La replicación de AD permite disponer de información actualizada de AD en todos los DC. Este blog le ayudará a entender la replicación de AD en profundidad.
Entonces, ¿qué es la replicación de AD?
En el sentido más simple, es la acción de modificar los objetos de AD en un DC, y luego tener esto replicado y visible en todos los demás controladores del bosque de AD.
¿Por qué se necesita la replicación de AD?
Es posible que se pregunte por qué se considera modificar un objeto AD y por qué es necesario un modelo de replicación de este tipo. En el entorno de AD se producen muchos cambios en tiempo real, estos se deben actualizar en la base de datos de AD para usarlos y gestionarlos en el futuro.
Algunos ejemplos de estos cambios son:
-
Añadir nuevos usuarios o equipos en AD.
-
Realizar un cambio en los atributos almacenados de AD, como cambiar el nombre de un objeto.
-
Mover objetos de AD entre OU o grupos de AD.
-
Eliminar objetos de AD.
Para asegurarse de que se mantiene la naturaleza dinámica de cualquier entorno de AD y de que sus beneficios se utilizan de forma efectiva, se necesita su replicación, la cual es crítica y forma la columna vertebral de los servicios de AD.
Conceptos básicos necesarios para entender la replicación de AD
El objetivo principal de tener un entorno controlado por AD es centralizar y gestionar todos los usuarios y equipos de forma eficiente.
El diseño de la topología lógica de AD imita la estructura de la organización empresarial. Se diseña teniendo en cuenta las redes físicas TCP/IP sobre las que se configura AD.
En un entorno de AD activo:
-
La instalación de AD DS implica tener uno o varios servidores de autenticación y autorización llamados DC que dan servicio a los distintos clientes del dominio de AD.
-
Cada DC puede ser identificado por un objeto servidor en AD, junto con un objeto esclavo de Windows NT Directory Services (NTDS) asociado. A su vez, estos objetos de NTDS almacenan las conexiones con los esclavos y garantizan que los cambios realizados en los objetos de AD (usuarios, equipos, grupos u OU) en un único DC se replican según un cronograma a todos los demás DC receptores.
-
Los sitios de AD incluyen subredes que cubren un rango de direcciones IP que la organización utiliza. Uno o más DC que operan en estos sitios definidos tendrán la autoridad sobre los objetos de AD presentes en estos sitios individuales. Es muy importante configurar correctamente estos sitios de AD para garantizar que no se produzcan errores a la hora de establecer una topología de replicación efectiva.
-
Active Directory Sites and Services es una herramienta de gestión a la cual se puede acceder desde el gestor de servidores. Permite a los administradores configurar los sitios y subredes adecuados, y establecer enlaces de sitios para la replicación.
¿Cómo funciona la replicación?
|
Procedimiento de replicación |
Explicación |
|
La replicación siempre se produce entre dos o más DC |
Todos los DC tienen un programa incorporado que se ejecuta en segundo plano llamado knowledge consistency checker (KCC), que crea automáticamente las conexiones entre sitios, establece los enlaces de sitios asociados y selecciona los servidores cabeza de puente o bridgehead, de los que pronto hablaremos con más detalle. |
|
La replicación en AD se produce a nivel de atributos |
Cada entidad de seguridad, como un usuario o grupo de AD, se identifica con un ID de seguridad (SID) y un ID relativo (RID). A los objetos de AD, como los equipos o las impresoras, también se les asigna un identificador único global (GUID). Sólo el atributo que se modifica, junto con el GUID del objeto de AD modificado, se comparte entre los DC o los socios de replicación elegidos.
Esto se hace para conservar el ancho de banda de la red y garantizar un tráfico de red óptimo y la finalización puntual del proceso de replicación. El número de versión del GUID/SID se actualiza de forma incremental por cada modificación que se produce. |
|
La replicación es posible gracias a los enlaces de sitio |
Los enlaces de sitio establecen conexiones entre los sitios de AD de manera que representan las redes físicas de la organización. Configurar correctamente los objetos de enlace de sitio en AD ayuda a determinar el intervalo de replicación, la frecuencia de replicación dentro de dicho intervalo de tiempo y las rutas de replicación preferidas entre los sitios de AD necesarios.
El cronograma y el costo de los enlaces de sitio implican la asignación de prioridades en forma de valores numéricos. En última instancia, esto determina la mejor ruta de replicación que se debe tomar entre los DC. Un administrador suele tomar esta decisión durante el proceso de configuración de los enlaces de sitio y la configuración de KCC. |
Cualquier error en la replicación de AD suele producirse debido a una configuración incorrecta de los sitios y subredes de AD, o si KCC no funciona correctamente, o debido a cualquier error en las integraciones relacionadas con AD-DNS (tratadas en la parte 2 de esta serie).
Tipos de replicación de AD
Existen dos tipos de replicación de AD: intra-sitio e inter-sitio.
Replicación intra-sitio
∙ Los DC dentro de un sitio de AD están dispuestos en topología de anillo, es decir, cada DC está conectado a otros dos DC de forma predeterminada. No es necesaria ninguna intervención manual para crear estos enlaces de sitio. Véase la Figura 1.
La Figura 1 muestra la topología de anillo de los DC dentro de un sitio.
