeto de conexión es un elemento secundario del objeto de configuración NTDS en el servidor de destino. Para que se produzca la replicación entre dos controladores de dominio, el objeto de servidor de uno de ellos debe tener un objeto de conexión que represente la replicación entrante del otro. Todas las conexiones de replicación de un controlador de dominio se almacenan como objetos de conexión en el objeto de configuración NTDS. El objeto de conexión identifica el servidor de origen de replicación, contiene una programación de replicación y especifica un transporte de replicación.

El Comprobador de coherencia de la información (KCC) crea los objetos de conexión automáticamente, pero también se pueden crear manualmente. Los objetos de conexión creados por KCC aparecen en el complemento Sitios y servicios de Active Directory como <generados automáticamente> y se consideran adecuados en condiciones de funcionamiento normales. Los objetos de conexión creados por un administrador son objetos de conexión creados manualmente. Un objeto de conexión creado manualmente se identifica por el nombre asignado por el administrador cuando se creó. Cuando se modifica un objeto de conexión <generado automáticamente>, se convierte en un objeto de conexión modificado administrativamente y el objeto aparece en forma de GUID. KCC no realiza cambios en los objetos de conexión manuales o modificados.

KCC

KCC es un proceso integrado que se ejecuta en todos los controladores de dominio y genera la topología de replicación del bosque de Active Directory. KCC crea topologías de replicación independientes en función de si la replicación se produce dentro de un sitio (intrasitio) o entre sitios (intersitios). KCC también ajusta dinámicamente la topología para dar cabida a la adición de nuevos controladores de dominio, la eliminación de controladores de dominio existentes, el movimiento de controladores de dominio hacia y desde sitios, los cambios en costos y programaciones, y los controladores de dominio que no están disponibles temporalmente o en estado de error.

Dentro de un sitio, las conexiones entre controladores de dominio disponibles para escritura siempre se organizan en un anillo bidireccional, con conexiones de acceso directo adicionales para reducir la latencia en sitios grandes. Por otro lado, la topología entre sitios es una capa de árboles de expansión, lo que significa que existe una conexión entre sitios entre dos sitios para cada partición del directorio y, por lo general, no contiene conexiones de acceso directo. Para obtener más información sobre los árboles de expansión y la topología de replicación de Active Directory, consulte Referencia técnica de la topología de replicación de Active Directory (https://go.microsoft.com/fwlink/?LinkID=93578).

En cada controlador de dominio, KCC crea rutas de replicación mediante la creación de objetos de conexión de entrada unidireccionales que definen las conexiones desde otros controladores de dominio. En el caso de los controladores de dominio en el mismo sitio, KCC crea objetos de conexión automáticamente sin intervención administrativa. Cuando tenga más de un sitio, configure vínculos de sitio entre los sitios y un único KCC de cada sitio también crea automáticamente las conexiones entre los sitios.

Mejoras de KCC para los RODC de Windows Server 2008

Hay varias mejoras de KCC para adaptarse al controlador de dominio de solo lectura (RODC) recientemente disponible en Windows Server 2008. Un escenario de implementación típico para RODC es la sucursal. La topología de replicación de Active Directory que se implementa normalmente en este escenario se basa en un diseño en estrella tipo hub-and-spoke, donde los controladores de dominio de las sucursales de varios sitios se replican con un pequeño número de servidores de cabeza de puente en un sitio concentrador.

Una de las ventajas de implementar RODC en este escenario es la replicación unidireccional. No son necesarios servidores de cabeza de puente para replicar desde el RODC, lo que reduce el uso de la red y la administración.

Sin embargo, un desafío administrativo resaltado por la topología en estrella tipo hub-and-spoke en versiones anteriores del sistema operativo Windows Server es que, después de agregar un nuevo controlador de dominio de puente en el concentrador, no hay ningún mecanismo automático para redistribuir las conexiones de replicación entre los controladores de dominio de las sucursales y los controladores de dominio del concentrador para aprovechar el nuevo controlador de dominio del concentrador.

En el caso de los RODC de Windows Server 2008, el funcionamiento normal de KCC proporciona cierto reequilibrio. La nueva funcionalidad está habilitada de manera predeterminada. Para deshabilitarla, agregue la siguiente clave del Registro establecida en el RODC:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Random BH Loadbalancing Allowed"1 = habilitado (predeterminado), 0 = deshabilitado

Para obtener más información sobre cómo funcionan estas mejoras de KCC, consulte Revisión de las mejoras en el equilibrio de carga de los servidores de cabeza de puente con los RODC de Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=107114).

