Sitios, Servicios y Replicación Active Directory

De ITCG Wiki
Ir a la navegaciónIr a la búsqueda

Los sitios en Active Directory son objetos del directorio que se utilizan para representar la topología física de una organización en la red. Los sitios pueden incluir uno o varios subnets (subredes), y cada subnet está asociada con un sitio específico. La gestión de sitios en Active Directory es esencial para la administración de la replicación de datos entre los controladores de dominio en diferentes ubicaciones geográficas.

La replicación de datos en Active Directory es un proceso crítico que asegura que los datos del directorio estén actualizados y sean coherentes entre los controladores de dominio. La replicación se realiza automáticamente entre los controladores de dominio en la misma ubicación (sitio), pero puede requerir configuraciones adicionales para que se replique de manera eficiente y efectiva entre sitios.

Los sitios también se pueden utilizar para asignar políticas de grupo (GPO) y configuraciones específicas de la red a los usuarios y computadoras en diferentes ubicaciones geográficas. Por ejemplo, si una organización tiene varias sucursales en diferentes ciudades, se pueden configurar políticas de grupo específicas para cada sucursal en su respectivo sitio.

Además, los sitios también se pueden utilizar para controlar el tráfico de red en la red de una organización, ya que permiten que los servicios de Active Directory se comuniquen con los controladores de dominio en su propio sitio antes de intentar la comunicación con controladores de dominio en otros sitios.

AD-sites.png


Conceptualización General

Los sitios de AD son redes altamente interconectadas de subredes IP que definen la estructura física de AD. Estas redes son muy confiables y rápidas, por lo que es importante asegurarse de que el tráfico de replicación de cambios de AD no ralentice toda la red y los controladores de dominio de impuestos. Cada sitio de AD se asigna a un dominio de AD y un dominio de AD puede tener varios sitios asignados.

Cada entorno de AD requiere al menos un sitio de AD definido por sí mismo. El primer sitio se crea cuando se crea el primer controlador de dominio en el bosque de AD y se denomina Nombre predeterminado del primer sitio. Un sitio puede tener controladores de dominio de varios dominios.

Como propósito y necesidad como parte de su infraestructura AD se nos presentan componentes importantes para que este funcione, los sitios son objetos que conforman el directorio los cuales se encuentran divididos por configuración:

  • CN= Sites
  • CN= Configuration
  • DC= Dominio raíz del bosque

Los sitios tienen como propósito gestionar el tráfico que se da cuando se replican los sitios y de este modo ayudar con la ubicación de los servicios, crear sitios se vuelve una necesidad cuando se tiene que identificar y separar una red conectada. Debemos de recordar que una red con conexión fuerte representa un sitio de Active Directory donde replicaciones y cambios son instantáneos, por esto mismo los sitios se vuelven una necesidad dentro de Active Directory. Active Directory cuenta con el complemento Sitios y Servicios el cual sirve para la administración de objetos de manera específica y estos implementan la topología de replicación entre sitios, todos los objetos se almacenan específicamente en el contenedor de sitios de servicios de dominio en AD. Si se tiene una red física el sitio representa el conjunto de equipos que se conectan mediante una red de velocidad alta, por ejemplo, red LAN, es común que los equipos en sitios físicos se encuentren en un mismo lugar como, por ejemplo: edificios o empresas.


Gestión de sitios de Active Directory

En una red física, un sitio representa una colección de computadoras conectadas a una red de alta velocidad, como una red de área local tambien conocida como LAN. Resaltar que todas las computadoras en la misma ubicación física están en el mismo edificio o quizás en la misma red de campus.

En AD DS, un objeto de sitio representa las partes de un sitio físico que se pueden administrar, específicamente la replicación de directorios entre controladores de dominio donde puede usar sitios y servicios de Active Directory para administrar objetos que representan sitios web y los servidores que residen en esos sitios web.

Los objetos del sitio y los objetos relacionados se copian en todos los controladores de dominio del bosque de Active Directory. Puede administrar los siguientes objetos en Active Directory and Services.

La gestión de sitios de Active Directory es un aspecto importante de la administración de AD.

Para tomar el control del sitio se puede tomar en cuenta ciertos aspectos:

  • Sitios
  • Subredes
  • Servidores
  • Configuración NTDS
  • Conexiones
  • Vínculos a sitios
  • Transportes entre sitios IP y SMTP


Ver sitios de AD: ayuda a los administradores a ver todos los sitios que han creado, ayudándoles a comprender qué sitios están disponibles para qué funciones, incluida la replicación, y ayudando con la resolución de problemas.

