Fundamentos em: Sites, replicação do Active Directory e estrutura física da rede
Pré-Requisitos: Conhecer os conceitos de diretório, domínio, relação de confiança, usuários e grupos.
Metodologia: Apresentar o conceito de Servidor de Catálogo Global.
Introdução e definição de sites.
Florestas, árvores, domínios e unidades organizacionais representam a divisão lógica do Active Directory, normalmente definida com base em critérios administrativos, ou seja, visando facilitar a administração dos recursos e usuários da rede. O Active Directory tem também um elemento conhecido como site, o qual é utilizado para representar a divisão física da rede e é muito importante para a implementação de um sistema de replicação otimizado das informações do Active Directory entre os diversos DCs de um domínio.
Um site no Active Directory é utilizado para representar a estrutura física da rede da empresa. As informações sobre a topologia da rede, contidas nos objetos site e link entre sites, são utilizadas pelo Active Directory para a criação de configurações de replicação otimizadas, sempre procurando reduzir o máximo possível o tráfego através dos links de WAN.
Nota! A criação e configuração de sites e dos links entre sites é feita utilizando o console Active Directory Sites and Services, o qual descreverei nos próximos posts.
Um site normalmente é definido com uma ou mais redes conectadas por um caminho de alta velocidade. O termo alta velocidade é um pouco vago. Na prática, um site está intimamente ligado a uma localização física, ou seja, uma ou mais redes locais no mesmo prédio ou em prédios de um Campus, interligadas através de um barramento de 10 MBps, 100 MBps (mais comum hoje em dia) ou de 1GBps (menos comum). Ou seja, um site é definido por um endereço IP e uma máscara de sub-rede, isto é: por uma rede local. Você aprendeu que uma rede é definida pelo número IP da rede (por exemplo 10.10.20.0) e por uma máscara de sub-rede (por exemplo 255.255.255.0). Um site é formado por um ou mais conjuntos de número de rede/máscara de sub-rede. Em outras palavras, um site é um conjunto de uma ou mais redes locais conectadas por um barramento de alta velocidade.
Para que o Active Directory utiliza sites:
A utilização de sites e links entre sites facilita a implmentação de várias atividades no Active Directory, dentre as quais destaco as listadas a seguir:
- Replicação: Esta sem dúvidas é a principal utilização dos sites. O Active Directory procura equilibrar a necessidade de manter os dados atualizados em todos os DCs, com a necessidade de otimizar o volume de tráfego gerado devido a replicação. A replicação entre os DCs de um mesmo site ocorre mais frequentemente do que a replicação entre DCs de sites diferentes. Isso faz sentido, pois os DCs de um memso site estão dentro da mesma rede local, conectados por um barramento de alta velocidade. Por isso é possível fazer a replicação mais frequentemente. Já os DCs de sites diferentes estão conectados através de links de WAN de baixa velocidade (quando comparada com a velocidade do barramento de uma rede local), por isso a replicação deve ocorrer em intervalos maiores, para evitar um excesso de tráfego e um sobrecarga nos links de WAN da rede. Você também pode atribuir diferentes “custos” para os links entre sites, de tal maneira que a replicação através de links de baixa velocidade, ocorre em intervaloes maiores do que a replicação através de links de maior velocidade. Todas estas possibilidades de configuração são sempre pensando na otimização do tráfego de WAN gerado pela replicação.
- Autenticação: A informação sobre sites auxilia o Active Directory a fazer a autenticação dos usuários de uma maneira mais rápida e eficiente. Quando o usuário faz o logon no domínio, o Active Directory primeiro tenta localiar um DC dentro do site definido para a rede do usuário. Com isso, se houver um DC no site do usuário, na maioria das vezes, este DC será utilizado para autenticar o logon do usuário no domínio, evitando que tráfego de autenticação seja gerado, desnecessariamente, no link de WAN.
Definição de sites utilizando sub-redes:
Conforme descrito anteriormente, para o Active Directory, um site é um grupo de computadores “bem conectados”, onde bem conectado significa conectado através de um barramento de alta velocidade, tal como uma Rede Local com barramento de 100 Mbps. Normalmente um site é associado a uma rede local de um escritório da empresa. Um site é definido por uma ou mais sub-redes. Uma rede é definida pelo endereço de rede mais a máscara de sub-rede. A figura 1 ilustra a utilização de uma sub-rede para a definição de um site:
 |
| Figura 1. Definição de um site. |
Nota! 172.16.32.0/19, significa 19 bits para a máscara de sub-rede, é o mesmo que escrever 172.16.32.0/255.255.224.0
No Active Directory você pode criar objetos do tipo sub-rede e do tipo site, utilizando o console Active Directory Sites and Services. Após criar objetos do tipo sub-rede, você cria um objeto do tipo site, associando uma ou mais sub-redes com o objeto site que está sendo criado.