∙ KCC, responsable de configurar estos enlaces de sitio y de crear la topología de replicación mediante un algoritmo de generación de topología, realiza a una llamada a procedimiento remoto, es decir, RPC sobre IP, para comunicarse con la base de datos de AD y, por lo tanto, permite el proceso de replicación. Este protocolo permite una comunicación de alta velocidad de los cambios requeridos a todos los otros DC dentro del sitio a través de la interacción de KCC con el agente del sistema de directorio de la base de datos de AD en el DC.
∙ A medida que se autorizan los cambios en un determinado DC, se envía una notificación de cambio a los demás DC de este sitio. Estos otros DC son los socios de replicación que responden a esta notificación o actualización de cambios. Envían una solicitud de cambio dirigida al DC de origen y este elige al primer socio de replicación directa y le envía los cambios o datos de replicación requeridos.
∙ Los administradores configuran cada DC para que espere un tiempo breve antes de enviar la actualización de cambios y los datos de replicación posteriores a cada socio de replicación directa. Como se muestra en la Figura 2, todos los equipos de Windows Server 2003 y versiones superiores siguen el tiempo de espera predeterminado de 15 segundos para garantizar que se controla el tráfico de red y se evitan los conflictos o errores de replicación.
La Figura 2 muestra los DC en el sitio A de ejemplo mostrando la notificación de cambio que comienza con un tiempo de espera de 15 segundos.
∙ En estos sitios bien conectados con altas velocidades de red, la replicación a través de todos los DC dentro de un sitio se completa generalmente en un minuto después de que la primera notificación de cambio es iniciada por el DC de origen; luego, este envía los datos de replicación a todos los demás socios en el momento oportuno, con un desfase predeterminado de tres segundos entre cada DC.
∙ Cuando hay más DC en el sitio, KCC configura automáticamente más enlaces de sitio para garantizar que la replicación se siga completando eficazmente dentro del sitio. La Figura 3 muestra esta situación.
La Figura 3 muestra la topología de replicación revisada en el sitio A de ejemplo, con la inclusión de más DC.
Replicación inter-sitio
∙ La replicación entre sitios se produce con la identificación y participación de servidores de cabeza de puente designados, como se muestra en la Figura 4. Estos servidores son seleccionados automáticamente por KCC o pueden ser configurados manualmente por el administrador. Representan los servidores elegidos para permitir el paso de datos de AD entre los sitios.
La Figura 4 muestra los servidores de cabeza de puente que establecen la ruta para que se produzca la replicación inter-sitio entre los sitios A y B de ejemplo.
∙ Principalmente, la replicación inter-sitio también se realiza a través de RPC sobre IP. Sin embargo, cuando la comunicación RPC sobre IP tiene problemas, también se puede utilizar SMTP. Las transferencias entre sitios por SMTP suelen ser menos fiables y no sirven para gestionar todos los requisitos de replicación de AD.
Por ejemplo, los cambios en la política de grupo no se gestionan con este protocolo. SMTP sólo se puede utilizar en la replicación inter-dominio cuando se deben replicar datos de AD de esquema o de configuración. La replicación de los datos de AD cuando se utiliza SMTP se realiza a través de mensajes de correo electrónico.
∙ La replicación entre sitios está configurada para que se produzca en un intervalo de tiempo estándar de 180 minutos, como se muestra en la Figura 5. Este intervalo de tiempo se puede configurar manualmente a diferentes intervalos.
Tiene este valor predeterminado para tener en cuenta las velocidades de red más bajas que podrían afectar al tráfico de red entre dos sitios de AD.
La Figura 5 muestra la replicación inter-sitio de A y B. Aquí el intervalo de tiempo entre el inicio de la replicación es de 180 minutos entre los servidores de cabeza de puente designados.
∙ Una vez que el servidor de cabeza de puente ha recibido los datos replicados, las notificaciones de cambio y la información de replicación subsiguiente se comunican y completan en todos los demás DC dentro de cada uno de los sitios involucrados.
Replicación en circunstancias prácticas
Ahora veamos un ejemplo práctico de replicación tanto intra-sitio como inter-sitio.
Supongamos que se crea un nuevo usuario en el sitio A. La información sobre este nuevo usuario creado en el sitio A se replicará primero a todos los DC del sitio. A continuación, esta información se replicará a los DC del sitio B.
La replicación intra-sitio ocurre de la siguiente manera: El DC de origen en el sitio A, el servidor DC 1, responsable de autorizar la creación de este nuevo usuario, completa la modificación. Después de esto, inicia la replicación intra-sitio a los otros DC dentro de este sitio.
A continuación comienza la replicación inter-sitio: El servidor de cabeza de puente designado en el sitio A comunicará esta nueva actualización de la creación de usuarios al servidor de cabeza de puente en el otro sitio B, según el cronograma de replicación establecido para la replicación inter-sitio. Luego, la información actualizada del usuario se replica a los otros DC del sitio B.
Este proceso de replicación continúa entre los distintos sitios de un entorno de AD y se repite cada vez que se inicia una modificación de cambio en cualquiera de los DC de origen en cualquier sitio de la configuración de AD.
Como puede ver, la replicación es uno de los aspectos más importantes de Active Directory. Ahora hemos aprendido a profundizar y entender mejor AD, por lo que las interrelaciones entre los diferentes aspectos de AD comenzarán a ser más claras.