Elimine sitios y redes de AD: elimine los sitios que los administradores de red ya no necesitan y mantenga una buena higiene de la red.

Cambio de sitios de AD: los administradores necesitan flexibilidad para cambiar de sitio si una organización decide rediseñar su red.

Adición de redes adicionales a un sitio de AD: los administradores deberían poder agregar fácilmente subredes adicionales o asignar redes adicionales a un sitio si la organización lo requiere.


Comunicación de sitios

Objetivo de conexión

El objeto de conexión es un Active Directory que representa una conexión de replicación desde un controlador de dominio de origen a un controlador de dominio de destino. Un controlador de dominio es miembro de un solo sitio, representado en el sitio por un objeto de servidor de Servicios de dominio de Active Directory (AD DS). Cada objeto de servidor tiene un objeto de configuración NTDS que representa un controlador de dominio replicado en el sitio, el objeto de conexión es un elemento secundario del objeto de configuración NTDS en el servidor de destino. Para replicar entre dos controladores de dominio, el objeto de servidor en un controlador de dominio debe tener un objeto de conexión que represente la replicación entrante del otro dominio, todas las conexiones replicadas a un controlador de dominio se almacenan en la configuración de NTDS como objetos de conexión. El objeto de conexión identifica el servidor de origen de replicación, contiene el plan de replicación y especifica el transporte de replicación. El Comprobador de coherencia de conocimiento (KCC) crea automáticamente objetos de conexión, pero también se pueden crear manualmente. Los objetos de conexión creados por KCC aparecen en Sitios y servicios de Active Directory Complementos como generados automáticamente y se consideran suficientes en condiciones normales de funcionamiento. Los objetos de conexión creados por el administrador se crean manualmente. Los objetos de conexión creados manualmente se identifican mediante un nombre asignado por el administrador en el momento de la creación. Cuando se modifica un objeto de conexión generado automáticamente, se convierte en un objeto de conexión modificado administrativamente y el objeto aparece como un GUID de igual forma KCC no altera los objetos de conexión manuales o modificados.

Enlaces entre sitios

Los enlaces de sitio en Active Directory representan rutas lógicas que el KCC usa para establecer una conexión para la replicación de Active Directory, un objeto de enlace de sitio representa un conjunto de sitios que pueden comunicarse a un costo uniforme a través de un transporte entre sitios específicos. Todos los sitios contenidos dentro del enlace del sitio se consideran conectados por medio del mismo tipo de red, los sitios deben vincularse manualmente a otros sitios utilizando enlaces de sitio para que los controladores de dominio en un sitio puedan replicar los cambios de directorio de los controladores de dominio en otro sitio, esto se da porque los enlaces de sitio no se corresponden con la ruta real tomada por los paquetes de red en la red física durante la replicación, no es necesario crear enlaces de sitios redundantes para mejorar la eficacia de la replicación de Active Directory. Cuando dos sitios están conectados por un enlace de sitio, el sistema de replicación crea automáticamente conexiones entre controladores de dominio específicos en cada sitio que se denominan servidores cabeza de puente. Todos los controladores de dominio en un sitio que aloja la misma partición de directorio son candidatos para ser seleccionados como servidores cabeza de puente. Las conexiones de replicación creadas por el KCC se distribuyen aleatoriamente entre todos los servidores cabeza de puente candidatos en un sitio para compartir la carga de trabajo de replicación. De forma predeterminada, el proceso de selección aleatoria sólo tiene lugar una vez, cuando los objetos de conexión se agregan primero al sitio.

Servidores cabeza de puente

Un servidor cabeza de puente de sitio en Active Directory representa al conjunto de vínculos de sitios, donde estos establecen comunicación a través de un transporte común, permiten que los controladores de dominio que no se encuentran conectados directamente mediante un vínculo de comunicación se repliquen entre sí. Automáticamente KCC puede hacer una ruta transitiva por medio de todos los vínculos de sitio que contienen algunos sitios en común, Si se encuentra deshabilitado, cada vínculo de sitio representa su propia red aislada y distinta. Los servidores de cabeza de puente son un mecanismo para representar lógicamente la conectividad física transitiva entre sitios. Un puente de vínculo de sitio permite a KCC usar cualquier combinación de los vínculos de sitio incluidos para determinar la ruta menos costosa para interconectar las particiones de directorio que se mantienen en esos sitios. El puente de vínculo de sitio no proporciona conectividad real a los controladores de dominio. Si se quita el puente de vínculo de sitio, la replicación a través de los vínculos de sitio combinados continuará hasta que KCC quite los vínculos. Los servidores de cabeza de puente se deben de utilizar si un sitio contiene un controlador de dominio que hospeda una partición de directorio que no está hospedada en un controlador de dominio en un sitio, pero un controlador de dominio que hospeda esa partición de directorio se encuentra en uno o varios sitios del bosque.