A relação entre sites e domínios:
Conforme descrevi anteriormente, o domínio representa uma das divisões lógicas da rede e do Active Directory, já sites representam a estrutura física da rede. Com isso é possível ter computadores de diferentes domínios dentro do mesmo site, ou diferentes sites dentro do mesmo domínio e outras combinações possíveis.
Repetindo para fixar bem: “No Active Directory, sites estão relacionados com a estrutura física da rede, já domínios estão relacionados com a estrutura lógica da rede”. Esta separação traz alguns benefícios, dentre os quais destaco os indicados a seguir:
- É possível manter o design da estrutura lógica, independente da estrutura física. Ou seja, alterações em uma das estruturas não irão implicar, necessariamente, alterações na outra estrutura. Com isso você pode ter computadores de mais de um domínio no mesmo site ou mais de um site no mesmo domínio e assim por diante.
- A nomeação dos domínios é absolutamente independente da estrutura física/geográfica da rede, o que facilita alterações na estrutura física, sem que isso implique em um reestruturação lógica de toda a rede.
- Você pode instalar DCs de múltiplos domínios no mesmo site ou você pode colocar DCs do mesmo domínio em diferentes sites ou uma combinação destas duas configurações, conforme ilustrado na Figura 2:
 |
| Figura 2 Flexibilidade na definição de sites e domínios. |
Replicação no Active Directory:
A base de dados do Active Directory, com informações completas sobre todos os objetos do Active Directory é armazenada nos DCs do domínio. Alterações podem ser efetuadas em qualquer DC. Estas alterações devem ser replicadas para todos os demais DCs do domínio, de tal maneira que todos os DCs estejam sincronizados e com uma cópia idêntica da base de dados do Active Directory. Este processo ocorre o tempo todo, pois alterações no Active Directory são feitas diariamente. Claro que existe um tempo entre o momento em que uma alteração é feita em um DC, até que esta alteração tenha sido replicada para todos os demais DCs do domínio. A replicação é um processo contínuo.
O Active Directory procura determinar, automaticamente, qual a melhor configuração de replicação, procurando obter o menor tempo possível para atualização dos DCs do domínio, mas balanceando com o volume de tráfego gerado na rede, de tal maneira que o tráfego gerado pela replicação não venha a sobrecarregar os links de WAN.
As configurações de replicação do Active Directory são feitas, automaticamente, pelo processo conhecido como Knowledge Consistency Checker (KCC), que é um processo que roda em todos os DCs. O KCC automaticamente identifica as configurações de replicação mais eficientes, com base nas configurações de sites do Active Directory (estrutura física da rede). Por exemplo, a replicação entre DCs dentro do mesmo site são feitas mais frequentemente do que entre DCs de sites diferentes. O KCC regularmente recalcula a topologia de replicação para ajustar o processo para quaisquer alterações que tenham ocorrido na estrutura física da rede, como a criação de novos sites ou a inserção de novas sub-redes em um site existente.
Replicação dentro do mesmo site – Intrasite Replication
Conforme já descrito anteriormente, o KCC trata a replicação dentro do mesmo site, de uma maneira diferente do que a replicação entre sites. Isso devida a diferença da velocidade de conexão dentro do mesmo site e entre sites (normalmente conectados através de links de WAN).
O KCC define a topologia de replicação dentro de um mesmo site, no formato de um anel bi-direcional. O KCC forma um anel bi-direcional entre os vários DCs dentro de um mesmo site. A replicação intrasite é otimizada para velocidade e as atulizações feitas em um DC do site são automaticamente repassadas para os demais DCs, com base em um mecanismo de notificação. As informações de replicação dentro do site não são compactadas, diferentemento do que acontece com a replicação entre sites diferentes, onde toda a informação de replicação é compactada antes de ser enviada através do l ink de WAN.