Funcionalidad de conmutación por error

Los sitios garantizan que la replicación se enrute alrededor de los errores de red y los controladores de dominio sin conexión. KCC se ejecuta a intervalos especificados para ajustar la topología de replicación de los cambios que se producen en AD DS, como cuando se agregan nuevos controladores de dominio y se crean nuevos sitios. KCC revisa el estado de replicación de las conexiones existentes para determinar si alguna conexión no funciona. Si una conexión no funciona debido a un controlador de dominio con errores, KCC crea automáticamente conexiones temporales a otros asociados de replicación (si están disponibles) para asegurarse de que se produzca la replicación. Si todos los controladores de dominio de un sitio no están disponibles, KCC crea automáticamente conexiones de replicación entre controladores de dominio de otro sitio.

Subnet

Una subred es un segmento de una red TCP/IP a la que se asigna un conjunto de direcciones IP lógicas. Las subredes agrupan los equipos de una manera que identifica su proximidad física en la red. Los objetos de subred de AD DS identifican las direcciones de red que se usan para asignar equipos a sitios.

Sitio

Los sitios son objetos de Active Directory que representan una o varias subredes TCP/IP con conexiones de red altamente confiables y rápidas. La información del sitio permite a los administradores configurar el acceso y la replicación de Active Directory para optimizar el uso de la red física. Los objetos de sitio están asociados a un conjunto de subredes y cada controlador de dominio de un bosque está asociado a un sitio de Active Directory según su dirección IP. Los sitios pueden hospedar controladores de dominio de más de un dominio y un dominio puede estar representado en más de un sitio.

Vínculo de sitio

Los vínculos de sitio son objetos de Active Directory que representan las rutas de acceso lógicas que usa KCC para establecer una conexión para la replicación de Active Directory. Un objeto de vínculo de sitio representa un conjunto de sitios que pueden comunicarse a un costo uniforme mediante un transporte entre sitios especificado.

Todos los sitios contenidos en el vínculo de sitio se consideran conectados mediante el mismo tipo de red. Los sitios se deben vincular manualmente a otros sitios mediante vínculos de sitio para que los controladores de dominio de un sitio puedan replicar los cambios del directorio de los controladores de dominio de otro sitio. Dado que los vínculos de sitio no se corresponden a la ruta de acceso real tomada por los paquetes de red en la red física durante la replicación, no es necesario crear vínculos de sitio redundantes para mejorar la eficacia de la replicación de Active Directory.

Cuando dos sitios están conectados mediante un vínculo de sitio, el sistema de replicación crea automáticamente conexiones entre controladores de dominio específicos de cada sitio llamados servidores de cabeza de puente. En Windows Server 2008, todos los controladores de dominio de un sitio que hospedan la misma partición de directorio son candidatos para ser seleccionados como servidores de cabeza de puente. Las conexiones de replicación creadas por KCC se distribuyen aleatoriamente entre todos los servidores de cabeza de puente candidatos de un sitio para compartir la carga de trabajo de replicación. De manera predeterminada, el proceso de selección aleatoria solo tiene lugar una vez, cuando los objetos de conexión se agregan por primera vez al sitio.

Puente de vínculo de sitio

Un puente de vínculo de sitio es un objeto de Active Directory que representa un conjunto de vínculos de sitio en el que todos los sitios se pueden comunicar mediante un transporte común. Los puentes de vínculos de sitio permiten que los controladores de dominio que no están conectados directamente mediante un vínculo de comunicación se puedan replicar entre sí. Normalmente, un puente de vínculo de sitio se corresponde a un enrutador (o un conjunto de enrutadores) de una red IP.

De manera predeterminada, KCC puede formar una ruta transitiva a través de cualquiera de los vínculos de sitio que tengan algunos sitios en común. Si este comportamiento está deshabilitado, cada vínculo de sitio representa su propia red distinta y aislada. Los conjuntos de vínculos de sitio que se pueden tratar como una sola ruta se expresan mediante un puente de vínculos de sitio. Cada puente representa un entorno de comunicación aislado para el tráfico de red.

Los puentes de vínculos de sitio son un mecanismo para representar lógicamente la conectividad física transitiva entre sitios. Un puente de vínculos de sitio permite a KCC usar cualquier combinación de los vínculos de sitio incluidos para determinar la ruta menos costosa para interconectar las particiones de directorio que se mantienen en esos sitios. El puente de vínculos de sitio no proporciona conectividad real con los controladores de dominio. Si se quita el puente de vínculos de sitio, la replicación en los vínculos de sitio combinados continuará hasta que KCC quite los vínculos.