Modelo multimaestro al efectuar replicación AD

Replicación multimaestro es el método de replicación de base de datos que propicia que los datos sean guardados por un grupo de computadoras y poder actualizarlos cualquier miembro del grupo, este modelo es el responsable de repartir las modificaciones de datos que cada miembro realiza al resto del grupo y resolver cualquier conflicto que pueda aparecer entre los cambios simultáneos hechos por los diferentes miembros. Esta también se conoce como replicación primaria debido a que un solo miembro del grupo es el maestro para una cierta pieza de datos, siendo el único nodo al que tiene permiso de modificación en esa pieza de datos. La replicación multimaestro cuenta con agrupación de clústeres de conmutación por error, los servidores que son pasivos en la replicación de datos maestros tienen que prepararse para tomar el control en caso de que el maestro deje de funcionar por cualquier inconveniente, pero se debe aclarar que el maestro es el único servidor de manera activa para tener interacción con el cliente. Las implementaciones de replicación con varios maestros son bastante prevalentes en Active Directory y Microsoft, en AD los objetos actualizados en un controlador de dominio se replican en otros controladores de dominio a través de la replicación multimaestro, no es necesario que los controladores de dominio se replique entre sí porque causa que el tráfico de red se vuelva excesivo en las grandes implementaciones de Active Directory, los controladores de dominio cuentan con un patrón de actualización complejo que cuenta con la garantía que sus servidores se actualicen de manera oportuna y que su tráfico no sea excesivo en la replicación.

Replicacion de AD

Replicacion de AD.png


El proceso de replicación de Active Directory utiliza un protocolo de replicación específico de Active Directory que se basa en un modelo de replicación multimaestro. En este modelo, cada controlador de dominio tiene una copia completa y actualizada de la base de datos de Active Directory. Cada controlador de dominio es responsable de replicar los cambios realizados en su base de datos a los demás controladores de dominio de la organización.

La replicación de Active Directory se divide en dos tipos principales: replicación intra-sitio y replicación inter-sitio. La replicación intra-sitio se produce entre controladores de dominio dentro del mismo sitio y se realiza de forma sincrónica. La replicación intra-sitio se produce a través de conexiones de red de alta velocidad y se completa en cuestión de unos segundos.

La replicación inter-sitio se produce entre controladores de dominio de diferentes sitios y se realiza de forma asincrónica. La replicación inter-sitio se realiza a través de conexiones de red de baja latencia o velocidad y puede tardar mucho más tiempo en completarse que la replicación intra-sitio.

La replicación de Active Directory también utiliza un modelo de replicación de tres fases que se divide en tres etapas principales: notificación, solicitud y respuesta. Durante la fase de notificación, un controlador de dominio notifica a otro controlador de dominio sobre un cambio realizado en su base de datos de Active Directory. Durante la fase de solicitud, el controlador de dominio que recibió la notificación solicita el cambio al controlador de dominio que lo realizó. Durante la fase de respuesta, el controlador de dominio que realizó el cambio responde a la solicitud y envía el cambio al controlador de dominio que lo solicitó.

Características de Replica de AD

La replicación de AD es el proceso mediante el cual los cambios realizados en un controlador de dominio se copian en otros controladores de dominio dentro del mismo dominio.

Algunas de las características de la replicación de Active Directory incluyen:

  1. Replicación multimaestro: Active Directory utiliza la replicación multimaestro, lo que significa que cualquier controlador de dominio puede realizar cambios en el directorio y esos cambios se replicarán en otros controladores de dominio. Esto permite una alta disponibilidad y tolerancia a fallas.
  1. Topología de replicación: la replicación de Active Directory utiliza una topología de replicación que se basa en la conectividad física de los controladores de dominio. Cada controlador de dominio tiene un socio de replicación específico con el que se comunica y los cambios se propagan a través de la topología de replicación.
  1. Replicación dentro del sitio: la replicación dentro del sitio se produce entre controladores de dominio que se encuentran en el mismo sitio. De manera predeterminada, la replicación ocurre cada 15 segundos, pero este intervalo se puede configurar.
  1. Replicación entre sitios: la replicación entre sitios se produce entre controladores de dominio que se encuentran en diferentes sitios. Esta replicación ocurre con menos frecuencia que la replicación dentro del sitio y está controlada por la programación del vínculo del sitio.
  1. Compresión de replicación: la replicación de Active Directory usa compresión para reducir la cantidad de datos que deben transmitirse a través de la red. Esto ayuda a reducir el tráfico de red y mejorar el rendimiento de la replicación.
  1. Resolución de conflictos: Active Directory usa un número de versión para realizar un seguimiento de los cambios y usa un algoritmo de resolución de conflictos para resolver los conflictos que pueden surgir cuando se realizan cambios en el directorio en diferentes controladores de dominio.