Como o KCC configura a replicação intrasite:
O KCC, rodando em cada DC do site, foi projetado para criar uma topologia de replicação intrasite o mais eficiente possível, baseada em um anel bidirecional. Para criar o anel bi-direcional, o KCC tenta criar pelo menons duas conexões de replicação entre cada DC (para tolerância a falhas, caso uma das conexões esteja indisponível). O KCC também procura evitar que haja mais do que três DCs no caminho entre dois servidores quaisquer (tecnicamente dizemos que o KCC procura evitar que haja mais do que três “hops” entre dois DCs quaisquer). Para evitar mais do que três hops, a topologia de replicação pode incluir conexões do tipo atalho entre dois DCs. O KCC fica atualizando a topologia de replicação regularmente, buscando sempre a melhor eficiência e a menor latência (menor intervalo de atualização entre os DCs).
Determinando quando a replicação intrasite ocorre:
Alterações feitas no Active Directory tem um impacto direto nos usuários localizados no próprio site, por isso a replicação intrasate é otimizada para a velocidade (menor tempo de latência). Por exemplo, quando você altera a senha de um usuário em um DC do site, é importante que esta alteração seja replicada, rapidamente, para todoso os demais DCs do site. A replicação entre os DCs de um site ocorre automaticamente, com base em um mecanismo de notificação. A replicação Intrasite inicia quando uma alteração é feita em um objeto do Active Directory em um dos DCs do site. Por padrão, o DC onde foi feita a alteração aguarda 15 segundos e então envia uma notificação de atualização para o seu parceiro de replicação mais próximo (o DC que está mais próximo dele, no anel bi-direcional criado pelo KCC). Se o DC onde foi feita a alteração tiver mais do que um parceiro de replicação, as notificações subsequentes serão enviadas, por padrão, em intervalos de 3 segundos. Após receber uma notivicação de alteração, um parceiro de replicação envia uma requisição de atualização do Active Directory para o DC onde foi feita a alteração. O DC onde foi feita a alteração responde à requisição feita pelo seu parceiro de replicação, enviando os dados sobre a alteração. O intervalo de 3 segundos entre o envio das notificações de alteração é importante para evitar que um mesmo DCs receba múltilas notificações de alteração, simultaneamente.
Algumas alterações são conhecidas como atualiações críticas. Para as atualizações críticas não é observado o intervalo de 15 segundos antes que o DC onde houve a alteração envie uma notificação de alteração. Alterações como bloqueio de contas, alterações nas políticas de bloquei de contas, alterações nas políticas de senha do domínio e alterações de senha são consideradas atualizações críticas e devem ser replicadas imediatamente.
Replicação entre sites:
O Active Directory trata a replicação entre sites (intersites) de maneira da replicação dentro do mesmo site (intrasite), pois a velocidade de conexão entre sites geralment é bem menor do que dentro do mesmo site.
O KCC cria a topologia de replicação intersite sempre procurando otimizar a utilização dos links de WAN. A replicação intersite é configurada com base em um agendamento definido pelo KCC. As informações de replicação são compactadas antes de serem envidas através dos links de WAN, para reduzir o tráfego nos links de WAN.
Como a topologia de replicação intersite é criada pelo KCC:
A topologia de replicação intersite é criada pelo KCC, com base nas informações sobre sites e links entre sites que o Administrador cria. Em cada site um DC é o responsável pela definição da topologia de replicação intersite. Este DC é conhecido como “Intersite Topology Generator”. O tempo de repilcação intersite pode ser controlado com base nas informações fornecidas quando o Administrador cria os objetos de links entre sites, utilizando o console Active Directory Sites and Services.
Quando a replicação intersite ocorre:Para reduzir a utilização dos links de WAN, a replicação intersite ocorre de acordo com um agendamento prévio e não instantaneamente (ou com base em notificações de alteração) como no caso da replicação intrasite. Por padrão, a replicação intersite ocorre, em cada link, a cada 3 horas (180 minutos). O Administrador pode alterar este agendamento para adaptar a replicação a velocidade dos links de WAN da sua rede. O Administrador também pode definir em que horários do dia os links entre sites estarão disponíveis para que a replicação aconteça. Por exemplo, para escritórios conectados por links de WAN de baixa velocidade, como por exemplo 64 Kbps, você pode ajustar o link de replicação para estar disponível apenas à noite, após o expediente. Por padrão um link está configurado para estar disponível 24 horas por dia, 7 dias por semana.
Nenhum comentário:
Postar um comentário