Los puentes de vínculo de sitio solo son necesarios si un sitio contiene un controlador de dominio que hospeda una partición de directorio que no está hospedada también en un controlador de dominio de un sitio adyacente, sino un controlador de dominio que hospeda esa partición de directorio se encuentra en uno o varios otros sitios del bosque. Los sitios adyacentes se definen como dos o más sitios incluidos en un único vínculo de sitio.

Un puente de vínculos de sitio crea una conexión lógica entre dos vínculos de sitio, lo que proporciona una ruta de acceso transitiva entre dos sitios desconectados mediante un sitio intermedio. Para los fines del generador de topología entre sitios (ISTG), el puente implica conectividad física mediante el sitio intermedio. El puente no implica que un controlador de dominio del sitio intermedio proporcione la ruta de acceso de replicación. Sin embargo, este sería el caso si el sitio intermedio contenía un controlador de dominio que hospedaba la partición de directorio que se va a replicar, en cuyo caso no es necesario un puente de vínculos de sitio.

Se agrega el costo de cada vínculo de sitio, lo que crea un costo sumado para la ruta de acceso resultante. El puente de vínculos de sitio se usaría si el sitio intermedio no contiene un controlador de dominio que hospeda la partición de directorio y no existe un vínculo de costo inferior. Si el sitio intermedio contenía un controlador de dominio que hospeda la partición de directorio, dos sitios desconectados configurarían conexiones de replicación con el controlador de dominio intermedio y no usarían el puente.

Transitividad de vínculos de sitio

De manera predeterminada, todos los vínculos de sitio son transitivos o "enlazados". Cuando se enlazan los vínculos de sitio y se superponen las programaciones, KCC crea conexiones de replicación que determinan los asociados de replicación del controlador de dominio entre sitios, donde los sitios no están conectados directamente mediante vínculos de sitio, sino que se conectan transitivamente mediante un conjunto de sitios comunes. Esto significa que puede conectar cualquier sitio a cualquier otro sitio mediante una combinación de vínculos de sitio.

En general, en una red totalmente enrutada, no es necesario crear puentes de vínculos de sitio a menos que desee controlar el flujo de cambios de replicación. Si la red no está totalmente enrutada, se deben crear puentes de vínculos de sitio para evitar intentos de replicación imposibles. Todos los vínculos de sitio de un transporte específico pertenecen implícitamente a un único puente de vínculos de sitio para ese transporte. El puente predeterminado para los vínculos de sitio se produce automáticamente y ningún objeto de Active Directory representa ese puente. La configuración Enlazar todos los vínculos a sitios, que se encuentra en las propiedades de los contenedores de transporte entre sitios del Protocolo simple de transferencia de correo (SMTP) e IP, implementa el puente automático de vínculos de sitio.

Nota

La replicación SMTP no se admitirá en versiones futuras de AD DS; por lo tanto, no se recomienda crear objetos de vínculos de sitio en el contenedor SMTP.

Servidor del catálogo global

Un servidor de catálogo global es un controlador de dominio que almacena información sobre todos los objetos del bosque, de modo que las aplicaciones puedan buscar en AD DS sin hacer referencia a los controladores de dominio específicos que almacenan los datos solicitados. Al igual que todos los controladores de dominio, un servidor de catálogo global almacena réplicas completas y disponibles para escritura de las particiones de directorio de esquema y configuración, y una réplica completa y disponible para escritura de la partición de directorio de dominio del dominio que hospeda. Además, un servidor de catálogo global almacena una réplica parcial de solo lectura de todos los demás dominios del bosque. Las réplicas de dominio parciales de solo lectura contienen todos los objetos del dominio, pero solo un subconjunto de los atributos (aquellos atributos que se usan con más frecuencia para buscar el objeto).

Caché de pertenencia al grupo universal

El almacenamiento en caché de pertenencia al grupo universal permite al controlador de dominio almacenar en caché la información de pertenencia al grupo universal de los usuarios. Puede habilitar controladores de dominio que ejecutan Windows Server 2008 para almacenar en caché las pertenencias al grupo universal mediante el complemento Sitios y servicios de Active Directory.

La habilitación del almacenamiento en caché de pertenencia al grupo universal elimina la necesidad de un servidor de catálogo global en cada sitio de un dominio, lo que minimiza el uso del ancho de banda de red porque un controlador de dominio no tiene que replicar todos los objetos ubicados en el bosque. También reduce los tiempos de inicio de sesión porque los controladores de dominio de autenticación no tienen que acceder siempre a un catálogo global para obtener la información de pertenencia al grupo universal. Para obtener más información sobre cuándo usar el almacenamiento en caché de pertenencia al grupo universal, consulte Planeamiento de la ubicación del servidor de catálogo global.