Monitoreo y supervisión de la Replicación

Monitoreo AD.png


Active Directory es un directorio de Internet estándar y nombres de protocolo implementados por Microsoft. Casi todas las empresas con una infraestructura de Windows probablemente usen AD para administrar las cuentas y los derechos de los usuarios. A pesar de sus características avanzadas, administrar dominios de Active Directory es difícil y requiere mucho tiempo, ya que aún es propenso a problemas de rendimiento, como inicios de sesión lentos, cuentas bloqueadas, tiempos de respuesta de uso de recursos, etc. Es por eso que los equipos de TI necesitan una herramienta de monitoreo del rendimiento de Active Directory para mantener el funcionamiento óptimo de Active Directory. Además, monitorear el estado de Active Directory contribuye en gran medida a garantizar la continuidad de su red comercial. Application Manager Active Directory Performance Monitoring supervisa las métricas de rendimiento críticas y ejecuta importantes pruebas de diagnóstico. También puede actuar como un monitor completo de AD que identifica los cuellos de botella en el rendimiento y toma medidas correctivas para solucionarlos, lo que garantiza el buen funcionamiento de los servicios de Active Directory.


Monitoree el rendimiento de los controladores de dominio

Supervise el rendimiento del controlador de dominio, la autenticación y los archivos de servicio (archivos NTDS). Asegúrese de que los archivos NTDS no se queden sin espacio en el disco, lo que provocaría la autenticación del usuario y las fallas del usuario.


Monitoree los servicios de Active Directory

Application Manager proporciona información sobre varias categorías de servicios de Active Directory, como servicios de dominio, servicios de certificados, servicios de integración de directorios y administración de derechos. Estos servicios tienen varias funciones importantes, desde el almacenamiento de datos hasta la gestión de derechos.

La herramienta de monitoreo de Application Manager le brinda una vista instantánea del estado de todos sus servicios de Application Manager. Puede administrar el estado, la disponibilidad y el estado de inicio de los servicios configurando alarmas y recibiendo notificaciones cuando se excedan los umbrales. Verifique los servicios de directorio para asegurarse de que las direcciones, el correo electrónico y los contactos telefónicos estén siempre sincronizados.


Por lo tanto, esta herramienta es muy importante dado que las actividades de replicación se distribuyen por lo tanto ak realizar un seguimiento de las actividades y el estado de todos los equipos que participan en la replicación es algo indispensable.

Existen herramientas de monitoreo como el monitor de replicación de Microsoft SQL Server este es el más usado por las características para monitorear el rendimiento de la replicación, entre estas se encuentran:


  • Da advertencias.
  • Muestra acciones a tomar con el rendimiento.
  • Muestra estadísticas de forma detallada de las sincronizaciones.
  • Se puede visualizar el tiempo de replicación.


VEASE TAMBIEN

Introducción a Sitios y servicios de Active Directory

Sitios y servicios de Active Directory

Lista de comprobación: Configurar el programa de replicación entre sitios

Lista de comprobación: Agregar un servidor de catálogo global

Solución de problemas de la replicación de Servicios de dominio de Active Directory


REFERENCIAS

https://forsenergy.com/es-es/dssite/html/9c5835f7-4dda-438c-8d34-08f5b306ec5c.htm

https://forsenergy.com/es-es/dssite/html/422fa033-f08d-4cae-ac13-d194ff3f6726.htm

https://forsenergy.com/es-es/dssite/html/8dc05b94-ba73-4e60-8f6f-18e9da618441.htm Interfaz de usuario: Sitios y servicios de Active Directory

https://forsenergy.com/es-es/dssite/html/ae0866ea-b7ce-40ee-b8a7-83a9e2932b80.htm Programación de la replicación entre sitios

https://blog.ragasys.es/organizacion-sitios-y-servicios-de-active-directory-sobre-ms-windows-server-2016 Organización Sitios y Servicios de Active Directory sobre MS Windows Server 2016

https://www.manageengine.com/latam/applications_manager/monitoreo-de-active-directory.html Monitoreo de Active Directory

Obtenido de «https://wiki.itcoug.com/index.php?title=Sitios,_Servicios_y_Replicación_Active_Directory&oldid=29401»